構建內外一體、縱深防御的多層次工業互聯網安全監測保障體系

王澤政

（恒安嘉新（北京）科技股份公司，北京 100098）

0 引言

2017年11月，國務院印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》[1]，指出從提升安全防護能力、建立數據安全保護體系、推動安全技術手段建設三個層面強化安全保障工程建設。2019年7月，十部委聯合發布《加強工業互聯網安全工作的指導意見的通知》[2]，提出加快構建工業互聯網安全保障體系，提升工業互聯網安全保障能力，促進工業互聯網高質量發展一攬子措施。工業互聯網與工業生產深度融合使工業生產活動呈現“數字化、智能化、網絡化”特點[3]，工業互聯網是實現數字化轉型的關鍵支撐[4]，其安全保障能力搭建需要監管和服務并行，謀劃建設多層次工業互聯網安全保障體系。其工程化建設可從監管和服務兩個維度協同推進，監管方面可復用已有業務抓手，服務方面可新建或復用企業自有業務系統，在IT和OT融合背景下[5]，強調企業在做好內部防護的同時，接收監管側的安全監測信息，協同安全通報和應急響應業務，健全內外一體的安全防護能力。

1 工業互聯網安全監測保障體系現狀

服務線以場景遞進視角看，一般企業延續傳統的工業控制安全分層架構，建設面向產線級的工控安全管理平臺。多個產線協同或生產業務融合場景下，企業基于生產管理和安全管理的雙重訴求，匯集資產和安全兩類維度信息，建設工業互聯網企業安全態勢感知平臺。大型企業集團基于縱深防御理念，也在規劃“IT+OT”融合模式下的工業企業安全綜合防護平臺，結合行業特性，圍繞工業控制系統安全、工業生產網絡與管理網絡安全、工業數據安全[6]、移動應用安全等，構建包括資產管理、漏洞檢測、配置核查、邊界防護、入侵檢測、態勢感知、病毒防范、安全審計、數據保護等的一體化動態綜合防御體系。同時，各行業/集團基于本行業或集團內業務信息化、安全運維和對外服務考量，建設安全運營中心，集成信息服務、業務管理和對外服務功能，多為業務協作類系統。

監管線主要區分垂直監管和橫向監管兩個視角，在行業內主要依托垂直監管建設反映行業監管訴求的工業互聯網安全監測系統，并面向屬地化監管建設由工業和信息化主管部門主導和運營的省市級工業互聯網安全態勢感知與監測預警平臺。在行業外，主要基于關鍵信息基礎設施防護、重保、護網等場景，建設由各部委主管的（國家）關鍵信息基礎設施安全保衛平臺[7]、國家級工業互聯網安全態勢感知與風險預警平臺[8]、（國家）工業互聯網數據安全監測和防護平臺等。近年來，依托工業互聯網創新發展工程積累的程度，不同專業機構、行業主管部門也各自面向工業突發事件應急處置、工業威脅信息共享、工業互聯網安全遠程應急支援服務、工業企業綜合安全防護等細分領域建設了平臺化抓手[9]。以上平臺系統構成了國家級工業互聯網安全技術支撐體系的雛形，有些平臺開始發揮有效技術支撐能力。

以上兩大范疇的既有信息化手段在業務信息化、服務扁平化、安全普及化方面做了大量有益探索，積累了不少行業應用成果，但也面臨著監管和服務分離，難以有效協同的深層次問題。

2 多層次工業互聯網安全監測保障體系設計

多層次工業互聯網安全保障體系面向工業互聯網安全、物聯網安全、車聯網安全等泛化場景，解決內網安全防護協作不力、監管和服務協同不佳問題。該體系遵循技術和管理向結合的指導思路，利舊已有系統，強化能力建設和機制保障，減少各行業間與監管單位“橫向”溝通成本，壓實主體責任，協同應對工業互聯網設備安全、控制安全、網絡安全、平臺安全和數據安全風險[1]。實際工程實踐中已有很多行業采取構建行業運營中心的方式，同步規劃、同步建設、同步運營多層次安全保障體系。如中國石化網絡安全運營的探索和實踐[10]，打造總部、區域中心、企業三位一體的安全運營體系。

2.1 業務架構設計

多層次工業互聯網安全保障體系采取分層架構，自下而上可分為企業層、監管層和業務層三個層次。如圖1所示。企業層利舊企業自建的工業互聯網企業安全態勢感知平臺，集成安全監測和資產管理軟硬件設備，是各企業提升自身工業互聯網安全防護能力的執行主體；監管層復用既有監管抓手，強化能力和保障機制建設；業務層以工業互聯網、物聯網[11]和車聯網[12]泛化安全業務驅動，面向關基防護、重保等具體場景，提供持續化保障服務；各層協同強化工業互聯網安全監測和安全服務能力建設。

