工業(yè)信息安全的矛盾與應(yīng)對淺析

馬霄，高彥愷

（天融信科技集團(tuán)，北京 100193）

0 引言

隨著自動化和信息化技術(shù)的飛速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多的采用基于信息技術(shù)為基礎(chǔ)的通用協(xié)議、通用硬件以及軟件，并廣泛應(yīng)用于電力、鋼鐵、水利、化工、制造等行業(yè)。同時為適應(yīng)當(dāng)前工業(yè)控制網(wǎng)絡(luò)中數(shù)據(jù)互通的需求，提高生產(chǎn)及運營效率，在物理位置相距較遠(yuǎn)的場景下，工業(yè)控制系統(tǒng)通過各種方式與互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)連接，病毒、木馬等威脅也伴隨著信息技術(shù)的發(fā)展在工業(yè)控制環(huán)境中大量擴(kuò)散。由于工業(yè)控制系統(tǒng)的產(chǎn)品特性和網(wǎng)絡(luò)連接特點，工業(yè)控制系統(tǒng)在信息技術(shù)應(yīng)用的環(huán)境下面臨較大威脅，故工業(yè)控制系統(tǒng)信息安全受到越來越多的關(guān)注。

1 環(huán)境差異引發(fā)技術(shù)重點的差異

從整體上看，工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)在網(wǎng)絡(luò)邊緣、體系結(jié)構(gòu)和傳輸內(nèi)容方面有著主要的不同。

網(wǎng)絡(luò)邊緣不同：工業(yè)控制系統(tǒng)在地域分布較傳統(tǒng)IT網(wǎng)絡(luò)廣泛，其底層節(jié)點普遍為智能化程度較低的傳感裝置、數(shù)據(jù)傳輸裝置而非傳統(tǒng)IT網(wǎng)絡(luò)系統(tǒng)底層的通用計算機(jī)、小型機(jī)等，其在物理安全需求及應(yīng)用層面存在較大差異。

體系結(jié)構(gòu)不同：工業(yè)控制網(wǎng)絡(luò)縱向集成度較高，主站節(jié)點與終端從站節(jié)點之間為主從關(guān)系，傳統(tǒng)IT網(wǎng)絡(luò)則更趨向于橫向扁平的對等關(guān)系，兩者之間在脆弱節(jié)點分布上存在較大差異。

傳輸內(nèi)容不同：工業(yè)控制網(wǎng)絡(luò)中傳輸內(nèi)容多為工控專有協(xié)議，其數(shù)據(jù)部分通常為寄存器的具體數(shù)值。

工控系統(tǒng)信息安全三要素優(yōu)先級不同：對于工控系統(tǒng)而言，系統(tǒng)的可用性至關(guān)重要，因此需要將可用性放在第一位，即可用性、完整性、保密性。此外優(yōu)先級的變化不僅僅體現(xiàn)在安全要素的排序上，更關(guān)鍵的是在應(yīng)對工控系統(tǒng)安全問題時思考問題的優(yōu)先順序。

從細(xì)節(jié)中來講，工業(yè)控制環(huán)境中對設(shè)備的性能要求、生命周期、可用性、操作性、資源限制等均與傳統(tǒng)IT環(huán)境存在較大差異。

性能：在視頻監(jiān)控流量帶外管理的場景下，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中流量遠(yuǎn)遠(yuǎn)小于傳統(tǒng)IT網(wǎng)絡(luò)，但其對于單包數(shù)據(jù)響應(yīng)相對要求較高，即要求延遲和抖動都限定在一定水平內(nèi)，通?，F(xiàn)場級通訊超時周期都在1～3秒以內(nèi)，部分精密控制場景實時性要求更高。

風(fēng)險管控：對于傳統(tǒng)IT環(huán)境，更多關(guān)注于數(shù)據(jù)的機(jī)密性和完整性；而對于工業(yè)控制網(wǎng)絡(luò)，其對于容錯比要求更加嚴(yán)格，控制數(shù)據(jù)不允許存在超時重發(fā)機(jī)制，且控制過程不可逆，故工業(yè)控制系統(tǒng)網(wǎng)絡(luò)更多關(guān)注于保障生產(chǎn)的可持續(xù)性。在信息安全方面，傳統(tǒng)IT網(wǎng)絡(luò)威脅多來自于外部空間，包括漏洞攻擊、DDoS攻擊、網(wǎng)頁篡改等構(gòu)成其主要風(fēng)險；工控網(wǎng)絡(luò)更多關(guān)注于網(wǎng)絡(luò)內(nèi)部對生產(chǎn)造成的影響，例如誤操作、終端惡意代碼威脅等。

