根據(jù)國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020年工業(yè)信息安全態(tài)勢報(bào)告》，國內(nèi)低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量激增，高危漏洞占比居高不下，工業(yè)互聯(lián)網(wǎng)安全形勢嚴(yán)峻。截至2018年底，低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量約3000余臺/套，到2019年底增加到了5000余臺/套，2020年較2019年同期增長了375%。漏洞層面，截至2020年，國家工業(yè)信息安全漏洞庫（CICSVD）共收錄工業(yè)信息安全漏洞2138個，較2019年上升22.2%，高危及以上漏洞占比高達(dá)62.5%。

杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān) 陳超先生

4月10日，由中國電子信息產(chǎn)業(yè)集團(tuán)有限公司主辦，中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所、《電子技術(shù)應(yīng)用》雜志社等承辦的CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳隆重舉行。杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān)陳超先生以“工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展探究”為題發(fā)表了主旨演講，分析了網(wǎng)絡(luò)安全態(tài)勢感知的現(xiàn)狀，闡述了木鏈科技對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的理解及認(rèn)知，并對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的發(fā)展進(jìn)行了展望。

木鏈科技是一家面向工業(yè)互聯(lián)網(wǎng)，專注于工控系統(tǒng)安全產(chǎn)品開發(fā)、技術(shù)研究的國家高新技術(shù)企業(yè)。其背靠浙江大學(xué)，結(jié)合國內(nèi)領(lǐng)先的高速數(shù)據(jù)處理引擎組群和工業(yè)協(xié)議深度解析能力，形成了一套自主安全的技術(shù)體系，為企業(yè)客戶提供了從工業(yè)生產(chǎn)網(wǎng)絡(luò)到工業(yè)互聯(lián)網(wǎng)的整體解決方案，已在軍工、電力、軌道交通、石油化工、鋼鐵、智能制造等多個行業(yè)落地成熟案例。

網(wǎng)絡(luò)安全態(tài)勢感知現(xiàn)狀

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知是指通過采集工業(yè)互聯(lián)網(wǎng)流量、資產(chǎn)、日志、告警、安全處置數(shù)據(jù)和第三方數(shù)據(jù)，利用統(tǒng)計(jì)分析和數(shù)據(jù)挖掘等方法，分析網(wǎng)絡(luò)行為及用戶行為，識別能引起工業(yè)互聯(lián)網(wǎng)態(tài)勢變化的安全要素，從而展示整個網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)并預(yù)測未來發(fā)展趨勢。

“態(tài)勢感知的出現(xiàn)將過去以防火墻、路徑檢測等產(chǎn)品為主的被動防御帶入了分析、預(yù)測、聯(lián)動方向?yàn)橹鞯闹鲃臃烙鶗r(shí)代。” 陳超表示。

目前國內(nèi)工業(yè)互聯(lián)網(wǎng)的安全形勢嚴(yán)峻，企業(yè)側(cè)面臨了一系列挑戰(zhàn)。

工業(yè)企業(yè)側(cè)面臨的挑戰(zhàn)

在政策法規(guī)層面，從《中華人民共和國網(wǎng)絡(luò)安全法》到工信部《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南（試行）》再到“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要，都提到了健全相關(guān)的預(yù)警和通報(bào)體系。

在態(tài)勢感知的相關(guān)標(biāo)準(zhǔn)研制方面，目前國內(nèi)主要是由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）和中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）牽頭制定一系列的態(tài)勢感知標(biāo)準(zhǔn)，相關(guān)標(biāo)準(zhǔn)絕大部分都處于在研的狀態(tài)?！霸谡麄€行業(yè)內(nèi)，態(tài)勢感知相關(guān)標(biāo)準(zhǔn)的缺失直接導(dǎo)致了態(tài)勢感知研制廠商和各類平臺建設(shè)單位缺乏相關(guān)的數(shù)據(jù)標(biāo)準(zhǔn)，在數(shù)據(jù)對接、平臺對接和威脅情報(bào)共享方面帶來了一系列困難?！?陳超指出。

