1、 安全態(tài)勢感知在制造型企業(yè)中的應用 【摘要】網(wǎng)絡安全已經(jīng)從 “努力預防”轉(zhuǎn)變?yōu)椤鞍踩\營”，從“發(fā)現(xiàn)并修補漏洞”轉(zhuǎn)變?yōu)椤斑^程持續(xù)監(jiān)控”。網(wǎng)絡安全適用“道高一尺，魔高一丈”的理論，無論你在網(wǎng)絡和系統(tǒng)中投入多少，入侵者仍可能獲勝。所以我們能做的就是在入侵者實現(xiàn)目標前盡快地發(fā)現(xiàn)、識別并做出響應，及時分析情況和通報事件，并以最小代價減輕入侵者的破壞。網(wǎng)絡安全態(tài)勢感知就是這種思路的典型體現(xiàn)。概述網(wǎng)絡安全涉及國家安全、社會安全、企業(yè)安全、個人安全，從每次的國家會議上不難看出，國家對網(wǎng)絡安全的重視程度不斷提升，甚至出臺了相關的法律法規(guī)。2012年美國提出工業(yè)互聯(lián)網(wǎng)概念，2013年德國正式發(fā)布“工業(yè)4.0戰(zhàn)略

2、計劃”，2015年中國發(fā)布“中國制造2025”，無疑印證了傳統(tǒng)制造企業(yè)向智能制造企業(yè)轉(zhuǎn)型的決心。隨著ABC（人工智能、大數(shù)據(jù)、云計算）技術的迅猛發(fā)展、數(shù)據(jù)處理和分析方法的不斷創(chuàng)新，越來越多的企業(yè)開始了解、部署相關的解決方案，從而為實現(xiàn)企業(yè)數(shù)字化應用奠定基礎。制造業(yè)作為國家的支柱產(chǎn)業(yè)之一，已經(jīng)不再是傳統(tǒng)意義上的“老三樣”，為更好的適應市場的發(fā)展，對用戶的需求快速響應，已逐漸的擁抱互聯(lián)網(wǎng)，掌握互聯(lián)網(wǎng)思維，從研發(fā)、生產(chǎn)、銷售到服務實現(xiàn)數(shù)字化鏈條。作為企業(yè)的信息安全人員深感在數(shù)字化轉(zhuǎn)型及萬物互聯(lián)的背景下，不能只關注具體點而忽略整體面。簡單粗暴的采購一大批盒式設備“堆”在網(wǎng)絡中的時代已經(jīng)一去不復返，這只

3、能帶來虛假的安全感。信息安全的“短板效應”和“木桶理論”讓我們意識到以全局視角去看待它，而且這種整體視角是基于動態(tài)博弈的暫時平衡。什么安全態(tài)勢感知？網(wǎng)絡安全態(tài)勢感知是利用各種探測技術獲取大量網(wǎng)絡安全數(shù)據(jù)，分析并判斷當前整個網(wǎng)絡的安全狀態(tài)，根據(jù)內(nèi)置的安全模型預測未來安全風險趨勢。網(wǎng)絡安全已經(jīng)從 “努力預防”轉(zhuǎn)變?yōu)椤鞍踩\營”，從“發(fā)現(xiàn)并修補漏洞”轉(zhuǎn)變?yōu)椤斑^程持續(xù)監(jiān)控”。網(wǎng)絡安全適用“道高一尺，魔高一丈”的理論，所以無論你在網(wǎng)絡和系統(tǒng)中投入多少，入侵者仍可能獲勝。所以我們能做的就是在入侵者實現(xiàn)目標前盡快地發(fā)現(xiàn)、識別并做出響應，及時分析情況和通報事件，并以最小代價減輕入侵者的破壞。網(wǎng)絡安全態(tài)勢感知就