資源限制：傳統(tǒng)IT網(wǎng)絡(luò)具有足夠的資源支持增加的第三方程序，包括應(yīng)用、安全等層面均可進(jìn)行支持；工控網(wǎng)絡(luò)由于其設(shè)備生命周期遠(yuǎn)遠(yuǎn)大于IT網(wǎng)絡(luò)，造成計算資源的受限，多數(shù)場景下不允許使用第三方解決方案。

變更管理：該方面主要體現(xiàn)在應(yīng)用升級及補(bǔ)丁管理方面，IT網(wǎng)絡(luò)中的應(yīng)用普遍具備良好的兼容性，可自動進(jìn)行軟件更新及補(bǔ)丁更新等，工控網(wǎng)絡(luò)中兼容性問題普遍存在，當(dāng)前國內(nèi)絕大部分應(yīng)用均在Win7及以上版本操作系統(tǒng)中存在兼容性問題，部分補(bǔ)丁更新也會造成原有計算資源的不足，故在工控網(wǎng)絡(luò)中變更通常在生產(chǎn)維修期進(jìn)行，且變更前需要進(jìn)行徹底的測試和部署增量，從而保證盡可能的降低對生產(chǎn)的影響。

通信：IT網(wǎng)絡(luò)中通常采用基于TCP/IP標(biāo)準(zhǔn)協(xié)議，工控網(wǎng)絡(luò)中協(xié)議通常在供應(yīng)商間互相不支持，各自存在較多版本專用通信協(xié)議，通訊介質(zhì)種類相對較多，包括以太網(wǎng)、RS485/422/232總線、DP總線、4～20mA硬接線等。

以上僅列舉部分工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)中存在的差異，基于以上差異，工業(yè)網(wǎng)絡(luò)安全的關(guān)注點也與IT網(wǎng)絡(luò)安全存在較大差異。工業(yè)控制網(wǎng)絡(luò)中的安全關(guān)注點更多在如何保障生產(chǎn)的持續(xù)運行，如何確保控制、運維過程中的有效監(jiān)控從而減少因誤操作引發(fā)的生產(chǎn)事故以及如何對控制網(wǎng)絡(luò)安全事件進(jìn)行有效的監(jiān)管及事前防范。防范和抵御攻擊者通過惡意行為人為制造生產(chǎn)事故、損害或傷亡成為工業(yè)控制系統(tǒng)信息安全的重中之重。

由于控制網(wǎng)絡(luò)通常不與互聯(lián)網(wǎng)直接進(jìn)行聯(lián)通，且與管理網(wǎng)間參照我國《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》進(jìn)行單向隔離，故在生產(chǎn)網(wǎng)安全中更多著重于對于生產(chǎn)流程的保障。

2 自動化技術(shù)與網(wǎng)絡(luò)安全的矛盾

傳統(tǒng)的自動化技術(shù)與信息化技術(shù)均為互相獨立領(lǐng)域，在“全以太網(wǎng)架構(gòu)”以及“兩化融合”的時代潮流下兩個獨立的領(lǐng)域出現(xiàn)了大量的交集，在這過程中又存在著大量的矛盾。

下文均為國內(nèi)某行業(yè)技術(shù)專家研討過程中提出的安全與生產(chǎn)的矛盾。

矛盾1：安全防范與生產(chǎn)過程的沖突。傳統(tǒng)自動化領(lǐng)域中控制系統(tǒng)具備獨立性，其控制器與操作站應(yīng)用均為同一品牌（例如西門子PLC與WinCC組態(tài)軟件）或同一自動化廠商實施，在資源管理維度通常對第三方缺乏信任；其次，安全分析通常會有一定的誤報率，而工業(yè)控制系統(tǒng)容錯率較低，故作為控制用戶或工藝用戶對安全防范手段是否會對生產(chǎn)流程造成新的威脅較為擔(dān)憂。如何在保證控制系統(tǒng)獨立性的前提下進(jìn)行信息安全保障成為自動化用戶關(guān)注的核心。

