工業(yè)互聯(lián)網(wǎng)企業(yè)側(cè)安全監(jiān)測研究

趙一凡，李富勇，魏珂悅，林逸風(fēng)

（浙江省電子信息產(chǎn)品檢驗研究院，浙江 杭州 310007）

0 引 言

伴隨著新一輪科技革命和產(chǎn)業(yè)革命，工業(yè)領(lǐng)域的數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展成為第四次工業(yè)革命的核心內(nèi)容。工業(yè)互聯(lián)網(wǎng)第四次工業(yè)革命的重要基石是通過人、機、物的全面互聯(lián)，全要素、全產(chǎn)業(yè)鏈、全價值鏈的全面連接，對全生命周期的工業(yè)數(shù)據(jù)進(jìn)行采集、傳輸、存儲、分析并形成智能反饋，推動形成全新的生產(chǎn)制造和服務(wù)體系，優(yōu)化資源要素配置，充分發(fā)揮制造裝備、工藝和材料的潛能，提高企業(yè)生產(chǎn)效率，創(chuàng)造差異化的產(chǎn)品并提供增值服務(wù)。但工業(yè)系統(tǒng)與新一代信息技術(shù)的深度融合，讓工業(yè)企業(yè)的工控網(wǎng)絡(luò)、信息網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的邊界更加模糊，為網(wǎng)絡(luò)攻擊入侵工控系統(tǒng)提供更多途徑，使得工控系統(tǒng)面臨一系列更加復(fù)雜的安全挑戰(zhàn)。

自2000年開始，全球就持續(xù)面臨針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊。2008年，美國Browns Ferry核電站受到網(wǎng)絡(luò)攻擊，反應(yīng)堆核心控制器工作失靈，被迫關(guān)閉；2010年，伊朗布什爾核電站遭受震網(wǎng)病毒攻擊，離心機大面積損壞，導(dǎo)致整個國家核工業(yè)發(fā)展延期，損失難以估量；2015年，烏克蘭電力系統(tǒng)受到“BlackEnergy”惡意軟件的攻擊，導(dǎo)致大規(guī)模停電，給成千上萬家庭的供電供暖帶來嚴(yán)重影響；2018年，臺積電三處晶元廠遭受“WannaCry”勒索病毒攻擊，停產(chǎn)不到三天時間，損失超15億；2019年，委內(nèi)瑞拉最大的電力設(shè)施古里水電站控制中樞遭受網(wǎng)絡(luò)攻擊，引發(fā)全國性大面積停電，約三千萬人受到影響；2020年，美國一家天然氣公司遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天，勒索軟件從其IT網(wǎng)絡(luò)滲透到OT網(wǎng)絡(luò)，對網(wǎng)絡(luò)資產(chǎn)均造成影響。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，國內(nèi)工控網(wǎng)絡(luò)安全現(xiàn)狀不容樂觀，需要加強工業(yè)企業(yè)安全監(jiān)測技術(shù)的研究[1]。

1 工業(yè)企業(yè)網(wǎng)絡(luò)安全風(fēng)險分析

傳統(tǒng)工業(yè)企業(yè)工控網(wǎng)絡(luò)相對封閉，與信息網(wǎng)絡(luò)物理隔離，可在一定程度上抑制信息安全網(wǎng)絡(luò)攻擊向工控網(wǎng)絡(luò)和工控設(shè)備滲透。但工業(yè)互聯(lián)網(wǎng)的快速發(fā)展打破了工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的邊界，網(wǎng)絡(luò)攻擊行為能通過多種途徑滲透工控網(wǎng)絡(luò)，影響工業(yè)控制系統(tǒng)的穩(wěn)定。使用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)[2]。

1.1 工控系統(tǒng)漏洞隱患較多

國內(nèi)工業(yè)控制系統(tǒng)的研制起步較晚，如浙江中控、北京和利時等。國外工業(yè)控制系統(tǒng)占據(jù)較大的市場份額，例如西門子、施耐德電氣、霍尼韋爾、羅克韋爾、通用電氣等。這些廣泛應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施的工控系統(tǒng)，存在大量已知或未知的漏洞和后門，即使設(shè)備供應(yīng)商提供漏洞解決方案，但對于使用中的工業(yè)控制系統(tǒng)也很難進(jìn)行漏洞修復(fù)。

