工業互聯網安全公共服務能力提升路徑研究

周昊，李俊，王沖華，尹麗波，趙千

（國家工業信息安全發展研究中心，北京100040）

一、前言

工業互聯網高度開放、全面互聯的特性打破了原有工業控制系統相對封閉的格局，使工業互聯網各層次對象暴露于互聯網，信息技術（IT）與運營技術（OT）安全風險交織，安全形勢頗為嚴峻 [1]。工業互聯網安全作為國家安全的重要組成部分，應與工業互聯網同步規劃、同步設計、同步推進。我國工業互聯網安全建設正處于起步階段，安全服務能力相關工作的推進較為滯后，存在服務模式體系不夠完善、安全技術能力水平較弱等問題，亟待提升整體安全服務能力。

為規范和指導工業互聯網發展，我國陸續出臺了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》《加強工業互聯網安全工作的指導意見》《工業互聯網創新發展行動計劃（2021—2023年）》等多項政策文件，加快構建工業互聯網安全保障體系。2018年，我國發布了安全信息共享方面的首個國家標準《信息安全技術 網絡安全威脅信息格式規范》（GB/T 36643—2018），通過統一、規范的網絡安全威脅信息描述，使不同組織間安全信息可以共享與利用 [2]。在學術研究方面，相關研究總結了工業互聯網安全的發展趨勢和關鍵技術，給出了安全基本策略和具體防御措施 [3]；加強了對安全情報的搜集、抽取及推理等關鍵技術的研究與討論 [4]；從可視、可知、可管、可控、可溯、可預警等方面提出了網絡安全態勢感知的實現路徑 [5]；在網絡安全應急方面，從安全監測、總體保障、人才隊伍建設等方面給出了應對措施建議 [6]。

為探索我國工業互聯網安全服務的發展情況，本文在總結工業互聯網公共服務發展現狀和梳理現階段發展面臨挑戰的基礎上，從基礎能力和創新發展兩個維度提出工業互聯網安全公共服務能力提升路徑，并對未來工業互聯網安全公共服務的發展進行展望，以期為新一代工業互聯網安全技術的發展提供參考。

二、工業互聯網安全公共服務的重要性

（一）正確認識工業互聯網安全公共服務

本文將工業互聯網安全公共服務定義為：通過國家引導，充分發揮網絡安全保障能力，由國家、地方、第三方機構或運營企業面向社會工業互聯網用戶（含聯網工業企業、平臺企業、標識解析企業）提供的與工業互聯網安全能力相關的各類資源、技術服務的總稱。工業互聯網安全公共服務貫穿工業互聯網安全準備階段的事前、事中、事后等全流程，覆蓋邊緣側的設備接入與安全管控，上層的工業軟件運行安全防護，應用側的漏洞掃描、流量監測、威脅情報、數據取證、泄密溯源、隱私保護等復雜的數據側安全服務。典型的工業互聯網網絡安全公共服務包括工業互聯網安全基礎資源庫服務、信息共享服務、態勢感知服務、應急響應服務、安全眾測服務、攻防演練服務等。

為構建工業互聯網安全保障體系，我國多措并舉，從政策引導、資金支持等方面全面提升工業互聯網安全公共服務能力。自2018年起，工業和信息化部通過工業互聯網創新發展工程、網絡安全試點示范工程等，遴選了一批工業互聯網安全平臺和網絡安全公共服務平臺。這些平臺基于大數據、云計算、人工智能（AI）、區塊鏈等新一代信息技術，通過遠程或在線服務等方式為社會各類單位或群體組織提供包括勒索病毒、木馬蠕蟲、安全漏洞、惡意攻擊等安全威脅在內的實時監測與應急處置，同時利用線上與線下相結合的方式，開展威脅信息共享、數據安全防護、惡意代碼檢測等網絡安全服務 [7]。

