工業企業網絡安全管理技術
——基于大數據分析的工業網絡安全管理

趙軍凱，吳錦濤

（北京啟明星辰信息安全技術有限公司，北京 100089）

1 工業網絡安全管理現狀

經過多年的信息化建設與數字化產業升級，我國工業企業的信息系統安全建設已經具備相對完善的管理體系，隨著工業數字化進程的不斷發展，工業企業的網絡安全建設逐步由信息系統防護過渡到了整體防護階段。現階段的工業企業更加關注IT與OT的整體安全，并且強調從業務角度、生產控制角度去管理自身的安全能力，而非以往采用單一的安全防御機制保護單一目標，因此要做好工業企業的網絡安全管理，就需要一套結合實際生產流程、符合業務模式的安全管理體系。在這個體系中除了組織保障和流程保障，很重要的一點就是技術保障。

技術保障主要源于管理層和執行層不同角色人員對于工業網絡安全管理工作的切身需要，目前針對大多數工業企業而言，負責信息系統建設和安全防護的部門與負責生產管理、流程控制的部門存在一定的認知偏差，IT人員可以為了保障保密性而犧牲一部分系統可用性、易用性，但負責生產的部門由于職責定位不同，保護生產控制系統的可用性與業務連續性是第一要務。因此針對IT系統的安全管理技術路線可能無法完全適應OT系統的部署環境。

對于管理層而言，高層領導、各業務主管領導和生產部門主管領導等都需要從各自的角度出發，對工業生產全流程或相關業務信息系統的整體安全運行狀況有直觀的了解和清晰的掌控，能夠獲悉當前的安全態勢、攻擊分布、防護缺陷，掌握安全防御體系建設的水平和安全管理能力建設的水平。

對于執行層而言，生產現場與控制運維人員需要對其負責的工序段、控制區域的業務狀況、安全狀況有清晰的掌控，并且可以獲取及時的安全預警以及清晰簡潔的安全態勢信息。

隨著國家層面針對工業企業網絡安全建設的實施力度的不斷加強，各行業內控與合規要求的不斷增強，以及越來越多的企業和組織投入到信息安全管理體系（Information Security Management System，簡稱ISMS）的建設之中，工業企業管理層更加需要一個適應工業生產環境的安全管理技術支撐平臺來協助符合和體現合規相關具體要求，將合規性要求和網絡安全管理體系落到實處。而企業執行層也希望有一個工業網絡安全管理平臺幫助他們進行生產區域的安全管理，進而提高生產效率。

2 傳統的網絡安全管理平臺

現代組織的業務大多已經遷移到了組織中的信息系統中，信息系統作為企業生產經營及業務實施的支撐平臺，其中任何相關信息技術環節出問題都將直接導致業務失敗，生產率降低，影響市場占有率、滿意度、銷售收入和快速反應能力，或者對組織的公信力和信用形成破壞，嚴重的情況甚至導致企業經營管理癱瘓，組織工作無法開展，因此，信息系統運營管理水平的高低直接影響到組織或企業戰略能否順利實施[5]。

網絡安全管理面臨挑戰：

信息系統的投入是一個增量的過程，近年來企業業務發展與信息系統融合程度越來越緊密，規模也越來越大，分散度越來越高，各類軟/硬件設備資源不斷增加，增加了維護的工作量和復雜度。為了獲悉全網的整體安全態勢，就必須從現有的分散的安全系統和IT系統中采集相關的安全信息，而這些信息是海量的，每天的數據量可能數以百GB計。首先，如果不能采集到這些海量信息，分析的準確性就可能打折扣，而安全問題的回溯和取證就可能出現信息缺失。其次，如果不能對海量信息進行快速分析、提取出真正有意義的安全事件，就無法讓安全管理人員聚焦到重要的安全事件上，反而陷入到數據的汪洋大海之中。最后，如果不能直觀地展示分析結果，并將分析結果與響應處理過程掛鉤，也就無法使執行層的安全管理流程運轉起來，更無法為管理層提供決策支持。因此，如何采集這些分散在網絡各處的海量信息，進行實時不間斷的處理、分析，并以用戶能夠接受的形式有效的展示出來，成為了考察運維管理技術水平的一把重要標尺[6]。

隨著網絡安全建設逐步引向深入，管理者越發體會到了安全工作是全局一盤棋。正所謂“不謀全局者，不足謀一域”，網絡安全管理工作急切需要獲悉全網的整體安全態勢。特別是下屬機構，系統運營人員整體素質參差不齊，不僅沒有足夠的時間、精力、技術，也無法及時掌握各類實時更新的各種網絡安全專業知識和信息，如何實現全企業信息化管理是現在運營人員需要迫切解決的問題。