這些工控系統(tǒng)的維護(hù)需要廠商的參與，在廠商無法到達(dá)現(xiàn)場的情況下，只能由廠商進(jìn)行遠(yuǎn)程維護(hù)，但此舉有可能引入網(wǎng)絡(luò)攻擊，導(dǎo)致數(shù)據(jù)泄露，帶來極大的安全隱患。

所以只有提升核心工控系統(tǒng)的自身安全性，才能有效應(yīng)對工業(yè)互聯(lián)網(wǎng)環(huán)境下全方位、多角度的網(wǎng)絡(luò)安全威脅[3]。

1.2 工控系統(tǒng)安全防護(hù)能力弱

工控系統(tǒng)和工控網(wǎng)絡(luò)的建設(shè)已經(jīng)有幾十年的歷史。工控系統(tǒng)在設(shè)計之初，在性能有限的情況下，更多考慮其穩(wěn)定性和可靠性，未考慮工控系統(tǒng)自身的安全性。

在組建工控網(wǎng)絡(luò)時，因為工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)存在物理隔離，網(wǎng)絡(luò)攻擊可能性低，所以工控網(wǎng)絡(luò)未做統(tǒng)一完善的安全防護(hù)方案。同時，大量工控網(wǎng)絡(luò)的工控設(shè)備和工業(yè)網(wǎng)絡(luò)設(shè)備普遍采用缺省配置，容易被攻擊利用。

在工控網(wǎng)絡(luò)投入使用后，系統(tǒng)使用年限長，設(shè)備更新?lián)Q代慢，存在難以替代的情況。

1.3 開放互聯(lián)導(dǎo)致攻擊途徑增多

傳統(tǒng)工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)物理隔離，相對封閉，沒必要防范外部網(wǎng)絡(luò)攻擊，所以較少做統(tǒng)一的安全防護(hù)。

但隨著工業(yè)自動化和信息化的高度融合，IT和OT的網(wǎng)絡(luò)邊界被逐步打破，僵木蠕和APT等網(wǎng)絡(luò)攻擊行為會通過多種途徑由互聯(lián)網(wǎng)逐步向信息網(wǎng)絡(luò)、工控網(wǎng)絡(luò)滲透，對工業(yè)系統(tǒng)的正常運行造成影響，工業(yè)企業(yè)的工控網(wǎng)絡(luò)面臨著巨大的安全挑戰(zhàn)[4]。

1.4 工控系統(tǒng)網(wǎng)絡(luò)攻擊更有針對性

工控系統(tǒng)由上位機和下位機組成。上位機包括HMI、工程師站、操作員站等，主要建立在Windows和Linux操作系統(tǒng)之上；下位機包括DCS、PLC、RTU等，主要是嵌入式系統(tǒng)。這些設(shè)備主要通過工業(yè)協(xié)議通信，完成控制命令和數(shù)據(jù)的交互。

傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊能夠影響上位機的運行，如操作系統(tǒng)層面的越權(quán)操作、信息竊取等，對于工業(yè)協(xié)議和下位機的嵌入式系統(tǒng)影響不大。

隨著工控系統(tǒng)暴露出來的漏洞逐年增多，針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊也更加具有針對性，這些攻擊行為有部分使用工業(yè)協(xié)議，對DCS、PLC等設(shè)備進(jìn)行工業(yè)參數(shù)篡改、緩沖區(qū)溢出等。有些攻擊比較明顯，可通過網(wǎng)絡(luò)通信發(fā)現(xiàn)，但有些攻擊非常隱蔽，通過較長的攻擊鏈長期竊取生產(chǎn)數(shù)據(jù)，或者使用中間人攻擊，導(dǎo)致下位機異常，而上位機卻未察覺。當(dāng)前，針對工控系統(tǒng)的攻擊途徑逐漸增多，攻擊方式更加多樣，更有針對性[5]。

