工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主動防御技術(shù)研究與實踐*

石永杰，于慧超，呂 峰，張 暢，吳亞萍

(1.中國石油天然氣股份公司西北銷售公司，甘肅 蘭州 730070；2.中國石油天然氣股份公司北京油氣調(diào)控中心，北京100007；3.北京啟明星辰信息安全技術(shù)有限公司，北京 100193)

0 引言

目前國際網(wǎng)絡(luò)空間日益復(fù)雜。分析伊朗核電站、2019年委內(nèi)瑞拉電癱瘓等網(wǎng)絡(luò)安全事件，從“網(wǎng)絡(luò)利用”到“網(wǎng)絡(luò)攻擊”，對目標工控網(wǎng)絡(luò)進行破壞和摧毀的威脅越來越嚴重，網(wǎng)絡(luò)攻擊頻次逐年增加，網(wǎng)絡(luò)威脅程序長久潛在目標系統(tǒng)。我國工業(yè)控制系統(tǒng)目前主要依賴國外工業(yè)產(chǎn)品來構(gòu)建，保護我國關(guān)鍵信息基礎(chǔ)設(shè)施免受潛在的網(wǎng)路威脅顯得十分急迫。傳統(tǒng)的以安全產(chǎn)品構(gòu)成的“封、堵、查、殺”的被動式的安全防御難以抵御潛伏的威脅，必須開展主動防御，面對高能力網(wǎng)絡(luò)空間威脅行為體方能達到防患于未然。

1 針對定向的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊特點與主動防御策略

1.1 新的網(wǎng)絡(luò)空間時期的網(wǎng)絡(luò)定向攻擊的特點

在新的網(wǎng)絡(luò)空間時期，網(wǎng)絡(luò)攻擊已成為另外一場沒有硝煙的戰(zhàn)場，其危害并不遜色于真實的物理戰(zhàn)爭，新的網(wǎng)絡(luò)空間格局下的定向網(wǎng)絡(luò)攻擊的特點表現(xiàn)在：

(1)重大特殊時期的定向攻擊的頻次越來越高

2020年COVID-2019疫情期間，有組織針對我國關(guān)鍵基礎(chǔ)設(shè)施定向網(wǎng)絡(luò)攻擊頻度增加，威脅越來越大，給我國的抗疫工作增加了嚴重的干擾，并造成損失。

(2)定向網(wǎng)絡(luò)攻擊的監(jiān)測越來越高

隨著有組織攻擊技術(shù)手段不斷提升、對社會工程學(xué)的利用以及攻擊者的身份越來越隱蔽，使得網(wǎng)絡(luò)攻擊的實時監(jiān)測與溯源變得越來越難。

(3)有組織網(wǎng)絡(luò)攻擊越來越明顯

2019年針對委內(nèi)瑞拉的電力設(shè)施的攻擊、2020年 新冠疫情期間針對我國的視屏系統(tǒng)的攻擊等事件分析，一些敵對勢力有組織入局、有目的和定向的攻擊確定性越來越大。

(4)網(wǎng)絡(luò)攻擊的范圍與涉及的領(lǐng)域越來越廣

隨著大規(guī)模定向網(wǎng)絡(luò)攻擊傾向越來越明顯，涉及民生市政、核心工業(yè)生產(chǎn)、能源與軍工，甚至太空領(lǐng)域的網(wǎng)絡(luò)攻擊屢見不鮮。美國國家基礎(chǔ)設(shè)施咨詢委員會(NIAC)多次公開強調(diào)“國家(美國)不足以抵抗敵對組織的針對關(guān)鍵基礎(chǔ)設(shè)施等敏感網(wǎng)絡(luò)系統(tǒng)的攻擊性策略”已充分說明這一特性。

1.2 我國工業(yè)控制系統(tǒng)特有的威脅

目前，我國的工業(yè)控制系統(tǒng)尤其是在役的系統(tǒng)，絕大部分還是使用Siemens、Honeywell、Rockwell、Yokogawa等，即使目前我國的本土企業(yè)產(chǎn)品已在一些關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域成功應(yīng)用，能夠解決我國“卡脖子”、“內(nèi)置后門”等問題，但同樣面臨諸多漏洞等威脅，某種程度上存在比國外系統(tǒng)更多的安全隱患。諸如：

