基于數據驅動的工業信息安全防護

王 弢，崔君榮

(360企業安全集團，北京 100015)

0 引言

工業信息安全是實施制造強國和網絡強國戰略的重要保障[1]。近年來，在“兩化融合”、生產網絡與辦公網互聯互通的新形勢下，隨著“中國制造2025”全面推進，工業數字化、網絡化、智能化加快發展，我國工控系統面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等新挑戰[2]。

自2010年震網病毒攻擊伊朗核基礎設施，使8 000臺離心機損壞之后，近幾年安全事件頻發，而且一些針對工控系統的惡意軟件也被陸續曝光。2014年Havex利用供應商軟件網站的“水坑攻擊”，影響了歐美1 000多家能源企業(供應鏈安全)，2015年12月，烏克蘭發生的一次有組織、有預謀的APT攻擊，則造成了烏克蘭境內大范圍斷電。2017年Triton攻擊中東能源基礎設施的功能安全保護系統，試圖造成惡性事故。

這些安全事件都表明來自黑客的網絡攻擊威脅正在日益向工業網絡滲透，工控系統所面臨的安全風險態勢將會更加嚴峻，加強工業信息安全保障能力建設已成為當務之急。

IT信息安全領域近年來也正在發生重大而深刻的變革，新的理念、新的方法、新的產品不斷涌現。隨著大數據、人工智能等新技術的廣泛應用，積極防御、威脅情報、態勢感知、安全可視化等創新理念和新產品的出現推動了傳統信息安全產業的變革。在工業信息安全領域，傳統的安全防御產品已逐漸乏力、無法有效應對越來越嚴重的安全威脅，構建層次清晰、定位明確、融合聯動的工業信息安全產品體系將成為產業未來發展的重要趨勢。

工業信息安全領域內的專家也已經深刻認識到，單獨依靠一、兩種產品無法有效應對越來越嚴重的信息安全威脅，需要構建層次清晰、定位明確、融合聯動的工業信息安全產品體系才能對工業控制系統實施有效防御。

1 傳統工業信息安全防護體系面臨的挑戰

傳統工業信息安全防護體系主要包括工業防火墻、入侵檢測、防病毒軟件等產品，其安全解決方案不能有效應對越來越嚴重的信息安全威脅。傳統工業信息安全防護體系現面臨以下安全挑戰。

1.1 APT攻擊頻頻得手

APT攻擊在網絡對抗中主要采用精準打擊的軍事級數字武器，其特征表現為：目標鎖定、攻擊手段未知、幾乎無法檢測、持續時間長等。傳統安全防御體系在這種攻擊面前形同虛設，毫無效果。目前已經被公開披露的APT攻擊事件，如：針對伊朗核設施的震網蠕蟲病毒、針對卡巴斯基的Duqu2.0震網病毒等都是在攻擊發生數年后才被發現。

1.2 傳統安全邊界正在消失

隨著IT和OT技術的融合，網絡邊界不再等于安全邊界。傳統安全防護體系特別強調邊界防御，但隨著云計算、物聯網等網絡場景、應用場景的出現，網絡訪問與接入對移動性提出了更高的要求，這些技術的發展將網絡的安全邊界延伸到企業網絡之外，工業廠商廠區不再是孤立的，打破了物理隔離。

1.3 攻擊技術層出不窮

新型攻擊技術一次次打破了傳統安全防線。如：通過0 day漏洞躲過IDS/IPS的漏洞利用攻擊，通過加密、加花、加殼等手段的各類病毒，通過編碼轉換、語法變形的各類注入技術等。這一次次的攻擊表明傳統安全防御體系已無法應對黑客、攻擊者的惡意破壞。

2 以數據驅動的工業信息新型安全技術

工業信息安全行業的本質是攻防對抗，攻防之間是一種動態的平衡，是管理、人才、技術、基礎設施等多方面的競爭。傳統的工業信息安全技術大多基于IT信息安全行業傳統的防護思想，雖然對解決目前迫切的工業安全防護需求有很大的幫助，但當面對有其它國家政府或大型組織背景，使用APT攻擊或0 day漏洞攻擊的威脅，常常不能提供充分、有效的防護。

IT信息安全領域近年來正在發生重大而深刻的變革，新的理念、新的方法、新的產品不斷涌現。信息安全從業者嘗試基于數據驅動安全的理念，使用大數據、人工智能等新技術解決信息安全問題，并取得了良好的效果。

2.1 基于威脅情報的工業威脅檢測技術

威脅情報依托于云端的海量工業數據，經過數據收集、數據清洗、數據關聯、數據驗證、上下文、優先級、格式化、情報分發等過程生成。威脅情報通過統一的規范化格式將攻擊中出現的多種攻擊特征進行標準化。基于威脅情報的工業威脅檢測技術能夠對工控系統攻擊中出現的特點進行識別、背景信息關聯和可視化展現。該技術不僅可以更早地發現威脅和進行響應處理，還可以實現從點到面的協同防護，極大地壓縮攻擊者進行攻擊的時間并提升其成本。該技術可對受害目標及攻擊源頭進行精準定位，最終達到對入侵途徑及攻擊者背景的研判與溯源，幫助企業從源頭上解決安全問題。