1.5 工業(yè)數(shù)據(jù)泄露風(fēng)險與日俱增

工業(yè)企業(yè)的工業(yè)生產(chǎn)數(shù)據(jù)的數(shù)量、種類已得到較大發(fā)展，且數(shù)據(jù)結(jié)構(gòu)更加復(fù)雜。同時，由于工業(yè)互聯(lián)網(wǎng)平臺的發(fā)展，這些數(shù)據(jù)可能需要在系統(tǒng)之間、車間之間、廠區(qū)之間、企業(yè)之間流動共享，實現(xiàn)要素資源的融合融通，從而增加了工控網(wǎng)絡(luò)生產(chǎn)數(shù)據(jù)和隱私數(shù)據(jù)的泄露風(fēng)險。數(shù)據(jù)從系統(tǒng)內(nèi)流向系統(tǒng)外，從工控網(wǎng)絡(luò)流向信息網(wǎng)絡(luò)，從企業(yè)內(nèi)流向企業(yè)外。各行業(yè)、各系統(tǒng)數(shù)據(jù)保護(hù)需求不同，數(shù)據(jù)流向不同且路徑復(fù)雜，大大增加了數(shù)據(jù)保護(hù)的難度。

1.6 應(yīng)急處置能力弱

要保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，有效應(yīng)對網(wǎng)絡(luò)安全威脅帶來的風(fēng)險，需要建立相應(yīng)的安全防護(hù)體系和安全監(jiān)測體系，落實相關(guān)安全管理規(guī)范。但我國在工業(yè)安全建設(shè)方面起步較晚，不同行業(yè)的工業(yè)安全建設(shè)差別較大，在防護(hù)體系、架構(gòu)設(shè)計、安全監(jiān)測、應(yīng)急響應(yīng)等方面相對較弱，部分企業(yè)無監(jiān)測預(yù)警機制，也無網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案，相關(guān)建設(shè)有待提高。

2 安全監(jiān)測相關(guān)技術(shù)

工控網(wǎng)絡(luò)安全監(jiān)測技術(shù)主要包括工業(yè)協(xié)議深度解析技術(shù)、異常行為檢測技術(shù)、日志采集及分析技術(shù)、蜜罐技術(shù)、沙箱技術(shù)、網(wǎng)絡(luò)攻擊溯源技術(shù)、態(tài)勢感知技術(shù)等。

2.1 工業(yè)協(xié)議深度解析技術(shù)

工業(yè)控制系統(tǒng)之間、上位機和下位機之間基于總線或以太網(wǎng)通過工業(yè)協(xié)議進(jìn)行指令和數(shù)據(jù)交互。少部分工控協(xié)議為公開協(xié)議，例如MMS、GOOSE、IEC103、IEC104、Modbus/TCP、Ethernet/IP等；但大部分工控協(xié)議為私有協(xié)議，例如西門子S7、浙江中控、北京和利時、koyo、bachmann、紅獅Crimson、foxboro、艾默生ovation等所使用的工業(yè)協(xié)議等。要檢查指令和數(shù)據(jù)交互的合規(guī)性，實現(xiàn)安全監(jiān)測與分析，需要對工業(yè)協(xié)議進(jìn)行精準(zhǔn)的DPI深度報文解析。通過解析工業(yè)協(xié)議，提取功能碼、數(shù)據(jù)等協(xié)議關(guān)鍵字段，覆蓋主流工業(yè)協(xié)議，從而發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在的安全問題。

2.2 異常行為檢測技術(shù)

針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊和違規(guī)操作等需要通過基于工控網(wǎng)絡(luò)的網(wǎng)絡(luò)通信來完成。通過在工控網(wǎng)絡(luò)的核心節(jié)點監(jiān)聽網(wǎng)絡(luò)流量，可以實時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常通信，例如網(wǎng)絡(luò)攻擊、非法接入、下位機組態(tài)變更、工藝參數(shù)調(diào)整、工控系統(tǒng)啟動/停止等異常行為，從而找到異常行為源頭，及時響應(yīng)處置，避免生產(chǎn)事故的發(fā)生。工業(yè)協(xié)議異常行為檢測以工業(yè)協(xié)議深度解析為基礎(chǔ)，應(yīng)支持對數(shù)據(jù)包特征、工控指令等行為進(jìn)行檢測，及時發(fā)現(xiàn)關(guān)鍵事件。

2.3 日志采集及分析技術(shù)

