根據(jù)國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020年工業(yè)信息安全態(tài)勢報告》，國內(nèi)低防護聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量激增，高危漏洞占比居高不下，工業(yè)互聯(lián)網(wǎng)安全形勢嚴峻。截至2018年底，低防護聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量約3000余臺/套，到2019年底增加到了5000余臺/套，2020年較2019年同期增長了375%。漏洞層面，截至2020年，國家工業(yè)信息安全漏洞庫（CICSVD）共收錄工業(yè)信息安全漏洞2138個，較2019年上升22.2%，高危及以上漏洞占比高達62.5%。

杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān) 陳超先生

4月10日，由中國電子信息產(chǎn)業(yè)集團有限公司主辦，中國電子信息產(chǎn)業(yè)集團有限公司第六研究所、《電子技術應用》雜志社等承辦的CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳隆重舉行。杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān)陳超先生以“工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展探究”為題發(fā)表了主旨演講，分析了網(wǎng)絡安全態(tài)勢感知的現(xiàn)狀，闡述了木鏈科技對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的理解及認知，并對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的發(fā)展進行了展望。

木鏈科技是一家面向工業(yè)互聯(lián)網(wǎng)，專注于工控系統(tǒng)安全產(chǎn)品開發(fā)、技術研究的國家高新技術企業(yè)。其背靠浙江大學，結合國內(nèi)領先的高速數(shù)據(jù)處理引擎組群和工業(yè)協(xié)議深度解析能力，形成了一套自主安全的技術體系，為企業(yè)客戶提供了從工業(yè)生產(chǎn)網(wǎng)絡到工業(yè)互聯(lián)網(wǎng)的整體解決方案，已在軍工、電力、軌道交通、石油化工、鋼鐵、智能制造等多個行業(yè)落地成熟案例。

網(wǎng)絡安全態(tài)勢感知現(xiàn)狀

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知是指通過采集工業(yè)互聯(lián)網(wǎng)流量、資產(chǎn)、日志、告警、安全處置數(shù)據(jù)和第三方數(shù)據(jù)，利用統(tǒng)計分析和數(shù)據(jù)挖掘等方法，分析網(wǎng)絡行為及用戶行為，識別能引起工業(yè)互聯(lián)網(wǎng)態(tài)勢變化的安全要素，從而展示整個網(wǎng)絡當前的安全狀態(tài)并預測未來發(fā)展趨勢。

“態(tài)勢感知的出現(xiàn)將過去以防火墻、路徑檢測等產(chǎn)品為主的被動防御帶入了分析、預測、聯(lián)動方向為主的主動防御時代。” 陳超表示。

目前國內(nèi)工業(yè)互聯(lián)網(wǎng)的安全形勢嚴峻，企業(yè)側面臨了一系列挑戰(zhàn)。

工業(yè)企業(yè)側面臨的挑戰(zhàn)

在政策法規(guī)層面，從《中華人民共和國網(wǎng)絡安全法》到工信部《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理指南（試行）》再到“十四五”規(guī)劃和2035年遠景目標綱要，都提到了健全相關的預警和通報體系。

在態(tài)勢感知的相關標準研制方面，目前國內(nèi)主要是由全國信息安全標準化技術委員會（TC260）和中國通信標準化協(xié)會（CCSA）牽頭制定一系列的態(tài)勢感知標準，相關標準絕大部分都處于在研的狀態(tài)。“在整個行業(yè)內(nèi)，態(tài)勢感知相關標準的缺失直接導致了態(tài)勢感知研制廠商和各類平臺建設單位缺乏相關的數(shù)據(jù)標準，在數(shù)據(jù)對接、平臺對接和威脅情報共享方面帶來了一系列困難。” 陳超指出。

關于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知功能的現(xiàn)狀，木鏈科技總結了五點，主要包括：數(shù)據(jù)獲取、數(shù)據(jù)處理、監(jiān)測分析、可視化展示和響應處置五大功能。其中，前四大功能在行業(yè)內(nèi)做得相對較好，響應處置目前在功能實現(xiàn)上還比較薄弱，無法實現(xiàn)真正的閉環(huán)操作。

隨著相關需求的擴大，網(wǎng)絡安全態(tài)勢感知的市場規(guī)模也將逐年擴大。據(jù)相關數(shù)據(jù)顯示， 2019年國內(nèi)態(tài)勢感知的市場規(guī)模約為32億元，預計今年2021年將達到54億元左右，在國內(nèi)整個網(wǎng)絡安全市場中的占比在6%左右?？梢钥闯鰢鴥?nèi)的態(tài)勢感知市場在未來有較大的提升空間。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知與傳統(tǒng)態(tài)勢感知存在差異