(1)操作系統(tǒng)、編譯系統(tǒng)、IEC61131設(shè)計軟件等安全漏洞；

(2)防病毒及惡意軟件的管控漏洞；

(3)使用U盤、光盤等外接設(shè)備的管控缺失；

(4)設(shè)備維修時，移動設(shè)備存在隨意接入的情況；

(5)工控系統(tǒng)網(wǎng)絡(luò)邊界越來越模糊且防護不充分；

(6)訪問和接觸控制(包括遠程訪問、管理維護)薄弱；

(7)工控軟件生命周期的安全管理漏洞；

(8)缺乏安全事件應(yīng)急響應(yīng)機制。

1.3 針對定向攻擊的主動防御策略

目前，針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)主要以滿足GB/T22239-2019等保2.0標準體系的合規(guī)性為目的[1-3]，但近幾年的網(wǎng)絡(luò)攻擊更趨于定向性、隱蔽性，攻擊手段多元化、技術(shù)多樣化等特點，需要超越基礎(chǔ)合規(guī)的主動動態(tài)防御策略：變被動防護為主動防護，變靜態(tài)防護為動態(tài)防護，變單點防護為整體防控，變粗放防護為精準防護、粗粒度的防御能力轉(zhuǎn)變?yōu)榧毩６鹊闹鲃臃烙芰?，且具備事前預(yù)防、事中響應(yīng)、事后審計的整體網(wǎng)絡(luò)聯(lián)動，能識別未知威脅并做研判，才能有效抵御有目的、定向的未知網(wǎng)絡(luò)安全攻擊。主要的策略包括如下幾個方面：

(1)基于內(nèi)生安全的基礎(chǔ)安全

根據(jù)工控系統(tǒng)“高實時、資源受限、私有協(xié)議眾多”的特點，梳理工控資源資產(chǎn)的數(shù)量、配置及策略、各資源資產(chǎn)的CIA關(guān)系；同時，從攻防視角，對工控系統(tǒng)脆弱性進行模塊級分析，如對模塊功能邏輯、執(zhí)行語句進行數(shù)據(jù)篡改、偽造指令、實時欺騙以及獲取超級權(quán)限等。同時，梳理工控網(wǎng)內(nèi)完整的資產(chǎn)信息，確保無可利用“暗資產(chǎn)”，利于漏洞應(yīng)急和資產(chǎn)地圖的快速查詢篩選，并實時更新的列表。

(2)基于攻防與反制思維的網(wǎng)絡(luò)安全建設(shè)

(3)基于攻防的主動聯(lián)控層面

網(wǎng)絡(luò)安全主動防御的本質(zhì)是對抗，而對抗的本質(zhì)在攻防兩端技術(shù)手段、資源整合、協(xié)調(diào)能力等方面的較量，以主動/被動采集、監(jiān)測定向攻擊軌跡、控制權(quán)獲取等完整的情報收集，并以情報驅(qū)動的積極防御和進攻行動，做到實時的整體主動感知態(tài)勢，并策略執(zhí)行應(yīng)急阻斷和高效協(xié)同指揮決策，持續(xù)閉環(huán)的安全PDCA提升。智能聯(lián)動閉環(huán)防御控制示意圖如圖1所示。

圖1 智能聯(lián)動閉環(huán)防御控制示意圖

2 工業(yè)控制系統(tǒng)主動防御的關(guān)鍵技術(shù)與具體措施

現(xiàn)代網(wǎng)絡(luò)攻防空間中，有組織入局的攻擊方具有較高的攻擊成本資源，攻防雙方往往處于絕對不對等的狀態(tài)，產(chǎn)生的后果也往往是災(zāi)難性的。為此，在基礎(chǔ)結(jié)構(gòu)安全和全面縱深防御的基礎(chǔ)上，建立并落實資產(chǎn)管理、漏洞管理、漏洞分析、補丁分析、補丁驗證等全方位的安全運行機制，通過對信息的匯聚和分析，建設(shè)全面持續(xù)的動態(tài)監(jiān)測系統(tǒng)，實現(xiàn)全天候全方位的態(tài)勢感知能力[4-5]，同時結(jié)合內(nèi)外部威脅情報，及時發(fā)現(xiàn)威脅，通過將網(wǎng)絡(luò)安全能力、信息技術(shù)基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)等深度融合，并依靠安全運營、應(yīng)急響應(yīng)與處置系統(tǒng)等手段進行威脅獵殺，達到及時止損的目的。在工業(yè)控制系統(tǒng)主動防御的實踐中，每一個防御動作需要威脅辨識、分析、控制、排除威脅等包含終端以及網(wǎng)絡(luò)的網(wǎng)元在內(nèi)的協(xié)同。