工業(yè)企業(yè)的生產(chǎn)環(huán)境包括大量設(shè)備，如DCS、PLC、SCADA、RTU、工程師站、操作員站、OPC服務(wù)器、工業(yè)數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。上述設(shè)備在運行過程中會產(chǎn)生相應(yīng)的日志，包括操作系統(tǒng)日志、設(shè)備運行日志、應(yīng)用軟件運行日志、網(wǎng)絡(luò)事件日志、安全事件日志等。這些日志記錄了設(shè)備和網(wǎng)絡(luò)中發(fā)生事件的信息，包括性能信息、故障檢測和入侵檢測。因此日志不僅可以告訴我們工控系統(tǒng)運行狀態(tài)是否正常，也可以在事故發(fā)生后查明“發(fā)生了什么”，是一個很好的“取證”信息來源。但日志數(shù)據(jù)大多是異構(gòu)的，其在數(shù)據(jù)格式和元數(shù)據(jù)上可能不一致，需要清洗過濾后進(jìn)行匯總分析[6-7]。

2.4 沙箱技術(shù)

工控網(wǎng)絡(luò)中，一些業(yè)務(wù)會通過工業(yè)協(xié)議或傳統(tǒng)以太網(wǎng)協(xié)議傳輸文件，這些文件可能被惡意程序感染。對于惡意程序的檢測，有2種常見方式，即靜態(tài)分析與動態(tài)分析。動態(tài)分析在一個受控環(huán)境中運行并監(jiān)控給定應(yīng)用程序的行為，其使用了許多啟發(fā)式方法來增強對應(yīng)用程序動態(tài)行為的捕獲能力[6]。給定應(yīng)用在沙箱中執(zhí)行，運行較長一段時間后才能獲得其運行特征，比如監(jiān)控文件傳輸、網(wǎng)絡(luò)通信、進(jìn)程和系統(tǒng)資源的使用等。

2.5 蜜罐技術(shù)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，針對工控系統(tǒng)的攻擊途徑增多，攻擊方式日益復(fù)雜，單純的安全防御更顯被動。因此可以考慮通過設(shè)置陷阱，引誘攻擊源對陷阱發(fā)動網(wǎng)絡(luò)攻擊，從而第一時間發(fā)現(xiàn)相關(guān)安全威脅。

攻擊源對一個工業(yè)控制系統(tǒng)攻擊前，需要搜集系統(tǒng)信息，然后通過一系列攻擊路徑達(dá)到攻擊目的。

蜜罐應(yīng)用于工業(yè)企業(yè)的工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)中，誘使攻擊源對其訪問或進(jìn)行網(wǎng)絡(luò)攻擊，從而捕獲攻擊內(nèi)容、攻擊方式和攻擊源信息，為第一時間進(jìn)行響應(yīng)處置提供支撐，切斷攻擊源對真實設(shè)備的訪問路徑，同時進(jìn)行關(guān)聯(lián)分析，利用溯源分析技術(shù)對攻擊進(jìn)行實時跟蹤分析[8]。

2.6 網(wǎng)絡(luò)攻擊溯源技術(shù)

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展及攻擊路徑的增加，且對工業(yè)控制系統(tǒng)和工業(yè)協(xié)議逐漸熟悉，工控系統(tǒng)的網(wǎng)絡(luò)威脅日益復(fù)雜，傳統(tǒng)的被動安全防御日益乏力?？梢酝ㄟ^工業(yè)協(xié)議解析、異常行為檢測、系統(tǒng)運行和安全日志、蜜罐所受網(wǎng)絡(luò)攻擊等發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的源頭，采取有針對性的措施，降低網(wǎng)絡(luò)威脅的影響。

確定網(wǎng)絡(luò)攻擊源頭的技術(shù)為追蹤溯源，是指根據(jù)網(wǎng)絡(luò)攻擊行為找到網(wǎng)絡(luò)攻擊者的身份，身份信息包括攻擊者的IP地址、MAC地址、主體類型、操作系統(tǒng)信息、賬戶信息、攻擊頻率、地理位置信息等[9]。

2.7 態(tài)勢感知技術(shù)

通過前面所列技術(shù)，工業(yè)企業(yè)能收集到海量安全相關(guān)數(shù)據(jù)。態(tài)勢感知以這些海量安全數(shù)據(jù)為基礎(chǔ)，進(jìn)行數(shù)據(jù)過濾和統(tǒng)計，形成企業(yè)安全趨勢，幫助企業(yè)發(fā)現(xiàn)自身存在的安全問題，為后續(xù)安全建設(shè)提供數(shù)據(jù)支撐[10]。