關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知功能的現(xiàn)狀，木鏈科技總結(jié)了五點(diǎn)，主要包括：數(shù)據(jù)獲取、數(shù)據(jù)處理、監(jiān)測分析、可視化展示和響應(yīng)處置五大功能。其中，前四大功能在行業(yè)內(nèi)做得相對較好，響應(yīng)處置目前在功能實(shí)現(xiàn)上還比較薄弱，無法實(shí)現(xiàn)真正的閉環(huán)操作。

隨著相關(guān)需求的擴(kuò)大，網(wǎng)絡(luò)安全態(tài)勢感知的市場規(guī)模也將逐年擴(kuò)大。據(jù)相關(guān)數(shù)據(jù)顯示， 2019年國內(nèi)態(tài)勢感知的市場規(guī)模約為32億元，預(yù)計(jì)今年2021年將達(dá)到54億元左右，在國內(nèi)整個網(wǎng)絡(luò)安全市場中的占比在6%左右?？梢钥闯鰢鴥?nèi)的態(tài)勢感知市場在未來有較大的提升空間。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知與傳統(tǒng)態(tài)勢感知存在差異

目前工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)出了一些新特點(diǎn)，陳超歸納為以下四點(diǎn)：

(1)海量設(shè)備和系統(tǒng)的接入加大了安全防護(hù)的難度，設(shè)備之間互聯(lián)互通導(dǎo)致攻擊路徑增多，將傳統(tǒng)網(wǎng)絡(luò)安全問題延伸到了整個工業(yè)互聯(lián)網(wǎng)的領(lǐng)域；

(2)企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)平臺建設(shè)時(shí)會運(yùn)用到云平臺和云計(jì)算技術(shù)，在云環(huán)境下安全風(fēng)險(xiǎn)跨域傳播的級聯(lián)效應(yīng)愈發(fā)明顯，工業(yè)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)與日俱增；

(3)企業(yè)間的工業(yè)控制系統(tǒng)和工藝流程方面差異較大，對業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)的需求各不相同；

(4)通過工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知實(shí)現(xiàn)工控網(wǎng)絡(luò)安全的主動防御，保障生產(chǎn)系統(tǒng)安全運(yùn)行不中斷是工業(yè)企業(yè)的核心關(guān)注點(diǎn)。

基于這些特點(diǎn)，木鏈科技認(rèn)為工業(yè)互聯(lián)網(wǎng)的態(tài)勢感知與傳統(tǒng)的態(tài)勢感知存在至少兩個方面的差異：

（1）工業(yè)互聯(lián)網(wǎng)態(tài)勢感知會更加貼合用戶的業(yè)務(wù)場景。目前整個工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的市場目標(biāo)客戶主要包括兩類：第一類是監(jiān)管類態(tài)勢感知平臺，對象主要是工信、公安等；第二類是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)類態(tài)勢感知，對象主要是各行業(yè)的工業(yè)企業(yè)客戶等。這一類客戶在進(jìn)行工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)時(shí)首先關(guān)注的是四個方面：

一是現(xiàn)場工控系統(tǒng)品牌眾多，通訊協(xié)議各不相同，怎么將這些協(xié)議和通訊內(nèi)容識別出來；

二是工業(yè)現(xiàn)場設(shè)備多種多樣，因而需要采集的工業(yè)種類特別多；

三是在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，傳統(tǒng)IT企業(yè)理解不夠；

四是貼合用戶的業(yè)務(wù)場景才能真正實(shí)現(xiàn)降本增效。

（2）在工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)中，核心知識庫的積累關(guān)鍵。態(tài)勢感知在實(shí)現(xiàn)現(xiàn)場數(shù)據(jù)采集到最終威脅呈現(xiàn)過程中，需要靠核心知識庫進(jìn)行相關(guān)的賦能。核心知識庫的好壞或者所積累的深度、廣度直接關(guān)系到工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的好壞。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展展望

