工业互联网安全监管类平台能力评价体系研究

金夏垚，黄 颖，周成胜

(1.中移(杭州)信息技术有限公司，浙江 杭州 311121；2.信通院(江西)科技创新研究院有限公司，江西 南昌 330096；3.中国信息通信研究院 安全研究所，北京 100191)

0 引言

新一代信息技术与实体经济深度融合，工业互联网迅猛发展，成为推进制造强国和网络强国的重要基础，但其开放、跨域、互联的特点也使得网络安全问题非常突出[1]。做好工业互联网网络安全工作，是工业互联网健康快速发展的重要前提和保障。根据《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》关于“推动安全技术手段建设，提升隐患排查、攻击发现等技术能力”的要求[2]，建设国家、省、企业三级协同的工业互联网安全监测与态势感知平台，是加强国家工业互联网安全保障的重要工作。各省、自治区、直辖市相关监管单位正积极推进工业互联网安全监管类平台建设工作。其中，部分平台已经完成建设，部分平台正在建设推进或暂未开始建设。亟待针对已完成建设的平台开展事后能力评价，总结建设经验，进一步指导处于其他建设阶段的平台更好地开展事前方案规划、事中建设管理。

通过对当前研究成果进行深入分析发现，目前研究主要是围绕如何做好工业互联网安全监测的，少量研究是关于如何建设工业互联网安全监测及态势感知类平台的，部分研究是关于其他类型平台能力评价体系方法的，缺少关于工业互联网安全监管类平台建设成效的评价方法研究成果，导致无法科学、准确、体系化评价此类平台能力。

在工业互联网网络安全风险、监测手段及平台建设理论研究方面，孙利民等人通过分析智能制造新形势下的工业互联网安全风险，从技术层面提出应对策略[3]。王荣壮也对智能制造下的工业互联网安全风险进行了应对策略分析，提出了安全体系结构、工控系统网络结构，从控制、网络、应用和数据等几个方面分析工业控制安全风险问题及如何应对工业互联网安全威胁[4]。杨佳宁等人在工业互联网安全态势感知核心技术分析中从技术角度阐述了在线监测、蜜罐仿真、网络流量分析、企业侧探针、平台安全监测五大工业互联网安全态势感知核心技术[5]。陈晓光等人在工业互联网安全监测与态势感知平台解决方案中提出采取主被动结合技术，覆盖“工厂内”和“工厂内”两个场景，对上服务于政府监管，为行业主管部门掌握某个区域的工业互联网的安全状况提供数据支撑；对下服务于工业企业安全运营，为工业企业用户感知自身企业工业风险提供安全服务[6]。上述研究为工业互联网安全监管类平台功能维度评价指标设置提供参考依据。

在平台能力评价体系研究方面，李君等人针对工业互联网平台进行了评价指标体系构建及应用研究，提出了构建平台评价框架及指标体系的基本原则，构建了3个维度、9个方面的基本框架[7]。王柯懿等人为科学评价工业互联网平台赋能制造业数字化转型能力与成效，从基础支撑、数据汇聚、新模式应用、服务创新、可持续发展5个方面建立了评价的基本框架[8]。上述研究成果为本文针对工业互联网安全监管类平台开展能力评价体系构建提供了理论方法参考。

本文基于其他类型平台能力评价体系的研究方法，结合工业互联网安全监测技术手段研究成果，听取工业互联网安全监管负责同志的业务需求，研究构建工业互联网安全监管类平台能力评价体系。

1 构建原则

工业互联网安全监管类平台能力评价体系构建应结合平台业务需求及各省、自治区、直辖市的实际情况，构建全面、有效、可行的评价体系。评价体系构建主要遵从以下三大原则。

1.1 评价体系维度全面

评价体系维度全面是客观评价工业互联网安全监管类平台能力的基础。需找准平台定位、结合监管业务需求，制定科学完备的评价维度，包括但不限于平台基础功能、覆盖范围、应用成效、扩展能力等。

1.2 评价内容考虑差异

评价内容充分考虑各地工业互联网发展现状差异是构建有效评价体系的前提。需调研了解各地工业互联网发展情况，形成一套可适用于工业互联网发展水平不同的省份开展平台能力评价的指标体系。

1.3 评价方法简单易行

评价方法简单易行是顺利开展平台能力评价工作的保障。需充分考虑评价工作开展过程时人员理解能力以及时间、精力投入情况，指标定义应清晰明确，执行评价操作简单，有助于提升参与评价工作人员的积极性，同时利于评价体系和方法的推广传播。

2 评价体系基本框架

本文在遵循评价体系构建原则的前提下，充分考虑工业互联网安全监管类平台作为各地工业互联网安全监督管理主要手段之一的平台定位，明确了平台将开展资产监测、威胁监测、风险处置以及态势感知等相关工作的业务需求，并与工业和信息化部(以下简称工信部)网络安全相关负责专家、中国信息通信研究院(以下简称信通院)平台建设方案编制专家、信通院国家级工业互联网安全态势感知平台建设专家以及平台建设企业相关专家进行沟通交流，专家基本情况如表1所示。经多轮研讨修订和完善后，最终从功能建设、覆盖范围、运营服务、扩展能力4个方面、12个维度构建评价体系基本框架，如图1所示。