矛盾2：終端安全與應(yīng)用軟件的沖突。在自動化數(shù)據(jù)通訊網(wǎng)絡(luò)搭建中，通常會從控制系統(tǒng)工程師站進(jìn)行數(shù)據(jù)讀取操作，過程中需要安裝部分應(yīng)用插件作為數(shù)據(jù)通訊的必要組件；且在數(shù)據(jù)通訊配置過程中，考慮到自動化實施人員對于信息化技術(shù)了解程度較低，通常會關(guān)閉本機(jī)主機(jī)防火墻，以保障通訊的建立（例如OPC DCOM配置過程）；同時部分軟件工程的變更也需要在工程師站進(jìn)行必要的數(shù)據(jù)拷貝，在文件傳輸過程中不可避免應(yīng)用到移動存儲介質(zhì)或與第三方設(shè)備進(jìn)行連接，該方式造成控制系統(tǒng)工程師站主機(jī)易遭受惡意代碼威脅；而工業(yè)應(yīng)用在設(shè)計之初幾乎未考慮安全性的存在，部分軟件調(diào)用方式通常會被基于黑名單的殺毒軟件視作惡意代碼加以隔離或刪除，從而造成生產(chǎn)監(jiān)控過程的異常。站控主機(jī)作為控制過程中的主站，在保障生產(chǎn)監(jiān)控過程正常進(jìn)行與主機(jī)安全處置兩個維度存較大的矛盾，從而影響工業(yè)控制系統(tǒng)中主機(jī)安全策略的執(zhí)行。在保證終端環(huán)境純凈與保證監(jiān)控組態(tài)的可用性上，如何做到共存成為控制用戶的基本目標(biāo)。

矛盾3：安全加固與生產(chǎn)過程的沖突。作為傳統(tǒng)工業(yè)生產(chǎn)者，保障生產(chǎn)的可持續(xù)性成為工作的第一要務(wù)，部分工藝生產(chǎn)周期可能長達(dá)數(shù)月甚至數(shù)年，在這過程中爆發(fā)的漏洞按照信息安全從業(yè)者的維度需要及時進(jìn)行加固，防止利用漏洞進(jìn)行攻擊；但依照工業(yè)生產(chǎn)者的原則，需要保障生產(chǎn)的可持續(xù)運行，進(jìn)行加固需要停產(chǎn)，且加固后與現(xiàn)有系統(tǒng)及應(yīng)用的兼容性不可確定，故需要在完成生產(chǎn)流程后進(jìn)行停產(chǎn)加固，兩者之間的存在時效性的矛盾。在保障生產(chǎn)的前提下如何進(jìn)行安全加固成為用戶安全建設(shè)的目標(biāo)。

矛盾4：檢測維度與安全監(jiān)控需求的沖突。作為信息安全從業(yè)者，檢測維度通常僅僅圍繞安全事件進(jìn)行，但該類型檢測不能滿足保障工業(yè)生產(chǎn)過程的實際需求，僅僅依靠針對信息安全的檢測不足以保障工業(yè)生產(chǎn)的可持續(xù)運行，在進(jìn)行安全檢測的過程中需要針對工業(yè)生產(chǎn)中的重點節(jié)點進(jìn)行檢測，例如節(jié)點間通訊等，通過對工業(yè)生產(chǎn)整體環(huán)境檢測來保障工業(yè)生產(chǎn)安全。工業(yè)信息安全檢測維度與保障工業(yè)生產(chǎn)的維度存在差異，如何在兩者之間尋找平衡點則成為工業(yè)信息安全價值的體現(xiàn)。

