工業(yè)企業(yè)網(wǎng)絡(luò)安全管理技術(shù)
——基于大數(shù)據(jù)分析的工業(yè)網(wǎng)絡(luò)安全管理

趙軍凱，吳錦濤

（北京啟明星辰信息安全技術(shù)有限公司，北京 100089）

1 工業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀

經(jīng)過(guò)多年的信息化建設(shè)與數(shù)字化產(chǎn)業(yè)升級(jí)，我國(guó)工業(yè)企業(yè)的信息系統(tǒng)安全建設(shè)已經(jīng)具備相對(duì)完善的管理體系，隨著工業(yè)數(shù)字化進(jìn)程的不斷發(fā)展，工業(yè)企業(yè)的網(wǎng)絡(luò)安全建設(shè)逐步由信息系統(tǒng)防護(hù)過(guò)渡到了整體防護(hù)階段。現(xiàn)階段的工業(yè)企業(yè)更加關(guān)注IT與OT的整體安全，并且強(qiáng)調(diào)從業(yè)務(wù)角度、生產(chǎn)控制角度去管理自身的安全能力，而非以往采用單一的安全防御機(jī)制保護(hù)單一目標(biāo)，因此要做好工業(yè)企業(yè)的網(wǎng)絡(luò)安全管理，就需要一套結(jié)合實(shí)際生產(chǎn)流程、符合業(yè)務(wù)模式的安全管理體系。在這個(gè)體系中除了組織保障和流程保障，很重要的一點(diǎn)就是技術(shù)保障。

技術(shù)保障主要源于管理層和執(zhí)行層不同角色人員對(duì)于工業(yè)網(wǎng)絡(luò)安全管理工作的切身需要，目前針對(duì)大多數(shù)工業(yè)企業(yè)而言，負(fù)責(zé)信息系統(tǒng)建設(shè)和安全防護(hù)的部門(mén)與負(fù)責(zé)生產(chǎn)管理、流程控制的部門(mén)存在一定的認(rèn)知偏差，IT人員可以為了保障保密性而犧牲一部分系統(tǒng)可用性、易用性，但負(fù)責(zé)生產(chǎn)的部門(mén)由于職責(zé)定位不同，保護(hù)生產(chǎn)控制系統(tǒng)的可用性與業(yè)務(wù)連續(xù)性是第一要?jiǎng)?wù)。因此針對(duì)IT系統(tǒng)的安全管理技術(shù)路線(xiàn)可能無(wú)法完全適應(yīng)OT系統(tǒng)的部署環(huán)境。

對(duì)于管理層而言，高層領(lǐng)導(dǎo)、各業(yè)務(wù)主管領(lǐng)導(dǎo)和生產(chǎn)部門(mén)主管領(lǐng)導(dǎo)等都需要從各自的角度出發(fā)，對(duì)工業(yè)生產(chǎn)全流程或相關(guān)業(yè)務(wù)信息系統(tǒng)的整體安全運(yùn)行狀況有直觀(guān)的了解和清晰的掌控，能夠獲悉當(dāng)前的安全態(tài)勢(shì)、攻擊分布、防護(hù)缺陷，掌握安全防御體系建設(shè)的水平和安全管理能力建設(shè)的水平。

對(duì)于執(zhí)行層而言，生產(chǎn)現(xiàn)場(chǎng)與控制運(yùn)維人員需要對(duì)其負(fù)責(zé)的工序段、控制區(qū)域的業(yè)務(wù)狀況、安全狀況有清晰的掌控，并且可以獲取及時(shí)的安全預(yù)警以及清晰簡(jiǎn)潔的安全態(tài)勢(shì)信息。