2.1 基于AI技術(shù)的輕量級工業(yè)主機主動安全防御技術(shù)

在工業(yè)控制系統(tǒng)中，工業(yè)主機由于大部分采用通用架構(gòu)與通用操作系統(tǒng)等，同時由于其特殊使用用途和要求，一般不會輕易進行系統(tǒng)升級以及補丁更新等，往往就成為被病毒感染與遭受網(wǎng)絡(luò)攻擊的主要目標，如蠕蟲病毒攻擊過程首先是感染目標主機，再自動掃描、發(fā)現(xiàn)漏洞、自動傳播等。從縱深與主動防御的角度，工業(yè)主機安全防護應(yīng)當(dāng)具備查、殺病毒功能，并同時具備“黑名單”和“白名單”，為了保持控制系統(tǒng)的可用性，不能采用實時采樣及全盤掃描技術(shù)，在隔離離線殺毒過程中又不能破壞原有應(yīng)用程序完整性，可以基于AI自學(xué)習(xí)自動分類建模生成白名單規(guī)則庫，根據(jù)規(guī)則進行智能匹配，以此更準確、更高效地建立工業(yè)控制系統(tǒng)的可信系統(tǒng)，能最大程度降低誤報和誤判，避免誤將病毒木馬等加入白名單的風(fēng)險。基于AI分類建模算法可以實現(xiàn)“自動策略生成、數(shù)據(jù)正向反饋、AI干涉修正、威脅情報輔助”的全閉環(huán)管理模式，以此保障工控工作站、服務(wù)器的可用性、可靠性和可信性。

另外，采用基于主機的入侵檢測技術(shù)，實時監(jiān)控目標主機所在網(wǎng)絡(luò)的實時連接情況和審計處理系統(tǒng)日志。通過對進入目標主機的所有數(shù)據(jù)流量實時采集、分析，并與攻擊特征庫進行匹配，一旦發(fā)現(xiàn)異常行為特征，及時報警處理或阻攔，以達到保護目標主機的目的。

2.2 工控誘捕系統(tǒng)技術(shù)

為實現(xiàn)主動防御，需要在工業(yè)互聯(lián)網(wǎng)企業(yè)的入口處以及工業(yè)控制系統(tǒng)的入口處分別部署誘捕系統(tǒng)，構(gòu)成聯(lián)動的誘捕網(wǎng)絡(luò)。由于工控誘捕系統(tǒng)的特殊性，本文僅就工控誘捕系統(tǒng)進行闡述。

工業(yè)控制系統(tǒng)的“白名單”策略只隔離了不信任的行為數(shù)據(jù)，缺乏對這些數(shù)據(jù)的分析和研究，造成與攻擊者的信息不對稱的情況；工控安全審計檢測旁路部署，存在流量丟包、類型不全和誤報率高而難以防范復(fù)雜攻擊。工業(yè)環(huán)境網(wǎng)絡(luò)相對隔離，無法自動實時更新特征庫，也會造成攻擊檢測的嚴重滯后。工控誘捕系統(tǒng)便可作為以上防護不足的有效補充，通過模擬工控系統(tǒng)網(wǎng)絡(luò)運行環(huán)境，構(gòu)建陷阱主機，提供陷阱網(wǎng)絡(luò)服務(wù)，誘導(dǎo)誘惑內(nèi)外部入侵者進行攻擊，以此捕獲攻擊方式與路徑，延緩對真實工控系統(tǒng)的入侵，發(fā)揮著主動防御的作用。