目前工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)出了一些新特點，陳超歸納為以下四點：

(1)海量設備和系統(tǒng)的接入加大了安全防護的難度，設備之間互聯(lián)互通導致攻擊路徑增多，將傳統(tǒng)網(wǎng)絡安全問題延伸到了整個工業(yè)互聯(lián)網(wǎng)的領域；

(2)企業(yè)在進行工業(yè)互聯(lián)網(wǎng)平臺建設時會運用到云平臺和云計算技術，在云環(huán)境下安全風險跨域傳播的級聯(lián)效應愈發(fā)明顯，工業(yè)數(shù)據(jù)面臨的安全風險與日俱增；

(3)企業(yè)間的工業(yè)控制系統(tǒng)和工藝流程方面差異較大，對業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設的需求各不相同；

(4)通過工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知實現(xiàn)工控網(wǎng)絡安全的主動防御，保障生產(chǎn)系統(tǒng)安全運行不中斷是工業(yè)企業(yè)的核心關注點。

基于這些特點，木鏈科技認為工業(yè)互聯(lián)網(wǎng)的態(tài)勢感知與傳統(tǒng)的態(tài)勢感知存在至少兩個方面的差異：

（1）工業(yè)互聯(lián)網(wǎng)態(tài)勢感知會更加貼合用戶的業(yè)務場景。目前整個工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的市場目標客戶主要包括兩類：第一類是監(jiān)管類態(tài)勢感知平臺，對象主要是工信、公安等；第二類是關鍵信息基礎設施保護類態(tài)勢感知，對象主要是各行業(yè)的工業(yè)企業(yè)客戶等。這一類客戶在進行工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設時首先關注的是四個方面：

一是現(xiàn)場工控系統(tǒng)品牌眾多，通訊協(xié)議各不相同，怎么將這些協(xié)議和通訊內(nèi)容識別出來；

二是工業(yè)現(xiàn)場設備多種多樣，因而需要采集的工業(yè)種類特別多；

三是在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，傳統(tǒng)IT企業(yè)理解不夠；

四是貼合用戶的業(yè)務場景才能真正實現(xiàn)降本增效。

（2）在工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設中，核心知識庫的積累關鍵。態(tài)勢感知在實現(xiàn)現(xiàn)場數(shù)據(jù)采集到最終威脅呈現(xiàn)過程中，需要靠核心知識庫進行相關的賦能。核心知識庫的好壞或者所積累的深度、廣度直接關系到工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的好壞。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展展望

關于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展，陳超指出了未來的三個方向：業(yè)務融合化、安全內(nèi)生化、信息爆炸化。

·業(yè)務融合化

通常的項目在進行相關網(wǎng)絡安全建設時，會先從底層去建設完整的安全防護體系。之后，通過在公司層面或集團層面建立相關網(wǎng)絡安全態(tài)勢感知平臺，將安全信息收集起來進行相關網(wǎng)絡威脅分析等一系列操作。

而工業(yè)互聯(lián)網(wǎng)的建設有所不同，企業(yè)更關注整個業(yè)務系統(tǒng)的安全，首先建立融合業(yè)務的集中化監(jiān)測，在此基礎上融入信息安全相關的數(shù)據(jù)和內(nèi)容來實現(xiàn)整個融合業(yè)務的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設。因此在建設思路上有相應的區(qū)別。

關于業(yè)務融合化，陳超舉例說明。

上圖從工業(yè)互聯(lián)網(wǎng)上微機界面看到-999℃的數(shù)值，這明顯是一個有問題的數(shù)值。問題的來源是由于現(xiàn)場的儀表故障所造成的，還是由于PLC故障導致的傳輸錯誤，還是遭遇網(wǎng)絡攻擊所產(chǎn)生的錯誤……如果為了網(wǎng)絡安全，需要聯(lián)動IT部門、儀表部門一起檢查問題的所在，是比較費時費力的事情。

如果有了一個融合業(yè)務，融合了生產(chǎn)安全和信息安全的一套工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺，由于其本身接入了生產(chǎn)數(shù)據(jù)和信息安全數(shù)據(jù)，因此做相關問題的溯源定位就非常簡單容易。

·安全內(nèi)生化

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設以不引入新的風險點為前提，同時逐步實現(xiàn)工業(yè)控制系統(tǒng)的內(nèi)生安全。