4、是這種思路的典型體現(xiàn)，通過獲取海量數(shù)據(jù)與事件，直觀、動態(tài)、全面、細粒度地提取各類網(wǎng)絡攻擊行為，并對其進行理解、分析、預測及可視化，從而實現(xiàn)態(tài)勢感知。安全團隊把安全態(tài)勢感知平臺作為安全運營的眼睛，發(fā)現(xiàn)傳統(tǒng)安全平臺和設備不能監(jiān)測到的事件，將網(wǎng)絡上似乎無關的事件有機的關聯(lián)起來，從而更有效地排查安全事件并做出響應?？傮w而言，可將安全態(tài)勢感知拆解成三個階段：數(shù)據(jù)提取通過各種提取技術對全網(wǎng)設備、流量中的關鍵安全數(shù)據(jù)進行收集，按照既定規(guī)則，獲取剛需數(shù)據(jù)；數(shù)據(jù)分析通過內(nèi)置模型、知識庫、云端數(shù)據(jù)庫以及人工智能自學習模式了解攻擊造成的影響、攻擊的行為意圖以及當前態(tài)勢發(fā)生的原因和方式；風險預測跟蹤安全態(tài)勢的演化方式

5、，評估當前安全態(tài)勢的發(fā)展趨勢，預測攻擊者將來可能采取的行動路徑。其實，安全態(tài)勢感知平臺被設計之初，是希望可以在沒有人工干預的情況下進行自動化感知和防御，但當前的技術發(fā)展還未能完全達到如此智能化的水平。仍需要硬件設備、計算軟件的協(xié)助，借助人工參與決策。安全態(tài)勢感知的功能和好處安全態(tài)勢感知已經(jīng)成為網(wǎng)絡安全領域最熱的話題之一，幾乎每個安全公司都在研究和推廣，更是各大安全會議和展會上的“?？汀薄８鞣N各樣的酷炫態(tài)勢感知大屏，讓不少用戶產(chǎn)生了困惑，到底安全態(tài)勢感知有什么用處？對企業(yè)的信息安全有什么益處？真正的安全態(tài)勢感知是為了安全能力的落地，集全網(wǎng)安全可視、檢測、預警及響應于一體，具備但不限于以下的好處：

6、感知網(wǎng)絡資產(chǎn)：隨著數(shù)字化進程的推進，IT系統(tǒng)越來越復雜，越來越多。由于管理不善，企業(yè)中或多或少存在無主資產(chǎn)、僵尸資產(chǎn)，且這些資產(chǎn)長時間無人維護，存在大量的漏洞和配置違規(guī)，為用戶網(wǎng)絡安全帶來了極大隱患。感知網(wǎng)絡資產(chǎn)是態(tài)勢感知平臺的標準功能之一，通過主動探測的方式對網(wǎng)絡中的資產(chǎn)進行探測，通過強大的資產(chǎn)指紋庫建立各類型資產(chǎn)的特征，包括網(wǎng)絡設備、安全設備、各類操作系統(tǒng)、數(shù)據(jù)庫和應用中間件等，進行識別資產(chǎn)并完成資產(chǎn)屬性的補全，最終實現(xiàn)未知資產(chǎn)的發(fā)現(xiàn)、識別與管理。感知資產(chǎn)脆弱性：脆弱性主要用于資產(chǎn)漏洞和弱口令的檢查。脆弱性已經(jīng)成為網(wǎng)絡攻擊者入侵網(wǎng)絡竊取信息，破壞系統(tǒng)的重要入口。態(tài)勢感謝系統(tǒng)通過采用基線安全

7、配置檢測工具，獲取主機、服務器和網(wǎng)絡設備等資產(chǎn)的配置信息，并與配置基線進行比較，發(fā)現(xiàn)資產(chǎn)配置的脆弱性。及時通知各系統(tǒng)的管理員盡快解決。感知安全事件：企業(yè)為保證網(wǎng)絡系統(tǒng)的安全運行，在網(wǎng)絡安全方面會采用“縱深防御模型”進行威脅防護。采購防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)和安全審計系統(tǒng)等安全設備。這些安全設備會產(chǎn)生大量違反安全策略和安全規(guī)則的告警事件，且事件類型繁多，易出現(xiàn)誤報。這些安全設備產(chǎn)生的日志相對獨立，無聯(lián)動性。通過態(tài)勢感知平臺對網(wǎng)絡安全事件數(shù)據(jù)進行關聯(lián)整合，并通過過濾、聚合等手段去偽存真，發(fā)掘隱藏在這些數(shù)據(jù)之后的事件之間的真實聯(lián)系，確定事件的時間、地點、人物、根因和結(jié)果。感知網(wǎng)絡威脅：隨著

