劉鋒 潘科 夏瓊

【摘要】? ? 近年來，新一輪科技革命和產(chǎn)業(yè)變革蓬勃興起，基于工業(yè)互聯(lián)網(wǎng)的新技術(shù)、新模式和新業(yè)態(tài)取得了空前進(jìn)步，在制造業(yè)蓬勃發(fā)展的道路上，工業(yè)信息安全形勢(shì)日趨嚴(yán)峻，安全風(fēng)險(xiǎn)持續(xù)攀升。本文就如何對(duì)工業(yè)互聯(lián)網(wǎng)的安全開展監(jiān)測(cè)，有什么樣的技術(shù)可以利用，如何搭建監(jiān)測(cè)平臺(tái)等技術(shù)問題進(jìn)行研究分析。

【關(guān)鍵詞】? ? 工業(yè)互聯(lián)網(wǎng)? ? 安全? ? 監(jiān)測(cè)平臺(tái)

Analysis on the Technical Architecture of the Provincial Platform for Industrial Internet Security Monitoring

Abstract： In recent years， a new round of scientific and technological revolution and industrial transformation have flourished， and unprecedented progress has been made in new technologies， new models and new business formats based on the Industrial Internet. On the road of vigorous development of the manufacturing industry， the situation of industrial information security has become increasingly severe and security risks continue. rising. This article conducts research and analysis on technical issues such as how to monitor the security of the Industrial Internet， what kind of technology can be used， and how to build a monitoring platform.

Key words：Industrial Internet、Security、Monitoring platform

引言：

工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)總體技術(shù)手段包括探測(cè)掃描、流量解析還原、關(guān)鍵位置攻擊誘捕以及信息系統(tǒng)數(shù)據(jù)對(duì)接等技術(shù)手段，另外可通過第三方數(shù)據(jù)平臺(tái)的對(duì)接、數(shù)據(jù)爬取和人工數(shù)據(jù)搜集等方式進(jìn)行監(jiān)測(cè)和管理。本文將從工業(yè)互聯(lián)網(wǎng)典型的數(shù)據(jù)監(jiān)測(cè)手段、監(jiān)測(cè)平臺(tái)的功能架構(gòu)和技術(shù)架構(gòu)進(jìn)行概要分析。

一、監(jiān)測(cè)技術(shù)及平臺(tái)架構(gòu)

充分利用現(xiàn)有網(wǎng)絡(luò)與信息安全技術(shù)手段和接口，對(duì)接監(jiān)管技術(shù)平臺(tái)、基礎(chǔ)電信企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)和工業(yè)企業(yè)相關(guān)基礎(chǔ)數(shù)據(jù)資源平臺(tái)、流量采集/解析平臺(tái)、網(wǎng)絡(luò)安全技術(shù)平臺(tái)的安全監(jiān)測(cè)能力（如企業(yè)安全態(tài)勢(shì)感知系統(tǒng)等），結(jié)合工業(yè)環(huán)境和機(jī)構(gòu)監(jiān)管機(jī)制，建設(shè)企業(yè)數(shù)據(jù)上報(bào)、網(wǎng)絡(luò)流量采集、企業(yè)流量監(jiān)測(cè)、企業(yè)入侵防范監(jiān)測(cè)、公網(wǎng)主動(dòng)探測(cè)獲取、蜜罐被動(dòng)誘捕、安全和系統(tǒng)日志匯入等數(shù)據(jù)獲取能力，工業(yè)互聯(lián)網(wǎng)資產(chǎn)、基礎(chǔ)資源發(fā)現(xiàn)、識(shí)別和管理能力，工業(yè)互聯(lián)網(wǎng)安全信息匯聚、管理和監(jiān)測(cè)分析能力，大數(shù)據(jù)和態(tài)勢(shì)分析能力，搭建工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)技術(shù)平臺(tái)，并具備協(xié)同聯(lián)動(dòng)、信息共享、應(yīng)急處置、威脅預(yù)警、統(tǒng)計(jì)報(bào)表、定位溯源和態(tài)勢(shì)分析等功能。

平臺(tái)功能架構(gòu)，根據(jù)工信部對(duì)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)技術(shù)建設(shè)的要求，一般可分為五個(gè)子系統(tǒng)，包括數(shù)據(jù)采集子系統(tǒng)、基礎(chǔ)庫管理子系統(tǒng)，監(jiān)測(cè)分析子信通、業(yè)務(wù)支撐子系統(tǒng)和安全保障子系統(tǒng)。

數(shù)據(jù)采集子系統(tǒng)：匯聚基礎(chǔ)電信企業(yè)的流量和安全監(jiān)測(cè)數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)流量和日志信息、標(biāo)識(shí)解析流量和日志信息，開展主動(dòng)探測(cè)、輔助部署以蜜罐誘捕，收集威脅情報(bào)、安全事件、采集工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)相關(guān)數(shù)據(jù)。

基礎(chǔ)庫管理子系統(tǒng)：存儲(chǔ)、管理平臺(tái)數(shù)據(jù)，匯總數(shù)據(jù)采集子系統(tǒng)的安全監(jiān)測(cè)數(shù)據(jù)、上級(jí)平臺(tái)下發(fā)的資產(chǎn)數(shù)據(jù)和預(yù)警信息、相關(guān)監(jiān)管機(jī)構(gòu)數(shù)據(jù)，梳理形成工業(yè)互聯(lián)網(wǎng)平臺(tái)基礎(chǔ)資源信息、聯(lián)網(wǎng)設(shè)備及系統(tǒng)資產(chǎn)信息，形成省級(jí)基礎(chǔ)資源庫，并建設(shè)安全監(jiān)測(cè)所需信息庫，為網(wǎng)絡(luò)側(cè)的安全監(jiān)測(cè)分析提供數(shù)據(jù)支撐。

