4月10日,，由中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司主辦,，中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所、《電子技術(shù)應(yīng)用》雜志社等承辦的CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)在深圳隆重舉行,。杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān)陳超先生以“工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知發(fā)展探究”為題發(fā)表了主旨演講,，分析了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的現(xiàn)狀,，闡述了木鏈科技對(duì)工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知的理解及認(rèn)知,，并對(duì)工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知的發(fā)展進(jìn)行了展望。

木鏈科技是一家面向工業(yè)互聯(lián)網(wǎng),，專注于工控系統(tǒng)安全產(chǎn)品開發(fā)、技術(shù)研究的國(guó)家高新技術(shù)企業(yè),。其背靠浙江大學(xué),，結(jié)合國(guó)內(nèi)領(lǐng)先的高速數(shù)據(jù)處理引擎組群和工業(yè)協(xié)議深度解析能力，形成了一套自主安全的技術(shù)體系,，為企業(yè)客戶提供了從工業(yè)生產(chǎn)網(wǎng)絡(luò)到工業(yè)互聯(lián)網(wǎng)的整體解決方案,，已在軍工、電力,、軌道交通,、石油化工、鋼鐵,、智能制造等多個(gè)行業(yè)落地成熟案例,。

目前工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)出了一些新特點(diǎn),，陳超歸納為以下四點(diǎn)：

(1)海量設(shè)備和系統(tǒng)的接入加大了安全防護(hù)的難度,，設(shè)備之間互聯(lián)互通導(dǎo)致攻擊路徑增多，將傳統(tǒng)網(wǎng)絡(luò)安全問題延伸到了整個(gè)工業(yè)互聯(lián)網(wǎng)的領(lǐng)域,；

(2)企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)平臺(tái)建設(shè)時(shí)會(huì)運(yùn)用到云平臺(tái)和云計(jì)算技術(shù),，在云環(huán)境下安全風(fēng)險(xiǎn)跨域傳播的級(jí)聯(lián)效應(yīng)愈發(fā)明顯，工業(yè)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)與日俱增,；

(3)企業(yè)間的工業(yè)控制系統(tǒng)和工藝流程方面差異較大,，對(duì)業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知建設(shè)的需求各不相同；

(4)通過工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知實(shí)現(xiàn)工控網(wǎng)絡(luò)安全的主動(dòng)防御,，保障生產(chǎn)系統(tǒng)安全運(yùn)行不中斷是工業(yè)企業(yè)的核心關(guān)注點(diǎn),。

基于這些特點(diǎn)，木鏈科技認(rèn)為工業(yè)互聯(lián)網(wǎng)的態(tài)勢(shì)感知與傳統(tǒng)的態(tài)勢(shì)感知存在至少兩個(gè)方面的差異：

（1）工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知會(huì)更加貼合用戶的業(yè)務(wù)場(chǎng)景,。目前整個(gè)工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知的市場(chǎng)目標(biāo)客戶主要包括兩類：第一類是監(jiān)管類態(tài)勢(shì)感知平臺(tái),，對(duì)象主要是工信、公安等,；第二類是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)類態(tài)勢(shì)感知,，對(duì)象主要是各行業(yè)的工業(yè)企業(yè)客戶等。這一類客戶在進(jìn)行工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知建設(shè)時(shí)首先關(guān)注的是四個(gè)方面：

一是現(xiàn)場(chǎng)工控系統(tǒng)品牌眾多,，通訊協(xié)議各不相同,，怎么將這些協(xié)議和通訊內(nèi)容識(shí)別出來；

二是工業(yè)現(xiàn)場(chǎng)設(shè)備多種多樣,，因而需要采集的工業(yè)種類特別多；

三是在企業(yè)數(shù)字化轉(zhuǎn)型的過程中,，傳統(tǒng)IT企業(yè)理解不夠,；

四是貼合用戶的業(yè)務(wù)場(chǎng)景才能真正實(shí)現(xiàn)降本增效。

（2）在工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知建設(shè)中,，核心知識(shí)庫(kù)的積累關(guān)鍵,。態(tài)勢(shì)感知在實(shí)現(xiàn)現(xiàn)場(chǎng)數(shù)據(jù)采集到最終威脅呈現(xiàn)過程中，需要靠核心知識(shí)庫(kù)進(jìn)行相關(guān)的賦能,。核心知識(shí)庫(kù)的好壞或者所積累的深度,、廣度直接關(guān)系到工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知的好壞。