如果要實現(xiàn)內(nèi)生安全，首先要做國產(chǎn)化，實現(xiàn)安全的軟硬件環(huán)境；同時進行相關自主設計來實現(xiàn)自主協(xié)議的通信，通過以上兩個方向?qū)崿F(xiàn)安全內(nèi)升化的工作。

·信息爆炸化

企業(yè)在建設工業(yè)互聯(lián)網(wǎng)態(tài)勢感知時，不只有自身數(shù)據(jù)接入辦公系統(tǒng)、工控系統(tǒng)和物聯(lián)網(wǎng)終端設備，在企業(yè)的外部會對接到工業(yè)互聯(lián)網(wǎng)平臺、外部供應鏈企業(yè)以及工業(yè)APP，多方位來源數(shù)據(jù)的接入，需要一個強大的大數(shù)據(jù)處理能力來支撐。

陳超介紹，木鏈科技在多方面開展了技術創(chuàng)新。

在工控協(xié)議的深度解析方面，市面上常見的解析方式有兩種：

第一，采用在交換機中抓取相關的流量做語義猜測。通過抓取相關的數(shù)據(jù)包之后對其中一些字段進行替換分析，完成語義猜測。實現(xiàn)起來比較簡單，但是對協(xié)議解析的深度不夠，解析的字段較少。

第二，通過固件逆向的方式。通過上位機和下位機提取相關固件，對于固件進行反編譯和反匯編等操作，變成二進制代碼，通過對二進制的逆向能夠完整地還原出整個工業(yè)協(xié)議字段所代表的意思。

木鏈科技在第二種方式上有較深的技術積累。結合協(xié)議解析的一些手段，目前在指令級解析的基礎上做到了更深層次語義級的深度解析能力。

在自主協(xié)議設計方面，木鏈科技也在積極探索自主安全的工業(yè)協(xié)議設置。通常的工業(yè)控制系統(tǒng)中的通訊，一般是上位機正向的通訊方式，由上位機發(fā)起，下位機開啟固定的端口接收相關的數(shù)據(jù)和指令。因此，下位機非常容易被識別以及收到相關攻擊。

反向通訊就是由下位機發(fā)起相應的通訊請求，只有建立通訊的上位機才能給下位機發(fā)射相關的數(shù)據(jù)和指令，以此簡單地把下位機面臨的防護壓力轉(zhuǎn)移到上位機，同時針對上位機采用成熟的防護手段來提供安全防護。

在高速數(shù)據(jù)處理引擎方面，由于數(shù)據(jù)來源廣泛，為了能實時對數(shù)據(jù)內(nèi)容進行處理，就需要強大的數(shù)據(jù)處理引擎來支撐。木鏈科技在數(shù)據(jù)采集、協(xié)議解析、數(shù)據(jù)存儲、異常分析過程中都采用了相關的高速數(shù)據(jù)處理引擎技術，實現(xiàn)對海量數(shù)據(jù)的實時分析。

應用案例

到底態(tài)勢感知系統(tǒng)是如何運行的？陳超列舉了兩個案例加以介紹。

·工信部工控安全態(tài)勢感知節(jié)點應用試點項目

工信部本身建立了國家級公共安全態(tài)勢感知平臺，但是在企業(yè)側的數(shù)據(jù)采集上相對薄弱。木鏈科技的工控安全態(tài)勢感知節(jié)點項目在10家試點企業(yè)進行了部署，一方面捕捉網(wǎng)絡攻擊的行為，另一方面將采集到的數(shù)據(jù)上傳到國家平臺，為國家級態(tài)勢感知的監(jiān)測賦能。

·中船集團某所安全靶場及威脅情報中心建設項目

中船集團某所的安全靶場和威脅情報項目最大的特色是通過雙平臺的方式去建設，威脅情報中心（即工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺）所抓取到的威脅可以在靶場平臺中進行復現(xiàn)和防護效果驗證，實現(xiàn)對安全處置工作的閉環(huán)管理。

“木鏈科技深知作為一家工控安全企業(yè)，單獨的力量很難推動工業(yè)互聯(lián)網(wǎng)安全的發(fā)展，需要建立安全生態(tài)，希望相關的政府部門、高等院校、系統(tǒng)廠商和科研機構能一起合力為工業(yè)企業(yè)的安全賦能，實現(xiàn)政用產(chǎn)學研協(xié)同發(fā)展！” 陳超在最后呼吁各界合力建生態(tài)，協(xié)同某發(fā)展。