隨著國(guó)家層面針對(duì)工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)的實(shí)施力度的不斷加強(qiáng)，各行業(yè)內(nèi)控與合規(guī)要求的不斷增強(qiáng)，以及越來(lái)越多的企業(yè)和組織投入到信息安全管理體系（Information Security Management System，簡(jiǎn)稱(chēng)ISMS）的建設(shè)之中，工業(yè)企業(yè)管理層更加需要一個(gè)適應(yīng)工業(yè)生產(chǎn)環(huán)境的安全管理技術(shù)支撐平臺(tái)來(lái)協(xié)助符合和體現(xiàn)合規(guī)相關(guān)具體要求，將合規(guī)性要求和網(wǎng)絡(luò)安全管理體系落到實(shí)處。而企業(yè)執(zhí)行層也希望有一個(gè)工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)幫助他們進(jìn)行生產(chǎn)區(qū)域的安全管理，進(jìn)而提高生產(chǎn)效率。

2 傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺(tái)

現(xiàn)代組織的業(yè)務(wù)大多已經(jīng)遷移到了組織中的信息系統(tǒng)中，信息系統(tǒng)作為企業(yè)生產(chǎn)經(jīng)營(yíng)及業(yè)務(wù)實(shí)施的支撐平臺(tái)，其中任何相關(guān)信息技術(shù)環(huán)節(jié)出問(wèn)題都將直接導(dǎo)致業(yè)務(wù)失敗，生產(chǎn)率降低，影響市場(chǎng)占有率、滿(mǎn)意度、銷(xiāo)售收入和快速反應(yīng)能力，或者對(duì)組織的公信力和信用形成破壞，嚴(yán)重的情況甚至導(dǎo)致企業(yè)經(jīng)營(yíng)管理癱瘓，組織工作無(wú)法開(kāi)展，因此，信息系統(tǒng)運(yùn)營(yíng)管理水平的高低直接影響到組織或企業(yè)戰(zhàn)略能否順利實(shí)施[5]。

網(wǎng)絡(luò)安全管理面臨挑戰(zhàn)：

信息系統(tǒng)的投入是一個(gè)增量的過(guò)程，近年來(lái)企業(yè)業(yè)務(wù)發(fā)展與信息系統(tǒng)融合程度越來(lái)越緊密，規(guī)模也越來(lái)越大，分散度越來(lái)越高，各類(lèi)軟/硬件設(shè)備資源不斷增加，增加了維護(hù)的工作量和復(fù)雜度。為了獲悉全網(wǎng)的整體安全態(tài)勢(shì)，就必須從現(xiàn)有的分散的安全系統(tǒng)和IT系統(tǒng)中采集相關(guān)的安全信息，而這些信息是海量的，每天的數(shù)據(jù)量可能數(shù)以百GB計(jì)。首先，如果不能采集到這些海量信息，分析的準(zhǔn)確性就可能打折扣，而安全問(wèn)題的回溯和取證就可能出現(xiàn)信息缺失。其次，如果不能對(duì)海量信息進(jìn)行快速分析、提取出真正有意義的安全事件，就無(wú)法讓安全管理人員聚焦到重要的安全事件上，反而陷入到數(shù)據(jù)的汪洋大海之中。最后，如果不能直觀(guān)地展示分析結(jié)果，并將分析結(jié)果與響應(yīng)處理過(guò)程掛鉤，也就無(wú)法使執(zhí)行層的安全管理流程運(yùn)轉(zhuǎn)起來(lái)，更無(wú)法為管理層提供決策支持。因此，如何采集這些分散在網(wǎng)絡(luò)各處的海量信息，進(jìn)行實(shí)時(shí)不間斷的處理、分析，并以用戶(hù)能夠接受的形式有效的展示出來(lái)，成為了考察運(yùn)維管理技術(shù)水平的一把重要標(biāo)尺[6]。

隨著網(wǎng)絡(luò)安全建設(shè)逐步引向深入，管理者越發(fā)體會(huì)到了安全工作是全局一盤(pán)棋。正所謂“不謀全局者，不足謀一域”，網(wǎng)絡(luò)安全管理工作急切需要獲悉全網(wǎng)的整體安全態(tài)勢(shì)。特別是下屬機(jī)構(gòu)，系統(tǒng)運(yùn)營(yíng)人員整體素質(zhì)參差不齊，不僅沒(méi)有足夠的時(shí)間、精力、技術(shù)，也無(wú)法及時(shí)掌握各類(lèi)實(shí)時(shí)更新的各種網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)和信息，如何實(shí)現(xiàn)全企業(yè)信息化管理是現(xiàn)在運(yùn)營(yíng)人員需要迫切解決的問(wèn)題。

