鋼鐵企業工業網絡安全動態感知系統研究

張寶玉

摘要：本文針對鋼鐵企業工業網絡安全管理的特點和所面臨的問題，結合網絡安全態勢感知系統的技術特點，探討了如何建立以鋼鐵企業工業網絡安全態勢感知系統為基礎的安全管理平臺，以及相關的關鍵技術和應用特點。

關鍵詞：網絡安全;態勢感知;工業網絡;智能制造

中圖分類號：TP391.03 文獻標識碼：A 文章編號：1007-9416（2019）07-0181-02

0 引言

隨著2015年國家公布《中國制造2025》規劃，鋼鐵行業在智能制造領域也加快了研究和推進工作。但在2018年，臺積電等企業產線先后遭到“WannaCry”變種病毒攻擊而停產事件，工業網絡安全問題躍然而出，成為智能制造發展中必須面對和解決的關鍵問題。

長期以來網絡安全問題的技術手段主要以被動防御為主，缺少積極主動的技術手段，網絡安全態勢感知技術的推出為主動安全提供了相應的技術手段。

另一方面，工業網絡由于相對封閉，面臨的網絡威脅較少，所以在信息安全領域的建設工作相對滯后。但隨著智能制造建設的推進，工業網絡的封閉環境逐步被打破，所面臨的網絡威脅正在增加。如何加強工業網絡安全建設，以滿足智能制造發展的需要成為一個新的課題。

本文旨在結合工業網絡的特點，以網絡安全態勢感知系統為突破口，探討如何加強鋼鐵企業工業網絡安全建設。

1 鋼鐵企業工業網絡安全面臨的主要問題

國內外先后爆發了多起工業網絡安全事故，造成的經濟損失動輒過億，引起了國內外的高度重視，公安部，工信部等多部門修改了《信息安全保護等級管理辦法》，特別增加了工業網絡安全的相關規定。傳統鋼鐵企業工業網絡安全主要面臨如下問題：（1）工業網絡安全基礎薄弱，早期的工業網絡在設計和建設中較少考慮網絡安全問題，缺少基礎網絡安全設備和系統。（2）工業網絡中軟硬件系統陳舊，且升級換代困難。工業網絡系統安裝調試完備后就長期使用，軟硬件系統很少升級，系統漏洞多。（3）傳統信息安全產品對工業網絡系統不適用。由于工業軟件往往調用一些系統底層資源并使用特殊通信協議，傳統安全產品無法識別，甚至造成誤殺。（4）工業網絡系統分散建設難以形成長期，統一的安全運維體系。工業網絡系統往往獨立建設缺少統一規劃，造成彼此不連通難以形成統一的安全管理體系。

基于以上工業網絡安全工作存在的問題，我們不能簡單的將信息化網絡安全的相關技術移植到工業網絡中，那樣不但不能發揮好的作用，甚至會直接造成工業網絡系統的異常甚至癱瘓。

2 網絡安全態勢感知系統在工業網絡的應用分析

1988年，Endsley首次明確提出態勢感知的定義，態勢感知（Situation Awareness，SA）是指“在一定的時空范圍內，認知、理解環境因素，并且對未來的發展趨勢進行預測[1]，該定義的概念模型如圖1所示。但是傳統的態勢感知的概念主要應用于對航空領域人為因素的考慮，并沒有引入到網絡安全領域。

1999年，Bass[2]等指出“下一代網絡入侵檢測系統應該融合從大量的異構分布式網絡傳感器采集的數據，實現網絡空間的態勢感知”并且基于數據融合的JDL（Joint Directors of Laboratories）模型，提出了基于多傳感器數據融合的網絡態勢感知功能模型，如圖2所示。

雖然網絡態勢根據不同的應用領域，可分為安全態勢、拓撲態勢和傳輸態勢等，但目前關于網絡態勢的研究都是圍繞網絡的安全態勢展開的。

網絡安全態勢感知的功能可歸結為三個方面：（1）網絡安全態勢要素的提取;（2）網絡安全態勢的評估;（3）網絡安全態勢的預測。

由此可見網絡安全態勢的理解是指在獲取海量網絡安全數據信息的基礎上，通過解析信息之間的關聯性，對其進行融合，獲取宏觀的網絡安全態勢。而其隨著云數據庫資源和算法的不斷更新，網絡安全態勢感知系統對于網絡安全風險的識別越來越全面，判斷越來越準確，在網絡安全領域發揮著越來越多的作用。[3]