監(jiān)測(cè)分析子系統(tǒng)：監(jiān)測(cè)發(fā)現(xiàn)安全隱患，通過與基礎(chǔ)信息庫對(duì)比，開展工業(yè)互聯(lián)網(wǎng)資產(chǎn)、安全漏洞和安全事件的識(shí)別工作，識(shí)別工業(yè)互聯(lián)網(wǎng)協(xié)議，工業(yè)互聯(lián)網(wǎng)平臺(tái)、聯(lián)網(wǎng)設(shè)備及系統(tǒng)、工業(yè)APP、工業(yè)數(shù)據(jù)，監(jiān)測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)暴露的安全漏洞、存在的安全攻擊事件，同步開展標(biāo)識(shí)解析安全監(jiān)測(cè)。

業(yè)務(wù)支撐子系統(tǒng)：提供風(fēng)險(xiǎn)預(yù)警、威脅處置、監(jiān)測(cè)協(xié)同、態(tài)勢(shì)分析、信息共享等業(yè)務(wù)支撐能力，可將監(jiān)測(cè)分析子系統(tǒng)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)向涉事企業(yè)及有關(guān)部門進(jìn)行預(yù)警，為威脅處置提供協(xié)作支撐，開展內(nèi)外部信息共享，展示工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)及工業(yè)資產(chǎn)監(jiān)測(cè)結(jié)果。

安全保障子系統(tǒng)：提供安全保障、運(yùn)維管理、時(shí)鐘同步、網(wǎng)絡(luò)管理、跨域/跨網(wǎng)安全訪問和傳輸/權(quán)限管理等功能，保障整個(gè)省級(jí)平臺(tái)、高效、穩(wěn)定運(yùn)行。其中主要功能包括態(tài)勢(shì)分析、安全保障、安全監(jiān)測(cè)和聯(lián)動(dòng)處理。

二、技術(shù)架構(gòu)

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知體系，上聯(lián)上級(jí)平臺(tái)實(shí)現(xiàn)數(shù)據(jù)對(duì)接、信息共享、流程互通，下接企業(yè)平臺(tái)或與企業(yè)聯(lián)動(dòng)。通過網(wǎng)絡(luò)側(cè)平臺(tái)對(duì)接、流量采集、主動(dòng)探測(cè)、蜜罐被動(dòng)誘捕以及企業(yè)側(cè)流量和日志采集、企業(yè)數(shù)據(jù)上報(bào)等手段，監(jiān)測(cè)和態(tài)勢(shì)感知市內(nèi)工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)信息。

工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)省級(jí)平臺(tái)監(jiān)測(cè)對(duì)象有：暴露在工業(yè)互聯(lián)網(wǎng)上的工業(yè)資產(chǎn)（聯(lián)網(wǎng)的設(shè)備及系統(tǒng)）、工業(yè)互聯(lián)網(wǎng)平臺(tái)、工業(yè)企業(yè)（或是重點(diǎn)監(jiān)測(cè)單位）、解析節(jié)點(diǎn)、網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)（骨干網(wǎng)絡(luò)）以及對(duì)接現(xiàn)有的安全監(jiān)測(cè)技術(shù)平臺(tái)。平臺(tái)可通過使用主動(dòng)探測(cè)（主動(dòng)探測(cè)系統(tǒng)）、被動(dòng)誘捕（蜜罐被動(dòng)誘捕系統(tǒng)）、流量分析（流量分析系統(tǒng)、入侵檢測(cè)系統(tǒng)）、平臺(tái)對(duì)接（監(jiān)管機(jī)構(gòu)及第三方平臺(tái)）企業(yè)側(cè)采集等技術(shù)手段，來獲取監(jiān)測(cè)對(duì)象的資產(chǎn)、漏洞、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅等信息，然后分別以資產(chǎn)、漏洞信息和安全事件等的形式上報(bào)到工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，平臺(tái)借助智能檢索、大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)等技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析處理，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn)、工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)和網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的安全監(jiān)測(cè)、態(tài)勢(shì)評(píng)估、跟蹤和分析，全面掌握工業(yè)互聯(lián)網(wǎng)的安全態(tài)勢(shì)和產(chǎn)業(yè)態(tài)勢(shì)，并能及時(shí)預(yù)警通報(bào)所監(jiān)測(cè)范圍內(nèi)的安全威脅、安全風(fēng)險(xiǎn)和安全隱患，并為監(jiān)管機(jī)構(gòu)提供工業(yè)互聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)監(jiān)管監(jiān)測(cè)和態(tài)勢(shì)數(shù)據(jù)。

三、結(jié)束語

當(dāng)前，隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，新一代信息技術(shù)為企業(yè)上云上平臺(tái)提供了有力的保障、助力工業(yè)企業(yè)智能化改造，數(shù)字經(jīng)濟(jì)也不斷為企業(yè)賦能，伴隨而來的是更多的信息安全暴露面、更大的威脅、更多的風(fēng)險(xiǎn)。

通過本文介紹的安全監(jiān)測(cè)技術(shù)平臺(tái)的應(yīng)用，將實(shí)現(xiàn)省級(jí)安全監(jiān)測(cè)，選取部分也將為企業(yè)建設(shè)公司級(jí)的安全監(jiān)測(cè)平臺(tái)提供參考。

參? 考? 文? 獻(xiàn)

[1] 郭亮亮.省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)系統(tǒng)架構(gòu)研究.物聯(lián)網(wǎng)技術(shù). 2020年12期.

[2] 陶耀東，賈新桐.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架研究[J]. 信息技術(shù)與網(wǎng)絡(luò)安全. 2018（05）.

[3] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟.中國工業(yè)大數(shù)據(jù)技術(shù)與應(yīng)用白皮書.2017.