摘要：在“两化融合”新形势下，安全态势感知是解决工业互联网当前边界不明晰、角色内容多和业务关联复杂的重要手段。平台的主要内容包括工业数据采集、工业协议识别、工业资产探测和工业威胁监测。其中的风险预防和检测、关键数据的保护、云平台以及标识解析节点的防护都是其重要的问题。护航工业互联网业务一方面需要汇总工业互联网网络安全数据，从整体方面掌握网络安全态势；另一方面也需要建立工业互联网平台安全预警和应急响应流程体系，促进工业平台企业安全整改，发现长期潜伏在工业互联网平台中的安全威胁和风险，为企业提供感知和决策支持。

关键词：工业互联网安全；态势感知；安全防护

1工业互联网安全态势感知概述

工业互联网安全态势感知源自于网络安全态势感知中面向工业互联网安全监测与防护。工业互联网的安全发展是网络安全“云、大、物、移、工”细分领域发展的一个重要分支，经历了萌芽期、发展期、规范期三个阶段，当下正向着成熟期飞速前进。工业互联网安全态势感知指的是工业互联网相关的业务系统、各类设备、网络通道以及数据存储相关的综合性安全监测与感知能力[1]。在工业互联网发展如火如荼的当下，物联网技术、云计算技术、工业大数据技术以及5G技术正广泛渗透于工业生产的每个过程，大流量、高并发、高复杂性是其重要特征[2]。不同于一般的系统建设，工业互联网安全是工控系统安全和互联网安全的结合，其挑战更为艰巨，需要敏捷、智能、精准的监测预警来控制和保障，态势感知是必要技术手段。工业互联网安全态势感知系统一般具备以下几个特点：

1.1边界不明晰，安全监控灵活

不同于传统网络安全相对清晰的责任边界，工业互联网中要求产品的生产、使用、维护都属于连接管理范畴，系统边界被无限放大。不管从范围还是复杂程度、风险程度以及威胁影响都要大得多，轻则工业企业停产，重则设备损毁失控甚至造成人员伤亡。在工业互联网体系中“万物互联”使得生产和使用环节紧密连接，推动了其定制化和智能化，但生产装备、控制装备、监控装备和生产产品广泛集成各类应用系统和软件，也将暴露在黑客的攻击之下，极大增加了安全风险[3]，广泛的边界需要灵活多变的安全监控能力来辅以应对。

1.2角色内容多，涉及对象广泛

工业互联网安全态势感知涉及的监测角色内容包括标识解析节点、工业互联网平台、工业应用设备、工控系统、工业APP等，每一角色又需要考虑与之对应的数据采集、资产识别、安全监测、态势分析、预警处置等，其中又需要分别应对其IP地址、网络协议、应用系统不同的属性[4]。

1.3业务关联复杂，技术难度高

当前工业企业数据广泛向大量、多维、内外双向流动转变，向着深度定制和智能制造大幅迈进，由此形成了购买者、销售方、材料方、监管方、生产方等多方共同参与的网络连接。当前工业设备生产厂家相对独立，工业系统和设备所运用的协议和加密技术也各不相同[5]。工业互联网安全态势感知的建设需要逐一去分析和适配。同时，由于工业互联网核心目标是支撑工业企业制造资源泛在连接、弹性供给、高效配置助力企业升级转型，这就需要工业互联网安全态势感知的建议应以保障生产顺畅为首位，这进一步提高了技术的难度。

2工业互联网安全态势感知平台主要内容

工业互联网安全态势感知平台主要涉及工业数据采集、工业协议识别、工业资产探测和工业安全监测几个方面。实际工作中需要从防护对象、安全角色、安全威胁、安全措施、生命周期五个视角出发对工业互联网边界和资产进行测绘，对工业生产过程中的网络安全攻击事件进行检出和预警，对敏感数据传输进行分析和保障，对漏洞和风险进行指导和加固等。

