工业互联网环境下IT/OT融合的安全防御技术研究

工业互联网、泛在物联网的快速发展使IT/OT深度融合，网络攻击已逐渐渗透到OT (Operation Technology)环境。面对日益严重的OT系统的网络攻击威胁，必须提升OT系统运行安全、威胁状态监测的预警能力。研究了IT/OT融合安全防御的关键技术，提出了OT系统安全防御技术框架。

近年来，针对OT环境的网络攻击事件日益增多，如2018年台积电三个重要生产基地因为病毒入侵而导致生产线全数停摆，2019年委内瑞拉电力控制系统遭受连续三个阶段攻击导致其区域电力系统瘫痪，且极度干扰事故后的应急工作。不同于IT网络安全的信息泄露事件，OT环境几分钟的停机时间都会造成不可估量的损失和社会不良影响，正因为如此，OT的网络攻击成为敌对国家威胁行为体的首选攻击目标。在工业互联网时代，网络安全不仅需保证数据安全，更重要的要保证业务流程持续稳定、安全地运行，因此，在工业互联网环境下，必须在GB222392019《网络安全等级保护基本要求》，尤其是其工业控制系统安全的扩展部分框架下，结合《工业控制系统信息安全防护指南》等，采取有效的、针对性的安全防御措施，以此保障OT安全运行环境。

工业互联网下的IT/OT融合的网络安全防御难点和技术研究

工业互联网的OT运行安全包括PLC、PCS、SCADA、SIS、历史数据，IT安全则包括ERP、MES、EAM、WMS等。IT/OT融合下的首要目标保证其互联的数据、通信安全及OT运行环境。针对工业互联网中OT安全防御，有几大难点：

（1）OT系统安全必须保证生产过程安全：OT种类众多，各自的专有设备协议相互不兼容，且与生产过程密切关联，OT安全防御是以保证其生产过程安全为首要目标，不能独立。

（2）封闭的OT环境：不同的OT环境相对封闭，通信协议私有，要实现其协议安全、通信安全难度较大，很多OT系统都是间隙分期建设的，新旧系统混合，因此对这些系统进行补丁以及升级很困难，其网络安全性会越来越弱。

（3）漏洞挖掘难度极大：工业互联网涉及的工业控制设备、无线接入设备、边缘终端设备、重要网络设备等存在大量安全漏洞，一旦被攻击者利用，将对设备的可靠运行和网络质量造成严重影响。同时由于其封闭性，增加了其漏洞挖掘的难度。

（4）OT/IT的模糊边界环境：工业互联网环境下的OT与IT深度融合，相互之间的边界模糊，OT的运行环境与IT系统的设备互联，其生产运行环境互连的设备越多，越容易暴露更多的攻击点。

工业互联网攻防靶场技术研究

互联网技术的发展也客观上促进了黑客技术的发展，导致网络安全防御的成本要远远高于网络攻击的成本。研究IT/OT融合下的网络安全防御技术，离不开对黑客对IT/OT网络系统攻防技术的分析。最有效的方式是在针对特定的生产过程的工业互联网靶场环境中，从网络攻防的发展特点、空间特点、主体特点、技术特点和成本特点等方面进行分析研究；尤其研究诸如程序逻辑炸弹、特洛伊木马、蠕虫等多种病毒的入侵方式及其监测技术，分析病毒在工业互联网环境中的传播途径、，及其破坏工业互联网环境的方式、采取何种方式窃取生产数据等；为工控漏洞挖掘与验证、工控信息安全产品测试及验证、攻防演练等工作提供技术支撑，并为真实的生产网络制定有针对性的安全防御策略，保障网络系统的运行安全。基于攻防技术研究的工业互联网安全靶场的架构主要由物理资源(计算、网络和存储)、云资源池基础架构、SDN控制器、安全资源池、可视化组网引擎、应用服务及运行引擎、靶场服务门户网站等模块组成，如图1所示。

工业互联网安全靶场是工控安全测试验证、攻防演练的重要载体。国家关键信息基础设施的典型行业工业互联网组成架构千差万别，所面临的安全风险也有所不同，相应安全防护手段或策略也不同，但不同行业又存在共性的漏洞、风险、防范场景，甚至部分控制组件也是相同的。因此，建设工业互联网安全靶场系统，需要实现共性组件、资源的调度和跨网络、跨架构的攻防演练。

工业互联网安全靶场系统需要调度和管控靶场集成的真实实物工控设备和安全设备，并在虚实结合组网的情况下快速自动化实现工控网络仿真环境。工业互联网安全靶场复现仿真的工控网络仿真环境是工控安全测试验证、攻防演练的重要载体。工业互联网安全靶场系统还需支持接入全系列、主流工控系统或产品及工业信息安全领域相关检测工具。利用检测环境进行检测、评估、验证及工业信息安全新技术研究，研发相关检测、评估、验证工具及标准规范。