關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知發(fā)展,，陳超指出了未來的三個(gè)方向：業(yè)務(wù)融合化,、安全內(nèi)生化,、信息爆炸化。

·業(yè)務(wù)融合化

通常的項(xiàng)目在進(jìn)行相關(guān)網(wǎng)絡(luò)安全建設(shè)時(shí),，會(huì)先從底層去建設(shè)完整的安全防護(hù)體系,。之后，通過在公司層面或集團(tuán)層面建立相關(guān)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái),，將安全信息收集起來進(jìn)行相關(guān)網(wǎng)絡(luò)威脅分析等一系列操作,。

而工業(yè)互聯(lián)網(wǎng)的建設(shè)有所不同，企業(yè)更關(guān)注整個(gè)業(yè)務(wù)系統(tǒng)的安全,，首先建立融合業(yè)務(wù)的集中化監(jiān)測(cè),，在此基礎(chǔ)上融入信息安全相關(guān)的數(shù)據(jù)和內(nèi)容來實(shí)現(xiàn)整個(gè)融合業(yè)務(wù)的工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)的建設(shè)。因此在建設(shè)思路上有相應(yīng)的區(qū)別,。

關(guān)于業(yè)務(wù)融合化,，陳超舉例說明。

上圖從工業(yè)互聯(lián)網(wǎng)上微機(jī)界面看到-999℃的數(shù)值,，這明顯是一個(gè)有問題的數(shù)值,。問題的來源是由于現(xiàn)場(chǎng)的儀表故障所造成的，還是由于PLC故障導(dǎo)致的傳輸錯(cuò)誤,，還是遭遇網(wǎng)絡(luò)攻擊所產(chǎn)生的錯(cuò)誤……如果為了網(wǎng)絡(luò)安全,，需要聯(lián)動(dòng)IT部門、儀表部門一起檢查問題的所在,，是比較費(fèi)時(shí)費(fèi)力的事情,。

如果有了一個(gè)融合業(yè)務(wù)，融合了生產(chǎn)安全和信息安全的一套工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái),，由于其本身接入了生產(chǎn)數(shù)據(jù)和信息安全數(shù)據(jù),，因此做相關(guān)問題的溯源定位就非常簡(jiǎn)單容易。

·安全內(nèi)生化

工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)的建設(shè)以不引入新的風(fēng)險(xiǎn)點(diǎn)為前提,，同時(shí)逐步實(shí)現(xiàn)工業(yè)控制系統(tǒng)的內(nèi)生安全,。

如果要實(shí)現(xiàn)內(nèi)生安全，首先要做國(guó)產(chǎn)化,，實(shí)現(xiàn)安全的軟硬件環(huán)境,；同時(shí)進(jìn)行相關(guān)自主設(shè)計(jì)來實(shí)現(xiàn)自主協(xié)議的通信，通過以上兩個(gè)方向?qū)崿F(xiàn)安全內(nèi)升化的工作,。

·信息爆炸化

企業(yè)在建設(shè)工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知時(shí),，不只有自身數(shù)據(jù)接入辦公系統(tǒng)、工控系統(tǒng)和物聯(lián)網(wǎng)終端設(shè)備,，在企業(yè)的外部會(huì)對(duì)接到工業(yè)互聯(lián)網(wǎng)平臺(tái),、外部供應(yīng)鏈企業(yè)以及工業(yè)APP，多方位來源數(shù)據(jù)的接入,，需要一個(gè)強(qiáng)大的大數(shù)據(jù)處理能力來支撐,。