合規(guī)建設(shè)和網(wǎng)絡(luò)安全管理體系/ISO27000建設(shè)已經(jīng)成為了他們安全管理工作中必不可少的職責(zé)。安全運(yùn)營(yíng)管理能否及如何符合和體現(xiàn)等級(jí)保護(hù)和網(wǎng)絡(luò)安全管理體系的要求成為了安全管理面臨的重大挑戰(zhàn)。

綜上所述企業(yè)網(wǎng)絡(luò)安全管理人員應(yīng)從從組織策略、處理流程和技術(shù)體系等多方面進(jìn)行統(tǒng)籌考量，并借助一個(gè)全新的安全運(yùn)營(yíng)支撐性平臺(tái)來(lái)為其安全管理工作提供技術(shù)支撐。實(shí)現(xiàn)對(duì)企業(yè)分散的海量安全信息進(jìn)行全面的收集、整理、分析、審計(jì)，并借助智能化的分析手段提取出關(guān)鍵的安全事件；能夠?qū)ζ髽I(yè)復(fù)雜的IT系統(tǒng)從業(yè)務(wù)的角度進(jìn)行全方位的可用性及性能監(jiān)測(cè)、故障定位和告警；能夠主動(dòng)地進(jìn)行事前安全管理，在攻擊發(fā)生之前就獲悉網(wǎng)絡(luò)的安全態(tài)勢(shì)[1]；對(duì)企業(yè)重要業(yè)務(wù)系統(tǒng)進(jìn)行量化的風(fēng)險(xiǎn)評(píng)估；能夠借助量化的分析模型實(shí)現(xiàn)全網(wǎng)的安全態(tài)勢(shì)感知；能夠協(xié)助企業(yè)網(wǎng)絡(luò)安全運(yùn)維進(jìn)行常態(tài)化的安全運(yùn)維；能夠符合并體現(xiàn)等級(jí)保護(hù)和網(wǎng)絡(luò)安全管理體系的要求[3]。

從2000 年開(kāi)始，國(guó)內(nèi)外陸續(xù)推出了安全管理平臺(tái)產(chǎn)品，也稱(chēng)為SOC（Security Operations Center）產(chǎn)品，國(guó)外稱(chēng)為安全信息和事件管理SIEM（Security Information and Event Management）產(chǎn)品[4]。經(jīng)過(guò)多年的發(fā)展，安全管理平臺(tái)已經(jīng)實(shí)現(xiàn)了對(duì)企業(yè)分散的海量安全信息進(jìn)行全面的收集、整理、分析、審計(jì)，并借助智能化的分析手段提取出關(guān)鍵的安全事件；對(duì)企業(yè)復(fù)雜的IT 系統(tǒng)從業(yè)務(wù)的角度進(jìn)行全方位的可用性及性能監(jiān)測(cè)、故障定位和告警；主動(dòng)地進(jìn)行事前安全管理，在攻擊發(fā)生之前就獲悉網(wǎng)絡(luò)的安全態(tài)勢(shì)；對(duì)企業(yè)重要業(yè)務(wù)系統(tǒng)進(jìn)行量化的風(fēng)險(xiǎn)評(píng)估；借助量化的分析模型實(shí)現(xiàn)全網(wǎng)的安全態(tài)勢(shì)感知；協(xié)助企業(yè)進(jìn)行常態(tài)化的安全運(yùn)維；符合并體現(xiàn)了等級(jí)保護(hù)和網(wǎng)絡(luò)安全管理體系的要求。同時(shí)，能夠與企業(yè)的其他管理系統(tǒng)實(shí)現(xiàn)協(xié)同工作[5]。