關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展，陳超指出了未來的三個方向：業(yè)務(wù)融合化、安全內(nèi)生化、信息爆炸化。

·業(yè)務(wù)融合化

通常的項(xiàng)目在進(jìn)行相關(guān)網(wǎng)絡(luò)安全建設(shè)時(shí)，會先從底層去建設(shè)完整的安全防護(hù)體系。之后，通過在公司層面或集團(tuán)層面建立相關(guān)網(wǎng)絡(luò)安全態(tài)勢感知平臺，將安全信息收集起來進(jìn)行相關(guān)網(wǎng)絡(luò)威脅分析等一系列操作。

而工業(yè)互聯(lián)網(wǎng)的建設(shè)有所不同，企業(yè)更關(guān)注整個業(yè)務(wù)系統(tǒng)的安全，首先建立融合業(yè)務(wù)的集中化監(jiān)測，在此基礎(chǔ)上融入信息安全相關(guān)的數(shù)據(jù)和內(nèi)容來實(shí)現(xiàn)整個融合業(yè)務(wù)的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設(shè)。因此在建設(shè)思路上有相應(yīng)的區(qū)別。

關(guān)于業(yè)務(wù)融合化，陳超舉例說明。

上圖從工業(yè)互聯(lián)網(wǎng)上微機(jī)界面看到-999℃的數(shù)值，這明顯是一個有問題的數(shù)值。問題的來源是由于現(xiàn)場的儀表故障所造成的，還是由于PLC故障導(dǎo)致的傳輸錯誤，還是遭遇網(wǎng)絡(luò)攻擊所產(chǎn)生的錯誤……如果為了網(wǎng)絡(luò)安全，需要聯(lián)動IT部門、儀表部門一起檢查問題的所在，是比較費(fèi)時(shí)費(fèi)力的事情。

如果有了一個融合業(yè)務(wù)，融合了生產(chǎn)安全和信息安全的一套工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺，由于其本身接入了生產(chǎn)數(shù)據(jù)和信息安全數(shù)據(jù)，因此做相關(guān)問題的溯源定位就非常簡單容易。

·安全內(nèi)生化

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設(shè)以不引入新的風(fēng)險(xiǎn)點(diǎn)為前提，同時(shí)逐步實(shí)現(xiàn)工業(yè)控制系統(tǒng)的內(nèi)生安全。

如果要實(shí)現(xiàn)內(nèi)生安全，首先要做國產(chǎn)化，實(shí)現(xiàn)安全的軟硬件環(huán)境；同時(shí)進(jìn)行相關(guān)自主設(shè)計(jì)來實(shí)現(xiàn)自主協(xié)議的通信，通過以上兩個方向?qū)崿F(xiàn)安全內(nèi)升化的工作。

·信息爆炸化

企業(yè)在建設(shè)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知時(shí)，不只有自身數(shù)據(jù)接入辦公系統(tǒng)、工控系統(tǒng)和物聯(lián)網(wǎng)終端設(shè)備，在企業(yè)的外部會對接到工業(yè)互聯(lián)網(wǎng)平臺、外部供應(yīng)鏈企業(yè)以及工業(yè)APP，多方位來源數(shù)據(jù)的接入，需要一個強(qiáng)大的大數(shù)據(jù)處理能力來支撐。

陳超介紹，木鏈科技在多方面開展了技術(shù)創(chuàng)新。

在工控協(xié)議的深度解析方面，市面上常見的解析方式有兩種：

第一，采用在交換機(jī)中抓取相關(guān)的流量做語義猜測。通過抓取相關(guān)的數(shù)據(jù)包之后對其中一些字段進(jìn)行替換分析，完成語義猜測。實(shí)現(xiàn)起來比較簡單，但是對協(xié)議解析的深度不夠，解析的字段較少。