矛盾5：新技術(shù)應(yīng)用與生產(chǎn)工藝的沖突。自動化領(lǐng)域應(yīng)用以保證可用性為第一前提，其網(wǎng)元節(jié)點在設(shè)計之初沒有針對IT環(huán)境中檢測做相應(yīng)設(shè)計，部分IT信息安全中的檢測技術(shù)，在工業(yè)控制系統(tǒng)中易造成工業(yè)設(shè)備的宕機(jī)，從而破壞生產(chǎn)過程。例如主動檢測技術(shù)在瞬時多并發(fā)的同時，訪問控制器造成控制器的故障。如何處理必要的安全檢測與工業(yè)現(xiàn)狀的兼容性則成為新技術(shù)應(yīng)用在工業(yè)控制系統(tǒng)中的重要問題，在傳統(tǒng)安全手段不能滿足日新月異的安全需求過程中，新技術(shù)的應(yīng)用，成為工業(yè)控制系統(tǒng)信息安全的發(fā)展趨勢。

3 差異與矛盾中的共通及發(fā)展

天融信根據(jù)以上差異和矛盾，總結(jié)出基于“用戶行為基線的安全防護(hù)”模型，根據(jù)用戶生產(chǎn)網(wǎng)中流量、終端等其他節(jié)點，以最小化為基本原則，采用以安全防護(hù)手段為基礎(chǔ)，態(tài)勢分析為核心，應(yīng)急響應(yīng)為技術(shù)手段的綜合解決方案。

3.1 安全防護(hù)

安全防護(hù)對象包含網(wǎng)絡(luò)中的控制設(shè)備、管理設(shè)備、感知設(shè)備等，防護(hù)范圍覆蓋生產(chǎn)網(wǎng)，安全防護(hù)中心作為數(shù)據(jù)探針，將基于各個節(jié)點的安全數(shù)據(jù)、異常數(shù)據(jù)等上送至態(tài)勢感知系統(tǒng)，用作安全環(huán)境、基線的分析，并執(zhí)行分析的結(jié)果。同時，將生產(chǎn)網(wǎng)網(wǎng)絡(luò)、應(yīng)用等運行狀態(tài)傳遞至應(yīng)急響應(yīng)體系進(jìn)行統(tǒng)一的運維監(jiān)控。

3.2 態(tài)勢分析

態(tài)勢分析作為生產(chǎn)網(wǎng)安全防護(hù)的“大腦”，承擔(dān)安全信息分析的作用，通過收集安全防護(hù)體系中安全設(shè)備及監(jiān)測數(shù)據(jù)，利用大數(shù)據(jù)手段，基于用戶的安全基線進(jìn)行安全建模，通過模型間的組合進(jìn)行流式分析，分析網(wǎng)絡(luò)中安全威脅及主機(jī)、應(yīng)用脆弱性，后依據(jù)分析結(jié)果下發(fā)策略至安全防護(hù)設(shè)備、安全審計設(shè)備以及應(yīng)急響應(yīng)團(tuán)隊執(zhí)行安全策略的落地，形成基于用戶行為的縱向安全防護(hù)體系。

3.3 應(yīng)急響應(yīng)

應(yīng)急響應(yīng)體系包含運行監(jiān)測中心及應(yīng)急響應(yīng)團(tuán)隊以及整體安全管理執(zhí)行機(jī)構(gòu)。

3.4 監(jiān)測中心

監(jiān)測中心主要針對生產(chǎn)各個節(jié)點數(shù)據(jù)進(jìn)行安全監(jiān)測，通過對安全數(shù)據(jù)、生產(chǎn)數(shù)據(jù)進(jìn)行分析、比對，判斷當(dāng)前生產(chǎn)運行狀態(tài)。監(jiān)測數(shù)據(jù)通過生產(chǎn)系統(tǒng)及安全防護(hù)體系中安全設(shè)備進(jìn)行收集；對異常生產(chǎn)場景進(jìn)行重點監(jiān)測，同時將監(jiān)測數(shù)據(jù)上送至態(tài)勢感知體系中大數(shù)據(jù)分析平臺進(jìn)行分析，確認(rèn)異常事件則由應(yīng)急響應(yīng)團(tuán)隊進(jìn)行事件調(diào)查，故障響應(yīng)等。