安全管理是從業(yè)務(wù)出發(fā)，通過(guò)業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價(jià)值分析、業(yè)務(wù)風(fēng)險(xiǎn)和影響性分析、業(yè)務(wù)可視化等各個(gè)環(huán)節(jié)，采用主動(dòng)、被動(dòng)相結(jié)合的方法采集來(lái)自總部和所屬企業(yè)網(wǎng)絡(luò)中的各種IT資源的安全信息，從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告。安全管理平臺(tái)通過(guò)建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行運(yùn)行監(jiān)控、事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理。

圖1 網(wǎng)絡(luò)安全管理平臺(tái)架構(gòu)設(shè)計(jì)

安全管理平臺(tái)的建設(shè)與運(yùn)營(yíng)，構(gòu)建一套針對(duì)企業(yè)整體IT計(jì)算環(huán)境的統(tǒng)一安全管理架構(gòu)，對(duì)包括網(wǎng)絡(luò)、安全、主機(jī)和應(yīng)用在內(nèi)的各類(lèi)IT資源從業(yè)務(wù)系統(tǒng)的角度進(jìn)行統(tǒng)一監(jiān)控、統(tǒng)一安全事件審計(jì)與分析、統(tǒng)一預(yù)警與響應(yīng)，提升企業(yè)現(xiàn)有信息與網(wǎng)絡(luò)整體安全保障水平，并符合國(guó)家等級(jí)保護(hù)、內(nèi)部控制的相關(guān)管理、審計(jì)和內(nèi)控的要求[10]。

3 工業(yè)網(wǎng)絡(luò)安全管理面臨挑戰(zhàn)

但在IT和OT系統(tǒng)逐漸融合的網(wǎng)絡(luò)環(huán)境下，針對(duì)工業(yè)網(wǎng)絡(luò)環(huán)境的安全防護(hù)正在面臨著多種挑戰(zhàn)。一方面，企業(yè)和組織安全體系架構(gòu)的日趨復(fù)雜，各種類(lèi)型的數(shù)據(jù)越來(lái)越多，OT系統(tǒng)逐漸IP化，并且以往物理隔離的控制系統(tǒng)隨著業(yè)務(wù)模式的數(shù)字化轉(zhuǎn)變逐漸接入IT系統(tǒng)，傳統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)在處理多元、海量的數(shù)據(jù)能力難以為繼；一方面，新型威脅的興起，內(nèi)控與合規(guī)的深入，傳統(tǒng)的分析方法存在諸多缺陷。這兩者帶來(lái)的是安全數(shù)據(jù)的數(shù)量、速度、種類(lèi)的迅速膨脹，不僅帶來(lái)了海量異構(gòu)數(shù)據(jù)的融合、存儲(chǔ)和管理的問(wèn)題，甚至動(dòng)搖了傳統(tǒng)的安全分析方法。當(dāng)前絕大多數(shù)網(wǎng)絡(luò)安全管理平臺(tái)的安全分析都是針對(duì)小數(shù)據(jù)量設(shè)計(jì)的，在面對(duì)工業(yè)生產(chǎn)的大數(shù)據(jù)量時(shí)難以為繼。新的攻擊手段層出不窮，需要檢測(cè)的數(shù)據(jù)越來(lái)越多，現(xiàn)有的分析技術(shù)不堪重負(fù)。面對(duì)天量的安全要素信息，我們?nèi)绾尾拍芨友附莸馗兄W(wǎng)絡(luò)安全態(tài)勢(shì)？

傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺(tái)分析方法大都采用基于規(guī)則和特征的分析引擎，必須要有規(guī)則庫(kù)和特征庫(kù)才能工作，而規(guī)則和特征只能對(duì)已知的攻擊和威脅進(jìn)行描述，無(wú)法識(shí)別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和威脅。面對(duì)未知攻擊和復(fù)雜攻擊如APT等，需要更有效的分析方法和技術(shù)。如何才能做到知所未知？

面對(duì)大量工業(yè)環(huán)境的業(yè)務(wù)數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺(tái)（譬如SIEM，安全管理平臺(tái)等）遭遇到了諸多瓶頸，主要表現(xiàn)在以下幾方面：