合規建設和網絡安全管理體系/ISO27000建設已經成為了他們安全管理工作中必不可少的職責。安全運營管理能否及如何符合和體現等級保護和網絡安全管理體系的要求成為了安全管理面臨的重大挑戰。

綜上所述企業網絡安全管理人員應從從組織策略、處理流程和技術體系等多方面進行統籌考量，并借助一個全新的安全運營支撐性平臺來為其安全管理工作提供技術支撐。實現對企業分散的海量安全信息進行全面的收集、整理、分析、審計，并借助智能化的分析手段提取出關鍵的安全事件；能夠對企業復雜的IT系統從業務的角度進行全方位的可用性及性能監測、故障定位和告警；能夠主動地進行事前安全管理，在攻擊發生之前就獲悉網絡的安全態勢[1]；對企業重要業務系統進行量化的風險評估；能夠借助量化的分析模型實現全網的安全態勢感知；能夠協助企業網絡安全運維進行常態化的安全運維；能夠符合并體現等級保護和網絡安全管理體系的要求[3]。

從2000 年開始，國內外陸續推出了安全管理平臺產品，也稱為SOC（Security Operations Center）產品，國外稱為安全信息和事件管理SIEM（Security Information and Event Management）產品[4]。經過多年的發展，安全管理平臺已經實現了對企業分散的海量安全信息進行全面的收集、整理、分析、審計，并借助智能化的分析手段提取出關鍵的安全事件；對企業復雜的IT 系統從業務的角度進行全方位的可用性及性能監測、故障定位和告警；主動地進行事前安全管理，在攻擊發生之前就獲悉網絡的安全態勢；對企業重要業務系統進行量化的風險評估；借助量化的分析模型實現全網的安全態勢感知；協助企業進行常態化的安全運維；符合并體現了等級保護和網絡安全管理體系的要求。同時，能夠與企業的其他管理系統實現協同工作[5]。

安全管理是從業務出發，通過業務需求分析、業務建模、面向業務的安全域和資產管理、業務連續性監控、業務價值分析、業務風險和影響性分析、業務可視化等各個環節，采用主動、被動相結合的方法采集來自總部和所屬企業網絡中的各種IT資源的安全信息，從業務的角度進行歸一化、監控、分析、審計、報警、響應、存儲和報告。安全管理平臺通過建立一套實時的資產風險模型，協助管理員進行運行監控、事件分析、風險分析、預警管理和應急響應處理。

圖1 網絡安全管理平臺架構設計

安全管理平臺的建設與運營，構建一套針對企業整體IT計算環境的統一安全管理架構，對包括網絡、安全、主機和應用在內的各類IT資源從業務系統的角度進行統一監控、統一安全事件審計與分析、統一預警與響應，提升企業現有信息與網絡整體安全保障水平，并符合國家等級保護、內部控制的相關管理、審計和內控的要求[10]。

3 工業網絡安全管理面臨挑戰

但在IT和OT系統逐漸融合的網絡環境下，針對工業網絡環境的安全防護正在面臨著多種挑戰。一方面，企業和組織安全體系架構的日趨復雜，各種類型的數據越來越多，OT系統逐漸IP化，并且以往物理隔離的控制系統隨著業務模式的數字化轉變逐漸接入IT系統，傳統網絡安全管理平臺在處理多元、海量的數據能力難以為繼；一方面，新型威脅的興起，內控與合規的深入，傳統的分析方法存在諸多缺陷。這兩者帶來的是安全數據的數量、速度、種類的迅速膨脹，不僅帶來了海量異構數據的融合、存儲和管理的問題，甚至動搖了傳統的安全分析方法。當前絕大多數網絡安全管理平臺的安全分析都是針對小數據量設計的，在面對工業生產的大數據量時難以為繼。新的攻擊手段層出不窮，需要檢測的數據越來越多，現有的分析技術不堪重負。面對天量的安全要素信息，我們如何才能更加迅捷地感知網絡安全態勢？

傳統的網絡安全管理平臺分析方法大都采用基于規則和特征的分析引擎，必須要有規則庫和特征庫才能工作，而規則和特征只能對已知的攻擊和威脅進行描述，無法識別未知的攻擊，或者是尚未被描述成規則的攻擊和威脅。面對未知攻擊和復雜攻擊如APT等，需要更有效的分析方法和技術。如何才能做到知所未知？

