省級工業互聯網安全態勢感知平臺系統架構研究

郭亮亮

（山西省信息產業技術研究院有限公司，山西 太原 030012）

0 引 言

為了加強工業互聯網安全監測能力，有必要通過主動監測、被動誘捕、流量分析、企業側采集等技術手段構建一體化工業互聯網業務和安全監管平臺，為我國工業轉型升級和工業互聯網發展提供數據支撐和安全保障[1-2]。

1 平臺建設目標

（1）利用主動探測技術對省內工業互聯網聯網設備、系統和云平臺等資產進行探測掃描，清算全省工業互聯網資產，繪制工業互聯網資產地圖，關聯并排查工業互聯網資產漏洞。

（2）利用被動誘捕技術，引誘針對工業互聯網的網絡攻擊，并通過網絡流量安全分析、終端攻擊取證等技術對已知和未知的網絡攻擊威脅進行檢測和分析，從而全面掌握工業互聯網網絡攻擊行為，形成威脅情報[3-4]。

（3）利用流量監測技術采集關鍵網絡節點的流量數據，識別工業互聯網網絡資產，對聯網資產進行漏洞關聯匹配，檢測針對工業互聯網云平臺和企業的網絡攻擊行為，對網絡攻擊威脅源進行持續監測。

（4）利用企業側采集技術采集企業互聯網出入口的流量數據，實現資產異常行為分析和網絡攻擊檢測。

（5）基于主動探測、被動誘捕、流量監測、企業側采集等技術手段的分析結果，對全省工業互聯網業務發展態勢和網絡安全態勢進行綜合分析，構建全省工業互聯網基礎資源資產庫，對聯網資產進行風險評估，檢測針對工業互聯網云平臺和企業的網絡攻擊行為，對網絡攻擊威脅源進行持續監測，并提供具有態勢展示、交互式分析、威脅告警、數據分析報表等功能的管理平臺，支撐全省工業互聯網業務主管部門的監管，滿足平臺企業、工業企業的安全防護需求[5]。

（6）擬建設的省級工業互聯網安全態勢感知平臺提供接口與國家級安全態勢感知平臺進行數據對接及交互，以安全數據共享和監測業務協同為核心，構建以工信部、省、企業為主體的三級架構，實現工業互聯網安全態勢感知、預警通報、處置溯源和信息共享，形成上下聯動、政企協同的監測體系。

2 平臺技術路線

省級工業互聯網安全態勢感知平臺總體技術路線如圖1所示。整體技術路線圍繞系統的建設目標制定相應的建設內容，簡潔清晰，目標明確，主次突出。

3 平臺系統架構

本項目依托省級互聯網省際出入口、省級移動互聯網等覆蓋全省三大運營商的網絡關鍵節點流量資源，接入工業企業和工業云平臺流量，綜合部署主動探測、被動誘捕、流量監測和海量異構數據挖掘分析等系統手段，建設形成省級工業互聯網安全態勢感知平臺，實現對全省工業互聯網整體發展和安全態勢的綜合研判[6-7]。

本項目子系統的功能結構如圖2所示。

（1）工業互聯網主動探測子系統。利用互聯網云平臺資源部署主動探測節點，集成掃描探測腳本庫，通過端口探測、操作系統探測、漏洞探測等技術，對省內的工業互聯網聯網設備、系統和云平臺等資產進行高速協同并行化探測掃描，并將掃描結果數據匯入數據綜合匯聚及態勢感知子系統。

（2）工業互聯網被動誘捕子系統。在工業企業側和工業互聯網云平臺側部署工業互聯網高交互蜜罐，通過虛實結合方法生成高仿真協議、設備、系統、平臺和業務功能以引誘網絡攻擊；通過終端攻擊取證、網絡流量分析等技術對已知和未知網絡攻擊威脅進行捕獲、檢測和發現，完整記錄攻擊細節，分解攻擊動作，從而深度解析工業互聯網網絡攻擊行為，將情報匯入數據綜合匯聚及態勢感知子系統。

圖1 項目整體技術路線圖

圖2 工業互聯網安全態勢感知平臺子系統功能結構圖

（3）網絡關鍵節點工業互聯網流量安全監測子系統。采集全省互聯網省際出入口、全省移動互聯網等覆蓋全省三大運營商的網絡關鍵節點流量，通過協議五元組、報文內容等特征準確識別工業互聯網相關流量，對Modbus/TCP、EtherNet/IP等主流工業互聯網協議進行解析還原，對Stuxnet、BlackEnergy、Mirai等工業互聯網相關惡意代碼進行識別與檢測，對煤炭、冶金、化工等全省重點行業的“云管端”網絡安全攻擊事件進行大規模集中發現，監測結果和日志匯入數據綜合匯聚及態勢感知子系統[8-10]。