企業層：依托企業投入軟硬件設施，包括流量安全監測采集設備（探針）、漏洞掃描設備、威脅感知阻斷設備、網絡資產測繪設備等，匯聚各類設備基礎數據，收集已有資產和設備指紋，匯集各安全設備日志，集成威脅情報數據，并通過預留接口向企業自建的態勢感知平臺上報各類安全事件，該接口兼做企業平臺與監管系統的業務交互。

圖1 多層次工業互聯網安全監測保障體系業務架構圖

監管層：可復用工業和信息化主管部門、公安和網信行業主管單位已建業務系統，規劃建設智能化數據中臺，承接流量監測、威脅分析、監測預警、處置溯源和威脅共享能力功能。具備與各行業/集團既有服務系統的數據共享和業務聯動能力，強化情報共享業務建設，并通過設計集約化接口實現監管平臺和服務系統的“橫向”協同，完善行業監管業務。

業務層：在企業側和監管側業務系統基礎上，面向工業互聯網、物聯網和車聯網新興應用領域，著力形成攻擊發現、隱患排查、應急處置和攻擊溯源能力。面向疫情防控熱點場景，提供應急響應能力支撐，并與關基防護和重保業務聯動，形成多層次保障能力。

2.2 業務流程設計

多層次工業互聯網安全監測保障體系旨在打通監管和服務兩條垂直業務線，重點做行業間橫向業務協同，其業務流程遵循“基礎信息報送-監測對象識別-安全分析-業務協同-態勢展示”的總體流程，如圖 2所示。

圖2 多層次工業互聯網安全監測保障體系業務流程

（1）信息報送。按照約定接口，依托已建企業態勢感知平臺（或運維一體化系統）和行業監管系統，完成企業基礎信息的匯集，包括經營主體、所屬行業、經營范圍等基礎性信息，用以完善企業主體對象，細分行業范圍，一方面為后續業務協同明確協作對象，另一方面作為靜態資源信息補充被動識別對象基礎數據。

（2）識別對象。依匯集的工業企業、工業互聯網平臺企業、標識解析運營企業信息，輔助主動探測或測繪的數據，對監測對象進行識別，識別出工業互聯網平臺、聯網設備及系統、工業應用協議和安全事件，用以安全分析的數據輸入。

（3）安全分析。將識別分析結果與主動探測數據（包括蜜罐誘捕數據）、威脅情報信息[13]（安全漏洞庫）做融合處理，進行深度安全分析，包括資產漏洞分析、入侵行為分析、敏感數據傳輸分析[14]（含跨境數據傳輸行為分析）、威脅情報關聯分析和標識解析安全[15]分析在內的多維度分析處理，形成多維研判分析能力。

（4）業務協同。將研判分析輸出的安全業務支撐能力（包括威脅預警、處置協同和信息共享能力）以信息共享方式做橫向業務協同，其中威脅預警能力支撐網絡安全通報業務，并與服務企業視角同企業態勢感知平臺聯動；處置協同用以支持應急響應業務，并以應急協作方式與行業監管系統協同。

（5）安全態勢。多層次工業互聯網安全監測保障體系匯總以上流程的企業基礎信息、聯網暴露資產、安全風險數據（漏洞和事件），并綜合安全通報和應急響應兩個業務方向的業務協同數據，形成整體的安全態勢。

2.3 業務能力設計

多層次工業互聯網安全監測保障體系旨在發揮已有監管系統的“橫向聯動”和“縱向協作”作用，綜合主被動監測手段構建“企業-行業-國家”多層防護措施，強調主管單位在做好屬地監管的同時，加強已有監管手段的合理化賦能，聯動企業側在建系統，進一步明確風險對象、強化協同處置、縮短應急響應時間，構建縱深防御的多層次工業互聯網安全保障能力。

多層次工業互聯網安全監測保障體系以落實安全技術手段建設為主線，強調監管側和企業側的數據共享和業務協同。其核心是依托監管側監測處置技術手段建設成效督促相關企業落實網絡安全主體責任，其根本手段是引導和指導企業加大安全投入，圍繞數據安全、平臺安全、網絡安全、控制安全、設備安全各細分場景，著力完善風險排查、攻擊監測和應急協作手段建設，提升自身的安全防護能力。

該體系以構建數據安全保護體系為目標，踐行工業和信息化主管部門規劃實施的工業數據分類分級管理業務，其根本要務是維護工業互聯網全產業鏈數據安全。監管和服務并軌，在面向數據收集、存儲、處理、轉移、刪除等全生命周期環節，既要企業側完善數據安全防護能力又要監管側加大監督檢查力度，兩者相得益彰、相互促進，著力構建全產業鏈的工業數據安全防護保障體系，并重點面向全產業鏈的數據確權、數據留存、數據泄露場景，強化科技監管的支撐力。