8、技術的不斷進步，網(wǎng)絡攻擊行為逐漸呈現(xiàn)分布式、智能化等趨勢。傳統(tǒng)的威脅防御機制已經(jīng)無法阻攔多變的攻擊手段，給信息安全從業(yè)人員帶來巨大挑戰(zhàn)，尤其是類似APT的攻擊。利用態(tài)勢感知平臺，鏡像內(nèi)部網(wǎng)絡流量數(shù)據(jù)、日志數(shù)據(jù)和安全等數(shù)據(jù)，進行大數(shù)據(jù)分析、AI技術的異常行為檢測，發(fā)現(xiàn)隱藏在海量數(shù)據(jù)中的網(wǎng)絡異常行為。感知網(wǎng)絡攻擊：態(tài)勢感知平臺可以收集當前網(wǎng)絡中的攻防對抗數(shù)據(jù)，實時展現(xiàn)當前網(wǎng)絡中的攻防對抗實況，挖掘各種攻擊行為，如端口掃描、口令猜測、拒絕服務攻擊等。同時利用網(wǎng)絡異常行為檢測和歷史攻擊信息，分析潛藏的高危攻擊行為和未知威脅，抽取高價值的威脅情報。感知安全風險：態(tài)勢感知平臺通過感知資產(chǎn)、脆弱性、安全事件

9、、安全威脅和安全攻擊，進一步進行數(shù)據(jù)融合分析，建立全網(wǎng)的安全風險指標體系和風險評估模型，繪制出企業(yè)的信息安全風險趨勢。為信息部門決策者提供有利的決策依據(jù)。制造型企業(yè)的數(shù)字化轉(zhuǎn)型隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的發(fā)展，已經(jīng)沒有傳統(tǒng)意義上的制造型企業(yè)了。正如馬云說的，“未來三十年，世界不屬于互聯(lián)網(wǎng)公司，而是屬于用好互聯(lián)網(wǎng)的公司” ，傳統(tǒng)制造企業(yè)已經(jīng)從嘗試互聯(lián)網(wǎng)轉(zhuǎn)型為依托互聯(lián)網(wǎng)，被稱為新制造，它不再是標準化、規(guī)模化，而是定制化和智能化。數(shù)字化轉(zhuǎn)型已經(jīng)成為勢不可擋的趨勢，根據(jù)著名的咨詢機構(gòu)IDC和其他咨詢機構(gòu)的預測，2020年全球數(shù)字化轉(zhuǎn)型相關的產(chǎn)業(yè)的增加值會達到18萬億美元。制造企業(yè)如何快速完成數(shù)字化

10、轉(zhuǎn)型，已經(jīng)成為企業(yè)所關注的重點領域。什么是工業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)概念在2012年11月由美國通用電氣提出，旨在指導企業(yè)從傳統(tǒng)工業(yè)企業(yè)，向數(shù)字工業(yè)企業(yè)轉(zhuǎn)型，基于工業(yè)互聯(lián)網(wǎng)的數(shù)字工業(yè)時代。我們可以把工業(yè)互聯(lián)網(wǎng)看作是數(shù)據(jù)、硬件、軟件和網(wǎng)絡的互動，通過各種技術獲取工業(yè)設備各種數(shù)據(jù)，利用大數(shù)據(jù)平臺進行存儲、分析和可視化，提供可靠的、有價值的數(shù)據(jù)，供決策者使用，并作出相對準確的判斷。工業(yè)互聯(lián)網(wǎng)對傳統(tǒng)制造型企業(yè)的意義從國家層面，在政府工作報告中就已經(jīng)指出，要大力推動傳統(tǒng)產(chǎn)業(yè)改造提升，打造工業(yè)互聯(lián)網(wǎng)平臺，拓展“智能+”，為制造業(yè)轉(zhuǎn)型升級賦能。隨著通信技術的快速發(fā)展和數(shù)字化應用的普及，新一輪的工業(yè)革命正在展開。制