（4）企業側工業互聯網流量安全監測子系統。在全省重點企業中部署采集探針，通過設備、總線、網絡和數據庫等采集功能，在企業互聯網出入口及重要系統內部采集流量和安全日志等數據，對設備運行參數、I/O信號、現場總線、工業協議通信、網絡流量等進行匯總分析，有效發現針對工業企業的攻擊行為，并將監測結果和日志匯入數據綜合匯聚及態勢感知子系統。

（5）工業互聯網安全數據綜合匯聚及態勢感知子系統。搭建大數據和智能學習分析平臺，匯聚上述結果，基于統計分析、機器學習和深度學習等技術，綜合資產漏洞關聯、數據時空關聯、流量序列挖掘和行為模式分析等方法，對全省工業互聯網業務發展態勢和網絡安全態勢進行綜合分析，對全省工業互聯網資產和攻擊源進行持續監測和畫像分析，形成層次化的縱深監測防御能力，并通過界面支持交互式分析、安全態勢展示、威脅告警、報表分析生成等功能，對接國家級工業互聯網安全態勢感知平臺，支撐省工信廳和通管局等業務主管部門的監管需要，滿足水利、煤炭等行業企業安全監測需求。

省級工業互聯網安全態勢感知平臺業務模型如圖3所示。

圖3 省級工業互聯網安全態勢感知平臺業務模型圖

工業互聯網主動探測子系統對工業互聯網資產和系統進行主動探測，繪制工業互聯網資產地圖，關聯排查聯網工業互聯網漏洞。工業互聯網被動誘捕子系統部署在重點工業企業、工業云平臺側檢測針對防護目標的已知和未知網絡攻擊行為；網絡關鍵節點工業互聯網流量安全監測子系統采集全省省際口、移動網等網絡關鍵節點全部流量數據，并對工業互聯網相關流量進行資產識別、漏洞匹配、異常行為檢測、網絡攻擊檢測等；企業側工業互聯網流量安全監測子系統通過在工業企業部署數據采集探針，對網絡流量中存在的異常行為和網絡攻擊事件進行檢測分析。

4 解決關鍵問題

（1）解決無法有效掌握省內工業互聯網資產發展態勢的難題。由于缺少相關工業互聯網監測手段，省工信廳等行業主管部門難以全面掌握省內工業互聯網的發展態勢，不能有針對性地制定相應產業發展政策。平臺建成后，通過多種技術手段構建全省工業互聯網基礎資源資產庫，可以對相關工業互聯網資產進行核驗，對重點行業和企業的工業互聯網發展態勢進行直觀統計分析。

（2）針對全省工業互聯網的網絡攻擊事件實現快速全面監測。大量關鍵信息基礎設施中的工業互聯網設備和系統存在安全漏洞，并頻繁遭到網絡攻擊，但當前難以全面監測到對省內工業互聯網的網絡攻擊事件。平臺建成后，將綜合多種監測手段進行聯動分析，對資產漏洞進行分析、對異常行為和網絡攻擊進行檢測、對威脅源進行監測，并通過管理平臺進行態勢感知，查看和處置威脅告警，將監測結果生成分析報告，為省工信廳和通信管理局等行業主管部門提供數據支持。

（3）提高工業互聯網企業抵御網絡攻擊的能力。當前聯網工業互聯網設備和系統還處在單點防護、邊界防護的層次，難以抵御網絡攻擊。平臺建成后，將為企業提供威脅情報支撐服務，構建“國家-省-企業”三級立體防護能力，并從威脅源頭防御，增強企業抵擋網絡攻擊的能力。

5 結 語

通過省級工業互聯網安全態勢感知平臺的建設，構建全省工業互聯網業務發展和網絡安全的總體態勢感知體系，摸清全省工業互聯網資產情況和網絡安全情況，有效發現針對全省工業互聯網資產的網絡攻擊事件，提高全省工業互聯網安全事件的監測發現、威脅預警及應急處置能力。形成具備全面安全監測、威脅預警、信息通報、處置溯源、優化閉環能力及創新能力的工業互聯網威脅監測與態勢感知平臺，構建上下聯動、政企協同的安全監測技術體系，為我國深化“互聯網+先進制造業”戰略的順利推進保駕護航。