態(tài)勢感知可以實現(xiàn)海量信息的實時集中匯集、綜合分析、實時異常報警等，有效提升工業(yè)企業(yè)網(wǎng)絡(luò)安全監(jiān)測和態(tài)勢感知能力，實現(xiàn)網(wǎng)絡(luò)安全事件和風(fēng)險的監(jiān)測、分析、審計、追蹤溯源和風(fēng)險可視化；增強工控網(wǎng)絡(luò)安全情報共享和預(yù)警通報能力，實現(xiàn)跨部門間信息共享和預(yù)警通報的通道，做到信息共享和預(yù)警通報及時、客觀、準(zhǔn)確、完整，切實提升工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全的應(yīng)急指揮和處置能力。

3 企業(yè)側(cè)安全監(jiān)測建設(shè)內(nèi)容

圖1所示為典型的工業(yè)企業(yè)網(wǎng)絡(luò)，包含信息網(wǎng)絡(luò)和工控網(wǎng)絡(luò)。按照分層原則，從下至上分別為現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層、企業(yè)資源層。

圖1 典型工業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

現(xiàn)場設(shè)備層主要包括執(zhí)行單元和傳感設(shè)備，用于對生產(chǎn)過程的操作和感知，例如閥門、開關(guān)、數(shù)字量采集設(shè)備和模擬量采集設(shè)備等。

現(xiàn)場控制層主要包括控制器單元，如PLC、DCS、RTU等，用于控制現(xiàn)場設(shè)備層的設(shè)備。PLC、DCS與傳感器、執(zhí)行單元間通過現(xiàn)場總線通信。常見現(xiàn)場總線有PRIFIBUS（過程現(xiàn)場總線）、FF-BUS（基金會現(xiàn)場總線）、CAN-BUS（控制器局域網(wǎng)絡(luò)總線）等。

過程監(jiān)控層主要包括監(jiān)控服務(wù)器與上位機功能單元，用于對生產(chǎn)過程數(shù)據(jù)進(jìn)行采集與監(jiān)控。例如工程師站、操作員站、OPC服務(wù)器、歷史數(shù)據(jù)庫等。

生產(chǎn)管理層主要包括MES系統(tǒng)等功能單元，用于對生產(chǎn)過程進(jìn)行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等。

企業(yè)資源層主要包括ERP、OA，PLM等功能單元，為企業(yè)決策層員工提供決策支持。

圖2所示為企業(yè)側(cè)安全監(jiān)測技術(shù)架構(gòu)。

圖2 安全監(jiān)測技術(shù)架構(gòu)

3.1 邊界防護(hù)

工業(yè)企業(yè)根據(jù)其業(yè)務(wù)類型往往存在不同作用、不同級別的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)的安全防護(hù)級別要求也不同。不同安全級別的網(wǎng)絡(luò)間會進(jìn)行連接，從而形成網(wǎng)絡(luò)邊界。在網(wǎng)絡(luò)邊界上部署可靠的安全防御措施，能夠極大地防止來自鄰近網(wǎng)絡(luò)的入侵行為。進(jìn)行網(wǎng)絡(luò)分區(qū)是等保2.0安全區(qū)域邊界的前提，也是電力監(jiān)控系統(tǒng)“安全分區(qū)、網(wǎng)絡(luò)專用”的基本要求。

在現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層之間部署工業(yè)級防火墻或網(wǎng)閘等設(shè)備；在生產(chǎn)管理層和企業(yè)資源層之間，企業(yè)資源層和互聯(lián)網(wǎng)之間部署防火墻、網(wǎng)閘、安全網(wǎng)關(guān)等安全隔離設(shè)備，實現(xiàn)網(wǎng)絡(luò)邊界的隔離和安全防護(hù)。

3.2 流量采集及異常行為分析

在現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層、企業(yè)資源層和企業(yè)互聯(lián)網(wǎng)出口部署流量探針，對流量中的傳統(tǒng)以太網(wǎng)協(xié)議和工業(yè)協(xié)議進(jìn)行深度解析，判斷傳輸指令和數(shù)據(jù)的合規(guī)性，發(fā)現(xiàn)網(wǎng)絡(luò)流量中的違規(guī)行為、異常行為和網(wǎng)絡(luò)攻擊行為，并將這些安全事件即時傳輸給其他模塊，進(jìn)行后續(xù)操作。