工業(yè)生產(chǎn)數(shù)據(jù)的采集和存儲(chǔ)變得困難；

異構(gòu)數(shù)據(jù)的存儲(chǔ)和管理變得困難；

生產(chǎn)環(huán)境下威脅數(shù)據(jù)源較小，導(dǎo)致系統(tǒng)判斷能力有限，樣本較少；

對(duì)歷史生產(chǎn)數(shù)據(jù)的檢測(cè)能力很弱，使用效率偏低；

安全事件的調(diào)查效率太低；

安全系統(tǒng)相互獨(dú)立，無(wú)有效手段協(xié)同工作；

分析的方法較少；

對(duì)于趨勢(shì)性的東西預(yù)測(cè)較難，對(duì)早期預(yù)警的能力比較差；

系統(tǒng)交互能力有限，數(shù)據(jù)展示效果有待提高。

從上世紀(jì)80年代入侵檢測(cè)技術(shù)的誕生和確立以來(lái)，安全分析已經(jīng)發(fā)展了很長(zhǎng)的時(shí)間。當(dāng)前，信息與網(wǎng)絡(luò)安全分析存在兩個(gè)基本的發(fā)展趨勢(shì)：情境感知的安全分析與智能化的安全分析。

Gartner指出，“未來(lái)的網(wǎng)絡(luò)安全將是情境感知的和自適應(yīng)的”所謂情境感知，就是利用更多的相關(guān)性要素信息的綜合研判來(lái)提升安全決策的能力，包括資產(chǎn)感知、位置感知、拓?fù)涓兄?yīng)用感知、身份感知、內(nèi)容感知，等等。情境感知極大地?cái)U(kuò)展了安全分析的縱深，納入了更多的安全要素信息，拉升了分析的空間和時(shí)間范圍，也必然對(duì)傳統(tǒng)的安全分析方法提出了挑戰(zhàn)[7]。

Gartner報(bào)告指出，要“為企業(yè)安全智能的興起做好準(zhǔn)備”在這份報(bào)告中，Gartner提出了安全智能的概念，強(qiáng)調(diào)必須將過(guò)去分散的安全信息進(jìn)行集成與關(guān)聯(lián)，獨(dú)立的分析方法和工具進(jìn)行整合形成交互[9]，從而實(shí)現(xiàn)智能化的安全分析與決策。而信息的集成、技術(shù)的整合必然導(dǎo)致安全要素信息的迅猛增長(zhǎng)，智能的分析必然要求將機(jī)器學(xué)習(xí)、數(shù)據(jù)挖據(jù)等技術(shù)應(yīng)用于安全分析，并且要更快更好地的進(jìn)行安全決策[8]。

4 基于大數(shù)據(jù)分析的工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)

面對(duì)新形勢(shì)下工業(yè)網(wǎng)絡(luò)安全管理挑戰(zhàn)，作為信息管理的技術(shù)保障，工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)不僅僅要滿(mǎn)足基本的安全管理需要，需具備處理海量、高速、多變的信息能力，獲得超越以往的洞察力、決策支持能力和處理的自動(dòng)化。

海量、多元化的數(shù)據(jù)分析的技術(shù)的核心就是大數(shù)據(jù)分析。Gartner將大數(shù)據(jù)分析定義為追求顯露模式檢測(cè)和發(fā)散模式檢測(cè)，以及強(qiáng)化對(duì)過(guò)去未連接資產(chǎn)的使用的實(shí)踐和方法，意即一套針對(duì)大數(shù)據(jù)進(jìn)行知識(shí)發(fā)現(xiàn)的方法。通俗地講，大數(shù)據(jù)分析技術(shù)就是大數(shù)據(jù)的收集、存儲(chǔ)、分析和可視化的技術(shù)，是一套能夠解決大數(shù)據(jù)的海量、高速、多變、低密度的問(wèn)題，分析出高價(jià)值的信息的工具集合。

借鑒著名數(shù)據(jù)庫(kù)專(zhuān)家、圖靈獎(jiǎng)獲得者詹姆士·格雷的科學(xué)研究范式理論[2]，我們提出了“全范式分析”的全新安全分析體系：