（二）公共服務是保障工業互聯網安全的重要舉措

網絡公共服務在促進其他行業發展方面已顯現出積極的推動作用。例如，在新型冠狀病毒肺炎疫情期間，疫情防控物資緊缺；疫情大數據公共服務平臺、國務院物資調度平臺等公共服務平臺建立起不同領域、不同行業和企業之間的橋梁和紐帶，為常態化疫情防控下的復工復產順利開展提供了支撐。我國的相關安全廠商在不同領域內深耕鉆研，不斷補填我國工業互聯網安全公共服務的短板和弱項，開發了多個安全服務平臺，如奇安信科技集團股份有限公司的工業互聯網安全公共服務平臺、中國電信集團有限公司的電信云堤、成都思維世紀科技有限責任公司的數據安全威脅情報平臺等。

安全公共服務對提升工業互聯網安全發展水平具有深遠的促進意義。一方面，安全公共服務是工業互聯網安全保障體系的重要組成部分，公共事業性質突出，外溢效用和拉動作用明顯，僅依靠商業機制很難獲得顯著提升；需要通過產業政策引導、標準制定實施、項目資金扶持等方式，有效整合市場中的各類安全資源，優化使用效率、提升資源共享程度，使安全產業與工業互聯網產業形成良好的交互模式，從而提供更好的服務。另一方面，工業互聯網安全公共服務可以助力安全生態形成良好的交互機制及市場模式，能夠為工業互聯網用戶提供更加精準和高效的安全服務，幫助工業互聯網企業建立有效的安全防護，減少中小企業的安全投入，降低遭受攻擊的風險，提高工業互聯網的整體安全能力，全面提升我國的工業互聯網安全水平。

綜上，鑒于工業互聯網安全公共服務的重要性，需要圍繞資源跨域共享、全鏈技術迭代、定制化按需服務、柔性動態重構等需求，進行全面體系化的技術創新；整合工業互聯網安全漏洞、威脅信息、通用安全工具、標準規范、解決方案實踐等信息資源共享能力，形成在線監測、惡意代碼檢測、主動加固防護等全流程服務能力；面向工業互聯網用戶提供安全公共服務，打通網絡安全資源跨域共享的技術瓶頸，構建智能、開放的工業互聯網安全公共服務體系，提升我國工業信息安全水平，保障工業系統穩定運行和人民群眾正常生產生活，切實維護我國工業互聯網的安全、可靠運行。

三、我國工業互聯網安全公共服務面臨的挑戰

（一）工業互聯網安全基礎資源庫挑戰

工業互聯網安全基礎資源庫主要包括工業資產類型知識、工業/網絡協議指紋、漏洞、惡意代碼樣本、網絡安全威脅情報、安全評估檢查工具等工業互聯網安全基礎資源，為社會公眾提供安全工具和各類資源庫的共享，也為工業互聯網企業提供資源共享和防護能力調用。2012年以來，美國著手建設了覆蓋軌道交通、能源電力、生產制造等關鍵領域基礎設施的安全基礎資源共享體系，已初步形成安全基礎資源共享能力。目前，我國在安全漏洞資源庫方面建設了國家信息安全漏洞共享平臺（CNVD）、中國國家信息安全漏洞庫（CNNVD）等國家級漏洞庫以及包括補天漏洞庫、綠盟科技安全漏洞庫等在內的企業漏洞庫；2019年啟動國家工業信息安全漏洞庫（CICSVD）建設，收集汽車、航空、航天、石油化工等重點工業行業領域的相關漏洞和補丁。在威脅情報方面，2017 年中國科學院信息工程研究所牽頭建設國家網絡空間威脅情報共享開放平臺（CNTIC），通過政府和企業合作共建的方式，加強威脅情報的整合利用；奇安信科技集團股份有限公司、北京微步在線科技有限公司等企業也建設了威脅情報庫，為網絡攻擊追蹤溯源、安全事件應急處置等業務提供威脅情報服務支撐。雖然我國工業互聯網安全基礎資源庫建設正在逐步開展，但仍存在一些不足之處。