圍繞車聯網、物聯網等熱點應用領域，加大與個人信息保護、安全生產相關的泛在安全協調，面向當下的疫情防控應用需求，強化該體系的服務延拓能力。

2.4 業務功能實現

構建多層次工業互聯網安全監測保障體系的根本路徑是落實業務能力建設，注重完善的功能體系實現。為此，遵循監管線和服務線互為補充、相互協同的理念，自上而下探索建設如下業務功能。

監管側：在已有技術抓手的基礎上，一方面強化（國家）關鍵信息基礎設施安全保衛平臺、工業互聯網安全態勢與監測預警平臺、行業/集團類監管平臺自身保障能力，完善工業互聯網平臺安全監管、工業數據安全監測功能。如工業互聯網態勢感知與監測預警平臺以主被動監測為基礎，增加處置溯源功能，升級安全通報功能為主動監測預警功能，開辟專題分析模塊，保障新興業務監測需要；加強數據融合功能建設，建設智能化數據中臺；修訂既有接口規范，落實與（國家）關鍵信息基礎設施安全保衛平臺、行業/集團類監管平臺安全協作和數據共享功能等。各行業/集團監管平臺可以安全運營中心的理念，落實一體化安運維能力建設。

企業側：建設工業互聯網企業安全態勢感知平臺，拓展企業運營和管理一體化手段建設，加強流量采集、資產測繪功能建設，結合設備臺賬管理制度，摸清資產分布。按照域分層管理理念，做好OT域各層防護的同時，在IT域關鍵網絡節點和互聯網出口部署漏洞掃描設備、威脅感知和阻斷設備，強化脆弱性發現和風險處置功能建設。企業級工業互聯網安全態勢感知平臺還可以通過接口預留方式，承接（國家）關鍵信息基礎設施安全保衛平臺、工業互聯網安全態勢與監測預警平臺、行業/集團類監管平臺的業務協同要求，落實立體化防御功能落地。

以上兩者在保障工業互聯網安全主責外，以業務驅動為主線，結合新興應用領域，建設車聯網、和物聯網等泛在工業互聯網安全的專題系統，并子系統集成方式融入到監管側平臺，不斷豐富監管手段。

3 有益實踐

得益于在工業互聯網安全監測保障、工業企業安全防護、工業數據分類分級、工業應急事件突發響應等業務的不斷實踐，下文特圍繞監管側和企業側一些典型案例，闡述有益探索。

3.1 網絡安全防護案例分析

某省工業互聯網安全態勢感知與監測預警平臺圍繞屬地內企業網絡安全監管開展安全通報服務，并針對2021年3月監測到的安全漏洞和僵尸網絡、木馬程序、蠕蟲病毒[16]攻擊等工業互聯網安全事件進行全方位分析，監管單位以通報方式通告相關企業，并報送上級監管單位和垂直行業監管部門，有力防護了本轄區內工業企業網絡安全。

3.2 平臺安全防護案例分析

部署在省的工業互聯網安全態勢感知與監測預警平臺依托主被動手段監測到某企裝卸車監控平臺安全防護不足，存在弱口令、sql注入、命令執行風險[16]，已及時時反饋主管部門由其通報企業處置，消除風險。

3.3 數據安全防護案例分析

依托某工業互聯網數據安全監測平臺，發現某公司某調度系統存在弱口令，可能導致系統用戶個人信息、基站信息、內部工單等信息泄漏、基站告警閾值篡改等風險，已提請工業和信息化主管部門以通告服務方式協同處置。

（注：以上案例不涉及特定企業和監管主體，不涉及具體的工業資產、設備和數據信息，僅用于技術研究之用）

4 結語

多層次工業互聯網安全監測保障體系適用于有關部門對工業互聯網安全監管要求，為各級工業和信息化主管部門、行業主管部門、各類工業企業或工業互聯網平臺企業提供監測和服務一體化能力。未來可依托現有監管服務體系，通過搭建平臺化技術手段服務有關部門摸清家底、知曉風險、溯清源頭、快速處置、科學決策，一方面通過建立面向事件的精準研判和快速、有效處置手段加強業務通報和風險預警能力，依托行業智能中臺解決數據無序化問題，構建行業內協同共治的賦能平臺，助利科技監管；另一方面，解決企業新型工業化面臨的資產監測、風險管控、威脅溯源、應急響應、科學管理痛點，構建行業間縱橫協同、多層保障的安全服務體系，進一步協助落實企業主體責任，為工業企業安全生產和運營保駕護航。