2.2 基于大數據處理的工業態勢感知技術

大數據時代的到來為工控企業安全提供了新的技術手段，對工業領域傳統的數據資產、設備物聯數據、外部數據進行統一管理，將工業大數據技術和工業云相結合，實現對云端數據、本地數據的采集、分析并從功能維度進行匯總、查看、統計及處置。在工業企業研發設計、生產過程、需求預測、供應鏈優化等環節利用大數據技術進行持續監控收集、實時探測，在云端判斷、取證、溯源、修復，從而建立可信任的設備、信息和軟件。基于大數據處理的工業態勢感知技術成為工業大數據采集、存儲、處理和呈現的有力武器，能夠對標識態勢、攻擊源、攻擊事件和工控資產的態勢進行可視化展示，并通過可視化界面進行數據關聯查詢，及時對工業環境中未來風險進行預測、預防。

3 工業信息安全防護體系

根據功能層級和數據、威脅情報流向，可以把工業信息安全產品體系結構從低到高分為三層：防護監測層、安全運營層、態勢感知層。這三層分別實現不同的安全功能，進行數據、指令、威脅情報的流動，實現協同聯動的整體防護效果。其中數據從低到高流動，威脅情報從高到低賦能，工業信息安全防護體系如圖1所示。

圖1 工業信息安全防護體系

(1)防護監測層

防護監測層處于安全防護體系功能層級的最低層，主要包括工業安全網關(工控防火墻)、工業安全審計、工業主機防護軟件、工業安全網閘、工業安全檢查評估工具等防護措施。此類產品進行數據采集，在發現威脅或接到上層安全運營類產品命令時實施處置，具備簡單的分析功能。

(2)安全運營層

安全運營層處于安全防護體系功能層級的中層，主要部署在工業企業內部，作為工業信息安全的威脅感知、集中管控和應急響應平臺在企業內部發揮核心作用。此類產品主要包括工業安全運營中心、工業云安全管理平臺等產品，其技術核心是威脅情報利用、安全可視化、大數據處理技術。

(3)態勢感知層

態勢感知層處于產品體系功能層級的最高層，其核心能力是情報搜集、威脅情報庫和數據高級分析。此類產品包括工業態勢感知平臺、威脅情報庫等，主要部署在政府主管部門或大型企業集團總部，負責對轄區和主管范圍內的主要工業企業進行態勢感知和安全監管。

基于工業信息安全防護體系，360企業安全集團成功為國內某知名新能源汽車制造企業應急處理“永恒之藍”(WannaCry)蠕蟲病毒。當該企業感染病毒后，整個生產園區內大部分安裝微軟XP操作系統的上位機產生藍屏、重啟現象。安全服務人員利用威脅情報快速識別威脅、進行研判與溯源，判定該企業感染“WannaCry”病毒并且定位感染主機。在進行緊急處理后部署工業主機防護軟件，有效阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運行，為工業主機創建干凈安全的運行環境。

總之，傳統的工業信息安全技術更局限于對攻擊某一時刻的行為進行分析，無法對攻擊的全貌有全面了解。新型安全體系可以彌補傳統安全技術的缺陷，其本質上是圍繞數據為核心的“數據驅動安全”技術思路，依靠大數據的大范圍分析實現對威脅的感知、發現、分析和溯源。

將傳統及新型工業信息安全技術協同聯合，在一定程度上能夠保障工業控制系統的安全，但在整個安全防護體系中仍然離不開以人為核心的安全運營。工控企業安全威脅是不可控的，也是不可防的，利用這些技術無法防范所有的安全隱患。在強調工業大數據態勢感知和工業威脅情報技術的同時，不能忽視人在工業安全中的作用。搭建工業安全體系，需要基于人來建設安全技術體系和業務體系設計，通過人與技術的協同，建立以人為核心的安全體系和安全生態。在數據分析、安全監控、信息通報、事件處置、追蹤溯源、產品運維采取運營機制、人機協同，將云端安全能力賦能給設備和人，建立云端、設備和人協同聯動的新一代安全運營體系，更加貼近企業的實際情況，更有效地保障工業信息安全。

4 結束語

“數據驅動工業安全”的構成要素中，“數據”是基礎，安全威脅往往隱藏在數據之中，海量、多維及持續的數據是后續進行安全分析和挖掘的基礎；“安全”是目標，只有將大數據及處理技術應用于安全攻防領域，結合安全專家的知識與經驗，才能真正幫助工業企業更好地安全運營。

[1] 王小山，楊安，石志強等.工業控制系統信息安全新趨勢[J].信息網絡安全.2015,(1):6-1

[2] LI J. Analyzing “Made in China 2025” Under the Background of “Industry 4.0”[C]//Proceedings of the 23rd International Conference on Industrial Engineering and Engineering Management 2016. Atlantis Press, Paris, 2017: 169-171.