【摘 要】 本文通过对网络空间资源测绘技术的深入研究，详细介绍了工业互联网中的若干资源测绘技术，并重点构建了工业互联网资源测绘与安全分析平台体系架构，有效提高了工业互联网整体可控力和安全水平。

【关键词】 工业互联网 网络空间测绘技术 资源测绘

1 引言

工业互联网是新一代网络信息技术与制造业技术深度融合的产物，是工业实现数字化、网络化、智能化发展的重要信息基础设施，为我国实现制造强国、网络强国提供重要战略发展机遇。作为支撑国民经济的重要基础设施，工业互联网是工业各行业、企业的“神经中枢”，一旦遭受攻击，将可能造成全生产链、产业链乃至全局性重创，对国家的经济社会稳定运行和国家安全造成巨大冲击。

安全是工业互联网健康发展的前提和保障，受到党中央、国务院高度重视。《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》中，将安全保障与网络、平台建设并列，成为工业互联网的三大体系之一。全面提升工业互联网安全保障能力，是促进工业互联网创新发展，推动现代经济体系建设，护航制造强国和网络强国战略实施的应有之举。然而，当前我国工业互联网资源存在“底数不清”“安全不明”“防护不够”的突出问题，譬如，无法准确统计中国工业互联网资源数量、分布地域、类型/品牌/型号/版本、工作状态、安全隐患、被控情况，缺乏对工业互联网资源及其安全性的准确把握。开展工业互联网资源测绘和安全分析平台体系研究，重点对工业互联网在网设备系统拓扑实时感知、网络与地理空间多方资源关联映射等功能进行研究，可有效实现跨地区、跨行业、跨领域的工业互联网资源图谱、安全图谱分析，安全风险监测，风险预警，损害评估和安全态势可视化能力等为一体的全方位安全能力管控，有力支撑工业互联网管理部门安全监管工作。

2 工业互联网中相关资源测绘技术

工业互联网资源测绘技术是在网络空间资源测绘技术的基础上，利用工控协议识别互联网上工控系统和设备，并通过对设备IP地址进行地理空间映射，实现工业互联网资源地图绘制的技术。一方面，互联网工业资源测绘本质上是资源探测，它利用扫描技术对指定IP段按一定规则进行探测扫描，对各网络节点反馈的信息进行指纹对比分析，实现对互联网工业资源的身份识别与安全状态识别；另一方面，互联网工业资源测绘也是资源地图绘制，通过对探测到的工业互联网资源的IP进行精确定位，实现互联网工业资源的地理空间映射和工业互联网资源地图的绘制。工业互联网中相关资源测绘技术主要包括网络空间资产探测技术、网络空间资产地理位置定位技术、实体地标获取与评估技术、网络实体定位技术、资源图谱的脆弱性分析技术等。

2.1 网络空间资产探测技术

目前，国内外开展网络空间资源测绘的探测识别技术主要利用主动探测技术来绘制网络空间中的设备画像。主动探测是利用扫描探测工具去主动扫描网络系统获取信息，被动探测方法则是通过尽可能少的网络侵扰，被动监听网络获取信息。从技术实现效果来看，主动探测是国内外对网络资产进行探测的主流技术方式。这是因为主动探测能够针对需要探测的信息构建指令，可收集所有生成设备指纹所需要的信息，而被动式探测只能收集会话通道信息。因此，主动探测技术在探测范围、使用灵活性、结果时效性方面都远超被动识别技术。但主动探测也会带来一些明显的问题。例如，主动探测扫描因为向网络主动发起询问，导致流量显著增加，更易造成网络繁忙，易被检测且容易被检测目标的网络安全设备发现并隔离；再如，在数据采集与监视控制系统中，主动式扫描可能造成系统过载，主动调试会使设备处理的帧数据的数量增长，可编程逻辑控制器和远程终端设备均无法支持超出的流量，从而导致正常请求无法响应。被动式监听网络由于收集信息复杂则存在指纹准确性问题。

2.2 网络空间资产地理位置定位技术

在资源地图的绘制方面，其核心关键在于准确掌握互联网工业资源的地理位置，即资产定位。网络空间资产定位通常采用的技术手段如下：首先，由定位服务器在收到待定位目标的IP地址后，根据定位精度需求和定位算法的需要部署探测源，并向各探测源(探测源是用于给目标发送探测分组的主机，一般自身地理位置已知)发送相应的测量或查询指令；其次，探测源根据收到的定位服务器的指令，执行相应的操作，如测量与目标或地标的时延或拓扑连接关系等，并将测量的结果提交给定位服务器；最后，定位服务器将探测源提交的信息进行处理后，执行定位算法，将定位结果输出并存入地标库。