3.5 應(yīng)急響應(yīng)團(tuán)隊

應(yīng)急響應(yīng)團(tuán)隊承擔(dān)故障應(yīng)急響應(yīng)調(diào)查及響應(yīng)工作，對于確認(rèn)的異常事件，通過基于生產(chǎn)工藝原理維度進(jìn)行分析判斷，并對異常事件進(jìn)行及時響應(yīng)，確保對生產(chǎn)的影響降至最低。異常響應(yīng)完畢后，將異常整理為流式模型，輸入態(tài)勢分析節(jié)點，強(qiáng)化安全分析能力。

3.6 安全管理執(zhí)行機(jī)構(gòu)

通常由用戶方技術(shù)負(fù)責(zé)人作為整體責(zé)任人，根據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及企業(yè)內(nèi)部現(xiàn)狀制定企業(yè)信息安全標(biāo)準(zhǔn)及執(zhí)行方法以及推行。

通過上述三套技術(shù)體系進(jìn)行安全信息的互聯(lián)互通，構(gòu)成針對工業(yè)控制系統(tǒng)的動態(tài)防護(hù)體系，根據(jù)網(wǎng)絡(luò)中威脅分布及類型實時更新完善安全防護(hù)策略，并輔以行業(yè)、控制、工藝專家對生產(chǎn)過程進(jìn)行縱深監(jiān)控分析，形成安全閉環(huán)生態(tài)，在不影響生產(chǎn)獨立性的前提下，將安全手段與控制過程進(jìn)行有機(jī)結(jié)合，做到工業(yè)控制系統(tǒng)安全的技術(shù)落地。

4 自上而下的設(shè)計與自下而上的建設(shè)

“上”和“下”的概念起源于自動化從業(yè)者對于網(wǎng)絡(luò)表達(dá)的習(xí)慣，依照ISA/IEC62443標(biāo)準(zhǔn)對網(wǎng)絡(luò)分層進(jìn)行描述。

自上而下的設(shè)計源自對生產(chǎn)網(wǎng)及其流量基線的理解，通過對各個網(wǎng)元節(jié)點間數(shù)據(jù)的內(nèi)容及指令進(jìn)行分析，從而在最小化原則的基礎(chǔ)上，建立“純凈”的網(wǎng)絡(luò)環(huán)境，對于白名單外的連接、指令、進(jìn)程等，則交由態(tài)勢分析進(jìn)行進(jìn)一步分析，形成事前防范的能力，通過分析結(jié)果調(diào)整訪問控制及白名單策略。部分無法通過調(diào)整策略解決的安全事件則通過應(yīng)急響應(yīng)體系完成安全的應(yīng)急處置，并且在事后將事件流程及解決方案總結(jié)輸出安全模型交由態(tài)勢平臺，在出現(xiàn)同類型事件后，進(jìn)行匹配，自動化解決。

自下而上主要體現(xiàn)在安全體系的建設(shè)維度，在建設(shè)的過程按照控制系統(tǒng)的訪問控制、控制過程監(jiān)控、操作站安全加固、生產(chǎn)網(wǎng)白名單、態(tài)勢分析平臺、主動感知技術(shù)、應(yīng)急響應(yīng)平臺的順序，即優(yōu)先保障獨立控制系統(tǒng)的安全，從而保證生產(chǎn)過程的可持續(xù)運行，其后再對生產(chǎn)網(wǎng)進(jìn)行監(jiān)測，兩者數(shù)據(jù)作為態(tài)勢分析的基礎(chǔ)，從而進(jìn)行態(tài)勢分析平臺的建設(shè)；在擁有一定分析能力的基礎(chǔ)上再輔以主動感知手段，在檢修期進(jìn)行資產(chǎn)管理、資產(chǎn)健康性管理。最后進(jìn)行整體聯(lián)動，并建立應(yīng)急響應(yīng)體系，完成安全閉環(huán)，打造工業(yè)控制系統(tǒng)動態(tài)防御體系。

4.1 控制系統(tǒng)訪問控制

在訪問控制過程中，為保證盡可能小的影響正常生產(chǎn)流程，訪問控制節(jié)點部署于完整控制系統(tǒng)外側(cè)即ISA/IEC62443標(biāo)準(zhǔn)分級的L2.5層位置，形成對網(wǎng)絡(luò)的隔離。訪問控制手段包括：基于五元組的訪問控制、報文的指令碼訪問控制、以及重點寄存器的訪問控制，其作用包括：防止經(jīng)由其它控制系統(tǒng)的橫向訪問、防止遠(yuǎn)端對控制器的寫操作（國內(nèi)工業(yè)控制系統(tǒng)控制過程大部分基于本地控制，較少存在遠(yuǎn)程控制的行為）、對重點數(shù)據(jù)進(jìn)行工藝隱私保護(hù)。