3.3 日志采集

除現(xiàn)場設(shè)備層，其他各層都可部署日志審計設(shè)備，進(jìn)行日志采集。包括工業(yè)控制系統(tǒng)、主機、操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運行日志和安全日志等。對日志進(jìn)行過濾篩選，從中發(fā)現(xiàn)安全事件信息、運行故障信息和其他異常信息等。

3.4 沙箱技術(shù)

在安全監(jiān)測平臺中，部署沙箱虛擬環(huán)境。流量采集設(shè)備從網(wǎng)絡(luò)流量中提取可疑的可執(zhí)行文件，沙箱根據(jù)文件類型啟動多個版本的虛擬操作系統(tǒng)，并將可疑文件放入虛擬操作系統(tǒng)環(huán)境中，通過長時間運行，觀察系統(tǒng)是否被惡意操作，從而確認(rèn)該可疑文件是否安全。

即使可疑文件帶有木馬病毒、廣告插件等惡意程序，在沙箱虛擬環(huán)境中對應(yīng)用程序或操作系統(tǒng)進(jìn)行感染和惡意修改，其影響范圍也只限制在虛擬環(huán)境中，不會影響工控網(wǎng)絡(luò)。沙箱會自動清理虛擬環(huán)境，清除可疑文件。

3.5 溯源分析

通過異常行為檢測、惡意文件沙箱檢測，可以獲取大量安全事件信息。根據(jù)獲得的安全事件，結(jié)合對應(yīng)的網(wǎng)絡(luò)流量和安全日志，可以對攻擊源和攻擊路徑進(jìn)行溯源追蹤。

通過網(wǎng)絡(luò)攻擊溯源技術(shù)可以發(fā)現(xiàn)攻擊源頭，從而進(jìn)行有針對性的防護(hù)和抑制，避免其他工控系統(tǒng)受到該攻擊源的網(wǎng)絡(luò)攻擊，保障工控網(wǎng)絡(luò)整體安全。

3.6 態(tài)勢感知

基于提取的海量企業(yè)側(cè)基礎(chǔ)數(shù)據(jù)和安全數(shù)據(jù)，對企業(yè)資產(chǎn)和流量做深度監(jiān)測，對工控類漏洞和安全事件進(jìn)行多方位、多層次的關(guān)聯(lián)分析，集中反映企業(yè)側(cè)工控系統(tǒng)網(wǎng)絡(luò)的實時安全態(tài)勢。

以安全事件和漏洞監(jiān)測為脈絡(luò)，實現(xiàn)對工業(yè)資產(chǎn)、工控設(shè)備、網(wǎng)絡(luò)流量、重要業(yè)務(wù)應(yīng)用的監(jiān)測和預(yù)警。面向攻擊利用行為進(jìn)行監(jiān)測，及時生成網(wǎng)絡(luò)安全預(yù)警信息，提高工業(yè)互聯(lián)網(wǎng)漏洞監(jiān)測、事件監(jiān)控及預(yù)警響應(yīng)能力，為安全決策提供技術(shù)和數(shù)據(jù)支撐。

4 結(jié) 語

針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊和入侵正在向多元化、復(fù)雜化、規(guī)?；l(fā)展。工業(yè)控制系統(tǒng)由于在設(shè)計之初注重功能性和穩(wěn)定性，忽視安全性，因此存在大量安全漏洞。同時因可用性的要求，絕大多數(shù)工控系統(tǒng)使用者都不會對系統(tǒng)進(jìn)行升級或改造，因此工控系統(tǒng)和工控網(wǎng)絡(luò)會成為網(wǎng)絡(luò)攻擊的首選目標(biāo)。使用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)建設(shè)完善的安全監(jiān)測體系能夠?qū)崟r、準(zhǔn)確地掌握網(wǎng)絡(luò)安全態(tài)勢，檢測惡意攻擊行為，針對安全事件進(jìn)行預(yù)警和快速響應(yīng)，讓網(wǎng)絡(luò)安全工作具有主動性和條理性，是監(jiān)測和預(yù)防網(wǎng)絡(luò)安全事件的有效途徑。