11、造型企業(yè)利用5G，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等先進信息技術，為制造業(yè)的數(shù)字化轉(zhuǎn)型提供堅實的技術支撐。制造型企業(yè)擁抱“智能+”具備深遠的意義：促進傳統(tǒng)企業(yè)向生產(chǎn)服務型企業(yè)轉(zhuǎn)型目前工業(yè)互聯(lián)網(wǎng)依然處在初級應用階段，主要體現(xiàn)在設備互聯(lián)加分析或者業(yè)務系統(tǒng)互聯(lián)加分析。不就的將來，隨著通信技術不斷的發(fā)展及大數(shù)據(jù)、云計算、邊緣計算、人工智能技術的不斷深化，可以在萬物互聯(lián)的基礎上實現(xiàn)更加復雜的分析和預測，從而不斷推動企業(yè)管理流程、組織和商業(yè)模式的創(chuàng)新，加速產(chǎn)品智能化、定制化。不只是單一機器或者單一的生產(chǎn)線進行智能化，而是整個生產(chǎn)流程的智能化。企業(yè)可以在關鍵設備上安裝傳感器，以5G通信技術為支撐，搭建工業(yè)云

12、平臺，實現(xiàn)從生產(chǎn)到管理全流程數(shù)據(jù)采集，形成閉環(huán)。對數(shù)據(jù)進行科學分析與應用，加速實現(xiàn)傳統(tǒng)制造型企業(yè)向生產(chǎn)服務型轉(zhuǎn)型。提升制造工藝水平數(shù)字化浪潮已經(jīng)襲來，任何傳統(tǒng)制造業(yè)都應該積極擁抱，抓住這根“救命稻草”。部分傳統(tǒng)型企業(yè)依然停留在人工生產(chǎn)、核查的階段。經(jīng)常由于各種人為原因，導致產(chǎn)品出現(xiàn)不同程度的質(zhì)量問題，增加產(chǎn)品返修率和用戶投訴率。透過工業(yè)互聯(lián)網(wǎng)，可以實現(xiàn)設備的互聯(lián)，使設備“上網(wǎng)”，生產(chǎn)設備加裝傳感器，對產(chǎn)品制造全生命周期進行數(shù)據(jù)采集、分析，及時發(fā)現(xiàn)有缺陷的產(chǎn)品，提前預警。同時可以讓管理者更清晰的看到整個生產(chǎn)過程的生產(chǎn)數(shù)據(jù)，輔助企業(yè)決策。降低制造綜合本隨著人民生活水平的提高，中國以引為傲的人口紅利

13、已經(jīng)逐漸消失。消費成本直線上升，直接導致企業(yè)綜合成本上升，降低總體收入。尤其制造型企業(yè)，原本盈利較少，再加上用人成本上升，必然帶來企業(yè)虧損和制造成本的上升。只有通過發(fā)展網(wǎng)聯(lián)化、自動化、智能化，實現(xiàn)智能制造，提升生產(chǎn)效率，降低人工參與，才能保證制造成本與原來一致，甚至更低。工業(yè)互聯(lián)網(wǎng)的安全網(wǎng)絡和信息基礎設施是工業(yè)互聯(lián)網(wǎng)的發(fā)展基礎，在國家的指導政策下，高舉新基建大旗，加速通信技術的快速發(fā)展，全面促進工業(yè)互聯(lián)網(wǎng)進程，實現(xiàn)新制造。新制造已經(jīng)實現(xiàn)工控與IT的互聯(lián)互通，已經(jīng)把孤島型的工控網(wǎng)釋放到互聯(lián)網(wǎng)，實現(xiàn)全面互聯(lián)，打通數(shù)據(jù)生命周期，自然工業(yè)互聯(lián)網(wǎng)的安全也就自然成為了眾矢之的和最熱門的話題之一。無論任何時