4.2 控制過程監(jiān)控

前文提出在安全技術(shù)手段中如何保障控制系統(tǒng)的獨立性及杜絕對生產(chǎn)過程的影響，成為工業(yè)控制系統(tǒng)信息安全技術(shù)落地的前提；L1.5層[1]部署訪問控制技術(shù)手段可以有效完成對控制過程的管控，但此方式破壞原有網(wǎng)絡(luò)結(jié)構(gòu)，考慮到控制過程容錯率幾乎為0，此方式較大概率影響控制流程。

通過旁路部署行為審計手段，在對工業(yè)控制過程管控方面，部分替代訪問控制技術(shù)手段功能，在審計粒度層面至報文內(nèi)容還原，針對部分重點數(shù)據(jù)寫操作內(nèi)容以及部分重點數(shù)據(jù)數(shù)值進(jìn)行實時監(jiān)控，方便在事后追溯過程中針對誤操作行為形成一手記錄；針對部分通過“合法手段進(jìn)行非法操作行為”（例如數(shù)據(jù)在合理區(qū)間內(nèi)短時間周期大幅度變化）依照其變化規(guī)律進(jìn)行判斷，根據(jù)實際生產(chǎn)環(huán)境中數(shù)據(jù)變化或通過機(jī)器學(xué)習(xí)手段設(shè)定數(shù)據(jù)基線，對非法數(shù)據(jù)進(jìn)行審計報警。

4.3 操作站安全加固

前文提出操作站由于其特殊環(huán)境，不適用于基于黑名單的安全管控手段，但操作站作為與第三方應(yīng)用及服務(wù)接口，需要針對其計算環(huán)境以及輸入接口進(jìn)行有效管控。天融信采用白名單技術(shù)，針對操作站計算環(huán)境依照最小化原則，對非生產(chǎn)應(yīng)用進(jìn)程及服務(wù)禁用，對于輸入接口根據(jù)用戶實際生產(chǎn)需求采取禁用或認(rèn)證管控手段。

4.4 生產(chǎn)網(wǎng)白名單

針對生產(chǎn)網(wǎng)流量環(huán)境采用流量審計手段，通過對用戶現(xiàn)場調(diào)研或通過機(jī)器學(xué)習(xí)技術(shù)設(shè)定網(wǎng)絡(luò)行為基線，網(wǎng)絡(luò)行為基線基于各網(wǎng)元節(jié)點主從站通訊，同樣依照最小化原則，確保網(wǎng)絡(luò)流量只包含生產(chǎn)調(diào)度必要的通訊，保證網(wǎng)絡(luò)環(huán)境的純凈。

4.5 態(tài)勢分析平臺

態(tài)勢分析主要作用于分析和統(tǒng)計兩個維度：

統(tǒng)計即針對網(wǎng)絡(luò)的安全事件、未知威脅等信息以時間、資產(chǎn)等維度進(jìn)行統(tǒng)計；

態(tài)勢分析的數(shù)據(jù)源主要基于上文提及安全防護(hù)手段的日志及審計記錄，經(jīng)過必要的處理后，作為分析模型的數(shù)據(jù)源。

在數(shù)據(jù)的基礎(chǔ)上，構(gòu)建威脅分析模型，即工控目標(biāo)設(shè)備中所存在的脆弱性，威脅源將通過威脅向量而導(dǎo)致威脅事件發(fā)生的可能性，以及由此產(chǎn)生的后果和影響。其關(guān)系如下圖所示：

其后將構(gòu)建的安全事件映射到相關(guān)后果之上，并與生產(chǎn)目標(biāo)進(jìn)行比較，從而完成風(fēng)險模型的構(gòu)建，其過程如下圖所示：