2.1工业数据采集

工业数据采集可采取流量镜像/分光被动监测、工信设备资产信息收集和程序主动扫描探测相结合的方式。采集的数据种类包括资产数据、流量数据，安全事件、漏洞信息、蜜罐日志等。涉及内容如工业分类、网站备案、IP备案，企业规模、工业应用、工业协议等。数据采集其目的是为工业互联网安全态势感知防护的主体如工业设备、工业网络、工业系统、工业企业、工业行业、工业园区、工业互联网服务平台等实现实时风险监测和威胁画像，依托预置的特征、策略、模型和逻辑算法对工业互联网活动进行实时跟踪，绘制多维度的生产活动，安全脆弱性态势曲线。

2.2工业协议识别

协议识别和解析是网络安全分析的重要基础，工业协议识别主要研究的是工业通信协议的解码能力。工业互联网通信协议不同于传统网络协议，各企业设计支出为考虑其安全属性，多采用特有协议进行工作，常见协议如Modbus、HSE、ProflNet、Ethernet等。每一类工业协议编码方式不同，因此需要不同的解码方式来实现逆向数据解码。当前广泛应用的工业协议超过100多种，我们在考虑数据采集部署时需要求设备需具备多种工业协议的识别和解析，并能够支持新协议的解析能力补增。

2.3工业资产探测

源自于工业互联网广泛连接的重要属性，工业互联网中的设备终端、网络环境通常会发生经常性变化。设备和网络环境的调整势必对工业互联网网络安全造成影响，监测动态的变化事件是工业互联网安全态势感知必要内容，通常采取被动登记结合主动探测的方式进行监控和管理。对于探测在技术上采取主动访问的方式判别对应的地址和端口下是否存在工业设备、应用及平台。资产探测是一项较为成熟的技术，但在工业互联网体系中由于设备种类众多，端口、协议都有所不同就需要我们针对工业资产进行测试和适配，其目的是通过探测感应网络中涉及的系统、应用、版本、开放端口等并根据掌握的情况对漏洞和风险有初步的判别。

2.4工业威胁监测

在工业互联网错综复杂的网络环境中如何做好安全检测预警防护，当前通常的做法是从成熟的网络安全建设和防护中寻求基础经验，再结合工业互联网特点进行调整和优化。由于工业生产的重要性和机制性工业互联网威胁监测比传统的网络安全威胁监测维度更广，时效性要求更高，威胁监测执行过程中一方面需要对内外双向检出的可疑攻击、潜在漏洞进行量化，实现实时、动态的可视化纵向威胁监测；另一方面还需要考虑同级对象间，如工业设备、工业互联网平台、工业企业生产网、工业园区、工业行业等交互的数据整合，达到横向安全态势监测与管理。

3工业互联网安全态势感知平台解决问题

工业互联网横跨全生产要素、全产业链、全价值链，是工业实现数字化、网络化、智能化发展的重要信息基础设施。工业互联网安全态势感知平台的能力基础架构包含设备、控制、应用、网络和数据。由于其具备的独特性，所关切的核心问题有风险预防和检测、关键数据的保护、云平台的防护以及标识解析节点的防护。安全框架如下图：

3.1风险预防与检测

工业互联网的风险预防与检测技术主要从四个维度出发：一是利用已掌握的通用的网络安全攻击特征并按照工业互联网实际环节和重要性情况进行重新分类和筛选，评定其攻击类型和危害的风险程度；二是建设面向文件特别是可执行文件的检测能力，这里面需要构建Windows环境、安卓环境、Linux环境以及保护对象中特定的工业运营环境能力，以便于这些环境中提取到的可疑文件可以被执行，判别风险和追溯来源；三是构造多个工业互联网仿真模拟环境，并特意留下少许隐蔽漏洞来作为诱饵，一旦黑客想对防护对象进行攻击，仿真环境会成为其认为的重要突破口，并展开相应的攻击动作。这些攻击行为会被提前部署的监测手段发现并触发告警，达到预警和吓退“敌人”的目的；四是针对关键设备和系统进行登录行为、浏览行为、修改行为、传输行为的日志审计工作，借助对人员真实操作行为的记录比对可及时发现黑客入侵遗留的痕迹，及时阻止入侵行为。