14、候，都要深刻認識到安全是保障，應把安全放在工業(yè)發(fā)展最突出的位置。之前已經(jīng)介紹過，工業(yè)互聯(lián)網(wǎng)是以數(shù)字化、網(wǎng)絡化、智能化為主要特征，通過系統(tǒng)構(gòu)建網(wǎng)絡、平臺、安全三大功能體系，打造人、機、物全面互聯(lián)的新型網(wǎng)絡基礎設施。通過工業(yè)互聯(lián)網(wǎng)實現(xiàn)全系統(tǒng)、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通。制造型企業(yè)在建廠初期，往往注重業(yè)務平臺的功能性，對安全架構(gòu)考慮欠妥，可能存在權限繞過、緩沖區(qū)溢出等安全設計缺陷，為網(wǎng)絡攻擊提供路徑。在工業(yè)互聯(lián)網(wǎng)框架下，安全既是一套獨立功能體系，又滲透融合在網(wǎng)絡和平臺建設使用的全過程，為網(wǎng)絡、平臺提供安全保障。構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系可從平臺、網(wǎng)絡、終端、數(shù)據(jù)四個方面考慮，本文主要介紹的是工控

15、安全態(tài)勢感知對傳統(tǒng)制造型企業(yè)的意義，說白了就是如何在制造型企業(yè)中如何利用態(tài)勢感知。2017年12月，工業(yè)和信息化部發(fā)布了工業(yè)控制系統(tǒng)信息安全行動計劃（20182020年），提出在工控系統(tǒng)信息安全保障體系建設中，落實企業(yè)主體責任，因地制宜分類指導，堅持技術和管理并重等指導策略。之后一大批工控安全廠商如雨后春筍般成立，發(fā)力工控安全。態(tài)勢感知作為網(wǎng)絡安全中的“天眼”，實現(xiàn)實時在線監(jiān)測、收集各種安全設備信息和網(wǎng)絡流量，通過大數(shù)據(jù)技術，分析和預警各種威脅，對工業(yè)互聯(lián)網(wǎng)安全進行全天候、全方位感知。安全態(tài)勢感知在制造型企業(yè)中的應用安全態(tài)勢感知技術作為一種成熟的全方位感知技術已經(jīng)服務于各行各業(yè)，成為安全體系架

16、構(gòu)中不可或缺的一部分。在制造型企業(yè)中，我們利用安全態(tài)勢感知平臺，監(jiān)控網(wǎng)絡中的潛在威脅和攻擊，對失陷的終端進行精準定位。在我們的企業(yè)中，主要有以下兩種場景應用到安全態(tài)勢感知技術。1. IT網(wǎng)絡分別部署兩臺高配置探針在兩個不同的數(shù)據(jù)中心，通過鏡像核心交換機流量，分析網(wǎng)絡數(shù)據(jù)，感知網(wǎng)絡威脅。威脅感知：前面已經(jīng)介紹過威脅感知是安全態(tài)勢的基本功能之一，我們利用威脅感知功能發(fā)現(xiàn)信息網(wǎng)內(nèi)的各種潛在威脅。如網(wǎng)絡攻擊（圖1）、威脅事件數(shù)（圖2）所示。圖1-惡意攻擊記錄圖2-威脅事件數(shù)脆弱性口令檢查：此功能主要是基于平臺內(nèi)置的基線配置庫對現(xiàn)有流量進行分析，找出明文傳輸流量中的密碼，比對其強弱程度。如圖3所示。圖3

17、-弱口令感知攻擊分析：威脅攻擊分為多種維度，橫向威脅、外聯(lián)威脅、文件威脅及郵件威脅。從不同的角度對威脅進行分析，如圖4所示-威脅攻擊。圖4所示-威脅攻擊危險終端定位：危險源定位是態(tài)感平臺的基本亮點，通過各種日志、流量的綜合分析，追查到威脅源，協(xié)助管理員快速定位危險終端，清除風險，如圖5所示-危險終端定位。圖5-危險終端定位風險預測：通過多種平臺的日志關聯(lián)，利用AI模塊發(fā)掘其之間的關聯(lián)性，察覺風險趨勢，如圖7-8所示-風險預測。圖7-風險預測圖8-風險預測2. 工控網(wǎng)設備管控：通過部署工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺，可以有效阻止非授權硬件對上位機、下位機及重點工控終端的非授權接入，防止病毒、木馬等程序通過外設進行入侵。威脅感知：此功能與IT領域的態(tài)感平臺類似，都是通過收集各種日志、流量，分析行為，找出符合威脅描述特殊的攻擊流。圖9-威脅感知漏洞檢查：利用