現有基礎資源庫在標識、描述、分類、危害等級等方面未統一標準，各個資源庫對相同字段的描述方式未統一，不利于不同漏洞庫間的數據同步與共享。例如，CNVD將漏洞成因分為輸入驗證錯誤、訪問驗證錯誤等10個類型，CICSVD則將漏洞成因分為代碼注入、命令注入、跨站腳本等10 個類型。

基礎資源庫建設不足，對外依賴程度偏高。目前，我國僅在漏洞庫、威脅情報庫方面建成了規模化的資源庫，形成了以CNVD、CNNVD、CICSVD、CNTIC等為主的國家級資源庫，但對通用漏洞披露（CVE）的依賴程度高，且主要漏洞信息多來源于美國國家通用漏洞數據庫（NVD）、美國工控系統網絡應急響應小組（ICS-CERT）等國外漏洞庫。受國內漏洞挖掘能力水平、軟硬件原理機理認識程度、漏洞上報獎勵激勵機制等影響，自主提交的漏洞數量較少，存在一定的漏洞資源庫供應鏈安全風險。此外，我國工業互聯網安全基礎資源種類繁多、數量龐大、匯聚難度高，資產目錄庫、協議規則庫、惡意代碼病毒庫、安全工具庫等其他安全基礎資源庫也尚未形成國家級的資源平臺。

（二）工業互聯網安全信息共享挑戰

多源異構的安全信息有效提取能力不足。安全信息具有多源、異構、冗余、繁雜等特性，包含各種類型的半結構化及非結構化數據，信息來源可能是網絡流量、內外部威脅情報中心、專業機構、行業聯盟，甚至是地下黑市等。目前，安全信息的提取已有一些半自動化搜集框架，多通過人工分析、提交、收錄的方式進行，效率偏低，易受安全分析人員的能力水平影響；從海量安全數據中準確、高效且無遺漏地提取高價值安全情報存在一定難度，缺少從開放網絡信息中主動化、自動化提取和生成安全信息的能力。

各類資源庫之間的關聯性不足。各類資源庫雖然存在結構化威脅信息表達式（STIX）、信息的可信自動化交換（TAXII）、網絡可觀察表達式（CybOX）等安全信息描述與共享標準，但現階段漏洞庫、威脅情報庫、惡意代碼病毒庫等發展仍較為獨立，導致漏洞、威脅情報、惡意代碼等安全信息的離散性分布嚴重，缺少與協議、資產、依賴軟件及解決方案等之間的關聯融合分析，未能形成有效的關聯知識圖譜。即使是同類資源庫，不同運營機構之間的關聯和共享程度也不高。例如，由安全企業建設的安全漏洞庫超過10種，但是各企業漏洞庫之間并沒有設計接口和關聯屬性信息，也沒有統一的第三方共享平臺來整合、匯聚漏洞信息，使得安全信息的綜合使用率較低，“信息孤島”現象嚴重。

安全信息的可信性和隱私保護不足。對安全信息的可信驗證和有效的隱私保護是各信息共享方之間建立信任關系的前提，也是推進安全信息共享健康發展的基礎。一方面，由于安全信息來源渠道不同及來源可靠程度不一，不同資源庫中的安全信息存在相互沖突或虛假安全信息、誤導性安全信息、安全信息內容有誤等問題，降低了安全信息的可信度，難以充分發揮安全信息資源共享的整體價值。另一方面，在安全信息共享過程中，應注重隱私保護，對共享的安全信息進行匿名或脫敏處理；雖然已有數字水印、差分隱私保護等隱私保護技術，但由于部分企業安全意識不足或對共享方不信任等，致使一些企業對安全信息開放共享產生抵觸心理。

（三）工業互聯網安全態勢感知挑戰

近年來，我國工業互聯網安全態勢感知建設已取得初步進展，在傳統互聯網的解決方案之上，建立了國家工業互聯網安全態勢感知與風險預警平臺；依托我國特有的國家、省級、企業三級架構，打造了“全國一盤棋”的網絡安全全局態勢感知平臺，基本構建了覆蓋安全威脅監測、通報、處置等環節的閉環處理機制。然而，在基于國家平臺態勢感知能力形成的工業互聯網安全公共服務方面，仍然存在一些技術瓶頸。