图1 评价体系基本框架

表1 专家基本情况

功能建设包括联网资产识别分析功能、威胁发现分析功能、基础资源完备性，体现平台是否具备对工业互联网安全的监测与态势感知能力，是平台能够发挥作用的基础。

覆盖范围包括监测带宽覆盖率、重点工业互联网企业服务率，反映平台当前能力的覆盖范围，是平台发挥更大作用的关键。

运营服务包括监测发现成熟度、通报处置成熟度、稳定运行度，考察平台建设完成后对于监督管理工作发挥的实际效用，是平台切实发挥作用的体现。

扩展能力包括标识解析监测能力、融合业务监测能力、原始数据采集能力、重大威胁监测处置情况，反映平台在具备基础能力的前提下主动探索拓展其他工业互联网安全相关能力，是平台能力进阶的表现。

3 指标说明及评价方法

为确保评价指标体系中各维度指标定义清晰、权重分配合理、评价体系可操作性强，本文对各维度指标进行详细释义说明，并通过表1专家组成员，结合工业互联网安全监管类平台定位及业务需求，通过评估各项指标在工作中的重要性以及引导性，经十余次讨论确定了各维度指标分配权重。总计120分，基础分100分，附加分20分。其中功能建设40分，覆盖范围30分，运营服务30分，扩展能力作为附加分20分。指标说明及评价方法如下。

3.1 功能建设

联网资产识别分析功能14分，评价平台识别工业互联网资产能力，支撑资产管理、威胁与资产关联等相关工作；威胁发现分析功能16分，评价平台对于安全事件发现、恶意网络资源发现、恶意程序发现分析、安全漏洞发现等相关能力；基础资源完备性10分，评价平台工业互联网企业信息库、工业互联网平台库、工业互联网企业IP库、工业互联网企业域名库、联网设备库等基础资源库的构建情况。详细指标说明及评价方法见表2。其中涉及的支持协议数量、支持产品型号数量要求，依据调研的工业互联网安全业内6家企业支持数量及具体支持的协议类型、产品类型，给出初步要求支持的数量，再征求相关企业意见进行调整后最终得出。

表2 功能建设指标说明及评价方法

3.2 覆盖范围

监测带宽覆盖率15分，评价平台已覆盖的重点工业互联网企业专线链路带宽占应覆盖的重点工业互联网企业专线链路带宽的占比情况，应覆盖的重点工业互联网企业专线链路带宽根据实际工作需要进行统计；重点工业互联网企业服务率15分，评价平台已经接入的重点工业互联网企业数量。

因暂没有统一明确的重点工业互联网企业定义，进行平台能力评价时，可根据业务需要自行判定需要覆盖的重点工业互联网企业及数量。判定时，亦可参照工业互联网企业网络安全分类分级相关要求辅助确定。详细指标说明及评价方法见表3。

表3 覆盖范围指标说明及评价方法

3.3 运营服务

监测发现成熟度12分，评价平台能够在现网中真实监测发现到的工业互联网相关安全事件、恶意网络资源、恶意程序等数量以及监测发现的工业互联网资产数量；通报处置成熟度12分，评价平台对一般威胁切实开展的通报处置成效以及对应的配套机制建立情况；稳定运行度6分，评价平台建设完成后系统运行情况。详细指标说明及评价方法见表4。

表4 运营服务指标说明及评价方法

3.4 扩展能力

标识解析监测能力3分，评价平台对标识解析系统的接入监测情况；融合业务专题监测能力6分，评价平台对车联网、物联网的接入监测情况；原始数据采集能力8分，评价平台对原始数据的记录情况，支撑二次分析研判的能力；重大威胁监测处置情况3分，评价平台对于重大威胁的监测发现以及处置能力。详细指标说明及评价方法见表5。

表5 扩展能力指标说明及评价方法

4 结论

本文针对工业互联网安全监管类平台构建了4个方面、12个维度的能力评价体系，并对各指标进行了详细解释说明，提供了评价方法。本文研究成果弥补了当前工业互联网安全监管类平台能力评价缺少体系、没有评价方法、无法全面评价平台能力建设情况的问题。同时，通过建立工业互联网安全监管类平台能力评价体系，能够为评估《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等相关国家层面指导文件在地方落实情况提供有效的理论和方法支撑。

下一步，应加强工业互联网安全监管类评价体系应用，发现各地已建设完成的相关平台存在的问题，进一步指导平台进行问题改进和能力提升。同时，也为之后计划建设的工业互联网安全监管类平台提供建设方向指导，有助于强化平台建设方向性、目的性。