第二，通過固件逆向的方式。通過上位機(jī)和下位機(jī)提取相關(guān)固件，對于固件進(jìn)行反編譯和反匯編等操作，變成二進(jìn)制代碼，通過對二進(jìn)制的逆向能夠完整地還原出整個工業(yè)協(xié)議字段所代表的意思。

木鏈科技在第二種方式上有較深的技術(shù)積累。結(jié)合協(xié)議解析的一些手段，目前在指令級解析的基礎(chǔ)上做到了更深層次語義級的深度解析能力。

在自主協(xié)議設(shè)計(jì)方面，木鏈科技也在積極探索自主安全的工業(yè)協(xié)議設(shè)置。通常的工業(yè)控制系統(tǒng)中的通訊，一般是上位機(jī)正向的通訊方式，由上位機(jī)發(fā)起，下位機(jī)開啟固定的端口接收相關(guān)的數(shù)據(jù)和指令。因此，下位機(jī)非常容易被識別以及收到相關(guān)攻擊。

反向通訊就是由下位機(jī)發(fā)起相應(yīng)的通訊請求，只有建立通訊的上位機(jī)才能給下位機(jī)發(fā)射相關(guān)的數(shù)據(jù)和指令，以此簡單地把下位機(jī)面臨的防護(hù)壓力轉(zhuǎn)移到上位機(jī)，同時(shí)針對上位機(jī)采用成熟的防護(hù)手段來提供安全防護(hù)。

在高速數(shù)據(jù)處理引擎方面，由于數(shù)據(jù)來源廣泛，為了能實(shí)時(shí)對數(shù)據(jù)內(nèi)容進(jìn)行處理，就需要強(qiáng)大的數(shù)據(jù)處理引擎來支撐。木鏈科技在數(shù)據(jù)采集、協(xié)議解析、數(shù)據(jù)存儲、異常分析過程中都采用了相關(guān)的高速數(shù)據(jù)處理引擎技術(shù)，實(shí)現(xiàn)對海量數(shù)據(jù)的實(shí)時(shí)分析。

應(yīng)用案例

到底態(tài)勢感知系統(tǒng)是如何運(yùn)行的？陳超列舉了兩個案例加以介紹。

·工信部工控安全態(tài)勢感知節(jié)點(diǎn)應(yīng)用試點(diǎn)項(xiàng)目

工信部本身建立了國家級公共安全態(tài)勢感知平臺，但是在企業(yè)側(cè)的數(shù)據(jù)采集上相對薄弱。木鏈科技的工控安全態(tài)勢感知節(jié)點(diǎn)項(xiàng)目在10家試點(diǎn)企業(yè)進(jìn)行了部署，一方面捕捉網(wǎng)絡(luò)攻擊的行為，另一方面將采集到的數(shù)據(jù)上傳到國家平臺，為國家級態(tài)勢感知的監(jiān)測賦能。

·中船集團(tuán)某所安全靶場及威脅情報(bào)中心建設(shè)項(xiàng)目

中船集團(tuán)某所的安全靶場和威脅情報(bào)項(xiàng)目最大的特色是通過雙平臺的方式去建設(shè)，威脅情報(bào)中心（即工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺）所抓取到的威脅可以在靶場平臺中進(jìn)行復(fù)現(xiàn)和防護(hù)效果驗(yàn)證，實(shí)現(xiàn)對安全處置工作的閉環(huán)管理。

“木鏈科技深知作為一家工控安全企業(yè)，單獨(dú)的力量很難推動工業(yè)互聯(lián)網(wǎng)安全的發(fā)展，需要建立安全生態(tài)，希望相關(guān)的政府部門、高等院校、系統(tǒng)廠商和科研機(jī)構(gòu)能一起合力為工業(yè)企業(yè)的安全賦能，實(shí)現(xiàn)政用產(chǎn)學(xué)研協(xié)同發(fā)展！” 陳超在最后呼吁各界合力建生態(tài)，協(xié)同某發(fā)展。