工業互聯網安全態勢感知數據的獲取難度大。工業互聯網運行環境中的設備、交互協議種類繁多，常見的工業協議超過100種，加之存在大量無法識別的工業設備和私有協議，導致流量、日志、系統狀態等感知數據較難獲取。另外，采集獲取的網絡安全態勢感知平臺數據質量參差不齊，存在大量空值信息，數據有效性偏弱；不同工業設備、工業協議的數據類型和格式差異較大，處理難度大，需要針對不同的數據類型和格式進行針對性的開發，成本較高。

工業互聯網安全態勢感知數據的處理分析難。與傳統網絡安全態勢感知相比，工業互聯網安全態勢感知在數據分析和決策處理方面難度更大，需要額外考慮多類型工業協議分析及多語義數據規格化等特性，從已有安全數據中有效分析出安全攻擊事件或潛在的安全風險；需要以惡意行為代碼庫、威脅情報庫等多類型、高精度的專業知識庫為依托。受限于安全知識庫短缺和對工業互聯網安全攻擊特征理解不足，現階段尚未形成高效的安全分析能力。

（四）工業互聯網安全應急響應挑戰

工業互聯網安全應急響應作為技術與管理結合的系統性工作，包括工業互聯網安全應急響應流程的構建、安全事件處置、安全響應體系優化重構3個部分，最終形成工業互聯網安全應急響應工作的閉環 [7]。在技術層面，工業互聯網安全應急響應通過自動化或半自動化的方式對工業互聯網安全事件進行檢測、處置，確保發生安全事件后可以在短時間內恢復可用狀態，盡可能避免和預防安全事件發生。現階段，工業互聯網安全應急響應在響應機制和管理機制方面仍存在一些挑戰。

工業互聯網安全應急響應系統或平臺尚未形成規范化、自動化的應急響應預案。工業互聯網安全應急響應過程涉及指揮、調度、決策、安全資源庫等各方資源或平臺，在指導或執行應急響應行為時，非規范化、非自動化的應急預案通常效率低下，受限于應急決策人員的技術能力水平和響應判斷時間，影響了工業互聯網安全應急響應的速度和效率，使工業互聯網安全事件的應急響應處理時間延長。

我國工業互聯網安全應急響應管理的各類主體合作不緊密。在發生工業互聯網安全事件時，受網絡劃分、地域歸屬、管理職責等因素影響，工業互聯網安全應急響應各類主體合作零散，難以形成工業互聯網安全應急聯動機制。

四、工業互聯網安全公共服務的基礎能力提升路徑

（一）完善工業互聯網安全基礎資源庫建設

完善的工業互聯網安全基礎資源庫應具備良好的擴展性和兼容性，擁有豐富、全面、有價值的安全數據及工具。為此，工業互聯網安全基礎資源庫建設的提升路徑應從以下幾方面來開展。

采用政府授權或委托第三方機構授權的方式，建立健全工業互聯網資產、工業/網絡協議指紋、漏洞、惡意代碼樣本、網絡安全威脅情報、安全評估檢查工具等基礎資源庫；在持續加強對現有安全基礎資源庫建設的同時，補全缺失的安全基礎資源庫，不斷擴充面向典型行業的工業互聯網安全取證、風險評估、應急處置等工具集；在提交、上報、分享等方面實行激勵機制，使工業互聯網安全基礎資源的儲備量不斷增加、豐富度不斷提升。

強化工業互聯網企業、安全企業、工業軟件企業、安全研究機構與各類資源庫建設、運營方的合作深度與廣度，形成合作密切、各有優勢、互為補充的良好局面；完善工業互聯網安全基礎資源庫在收集、驗證、發布和修復等方面的流程管理，對出現的重大安全事件能夠及時預警與修復。