面對大量工業環境的業務數據，傳統的集中化安全分析平臺（譬如SIEM，安全管理平臺等）遭遇到了諸多瓶頸，主要表現在以下幾方面：

工業生產數據的采集和存儲變得困難；

異構數據的存儲和管理變得困難；

生產環境下威脅數據源較小，導致系統判斷能力有限，樣本較少；

對歷史生產數據的檢測能力很弱，使用效率偏低；

安全事件的調查效率太低；

安全系統相互獨立，無有效手段協同工作；

分析的方法較少；

對于趨勢性的東西預測較難，對早期預警的能力比較差；

系統交互能力有限，數據展示效果有待提高。

從上世紀80年代入侵檢測技術的誕生和確立以來，安全分析已經發展了很長的時間。當前，信息與網絡安全分析存在兩個基本的發展趨勢：情境感知的安全分析與智能化的安全分析。

Gartner指出，“未來的網絡安全將是情境感知的和自適應的”所謂情境感知，就是利用更多的相關性要素信息的綜合研判來提升安全決策的能力，包括資產感知、位置感知、拓撲感知、應用感知、身份感知、內容感知，等等。情境感知極大地擴展了安全分析的縱深，納入了更多的安全要素信息，拉升了分析的空間和時間范圍，也必然對傳統的安全分析方法提出了挑戰[7]。

Gartner報告指出，要“為企業安全智能的興起做好準備”在這份報告中，Gartner提出了安全智能的概念，強調必須將過去分散的安全信息進行集成與關聯，獨立的分析方法和工具進行整合形成交互[9]，從而實現智能化的安全分析與決策。而信息的集成、技術的整合必然導致安全要素信息的迅猛增長，智能的分析必然要求將機器學習、數據挖據等技術應用于安全分析，并且要更快更好地的進行安全決策[8]。

4 基于大數據分析的工業網絡安全管理平臺

面對新形勢下工業網絡安全管理挑戰，作為信息管理的技術保障，工業網絡安全管理平臺不僅僅要滿足基本的安全管理需要，需具備處理海量、高速、多變的信息能力，獲得超越以往的洞察力、決策支持能力和處理的自動化。

海量、多元化的數據分析的技術的核心就是大數據分析。Gartner將大數據分析定義為追求顯露模式檢測和發散模式檢測，以及強化對過去未連接資產的使用的實踐和方法，意即一套針對大數據進行知識發現的方法。通俗地講，大數據分析技術就是大數據的收集、存儲、分析和可視化的技術，是一套能夠解決大數據的海量、高速、多變、低密度的問題，分析出高價值的信息的工具集合。

借鑒著名數據庫專家、圖靈獎獲得者詹姆士·格雷的科學研究范式理論[2]，我們提出了“全范式分析”的全新安全分析體系：

安全分析第一范式：嘗試、實驗。在網絡應用尚未大規模普及、網絡安全還未成為突出問題的時候，市場上還沒有培育出成熟的安全工具和產品，安全分析主要依賴于安全管理人員的經驗。目前仍然廣泛采用的滲透測試、安全咨詢服務等，仍然是以這種模式運行的。

安全分析第二范式：模型、特征。隨著安全問題的日益普遍，單憑安全管理人員的經驗已經無法應對，迫切需要自動化的分析工具，由此產生了入侵檢測系統、防病毒系統和防火墻等安全產品。這些安全產品的共同點就是對網絡攻擊行為進行分析，提取不同層面的特征（如網絡層連接特征用于防火墻制定ACL規則；應用層內容特征用于提取IDS的匹配規則；文件級特征用于病毒掃描），對網絡流量進行實時自動化分析。這類安全產品的關鍵是對攻擊特征的提取和描述，其本質是對攻擊行為的建模，而在工業環境內的應用需要學習工業通信協議的行為，并且結合業務梳理和日常需求制定白名單防護機制。

安全分析第三范式：模擬、仿真。隨著APT的出現，攻擊變得越來越復雜、特征變化越來越快，以攻擊行為建模為基礎的分析方式漸漸難以應對，從而出現了以虛擬執行技術為代表的新型分析技術。這種技術的本質是模擬被攻擊者在遭受攻擊后的反應，這樣無需對攻擊行為建模也能檢測未知的攻擊。