在構(gòu)建模型的最后階段，通過威脅情報庫數(shù)據(jù)進(jìn)行風(fēng)險驗證與量化評分，以確定該場景實際發(fā)生風(fēng)險的可能性及損害程度。結(jié)構(gòu)如下圖所示：

最終用戶并不需要維護(hù)一個完全由松散關(guān)聯(lián)的數(shù)據(jù)構(gòu)成的安全模型，通過態(tài)勢分析平臺的構(gòu)建使得工業(yè)控制系統(tǒng)用戶擁有針對其控制系統(tǒng)且經(jīng)過深入的、全面的、可操作的安全模型；使得用戶能夠更有效進(jìn)行風(fēng)險認(rèn)知與管理。統(tǒng)計、分析結(jié)果最終以依照用戶習(xí)慣的結(jié)構(gòu)進(jìn)行展示及查詢。

通過態(tài)勢分析平臺，形成生產(chǎn)過程與安全現(xiàn)狀相結(jié)合的動態(tài)防護(hù)體系。做到基于安全事件及生產(chǎn)需求的安全策略修訂，使得安全防護(hù)能力貼合生產(chǎn)而又不影響生產(chǎn)控制過程。

4.6 主動感知技術(shù)

主動感知技術(shù)為態(tài)勢分析平臺數(shù)據(jù)源的補(bǔ)充，主要基于主動發(fā)包技術(shù)進(jìn)行數(shù)據(jù)收集，其主要包括兩部分：

4.7 脆弱性主動感知

考慮到工業(yè)控制系統(tǒng)中設(shè)備生命周期較長，其服役過程中普遍存在已知漏洞及安全策略配置漏洞（例如超級用戶的使用）；脆弱性主動感知技術(shù)針對上述環(huán)境進(jìn)行發(fā)現(xiàn)及驗證。

4.8 資產(chǎn)主動感知

該類型應(yīng)用主要適用于“一網(wǎng)一庫三平臺”類監(jiān)管型環(huán)境，即針對監(jiān)管范圍內(nèi)非法資產(chǎn)進(jìn)行識別分析，確認(rèn)網(wǎng)絡(luò)中資產(chǎn)分布及類型，以及在面對重大安全隱患過程中對監(jiān)管資產(chǎn)安全隱患的排查。

由于工業(yè)控制設(shè)備在設(shè)計過程中為考慮高并發(fā)訪問等場景，主動感知技術(shù)在工業(yè)控制環(huán)境中存在因主動感知造成的控制設(shè)備不能正常工作，且不能熱啟動恢復(fù)，故主動感知技術(shù)只能應(yīng)用在兩種場景：

計劃性檢測，即在維護(hù)期（大修期）進(jìn)行主動掃描。

違規(guī)資產(chǎn)檢測，即針對違規(guī)外聯(lián)資產(chǎn)進(jìn)行識別檢測。

5 尚未解決的問題

考慮到工業(yè)控制系統(tǒng)的獨立性及控制系統(tǒng)廠家間的壁壘，當(dāng)前尚有較多安全問題需要依靠管理手段進(jìn)行解決；

例如運維審計手段，在傳統(tǒng)IT網(wǎng)絡(luò)中，資產(chǎn)大部分為B/S管理，采用標(biāo)準(zhǔn)或較為通用管理協(xié)議進(jìn)行運維操作，通過運維審計設(shè)備即可對運維操作進(jìn)行管控及還原。而工業(yè)控制系統(tǒng)環(huán)境中，其運維多基于其客戶端即C/S方式，管理協(xié)議均為其自身自有協(xié)議，不同于其通訊協(xié)議（Modbus/OPC/IEC104等），其管理協(xié)議不公開，且不支持第三方進(jìn)行管理，故無法進(jìn)行眾多控制設(shè)備管理協(xié)議的整合，無法有效實現(xiàn)運維過程的管控。

類似方面在工控環(huán)境中仍有較多場景，其主要原因源自工業(yè)控制領(lǐng)域與IT領(lǐng)域的差異，解決的核心在于技術(shù)的開源以及技術(shù)的積累，這一過程在工控安全領(lǐng)域仍有較長的路要走，需要控制廠商、安全廠商及用戶的共同努力才能得以實現(xiàn)。