陳超介紹,，木鏈科技在多方面開展了技術(shù)創(chuàng)新。

在工控協(xié)議的深度解析方面,，市面上常見的解析方式有兩種：

第一,，采用在交換機(jī)中抓取相關(guān)的流量做語(yǔ)義猜測(cè)。通過抓取相關(guān)的數(shù)據(jù)包之后對(duì)其中一些字段進(jìn)行替換分析,，完成語(yǔ)義猜測(cè),。實(shí)現(xiàn)起來比較簡(jiǎn)單，但是對(duì)協(xié)議解析的深度不夠,，解析的字段較少,。

第二，通過固件逆向的方式,。通過上位機(jī)和下位機(jī)提取相關(guān)固件,，對(duì)于固件進(jìn)行反編譯和反匯編等操作，變成二進(jìn)制代碼,，通過對(duì)二進(jìn)制的逆向能夠完整地還原出整個(gè)工業(yè)協(xié)議字段所代表的意思,。

木鏈科技在第二種方式上有較深的技術(shù)積累。結(jié)合協(xié)議解析的一些手段,，目前在指令級(jí)解析的基礎(chǔ)上做到了更深層次語(yǔ)義級(jí)的深度解析能力,。

在自主協(xié)議設(shè)計(jì)方面，木鏈科技也在積極探索自主安全的工業(yè)協(xié)議設(shè)置,。通常的工業(yè)控制系統(tǒng)中的通訊,，一般是上位機(jī)正向的通訊方式，由上位機(jī)發(fā)起,，下位機(jī)開啟固定的端口接收相關(guān)的數(shù)據(jù)和指令,。因此，下位機(jī)非常容易被識(shí)別以及收到相關(guān)攻擊,。

反向通訊就是由下位機(jī)發(fā)起相應(yīng)的通訊請(qǐng)求,，只有建立通訊的上位機(jī)才能給下位機(jī)發(fā)射相關(guān)的數(shù)據(jù)和指令，以此簡(jiǎn)單地把下位機(jī)面臨的防護(hù)壓力轉(zhuǎn)移到上位機(jī),，同時(shí)針對(duì)上位機(jī)采用成熟的防護(hù)手段來提供安全防護(hù),。

在高速數(shù)據(jù)處理引擎方面，由于數(shù)據(jù)來源廣泛,，為了能實(shí)時(shí)對(duì)數(shù)據(jù)內(nèi)容進(jìn)行處理，就需要強(qiáng)大的數(shù)據(jù)處理引擎來支撐,。木鏈科技在數(shù)據(jù)采集,、協(xié)議解析、數(shù)據(jù)存儲(chǔ),、異常分析過程中都采用了相關(guān)的高速數(shù)據(jù)處理引擎技術(shù),，實(shí)現(xiàn)對(duì)海量數(shù)據(jù)的實(shí)時(shí)分析,。

到底態(tài)勢(shì)感知系統(tǒng)是如何運(yùn)行的？陳超列舉了兩個(gè)案例加以介紹,。

·工信部工控安全態(tài)勢(shì)感知節(jié)點(diǎn)應(yīng)用試點(diǎn)項(xiàng)目

工信部本身建立了國(guó)家級(jí)公共安全態(tài)勢(shì)感知平臺(tái),，但是在企業(yè)側(cè)的數(shù)據(jù)采集上相對(duì)薄弱。木鏈科技的工控安全態(tài)勢(shì)感知節(jié)點(diǎn)項(xiàng)目在10家試點(diǎn)企業(yè)進(jìn)行了部署,，一方面捕捉網(wǎng)絡(luò)攻擊的行為,，另一方面將采集到的數(shù)據(jù)上傳到國(guó)家平臺(tái)，為國(guó)家級(jí)態(tài)勢(shì)感知的監(jiān)測(cè)賦能,。

·中船集團(tuán)某所安全靶場(chǎng)及威脅情報(bào)中心建設(shè)項(xiàng)目