通过工业互联网安全靶场资源管控系统建设，可为国家关键信息基础设施中的核心重点行业和领域提供分析、设计、研发、集成、测试、评估、运维等全生命周期保障服务，解决无法在真实环境中对复杂大规模异构网络和用户进行模拟、测试以及风险评估等问题，实现国家工业信息安全能力的整体提升。

风险监测与预警技术

工业互联网风险监测与预警技术是国家关键基础设施防御的关键技术。综合使用基于安全日志的协作追踪溯源技术、网络恶意行为特征、跳板主机回溯、工控蜜罐、攻击代码分析、威胁情报库等技术和资源，对工业控制系统攻击源主机、攻击组织、攻击路径进行追踪溯源，为工业控制系统深度防御和进一步的反制提供支撑。

通过对工业互联网中的工业互联网设备安全监控、流量行为监控、安全事件监控、安全风险监控等，形成风险预警监测、定位，其架构如图2所示。

风险监测与预警系统为三层的管理架构，包括从生产管理层、MES层到控制层的各类设备，比如操作员站、工程师站、RTU、PLC、DCS等。

（1）数据采集层：采集层对所有被保护对象进行集中的信息采集，包括收集网络中所部属的各类图2安全风险监测与预警

安全设备的事件及告警信息。该层提供丰富的数据接口，所采集的信息包括资产、拓扑、性能、事件、漏洞、流量及工控指令等。同时，信息采集装置可以在复杂网络中分布式部署，并且对网络性能影响极小甚至无影响。采集到的所有信息会进行预处理，将其转换为统一的内部格式，并提交给上层的核心功能处理层的相应组件进行处理和分析。

（2）功能层与展示层：系统的核心处理功能，主要包括了设备监控、安全信息管理、工控威胁管理和统一接口四大功能组块。设备监控功能组块主要提供了被监控对象的识别梳理和基础信息支撑，主要包括设备管理、工控拓扑构建、设备及链路性能状态监控以及识别监测各工控设备的能力；安全信息管理组块提供了工控网中安全事件信息、漏洞信息的综合管理功能，主要包括安全事件的集中管理和查询服务，漏洞信息的集中管理，防护产品的安全信息管理及安全知识库功能；工控威胁管理组块综合了设备链路的监控以及各类安全信息形成了面向威胁发现的展现和分析功能，主要提供了风险管理、工控业务健康度分析、关联分析以及KPI威胁分析等功能；统一接口组块综合了对外的各种接口，主要提供了对企业集中监控输出的告警接口，第三方防护产品信息采集接口，国家层面监控系统的探针管理与信息交换接口。

通过对工业互联网安全的可视化，并洞悉业务信息系统的运行状况与安全状况，可以对工业互联网的安全事件进行综合分析与审计，识别和定位外部攻击、内部违规；可以进行业务系统的安全风险度量、安全态势度量和安全管理建设水平度量；可以进行持续的安全巡检、应急响应与知识积累，不断提升安全管理的能力。

IT/OT融合的安全防御的解决与实践

石油是我国的重要经济命脉，随着油库工业互联网建设的不断深入，也逐渐暴露出越来越多的安全漏洞、风险隐患和攻击威胁，如何提高对整个油库网络安全整体态势的准确预测和应急响应处理能力，对属于国家关键信息基础资源设施的油库的保护有切实的现实意义。由于每一个库区的生产管理层、过程监控层、现场控制层和现场设备层中网络资产种类较多，涉及不同的设备厂商、控制系统厂商、第三方运维厂商等，并且一旦发生网络安全事故，将直接对工业企业生产运行产生影响，因此其安全防护不仅需要按照GB/T222392019《信息安全技术 网络安全等级保护基本要求》中的通用要求进行防护，还需要按照工业控制系统安全扩展要求进行防护。

油库工业互联网安全威胁防御

油库工业互联网安全防御与态势感知系统以油库工业网络安全数据、关键信息基础设施安全运行数据为基础，以包含工控设备资产指纹、漏洞信息、安全设备信息、油库互联网传感数据及工业网络模型等海量数据的资源池为支撑，运用互联网、云计算、大数据及人工智能安全感知技术，通过AI分析方法精准感知网络安全威胁，全面提升作为国家关键信息基础设施的油库网络安全风险评估、态势感知、监测预警及应急处置能力。主要内容：

（1）全油库库区网络安全智能化预警：通过部署的安全威胁采集设备、网络安全威胁智能感知设备，在网络安全智能化预警中心统一处理网络安全信息，统一监控油库网络安全态势。

（2）健全油库网络安全防护体系：实时感知油库网络安全态势，实时监控油库范围内的网络安全状态，精准识别网络内的安全威胁，实时呈现出网络攻击行为、黑客活动、违规操作、非法外联等情况，并准确定位故障点。