木雕藝術(shù)家要將傳統(tǒng)符號“消化、吸收”，并重新將其生命注入新穎的形式構(gòu)造里去，令傳統(tǒng)雕琢技藝與新穎塑造觀念并存，突出個人的內(nèi)心愿望，從而引發(fā)觀者的共鳴。在探索的過程中，他們盡管會面對很多困難與問題，但也會不斷開啟更新的空間，看到更美的風(fēng)景。

工控誘捕系統(tǒng)以誘捕系統(tǒng)技術(shù)和主機監(jiān)控技術(shù)為基礎(chǔ)，結(jié)合流量轉(zhuǎn)發(fā)技術(shù)和軟件定義網(wǎng)絡(luò)(SDN)，構(gòu)建前端部署輕量化可定制的流量探針節(jié)點，將可疑和攻擊流量轉(zhuǎn)發(fā)至后端誘捕系統(tǒng)集群網(wǎng)絡(luò)。工控誘捕系統(tǒng)由仿真誘捕系統(tǒng)資源層、數(shù)據(jù)層和平臺層三部分構(gòu)成，如圖2所示。其中，仿真誘捕系統(tǒng)資源層起到吸引和誘捕攻擊作用，并將攻擊數(shù)據(jù)發(fā)送到數(shù)據(jù)層進行分析和存儲；數(shù)據(jù)層用于對攻擊數(shù)據(jù)進行存儲和分析、對接安全情報數(shù)據(jù)，聚合形成攻擊事件和數(shù)據(jù)統(tǒng)計報分析；平臺層用于對數(shù)據(jù)進行展示，管理系統(tǒng)各個節(jié)點。工控誘捕系統(tǒng)的技術(shù)架構(gòu)與分析引擎分別如圖2、圖3所示。

圖2 工控誘捕系統(tǒng)技術(shù)架構(gòu)圖

圖3 工控誘捕捕系統(tǒng)數(shù)據(jù)分析引擎

流量探針節(jié)點將網(wǎng)段內(nèi)可疑訪問流量(例如特定目的IP、端口或協(xié)議的)引導(dǎo)至到后端誘捕網(wǎng)絡(luò)的主機，實現(xiàn)誘捕系統(tǒng)網(wǎng)絡(luò)的輕量級快速部署和可控性，增大誘捕攻擊面，有效降低誘捕網(wǎng)絡(luò)的部署和維護成本。

誘捕網(wǎng)絡(luò)由大量的誘捕探針節(jié)點和路由網(wǎng)關(guān)構(gòu)成，以高仿真高交互蜜罐技術(shù)為基礎(chǔ)，并結(jié)合自身業(yè)務(wù)特性組成。模擬工控系統(tǒng)真實的應(yīng)用業(yè)務(wù)環(huán)境，同時誘捕網(wǎng)與真實內(nèi)網(wǎng)環(huán)境相互協(xié)調(diào)，以此提升欺騙環(huán)境真實性，快速精準定位攻擊事件，并結(jié)合流量分析設(shè)備，降低攻擊定位中存在的滯后性及誤報高等問題，起到真正的誘捕作用，保護正常業(yè)務(wù)。

誘捕系統(tǒng)機包括高交互誘捕系統(tǒng)和低交互誘捕系統(tǒng)，根據(jù)下發(fā)的業(yè)務(wù)方針策略自動構(gòu)建的業(yè)務(wù)仿真環(huán)境，包括操作系統(tǒng)、應(yīng)用軟件、開放服務(wù)及端口等內(nèi)容，是迷惑誘捕攻擊者的核心關(guān)鍵。特別是以捕獲深度真實攻擊行為為主要目的的高交互誘捕系統(tǒng)主機，還包括文件監(jiān)控、進程監(jiān)控、網(wǎng)絡(luò)監(jiān)控和控制臺監(jiān)控等，可在驅(qū)動層實現(xiàn)主機數(shù)據(jù)監(jiān)控，包括樣本上傳、創(chuàng)建可疑進程、非授權(quán)網(wǎng)絡(luò)訪問以及遠程SHELL交互內(nèi)容等關(guān)鍵數(shù)據(jù)項監(jiān)控。

2.3 自適應(yīng)動態(tài)策略AI邊界防護技術(shù)

