基于共享的工业互联网威胁情报管理体系初探

郑 重，郑忠斌，王潇潇

（工业互联网创新中心（上海）有限公司，上海 200032）

1 工业互联网安全现状及威胁情报共享意义

1.1 工业互联网的安全现状

随着网络的发展，基于互联网的安全事件频发，从“斯诺登”、Sony黑客、苹果的XcodeGhost，到2017年的蠕虫勒索病毒WannaCry等一系列的安全事件，让人们对信息及网络的安全越来越重视。工业互联网对提升我国工业化整体水平、实现我国制造强国的目标至关重要，已经上升为国家战略。工业互联网广泛涉及众多国家重点行业或领域，关乎国计民生、公共利益和国家安全，其带来的安全隐患已经引起国家的重视。近年来，国际上频发的工业互联网安全问题，如震网病毒、乌克兰和委内瑞拉电网等事件说明，完备的工业互联网安全机制在应对危机上具有重要意义[1]。

我国基础设施和高端制造企业长期依赖进口，存在着大量国外设备，同时，国内一些高端设备，如飞机发动机、高精数控机床等核心元器件还依赖从发达国家进口，这些元器件内部机理和通信协议存在的自身设计漏洞不能完全掌握，有被植入后门的风险。这些都对我国工业互联网发展埋下隐患，工业互联网安全治理刻不容缓。

1.2 威胁情报共享的意义

威胁情报的特点是存在一定复杂性。面对当前日益严峻的威胁形势，各自为政地分头开展情报采集工作，易形成“信息孤岛”，增大情报搜集成本，而且限制了情报在各组织之间的积极流动，不利于形成健康、高效的威胁情报生态系统。打破藩篱，加强各信息系统协同互助，构筑宽共享、全联通的信息共享环境，可使威胁情报价值最大化。

工业互联网安全已经被上升为国家战略，直接影响国家工业互联网计划的开展和实施。威胁情报的共享，不仅是数据的共享，更是整个国家工业互联网安全领域体系建设的重要一环。通过威胁情报共享体系的建设，推动国家针对工业互联网安全出台相应法规、指导意见，设立专门的管理及监督部门、培养专业的安全人才，促进我国工业互联网安全领域向更高层次的全面发展。

2 国内外工业互联网威胁情报共享政策成果

2.1 国外信息安全共享政策成果

2015年发布的《2015年网络安全法》是美国当前规制网络安全信息共享的一部较为完备的法律。2016年9月，美国工业互联网联盟发布《工业互联网安全框架》，为工业互联网安全提供了全面的指导[2]。2018—2019年，以《工业互联网安全框架》为指导，该组织接连发布了《端点安全最佳实践》白皮书、《安全成熟度模型：描述和预期效果》白皮书，《安全成熟度模型：从业者指南》白皮书，说明美国工业互联网安全研究已经在实践层面全面展开。美国共享机制紧紧围绕安全信息共享过程中各参与方的平衡，对参与安全信息共享的企业级组织的激励等[3]。美国关于信息安全共享的经验以及在工业互联网安全方面层层推进从理论到实践的方法值得人们借鉴。

欧洲早在2004年就成立了“欧洲网络与信息安全局”，该部门负责组织、协调欧盟各成员国的网络信息安全战略规划、实践、基础设施保护和应急响应等工作，该局在2013年发布了《工业控制系统网络安全白皮书》，以应对数据采集及监控系统的预防和防御。信息安全共享还包括信息安全人才的培养。欧洲网络与信息安全局还在2014年10月发布了《欧洲网络信息安全教育项目路线图》，重点针对网络信息安全教育领域的工作者。

2.2 我国相关政策及法律

2017年6月，我国颁布了《中华人民共和国网络安全法》，成为我国网络安全领域的基础法律。2018年年初公布的《工业互联网平台标准化白皮书》以参考架构为分析标准化需求的理论体系，以综合标准化为标准化工作的总方法，系统分析工业互联网平台的标准化需求，以构建工业互联网平台新型标准体系为目标，提出了亟待研制的关键标准及方向建议，为下一步开展工业互联网平台标准化工作提供参考和指引[4]。2019年8月工信部等十部门印发《加强工业互联网安全工作的指导意见》，为我国工业互联网安全指明了阶段目标和实施策略。从工业互联网安全着手，提出了工业互联网安全工作的7大关键任务[5]。

我国各项法律及指导意见发布的频率越来越频繁，可以看出国家对工业互联网安全领域的重视，但我国工业互联网安全领域起步较晚，尚未形成标准的体系，需要进一步加强工业互联网安全相关的体系建设。

