浅谈工业互联网安全服务云建设思路

浅谈工业互联网安全服务云建设思路

浅谈工业互联网安全服务云建设思路

Talking about Industrial Internet Security Service Cloud Construction 郭宾、雷濛、朱奕辉

（杭州木链物联网科技有限公司，杭州余杭 311100）

摘要

本文基于对工业互联网安全的调研结果，梳理了工业互联网安全的发展现状及面临的四个安全问题，创造性地提出工业互联网安全服务云的概念，旨于满足企业端和监管单位在工业互联网建设中提出的安全新需求。同时，深入探讨了安全服务云的五个发展方向，为工业互联网安全发展提供一个新的思路。

Abstract

Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.

关键字：态势感知；工业互联网安全；云服务

Key words：NSSA；Industrial Internet Security；Cloud services

一、前言

工业互联网是智能制造发展的基础，可以提供共性的基础设施和能力。我国已经将工业互联网作为重要基础设施，为工业智能化提供支撑。然而近年来工业互

联网安全威胁和风险日益突出，各种网络安全事件日益频发，高危系统安全漏洞威胁不断。网络安全已经上升为国家安全的核心组成部分，并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。

二、工业互联网安全现状

在工业互联网总体框架下，安全既是一套独立功能体系，又渗透融合在网络和平台建设使用的全过程，为网络、平台提供安全保障。工业互联网实现了全系统、全产业链和全生命周期的互联互通，但打破传统工业相对封闭可信的生产环境的同时也导致被攻击机会的增加。

目前工业互联网安全问题主要体现在以下四个方面：

（1）安全责任界定和安全监管难度大。工业互联网业务和数据在工控系统层、业务监管层、云平台层、工业应用层等多个层级间流转，安全责任主体涉及工业企业、设备供应商、工业互联网平台运营商、工业应用提供商等。

（2）平台结构复杂，问题涉及面广。海量设备和系统的接入、云及虚拟化平台自身的安全脆弱性、API接口利用、云环境下安全风险跨域传播的级联效应、集团网络安全顶层设计缺失都会带来新的风险与挑战。

（3）终端安全形势严峻。传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题，可能存在大量安全漏洞；大部分核心设备以国外设备为主；重要工业设备日常运维和设备维修严重依赖国外厂商，存在远程操控的风险。（4）数据本质安全得不到保障。通过工业数据的分析和应用，对生产进行降本增效是目前的主流思路，但数据来源涉及各个网络层级和业务环节，导致数据存在的范围和边界发生了根本变化，给数据安全带来巨大挑战。

三、安全服务云建设需求分析

基于上述现状，本文提出互联网安全服务云的概念，积极构建一个面向关键信息基础设施的立体化、实时化和智能化的网络安全保障系统，持续加强工业互联网安全防御能力、感知能力、管控能力、处置能力和威慑能力，提高企业抗网络安全威胁风险能力，设计需求主要来自企业和监管部门两方面。

企业端：

（1）现阶段主流的安全产品以单兵作战为主，只能对区域的流量信息进行分析处理，对于未知威胁的处理能力则非常弱。需要有效利用云端威胁情报数据，从同类企业数据中进行发掘和分析攻击线索，极大提升未知威胁和APT攻击的检出效率。

（2）传统安全防御体系的重要思想是防御，处于攻击最前沿的网端是安全建设的重点。但随着APT攻击的发展，这样的防御思路已逐渐不能满足要求，需要通过引入威胁情报和规则链技术，提升企业积极防御的能力。

（3）传统安全防护设备进行监测时一般使用通用规则，这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。需要结合场景化威胁检测技术，基于企业用户的业务环境构建威胁检测和响应模型，及时发现企业内部的业务安全风险。

监管部门：

（1）工业互联网安全法规陆续发布，监管部门存在网络监管的刚性要求，需要对所辖企业中的威胁事件、重要网络资产和终端三个维度的结合，输出各个层面的统计分析结果，实现全方位的网络安全态势感知，协助企业信息部门看清业务与网络安全的关系。

（2）利用数据采集、数据流检测、威胁情报等技术手段，分析和发现攻击行为、流量异常等安全威胁，可以综合判断安全态势，弥补单一企业用户在信息安全数据整合能力、威胁行为预判能力上存在的短板。

（3）需要建立研究成果、威胁情报、漏洞发布等最新安全信息推送机制。监管单位一般建有完善的安全知识库，推送机制有助于知识库发挥最大功效，帮助企业运维人员安全意识和技能素养，增强企业安全工业互联网防护。

四、安全服务云发展方向

（1）强化核心信息基础设施网络安全态势监测能力建设

对信息基础设施网络安全防护措施进行改造升级，采取技术手段健全对漏洞嗅探、攻击侵入、病毒传播等危害网络安全行为的防范措施；实现对网络管理对象的全面纳管和实时监测，建立统一的网络安全运行状态监测记录、操作日志、应用性能和流量数据采集机制。

（2）强化网络安全威胁信息通报能力建设

对关键信息化基础设施、传输网络和信息应用进行统计和梳理，建立健全备案登记制度，明确网络安全主责单位和责任人。依托对国家权威部门及市网信办监测预警和信息通报系统，建立统一的网络安全威胁情报、系统漏洞和恶意软件收集、评估和分发工作平台。

（3）强化网络安全隐患分析预判能力建设

在实时采集网络运行状态监测记录，全面收集网络安全威胁情报基础上，利用大数据分析技术构建统一的网络安全态势实时分析和监测预警平台。通过分布式实时计算框架对全网全量安全基础信息进行关联分析，及时发现已知安全威胁，