3.2关键数据的保护

工业互联网数据是指工业生产经营各环节和各流程产生或使用的数据，涉及的主体繁多，类型丰富。通常工业数据安全能力侧重于数据加密传输、加密存储等，在数据分类分级、访问控制、敏感识别等方面较为薄弱。因此关键数据的保护在加强通常做法的基础上还需要补齐分类分级、访问控制和敏感识别能力，其核心思想借鉴于当下热门的数据安全。实施方案通常也分为三个部分：一是优先对保护的数据进行分级分类，并对不同的分级分类采取相应的保护措施，做到“心中有数”；二是依据数据使用范围，使用对象设置相应的访问策略，力求做到数据“专人专用”；三是构建数据流量监测能力，设置敏感类型、敏感格式、敏感名称进行实时监测，原则上关键数据的传输需要加密处理，因此一旦流量中发现未加密且符合敏感特征的即可触发报警。

3.3云平台的防护

在行业积极推广工业企业、设备联网的同时，也积极推进相关系统、平台采取上云操作。因此，云平台的防护也就成为工业互联网安全态势感知中重要的问题之一。工业互联网云平台当前主要问题在于普遍缺乏规范的数据访问控制、可靠的安全服务组建以及统一的行业接口等问题。解决这部分安全防护问题需要在厘清关系的基础上特别关注微服务组建安全、工业应用开发环境安全、虚拟机中流量的可视化并设置云内网络威胁隔离机制，强化虚拟化软件安全。积极推动构建开放、通用的行业接口，通常“越简单”、“越标准”，越安全。

3.4标识解析节点防护

工业互联网标识解析是工业互联网重要的网络基础设施，为工业设备、机器、物料、零部件和产品提供编码、注册与解析服务，并通过标识实现对异主、异地、异构信息的互联互通、安全共享及智能关联，是实现工业互联网快速发展的重要基石。随着标识解析技术的广泛应用，标识解析与工业互联网平台的融合是未来发展趋势，同时也带来了一些新的安全威胁。当前标识解析在架构、协议、数据、运营等方面均存在安全风险，在安全防护过程中需加强平台侧标识数据、标识解析流程、标识查询、标识解析、标识数据管理相关组件与接口的安全监测和保护，从而增强工业互联网平台上标识应用过程中的抗攻击能力。工业互联网安全态势感知平台的建设需要实现对工业互联网标识解析的节点发现，对通信协议识别以及对正常的解析行为监测，以及对异常风险行为检出预警，并通过资产关联信息及时向解析节点和被攻击的企业发送风险预警并指导加固修复。

4结语

做好工业互联网安全的智能防护，一方面需要汇总工业互联网网络安全数据，从整体方面掌握网络安全态势；另一方面也需要建立工业互联网平台安全预警和应急响应流程体系，促进工业平台企业安全整改，发现长期潜伏在工业互联网平台中的安全威胁和风险，为企业提供感知和决策支持。当前，虽然各国政府在积极引导工业企业在面向工业互联网转型升级的过程中加大对网络安全的重视和投入，但工业互联网安全的复杂程度还要超过企业所想。工业互联网安全已非单独一企业、单一行业、单一公司可以解决的难题。面对复杂的工业互联网安全防护需要更多的组织和部门共同参与，建立起运转灵活、反应灵敏的信息共享和联动处置机制，并能实现多方联动，解决更为复杂多变的工业互联网安全问题。在动态发展中实现防御能力互补，既能做到技术、能力的协同高效，又可以避免资源的浪费，为我国工业互联网的发展保驾护航。

参考文献：

[1]朱涵，张璇.如何护航工业互联网[J].瞭望，2021（5）：6-8.

[2]中国信息通信研究院.把握工业互联网发展机遇[J].检察风云，2020（9）：32-33.

[3]邬贺铨.工业互联网的网络技术[J].信息通信技术，2020（3）：4-6.

[4]马龙.转型升级与工业互联网[J].中国信息界，2020（1）：18-19.

[5]邬贺铨.认识工业互联网[J].网信军民融合，2019（5）：12-13.

作者:王方圆 单位:恒安嘉新（北京）科技股份公司