（3）网络安全运营一体化：实现网络安全主动探知和防控的智能化机制，建立规范的油库网络安全防控机制，实现网络威胁从感知、发现与处理过程标准化、流程化和智能化，建立高效、可靠的网络威胁管控机制，全面提升油库的网络安全防控和网络安全运营能力。

油库工业互联网威胁基线设计

根据油库生产控制系统内部承载的业务能力和网络架构不同，进行合理的分区分域，每一库区将其工业视频网、生产管理网、生产控制网、生产办公网、工业WiFi网等具有相同业务特点的控制设备和网络资产划分为一个独立区域，不同业务特点的资产设备应划分为不同安全域，在基于GB/T22239—2019的框架下，通过对接入油库工业互联网中的各类安全设备、各类控制与生产管理、安全监控的子系统、安全数据源来获取影响网络环境安全态势的各类安全要素信息，这其中包括攻击类信息、对象弱点类信息、系统运行类信息以及外部威胁情报信息。通过资产感知、攻击感知、漏洞感知、运行感知、威胁感知以及风险感知六个维度的感知，实现了较为完整的网络安全态势的全景图，形成适合公司自身业务需要和安全态势监控需要的态势感知系统，其架构如图3所示。

尤其在生产控制网内，以工控流量监测为引擎，联动云端探测引擎、工业蜜罐网络，工业互联网环境中现成关键设备、核心平台为对象的在线监测系统，提供OT网络安全风险预警，有效保护OT的运行环境。在OT系统中所有设备间访问关系明确、访问流量大小较为固定，从访问流量的维度可有效发现工程师站、操作员站、服务器以及现场控制设备间的异常访问流量，从定位的可能存在问题的设备进一步分析，证明基于流量分析的入侵检测方法在工控系统是可行的。

构建油库威胁感知系统的“流量基线”，通过提取系统内源网络地址、目标网络地址、传输层协议、源端口、目的端口，对“平均包间隔”、“流量持续时间”以及“流量变化趋势”等参数进行分析，从而以流量比对分析发现异常行为。

油库工业互联网安全防御系统建设实践

油库作为我国重要能源的关键基础设施，实现对油库的信息网络和生产工控网络的全方位网络安全监测，实时感知网络安全态势，包含风险监测预警、情报智库、状态监测、态势展示、资产发现与管理、平台管理等。通过该系统建设，可对管辖范围内的油库的网络安全态势进行持续监测和准确感知，实现网络安全从被动防御到主动预警的突破，并为后续的安全事件处理提供有力的技术支撑。满足工信部针对《工业互联网发展行动计划》(20182020 年)提出的“一网一库三平台”的建设需求。

油库工业互联网安全信息共享和预警通报平台：打破安全防御的孤岛，将分散在各个油库的网络安全设备和信息系统中的安全机制有效地联合起来，统一监控、分析，调查、追溯各种网络安全攻击行为，统一发布网络安全预警，形成网络安全态势感知数据交换和共享机制，为网络安全信息在集团内外的交换和共享提供参考。同时与集团公司的整体网络安全态势感知系统进行对接，实现安全通告、通知、预警等信息的接收、反馈及相关安全数据和事件信息的上报。

油库工业互联网安全应急指挥系统：包括应急指挥调度平台、应急指挥流程规范等。能够在大数据平台、安全态势感知平台、信息共享和预警通报平台及其他相关系统的基础上，对涉及油库生产网中的关键信息基础设施网络攻击、网络侵入等网络安全事件进行综合研判和处置，及时快速、有效、准确地对外发布网络安全事件及相关信息，根据预置的应急方案指挥调度、协调有关应急力量进行处置，并实时跟踪事件处置进展，建立油库工业互联网安全的应急指挥体系，切实提升油库工业互联网安全的应急指挥和处置能力。

综合分析平台，综合分析与展示油库工业互联网的安全态势，包括生产信息系统网络和工控系统网络、视频系统网络等多维度展示网络安全整体态势。平台同时能够集成展示油库关键信息基础设施运行状态展示系统进行统一展示，并提供标准接口集成第三方态势感知系统信息，如集团的态势感知系统、工信部的工业互联网态势感知系统等国家或行业级态势感知系统。

结论

工业控制系统是国家关键信息基础设施正常运行的核心，开展工业控制系统安全防御研究与实践，是保护国家关键信息基础设施的必要举措。在工业互联网下的OT/IT深度融合，必须保护OT的运行环境，本文通过构建IT与OT融合的网络安全防御技术框架和体系，提高了对OT系统的安全加固、状态监视以及对威胁事件的监测预警能力，以应对工业控制系统面临的安全威胁挑战。

内容节选自《信息技术与网络安全》2019年第七期《工业互联网环境下IT/OT融合的安全防御技术研究》一文，作者石永杰）

声明：本文来自信息技术与网络安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。