安全分析第四范式：大數據安全分析。大數據技術的出現，將安全分析提升到了新的階段。有了大數據平臺的支撐，安全分析人員可以將各類不同類型的數據，如通過滲透測試得到的漏洞信息、通過傳統檢測設備產生的報警事件、通過虛擬執行得到的可疑攻擊執行結果，進行大范圍的匯總和關聯。同時，通過長時間的關聯，安全分析人員可挖掘某臺主機、某個用戶的行為異常，從而實現不基于簽名的未知攻擊檢測。對于每一條可疑報警，分析人員可以查詢與該報警相關的各類數據，從而確定報警真實性、攻擊源，評估攻擊造成的危害。

從上述分析中可以看到，安全分析方法的發展歷程與詹姆士·格雷概括的科學研究范式間存在著高度對應的關系，從而可以用科學研究范式來類比安全分析方法。而這其中，大數據安全分析技術正代表了最前沿的安全分析第四范式。大數據安全分析是全新的“全范式安全分析”體系的重要組成部分。

安全數據的大數據化，以及傳統安全分析所面臨的挑戰和發展趨勢，都指向了同一個技術——大數據分析。正如Gartner在2012年明確指出，“網絡安全正在變成一個大數據分析問題”。于是，業界出現了將大數據分析技術應用于網絡安全的技術——大數據安全分析[14]。必須特別指出的是，大數據安全分析是指利用大數據技術來進行安全分析，而非我們一般所言的大數據安全。大數據安全，通常是指研究如何保護大數據自身的安全，包括針對大數據計算和大數據存儲的安全性。針對在工業企業的網絡安全管理平臺，需要考慮智能制造背景下的工業大數據環境，結合信息系統與生產系統的工業大數據將更加有效的提高分析結果的準確性，為安全管理提供決策依據。

工業大數據是工業領域產品和服務全生命周期數據的總稱，包括研究設計、生產制造、經營管理等各個環節出現的數據，并且其設備來源主要為三種：第一種是生產經營的業務數據，屬于信息系統數據；第二類是設備物聯數據，其中包括直接參與生產制造的工業控制系統數據，如PLC以及其他監控軟件數據，還有監測周圍環境數據的物聯網數據；第三類是外部數據，如供應商、客戶等外部環境提供的數據[19]。

工業大數據除具有一般大數據的特征（數據量大、多樣、快速和價值密度低）外，還具有時序性、強關聯性、準確性、閉環性等特征[13]，因此基于工業大數據的網絡安全管理平臺需要利用其特征。從數據范圍來講，工業大數據的采集來源包括了生產環節的各個流程，包括結構化與半結構化數據、非結構化數據，與此同時工業大數據的時序性與數據強關聯性可以作為安全分析的基礎，建立數據層面的行為邏輯[12]。

圖2 基于大數據分析網絡安全管理平臺概念架構

新一代網絡安全管理以生產環境為核心保障目標，融合業界的大數據技術，針對高速信息進行采集，融合多源異構數據，結合SQL、NewSQL、NoSQL 等技術，實現異構海量安全數據的高效可靠存儲，并以安全數據為驅動，提供智能化關聯分析技術和基于機器學習的行為分析技術，流安全分析技術和態勢感知。系統內建主動安全管理機制，通過的漏洞掃描和安全配置核查，及時發現工業網絡環境中存在的隱患和風險，并進行事前預警；結合內外部情報協作，提供更加準確和及時的安全分析；融合多種網絡安全技術和管理理念，充分實現組織、過程和技術三個體系的合理調配，幫助企業運維人員從監控、審計、風險、運維四個維度實現對業務信息系統的統一安全保障[18]。

5 基于大數據的工業網絡安全管理平臺價值

傳統的安全分析是構建在基于特征的檢測基礎之上的，只能做到知所已知，難以應對高級威脅（譬如APT）的挑戰。而要更好地檢測高級威脅，就需要知所未知，這也就催生了諸如行為異常分析技術的發展。行為異常分析的本質就是一種機器學習，自動建立起一個正常的基線，從而去幫助分析人員識別異常，由于工業環境內的業務邏輯相對固定并且清晰，控制流程在短時間內不會頻繁變化，因此行為基線技術十分適合部署在工業環境內，通過行為基線識別異常行為是一種相對高效的技術方法。面對天量的待分析數據，要想達成理想的異常分析結果，借助大數據分析技術成為明智之舉[17]。同時，為了對抗高級威脅，還需要有長時間周期的數據分析能力，而這正是大數據分析的優勢所在。此外，安全分析人員在進行高級威脅檢測的過程中需要不斷地對感興趣的安全數據進行數據勘探，而要針對天量數據實現及時的交互式分析，需要有強大的數據查詢引擎，這同樣也是大數據分析的優勢所在。