在工業網絡安全領域的安全防護技術主要分為以下幾種：工業防護墻;工業主機防護系統;安全檢測和審計系統等。網絡安全態勢感知系統屬于安全檢測和審計類的產品。本文建議將網絡安全態勢感知系統作為工業網絡安全系統的建設的切入點。之所以如此建議是由工業網絡的特點所決定。

首先，工業網絡不同與傳統的信息化網絡，不同的廠商往往使用不同網絡通訊協議，傳統防火墻很難對各種工控協議做出準確的過濾和判斷。市場上銷售的一些工業防火墻雖然針對工業網絡協議做了一些改進但不能做到協議的全覆蓋，有待完善。其次，工業主機系統上的控制軟件進程和動作難以全面捕捉，基于白名單的主機防護系統很難準確判斷主機動作是否違法，一旦白名單不全，不但起不到保護作用甚至會影響控制系統的正常運行。最后，工業網絡對網絡通訊時效性要求較高，一般在毫秒級，防火墻會增加網絡延時，主機防護系統會占用主機資源，都會對工業網絡的運行效率產生影響。

綜上所述，網絡安全態勢感知系統的部署條件只是進行網絡數據包的嗅探和捕捉，并不增加主機負擔，也不會對網絡通訊造成延時，可以說是對工業網絡零影響，零風險的選擇。

在部署網絡安全動態感知系統之后卻可以為我們揭開工業網絡“神秘面紗”：第一、對傳統網絡威脅（病毒、木馬、網絡攻擊等）我們可以及時的發現，并進行處理。第二、通過它我們可以清楚的了解的工業網絡的正常通訊規律，捕獲在用通訊協議，為采取其他的網絡安全手段打下基礎。第三、網絡安全態勢感知系統可以分布式部署，長期穩定工作，將分散的工業網絡集中起來，形成工業網絡安全運維體系的基礎。

當然，網絡安全態勢感知系統作為傳統的網絡安全技術，引入到工業網絡安全領域中也有許多需要改進的地方。比如威脅情報數據庫需要增加工業網絡漏洞威脅情報;網絡通訊協議庫中需要增加各工控廠商的通訊協議，以便對各種工業數據包進行更好的解析和還原;需要加強與其他安全設備的聯動，對發現的網絡威脅能夠及時采取對應的控制措施以免造成不良后果或損失擴大。

3 部署的關鍵技術

結合多年的信息化運行維護經驗，在工業網絡部署網絡安全態勢感知系統的關鍵技術如下：（1）信息化網絡和工業網絡進行一體化的規劃和設計，確保網絡的連通性。為網絡安全動態感之系統提供一體化管理的技術基礎條件。（2）對整個網絡根據業務的需要和應用特點進行區域劃分，實施不同的網絡安全策略，確保這個網絡系統安全有效的運行。（3）各安全系統之間實現動態數據交換，并實現安全聯動機制。發現網絡安全隱患立即做出相應反應，避免發生重大網絡安全事故。

4 結語

通過建設一個統一、分層的網絡安全態勢感知系統，實現信息化網絡、工業網絡多層次的安全管理，實現網絡安全狀態的集中監控、安全報告的集中處置、安全風險及時告警等功能。成功的網絡安全態勢感知系統應具備以下特點：（1）實現信息系統軟硬件，多層次，多設備、全網絡、全覆蓋。（2）各區域網絡安全系統統一設計，形成完整統一的安全體系。（3）實現從被動防御向主動防御和動態感之的轉變。（4）各安全系統、設備彼此聯動，實現網絡信息安全事件響應智能化和自動化。（5）信息化網絡和工業控制網絡安全系統統一管控，為智能制造奠定基礎。智能制造方興未艾，工業網絡安全任重道遠，本文拋磚引玉，希望對從事工業網絡安全工作的技術人員有所幫助。

參考文獻

[1] ENDSLEY M R.Design and evaluation for situation awareness enhancement[C].Proceeding of the 32nd Human Factors SocietyAnnum Meeting.Santa Monica：Human Factors and Ergonomics Soeiety，1988：97-101.

[2] BASS T，ARBOR A.Multisensor data fusion for next generation distributedintrusion detection systems[C].Proceeding of IRIS Na—fional Symposium on Sensor and Data Fusion.Laurel，MD：[S.N.]，1999：24-27.

[3] 席榮榮，云曉春，金舒原，張永錚.網絡安全態勢感知研究綜述[J].計算機應用，2012，32（1）：1-4+59.