3 基于共享的工业互联网威胁情报管理体系

3.1 管理体系建设的必要性

随着工业互联网的发展，平台的数量、功能持续增加和更新，接入平台的行业、企业、终端、服务对象激增，工业互联网各参与方的利益、诉求需要平衡。如此庞大的系统规模和复杂程度，没有一套完善的安全管理体系，一旦发生安全问题，影响对象、波及范围将无法控制，平台安全体系的重要性不言而喻，而充分利用威胁情报共享机制，是应对安全问题的重要途径。

通过共享平台的建设，统一数据采集和数据处理的标准，实现威胁情报收集。构建多租户模式，对数据对象进行分权分域，数据集中与共享管理，减少管理和控制成本，加快工业互联网在工业信息化产业中的布局，让工业充分享受互联网带来的便利。

以威胁情报管理体系的建设为抓手，加深平台与平台之间、平台接入的参与主体之间的威胁情报共享，激发各参与方的积极性，共同参与建设可持续发展的共享的威胁情报管理体系。

3.2 管理体系设计

工业互联网威胁情报管理体系的建设不仅是平台的建设，更是以平台为信息载体的包括管理规范、体系规划、人才培养、平台建设、信息共享在内的复杂的系统工程。

3.2.1 突出国家的顶层设计的作用

工业互联网安全体系建设是工业互联网3大功能体系建设之一。基于共享的互联网威胁情报管理体系的建设，不仅是平台建设，更是应该涵盖立法及监管、奖罚制度、行业及部门协调、人才培养和管理、平台规划、数据管理规划等方面的系统工程。

如此庞大的系统工程，只有在国家统一的规划下，在国家公信力的影响下，从国家战略角度出发，制订出符合国家工业互联网行业长远、健康、稳定发展的目标和规划，才可能协调和平衡各方的利益，让各参与方在自愿平等的基础上交换威胁情报，达到共享共赢的目的。

3.2.2 建立完备的法律保障体系

我国已经逐步发布了一些法律和指导意见，如《中华人民共和国网络安全法》《加强工业互联网安全工作的指导意见》，发布频率也逐渐加快。但还没有一部统一的工业互联网安全相关的法律，因此，在具体监管、实施过程中，会遇到由于界定模糊、权责重叠等原因导致的阻力和困难。

在工业互联网安全立法方面，要坚持与国家安全法、中华人民共和国网络安全法等国家现有法律有效衔接，维护国家工业互联网络安全，切实保障工业互联网领域中企业及相关个人的合法权益。在相关法律发布后，要及时发布指导意见和实施细则，切实增强法律法规的可操作性。

3.2.3 明确管理机构及权责

在国家层面应先建立“权责统一、层级分明、分工协作”的工业互联网安全组织体系。维护工业互联网信息安全，有赖于政府主导、机构协作以及企业等多方力量的共同推动，政府无论从有效性还是权威性角度看，均是主导力量。根据具体需求有效整合现有行政资源，在现有资源基础上，重构更为权责统一的行政组织体系，全面提升我国对工业互联网安全威胁在规划、防范、应对上的整体实力，全面完善我国在威胁情报共享领域中信息收集、分析、共享的整体机制。

3.2.4 加强工业互联网安全人才持续培养

工业互联网安全人才是解决工业互联网安全问题、保持工业互联网健康、稳定发展的重要因素。因此，要从国家安全战略发展出发，制定工业互联网安全人才战略规划，确定人才培养标准，出台相关的激励政策，鼓励更多人才投身于工业互联网安全领域。

与传统行业不同，对安全人员的要求也不同，除网络安全相关技能外，还必须有各领域、各行业专业技能和快速学习的能力。鼓励各领域专业人才向安全领域转型也是缓解当前安全人才短缺，解决人才培养与现实需求脱节问题的手段之一。

3.2.5 基于共享的威胁情报应用平台设计

根据《加强工业互联网安全工作的指导意见》和《工业互联网平台标准化白皮书》的规划及指导，将基于共享的工业互联网威胁情报应用平台设计如图1所示。

图1 基于共享的工业互联网威胁情报平台设计

平台按数据的处理和应用分为数据采集层、数据处理层、平台应用层和用户场景层4个层次，具体如下：（1）数据采集层，负责从系统内外部获取数据。（2）数据处理层，将采集到的数据清洗、分析、挖掘、存储，并形成面向应用的数据子集。（3）平台应用层，分为安全监测与态势感知平台和安全情报共享支撑系统两个子平台。两子平台是将威胁情报从数据转向应用的重要一环。（4）用户场景层，根据企业监管部门、工业互联网平台、企业的需求不同，数据权限等级不同，展示相关内容。

平台应用层是威胁情报数据从数据转向应用，从孤立转向共享的关键步骤，本文将应用层平台功能和职责划分为安全监测与态势感知子系统和安全情报共享支撑子系统，两个子系统分别由4个应用模块组成。