鼓勵科研機構和安全企業加強工業互聯網安全漏洞挖掘、惡意代碼分析、軟件逆向等關鍵技術攻關，提高對工業互聯網安全軟硬件、固件等基礎要素的研究深度和廣度；支持開展工業互聯網安全眾測，鼓勵安全企業或個人主動提交“零日漏洞”。

（二）增強工業互聯網安全信息共享交流

信息共享是連通、賦能工業互聯網安全基礎資源庫的有效手段，是建設安全基礎資源庫后自然形成的需求。

明確并不斷更新完善工業互聯網安全信息共享的參與主體、共享范圍、格式規范、接口標準、隱私保護等內容，整合政府、科研院所、高校、企業等在工業互聯網漏洞挖掘、威脅情報、測評工具研發和協議分析等方面的資源和技術優勢，逐步建立起內容較為完備、體系較為清晰、具有長期性和連續性的工業互聯網安全信息共享機制。

在行業主管部門的統一管理和協調下，依托國家級、省級、行業級、企業級4個層級，分層次構建工業互聯網安全信息共享平臺，分領域、分行業、分地域匯聚安全信息，基于區塊鏈、隱私計算、安全多方計算等方式保護共享信息的隱私性與可信性；研究制定安全信息共享數據、格式、協議等相關標準規范，通過標準化方式，實現工業互聯網安全信息的互聯、互通、共享。

（三）重點提升工業互聯網安全態勢獲取、理解、預測能力

態勢感知主要用于為安全人員提供數據分析結果和網絡安全風險預警，輔助管理者做出安全戰略決策。然而在態勢獲取、態勢理解、態勢預測等方面，亟需提升對多源異構數據的聚合、分析能力，改進態勢預測模型，全面度量態勢感知應用場景。

增強工業互聯網安全態勢獲取能力。基于多種數據來源，獲取和感知工業互聯網環境中的各類安全信息；突破海量多源異構數據的融合匯聚技術，通過屬性融合、相關性分析、圖聚類等方式挖掘數據間的潛在關聯，為下一步態勢理解提供數據支撐。

提升工業互聯網安全態勢理解能力。以工業互聯網安全數據為驅動，對網絡流量數據、系統日志數據、威脅情報數據等安全數據進行進一步融合和分析，挖掘隱含在數據中的安全知識；建立全面的安全數據感知模型、算法模型、推理模型、檢測模型，構建關聯知識圖譜與安全態勢知識庫，將機器數據轉換為人類可讀、可認知、可理解的安全態勢數據。

提高工業互聯網安全態勢預測能力。基于安全數據，對工業互聯網安全環境信息進行全面分析；結合安全基礎資源庫、安全知識庫、大數據分析等，開展工業互聯網安全事件的追蹤溯源工作，復盤工業互聯網安全事件的攻擊路徑，為工業互聯網安全取證及反制提供依據。

（四）完善工業互聯網安全應急響應體系

應急響應作為保障工業互聯網安全可靠運行的最后壁壘，是網絡安全公共服務基礎能力的重要體現，是確保工業互聯網安全的有力支撐。

完善工業互聯網安全應急響應機制，構建專業化、自動化、全面化的工業互聯網安全事件應急響應預案體系。基于完善的工業互聯網應急響應機制，實現各類資源調配的網絡化和智能化，提升應急響應協調能力。

推進工業互聯網安全應急響應技術手段建設。整合包括數據、平臺和系統等在內的現有工業互聯網安全應急響應資源，形成跨行業、跨部門、跨層級、跨地域的工業互聯網安全應急響應能力；同步提升對工業信息安全漏洞庫的收集、分析能力。

推動建立常態化工業互聯網安全應急演練機制。以實戰的方式提升工業互聯網企業應急響應能力，豐富工業互聯網安全從業人員的應急處置經驗；研發應急響應能力評估模型和工具集，在實戰過程中同步測試和完善，全面評估應急響應能力的有效性和充分性。