工業(yè)控制系統(tǒng)內(nèi)部的訪問與連接相對固定，通信流量具有周期性的變化等特點，使得在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部建立自適應(yīng)動態(tài)策略AI邊界防護成為可能。由于工控系統(tǒng)的內(nèi)網(wǎng)節(jié)點訪問關(guān)系相對固定，使得高級威脅入侵者一旦進入控制系統(tǒng)內(nèi)網(wǎng)就會導(dǎo)致任何單點環(huán)節(jié)失陷或失效；同時隨著兩化融合的深度推進，分系統(tǒng)之間的邊界越來越模糊，高級威脅入侵造成的危害更大，借助于自學(xué)習(xí)的模式，采用人工智能技術(shù)，實現(xiàn)自適應(yīng)動態(tài)策略的AI邊界防護勢在必行。

自適應(yīng)動態(tài)策略的AI邊界防護的核心是邊緣安全的智能化，就需要工業(yè)防火墻內(nèi)置基于神經(jīng)網(wǎng)絡(luò)構(gòu)建的AI高級威脅檢測模型，不再依賴外部部署的大數(shù)據(jù)分析平臺，在防火墻本地即可精準發(fā)現(xiàn)高級威脅，需要包括ECA(惡意加密流量不解密)識別、惡意軟件非法連接遠控服務(wù)器行為識別、暴力破解惡意行為識別、工業(yè)協(xié)議深度解析(DPI)、工業(yè)流量深度解析(DFI)等，以此提高威脅檢出率和降低誤報率，確保與管理中心、IPS、誘捕系統(tǒng)等智能聯(lián)動。另外，動態(tài)策略調(diào)整需要通過安全管理中心遠程遙控方式下發(fā)新的防護策略和應(yīng)用能力，保證安全業(yè)務(wù)按需動態(tài)調(diào)整，需要工業(yè)AI防火墻內(nèi)置輕量誘捕系統(tǒng)，并通過安全管理中心協(xié)同聯(lián)動，實現(xiàn)大規(guī)模輕量誘捕、動態(tài)引流與誘捕蜜網(wǎng)深度融合聯(lián)動，實現(xiàn)針對不存在IP和未開放端口誘騙的全面監(jiān)控，提升對更隱蔽、更致命的威脅的辨識與處理。聯(lián)動閉環(huán)控制圖如圖4所示。

圖4 誘捕蜜網(wǎng)與自適應(yīng)動態(tài)策略的邊界防護聯(lián)動控制圖

2.4 主動安全防御體系的態(tài)勢感知

工控態(tài)勢感知集檢測、預(yù)警、響應(yīng)處置等功能于一身，是主動防御體系中的安全大腦和“指揮中心”，實現(xiàn)對攻擊、威脅、流量、行為、運維和合規(guī)等態(tài)勢進行全維度的感知，實現(xiàn)全網(wǎng)的安全風(fēng)險態(tài)勢感知、事件響應(yīng)以及資源協(xié)同聯(lián)動，實現(xiàn)“預(yù)知未來、主動發(fā)現(xiàn)、協(xié)同防御、智能進化”的智能主動安全防御能力[3]。

針對工控網(wǎng)絡(luò)高實時、資源受限、私有協(xié)議眾多的特點，需要多視角態(tài)勢感知方法(如基于控制系統(tǒng)內(nèi)生安全、CPS異常檢測[6]、APT攻擊檢測和仿真誘捕產(chǎn)生的報警信息)，通過多視圖學(xué)習(xí)方法從多源報警中提取并優(yōu)化攻擊策略，降低單種類型報警系統(tǒng)的誤報率。圍繞攻擊網(wǎng)絡(luò)存在的漏洞，通過建立攻擊者、防御者和內(nèi)部人員三方博弈的動態(tài)數(shù)學(xué)模型，預(yù)測攻擊者的最佳攻擊時機[7-8]?；诠た貥I(yè)務(wù)背景、攻擊時機和系統(tǒng)風(fēng)險構(gòu)建工控網(wǎng)絡(luò)安全態(tài)勢，監(jiān)控網(wǎng)絡(luò)內(nèi)的敏感操作行為，如圖5所示。