以大數據的相關技術為基礎，確保工業網絡的安全事件得到超前預警，具體來說，在實現大數據安全預警功能的過程中，基礎數據資源應當以設備安全恒產大數據庫中的告警信息等歷史統計數據為主[16]，在此基礎上確保關聯規則分析和預測有效實現，并且分析結果是與生產流程緊密結合的。與此同時，通過物聯網等技術的應用，實時采集設備生產環境數據，之后開展數據的預處理及分析、犓等工作，以大數據流處理技術為依托，確保動態監測數據，使長期預警和實施預警功能有效優化，將大數據預警機制納入工業網絡安全管理平臺中。

大數據安全分析推動高級威脅檢測，威脅情報是一種基于證據的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。威脅情報最大的好處就是能夠直接作用于工業企業和組織的安全防護設施，實現高效快速的威脅檢測和阻斷。專業的威脅情報服務提供商能夠采集互聯網上的各種數據，既包括淺層WEB，也包括深層WEB，甚至是暗網的數據，抑或是授權企業的數據，然后基本上都利用大數據分析技術產生有關攻擊者的威脅情報信息。利用工業大數據分析技術，安全廠商與工業企業可以建立起一個威脅情報的分享和協作平臺，進行威脅情報的交換，更大限度地發揮情報的價值。

大數據安全分析技術將數據泄漏保護將變得更加智能，不僅能夠對已經標定的生產敏感信息進行檢測，還能對上層用戶使用數據的行為過程進行建模，從而針對更多地難以進行簡單標定的敏感信息的訪問進行異常檢測。通過對數據庫行為與監控系統收集到的海量數據庫訪問日志進行業務建模，從而識別用戶的業務違規，使得數據庫行為與監控系統的價值得到進一步提升[15]。

大數據安全分析技術能夠實現用戶違規智能審計。通過對信息系統和控制系統的用戶訪問日志進行建模和機器學習，發現小概率的異常事件。借助大數據安全分析技術提升靜態應用安全測試系統的檢測速率，并能夠通過高效地聚類/分類等算法更好地尋找應用系統的安全漏洞。

大數據安全分析的興起不僅改變了傳統的網絡安全防護架構、安全分析體系，也在深刻變革現有的網絡安全業務模式。最典型地，大數據安全分析直接促進了安全即服務的發展。包括SIEM、日志分析、欺詐檢測、威脅情報在內的多種服務都在積極擁抱大數據安全分析技術。大數據安全分析已成為安全業務模式變革的催化劑。

即便是針對工業企業和組織內部的大數據安全分析，由于安全與業務的不斷融合，以及生產現場邊緣數據中心和工業云計算的普及，未來必然要求將大數據安全分析與大數據業務分析進行整合，安全數據不過是工業企業和組織業務數據的支撐數據之一。在這個發展趨勢下，必然涉及到生產、開發、運維、安全團隊的交互與協作，業務部門與技術部門的融合。大數據安全分析將成為安全與業務融合的催化劑。

借助大數據安全分析技術，能夠更好地解決天量安全要素信息的采集、存儲的問題，借助基于大數據分析技術的機器學習和數據挖據算法，能夠更加智能地洞悉信息與網絡安全的態勢，更加主動、彈性地去應對新型復雜的威脅和未知多變的風險。大數據安全分析不是一個產品分類，而代表一種技術，一種安全分析的理念和方法。各種安全產品都能夠運用大數據安全分析技術去重塑自身。

6 結語

大數據時代已經到來，我們創造的大數據正在改變人類生產生活的各個方面。信息與網絡安全作為保障工業資產的關鍵能力也正在被大數據所重新塑造。工業網絡安全管理平臺，作為安全保障體系中位于頂層的技術支撐平臺，天然具有與大數據結合的特質。基于大數據安全分析技術的工業網絡安全管理平臺正在成為未來安全管理平臺發展的重要技術方向。我們必須看到，不論安全管理平臺的技術如何發展，如何與大數據結合，安全管理平臺所要解決的工業企業根本性問題，以及與企業業務融合的趨勢依然未變。對大數據的應用依然要服務于解決企業的實際安全管理問題這個根本目標[11]。

同時謹記，大數據安全分析要產生實際價值還離不開制度貫穿和安全分析師。正如大數據需要數據分析師，大數據安全更需要安全分析師。安全，本質上是人與人之間的對抗，不論安全分析的自動化技術如何演進，相互之間進行對抗的，始終是坐在屏幕前的人。