工业互联网安全态势感知系统的设计与实现

当前在互联网、移动互联网和物联网的快速发展前提下，在“两化融合”的行业发展需求下，工业企业为了提高生产高效运行、生产管理效率，众多行业大力推进工业互联网平台建设。随着生产网、办公网与互联网之间互联互通性逐步加强，使得国际国内针对工业控制系统的攻击事件层出不穷，“震网”病毒事件为全球工业互联网安全问题敲响了警钟。

两化融合以来，工业互联网面临的安全态势越来越复杂, 工业互联网的开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻。工业互联网脆弱的安全状况以及面临的日益严重的攻击威胁，促使国家高度重视工业互联网的安全问题，鼓励工业行业和科技企业推动安全态势感知新技术方面的发展，实现工业网络安全防护的跨行业协作和信息共享，建立工业互联网安全预警和应急响应流程体系，帮助企业、行业、区域掌握工业互联网安全威胁，为网络空间对抗提供工业网络安全基础数据和决策支持。

基于工业互联网安全形势日趋严峻的形式，工业互联网安全态势感知系统融合云计算、物联网、大数据、人工智能、可视化等技术全面创新解决工业安全问题。系统通过采集部署在工业网络内部的各类传感器数据，以及部署在互联网上的感知探头对暴露在互联网上的工控设备进行主动探测，运用基于云平台的大数据分析技术，对安全威胁进行综合分析，实现及早预警、态势感知、攻击溯源和精确应对，为安全运维提供防护效率，为安全检查和管理工作提供决策依据，为安全事件处置预案与整改提供数据支持。

通过可视化技术，工业互联网安全态势感知要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施，以图、表和安全报表的形式展现给用户。

工业互联网安全态势感知系统是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化的方式展现给用户，并给出相应的报表和应对措施。态势感知过程分为：

1.数据采集：是态势感知的前提，通过各种检测工具，对各种影响系统安全性的要素进行检测采集获取；

2.态势理解：是态势感知基础，对各种网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析，得出影响网络的整体安全状况；

3.态势评估：是态势感知的核心，定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的应对措施；

4.态势预测：是态势感知的目标，通过对态势评估输出的数据，预测网络安全状况的发展趋势。

针对工业互联网安全态势感知的四个关键过程，态势感知应用关键点包括：

1、数据采集方面：网络安全数据来源要尽可能的丰富，应该包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等，只有这样态势评估结果才能准确。

2、态势评估方面：态势感评估要对多个层次、多个角度进行评估，能够评估网络的业务安全、数据安全、基础设施安全和整体安全状况，并且应该针对不同的应用背景和不同的网络规模选择不同的评估方法。

3、态势感知流程方面：态势感知流程要规范，所采用的算法要简单，应该选择规范化的、易操作的评估模型和预测模型，能够做到实时准确的评估网络安全态势。

4、态势预测方面：态势感知要能支持对不同的评估结果预测其发展趋势，预防大规模安全事件的发生。

5、态势感知结果显示方面：态势感知能支持多种形式的可视化显示，支持与用户的交互，能根据不同的应用需求生成态势评测报表，并提供相应的改进措施。

建设网络安全态势感知系统，应以“业务+数据定义安全”战略为核心驱动，基于更广、更深的数据来源分析，以用户实际需求为出发点，从综合安全、业务安全、数据安全、信息基础设施安全等多个维度为用户提供全面的安全态势感知，在认知、理解、预测的基础上，真正帮助用户实现看见业务、看懂威胁、看透风险、辅助决策。通过主动探测IP网络空间，在检索在线的工业控制系统、安防监控等关键信息基础设施同时，还能获得其系统信息、地理分布以及网络安全分析。

1、精准设备识别：识别网络空间上的各种关键设备，首先要能够了解它们使用的通信协议。态势感知引入了多维度特征识别技术实现了广泛的协议解析，包括位特征、字节特征、会话特征、行为特征、统计特征等。此外态势感知通过与被扫描设备多个会话深度交互，获得设备更详细信息。

2、无损漏洞探测：对于工控、安防监控系统等重要信息基础设施，业务的连续性与稳定性至关重要。传统漏洞扫描设备，一般会向被扫描设备发送具有一定攻击特征的报文，会对目标系统带来不良影响。态势感知采用无损漏洞探测技术，确保探测行为与业务行为一致，实现了在不影响目标系统正常作业基础上的漏洞探测。

3、高效网络扫描：对于海量地址网络空间的扫描，效率就显得尤为重要。态势感知采用基于容器的多节点并行扫描技术、6级流水线细粒度任务调度扫描技术以及半连接和异步状态统计相结合无状态扫描技术，充分利用系统资源，实现针对网络空间设备极速扫描,保障信息的时效性。

4、可视化威胁评估：态势感知具备全面威胁可视化展现能力。除在线设备系统信息展示外，还支持设备定位，并通过二维地图精确呈现，便于跟踪确认。对于设备存在的漏洞细节，态势感知绘制漏洞的危害级别矢量图，用户可更直观了解漏洞危害情况。态势感知还采用了智能威胁评分技术，根据扫描数据对单设备及区域整体安全态势进行综合量化威胁评估。此外，态势感知支持对数据进行多维度的统计分析，为用户提供可视化的威胁态势报告。