首先，安全情报共享支撑子系统设计如下：

（1）威胁信息数据中心子系统。实现工业互联网安全情报共享支撑系统的数据库设计、选型、安全与基础库，用于威胁信息数据存储。

（2）威胁信息数据应用子系统。实现工业互联网威胁情报数据的汇聚、治理、运营和应用，包括基于应用需求场景的数据分析、结果发布，具体体现威胁情报数据价值。

（3）威胁信息安全分析子系统。实现工业互联网威胁情报源管理和工业互联网威胁情报数据融合分析，支持全流量数据分析，并具备丰富的可视化数据展示和人机交互界面。

（4）威胁信息门户网站子系统。面向工业互联网企业提供威胁信息展示门户，通过建设内外部门户网站达到威胁情报真正利用和信息共享。

其次，安全监测与态势感知子系统设计：

（1）安全态势展现系统。针对现场采集的工业互联网网络与设备的数据进行关联分析，通过安全威胁分析平台模型，对工业互联网基础设施系统全局网络安全状况进行综合分析与评估。

（2）安全预警和应急响应系统。基于区域工业互联网，通过全景化的智能分析提供给用户应急预案及响应的辅助决策能力。支持工业互联网领域按时间、空间、粒度等的部署和启动特定的安全应急流程，同时监督、督促工业互联网企业进行整改。

（3）被动诱捕态势感知。通过对各类工业互联网的数据采集进行后期分析，可了解针对目标系统发动的最新攻击和漏洞，收集工业互联网领域中黑客所用的各种工具等。通过部署蜜罐系统进行威胁情报信息收集，蜜罐作为故意让人攻击的目标，引诱黑客前来攻击。

（4）在线风险探知模块。平台通过专用设备主动探知暴露在互联网上的工业互联网平台设施资产。实现对暴露在互联网的工业互联网设备的快速扫描。

在平台规划方面，顶层设计者还应考虑平台的层级划分，如可以按区域划分为国家级平台、省级平台和企业平台，按行业可以划分为国家平台、行业平台、企业平台。

3.2.6 制定符合工业互联网的数据管理标准

从国内金融、通信、银行领域多年的信息化系统建设中可以看到，由于没有统一的数据标准、元数据标准，信息逐步聚合过程中花费了大量的时间和人力进行数据的清洗和标准化。据统计，在大型数据仓库项目建设过程中，数据清洗和标准化的工作量超过整个项目工作量的一半以上。从工业互联网系统的数据看，涉及多领域、多行业、多设备种类、多应用场景，如果没有统一的数据标准管理尤其是元数据标准管理，工业互联网平台的融合及威胁情报的共享根本无从谈起。

根据工业互联网特点及平台规划，对共享威胁情报数据标准管理建议如下：

（1）元数据规范先行。元数据是描述数据的数据，只有元数据规则统一，多平台多领域的数据才有共享的前提。根据数据的分类，工业互联网元数据规范应包括基础类或通用类元数据、行业元数据两大类。基础类或通用类元数据是在行业元数据基础上提炼出的，可以跨领域、跨设备的元数据类型，行业元数据是仅针对某一行业或领域定义的元数据类型。

（2）数据采集加工及存储标准化。将数据按结构化数据和非结构化数据的划分，分别以不同的模式进行数据采集，要保障数据采集的准确性和完整性。数据存储上，对不同来源的数据采用统一的命名规则，便于后续对数据进行清洗、关联和整合。通过标准化的数据采集和数据存储规则，提高数据的利用效能，为进一步威胁情报数据的分析、应用打下坚实基础。

（3）数据安全及权限管理。针对工业互联网威胁情报数据的特点，对威胁情报数据实施数据等级管理制度，包括：公有威胁情报和私有威胁情报域的划分；各级平台及工业互联网各参与方的威胁情报访问权限及权限变更的标准；各级平台及工业互联网各参与方威胁情报认证及标准。

4 结语

工业互联网是国家发展重要战略，而随着工业互联网的飞速发展，安全问题已经引起国家的重视。作为工业互联网安全的研究者及实践者，不能仅将目光集中在平台建设上，而是要清楚威胁情报管理体系是一个庞大的系统工程，涉及法规建设、人才培养等众多环节以及各环节之间的联通。本文在深入分析了国内外工业互联网发展及威胁情报共享成果的基础上，对基于共享的工业互联网威胁情报管理体系的建设从立法、机构、人才培养、平台规划及数据管理层面进行了讨论，希望国内的工业互联网安全体系能够尽快建立，以适应工业互联网的快速、稳定发展，为工业互联网这一国家战略保驾护航。