3 工業(yè)控制系統(tǒng)主動防御之實踐

為進一步提升油庫發(fā)油生產(chǎn)系統(tǒng)的安全防護能力，中國石油西北銷售公司成功申報了工信部2018年工業(yè)互聯(lián)網(wǎng)試點示范項目《面向油庫安全運營的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)》[6]，采用基于工控誘捕系統(tǒng)、基于AI技術(shù)的主機防御等技術(shù)，在核心業(yè)務(wù)多樣性、攻擊事件頻發(fā)的大背景下，快速實現(xiàn)業(yè)務(wù)性能異常檢測。其中業(yè)務(wù)性能監(jiān)控包括日志數(shù)據(jù)、應(yīng)用系統(tǒng)追蹤文件和全面的性能監(jiān)控指標等，通過對這些數(shù)據(jù)的實時分析和回溯分析，實現(xiàn)細粒度的實時監(jiān)控和全棧式視圖保障其核心業(yè)務(wù)的穩(wěn)定運營以及智能化的安全運營。

安全運營的核心是提升安全智能運維的水平，提高企業(yè)網(wǎng)絡(luò)安全應(yīng)急處理的能力。在大量數(shù)據(jù)分析的場景下，結(jié)合機器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)，利用海量、實時、全棧的監(jiān)控數(shù)據(jù)，通過AI算法，提出問題定位和運維決策的建議，縮短MTTR (平均故障恢復(fù)時間)，并通過迭代提高分析和決策的準確性，快速定位網(wǎng)絡(luò)威脅點并予以智能消除，以此克服網(wǎng)絡(luò)安全運維部門面對海量采集數(shù)據(jù)大量依賴人工分析的瓶頸。

在油庫發(fā)油工控系統(tǒng)中的流量異常以及應(yīng)用服務(wù)異?，F(xiàn)象中，常常潛伏著一些攻擊行為或安全事件，系統(tǒng)通過對發(fā)油工業(yè)控制系統(tǒng)進行全流量數(shù)據(jù)采集分析，并智能調(diào)用安全規(guī)則庫，對異常行為進行報警。通過結(jié)合大數(shù)據(jù)挖掘和智能化分析技術(shù)，將攻擊者的整個攻擊過程歸納為偵察掃描、定向攻擊、攻陷入侵、工具安裝、惡意行為五個階段，展示整個動態(tài)攻擊過程和攻擊效果，實現(xiàn)基于全網(wǎng)絡(luò)的流量安全監(jiān)測分析。另外，系統(tǒng)結(jié)合漏洞庫對掃描到的各類資產(chǎn)進行漏洞分析并告警；利用高速率報文存儲檢索系統(tǒng)完成對歷史網(wǎng)絡(luò)流量的回放和追溯，快速還原攻擊過程，為網(wǎng)絡(luò)管理人員及時調(diào)整管理策略提供技術(shù)支撐。

圖5 主動防御體系的工控態(tài)勢感知系統(tǒng)

2019年，中石油針對該公司管轄下的三座油庫進行實戰(zhàn)攻防，利用相關(guān)技術(shù)構(gòu)建的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統(tǒng)能夠?qū)崟r感知威脅攻擊，并對某些隱蔽的、未知類型的攻擊進行實時跟蹤與取證，予以有效攔截，有力阻斷了針對實際生產(chǎn)環(huán)境的工業(yè)控制系統(tǒng)的定向攻擊，達到了智能安全運營的目的。

4 結(jié)束語

工業(yè)控制系統(tǒng)安全防護的重點需要以其業(yè)務(wù)運行安全為中心，以保障其可用性為前提，其主動安全防御能力需要與物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個層級深度結(jié)合，并將網(wǎng)絡(luò)安全防御能力部署到信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的每一個業(yè)務(wù)環(huán)節(jié)，建設(shè)以態(tài)勢感知為核心的威脅情報驅(qū)動的動態(tài)主動防御能力體系，將安全管理與防護措施落實到其全生命周期的每一個階段，并將態(tài)勢感知驅(qū)動的實時防護機制與系統(tǒng)運行維護過程深度融合，實現(xiàn)主動協(xié)同聯(lián)動的實戰(zhàn)化運行和現(xiàn)常態(tài)化的威脅主動發(fā)現(xiàn)與自適應(yīng)智能響應(yīng)處置，漸進提升整個工控網(wǎng)絡(luò)安全主動防御水平。