五、工業互聯網安全公共服務的創新發展提升路徑

（一）基于信息技術創新應用進行交叉性兼容適配，同步提升供應鏈創新水平

一方面，基于飛騰、鯤泰、鯤鵬等信息技術創新應用產品，開展工業互聯網安全公共服務系統、平臺的交叉性兼容適配，覆蓋關鍵芯片、操作系統、數據庫、核心軟件等，形成組合運行、適配調優能力。另一方面，改善工業互聯網安全技術創新發展環境，重點解決工業互聯網安全關鍵產品、核心技術攻關等工業互聯網供應鏈“命門”問題；集中國家優勢力量和資源，加大核心電子器件、高端通用芯片、基礎軟件產品等研發投入力度，為工業互聯網安全公共服務基礎軟硬件和供應鏈帶來基礎底層技術的變革，切實提升我國工業互聯網安全公共服務創新發展能力。

（二）組合編排安全服務能力，形成創新發展的安全服務按需提供能力

工業互聯網安全創新發展需要逐步具備自主研制關鍵芯片、操作系統、數據庫、軟件、網絡設備的能力，從根本上擺脫對進口技術和產品的依賴。工業互聯網安全公共服務需要摒棄堆砌加密機、防火墻、入侵檢測、身份認證等“護城河”式安全產品的現狀，積極探索主動化、智能化的安全服務技術；對已有的安全服務能力進行重新組合編排，重點突破行為分析、服務編排、自動化響應等關鍵安全技術，不斷改善工業互聯網安全服務機制，形成創新發展的安全服務按需提供能力。

（三）探索公共服務標準與評價機制，形成可持續發展產業鏈條

從工業互聯網安全需求側出發，研究提出工業互聯網公共服務能力標準體系與評價體系。標準體系是評價體系建立的前提和依據，沒有標準體系及相關標準的建立，評價體系的推進就會遭遇瓶頸。應在國家主管部門的引導下，建立能力范圍廣、服務能力強、流程規范的工業互聯網安全公共服務標準體系，促進標準與評價的良性互動閉環，自上向下有序推進；探索建立工業互聯網安全公共服務效果評價機制，從體系建設入手，落實關鍵實用標準和評價工作，避免無序發展。

六、結語

隨著工業互聯網與新一代信息技術的高度融合與快速發展，未來工業互聯網安全公共服務將朝智能化、集成化、專業化方向發展。

基于AI的安全服務將得到高速發展。隨著工業互聯網數據量的爆發式增長、深度學習算法的優化改進、平臺計算能力的大幅提升，工業互聯網安全技術將呈現更高效、更精確、更智能的發展趨勢。基于AI強大的自我學習和自我演進能力，構建全面智能化的工業互聯網安全識別、檢測、響應和恢復能力，輔以安全基礎資源庫進行關聯性安全態勢分析，推動安全防御體系向全面感知、智能協同方向發展，有效抵御不斷演變的高級威脅。

安全技術集成化催生功能緊密耦合的公共服務平臺。未來工業互聯網安全公共服務平臺將進一步整合安全信息與事件管理、用戶行為分析和其他安全分析功能，成為緊密耦合、可擴展的安全運營和分析平臺；服務形式也將由提供單一的安全功能服務朝著多種功能融合的集成化服務方向發展，威脅情報庫、安全漏洞庫、惡意代碼病毒庫等將被緊密關聯或整合形成統一的安全基礎資源庫。安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、云端防護等安全服務將以微服務或其他方式，通過工業互聯網安全公共服務平臺的形式統一對外提供服務。

新一代信息技術進一步賦能工業互聯網安全公共服務，不斷提升融合創新能力，增強工業互聯網安全服務的專業化水平。隨著工業互聯網快速發展，第五代移動通信、云計算、大數據、區塊鏈、可信計算等先進技術將在工業互聯網安全中逐步應用與落地，推動形成面向工業互聯網安全公共服務的專業化服務平臺、綜合性服務平臺、共性技術平臺；促進和引導工業互聯網企業及用戶在風險識別、威脅檢測、安全加固、運營管理等流程中開展探索性應用，從而催生面向工業互聯網安全公共服務的專業化咨詢服務商、解決方案提供商。