安全分析第一范式：嘗試、實(shí)驗(yàn)。在網(wǎng)絡(luò)應(yīng)用尚未大規(guī)模普及、網(wǎng)絡(luò)安全還未成為突出問(wèn)題的時(shí)候，市場(chǎng)上還沒(méi)有培育出成熟的安全工具和產(chǎn)品，安全分析主要依賴(lài)于安全管理人員的經(jīng)驗(yàn)。目前仍然廣泛采用的滲透測(cè)試、安全咨詢(xún)服務(wù)等，仍然是以這種模式運(yùn)行的。

安全分析第二范式：模型、特征。隨著安全問(wèn)題的日益普遍，單憑安全管理人員的經(jīng)驗(yàn)已經(jīng)無(wú)法應(yīng)對(duì)，迫切需要自動(dòng)化的分析工具，由此產(chǎn)生了入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)和防火墻等安全產(chǎn)品。這些安全產(chǎn)品的共同點(diǎn)就是對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行分析，提取不同層面的特征（如網(wǎng)絡(luò)層連接特征用于防火墻制定ACL規(guī)則；應(yīng)用層內(nèi)容特征用于提取IDS的匹配規(guī)則；文件級(jí)特征用于病毒掃描），對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)自動(dòng)化分析。這類(lèi)安全產(chǎn)品的關(guān)鍵是對(duì)攻擊特征的提取和描述，其本質(zhì)是對(duì)攻擊行為的建模，而在工業(yè)環(huán)境內(nèi)的應(yīng)用需要學(xué)習(xí)工業(yè)通信協(xié)議的行為，并且結(jié)合業(yè)務(wù)梳理和日常需求制定白名單防護(hù)機(jī)制。

安全分析第三范式：模擬、仿真。隨著APT的出現(xiàn)，攻擊變得越來(lái)越復(fù)雜、特征變化越來(lái)越快，以攻擊行為建模為基礎(chǔ)的分析方式漸漸難以應(yīng)對(duì)，從而出現(xiàn)了以虛擬執(zhí)行技術(shù)為代表的新型分析技術(shù)。這種技術(shù)的本質(zhì)是模擬被攻擊者在遭受攻擊后的反應(yīng)，這樣無(wú)需對(duì)攻擊行為建模也能檢測(cè)未知的攻擊。

安全分析第四范式：大數(shù)據(jù)安全分析。大數(shù)據(jù)技術(shù)的出現(xiàn)，將安全分析提升到了新的階段。有了大數(shù)據(jù)平臺(tái)的支撐，安全分析人員可以將各類(lèi)不同類(lèi)型的數(shù)據(jù)，如通過(guò)滲透測(cè)試得到的漏洞信息、通過(guò)傳統(tǒng)檢測(cè)設(shè)備產(chǎn)生的報(bào)警事件、通過(guò)虛擬執(zhí)行得到的可疑攻擊執(zhí)行結(jié)果，進(jìn)行大范圍的匯總和關(guān)聯(lián)。同時(shí)，通過(guò)長(zhǎng)時(shí)間的關(guān)聯(lián)，安全分析人員可挖掘某臺(tái)主機(jī)、某個(gè)用戶(hù)的行為異常，從而實(shí)現(xiàn)不基于簽名的未知攻擊檢測(cè)。對(duì)于每一條可疑報(bào)警，分析人員可以查詢(xún)與該報(bào)警相關(guān)的各類(lèi)數(shù)據(jù)，從而確定報(bào)警真實(shí)性、攻擊源，評(píng)估攻擊造成的危害。

從上述分析中可以看到，安全分析方法的發(fā)展歷程與詹姆士·格雷概括的科學(xué)研究范式間存在著高度對(duì)應(yīng)的關(guān)系，從而可以用科學(xué)研究范式來(lái)類(lèi)比安全分析方法。而這其中，大數(shù)據(jù)安全分析技術(shù)正代表了最前沿的安全分析第四范式。大數(shù)據(jù)安全分析是全新的“全范式安全分析”體系的重要組成部分。

安全數(shù)據(jù)的大數(shù)據(jù)化，以及傳統(tǒng)安全分析所面臨的挑戰(zhàn)和發(fā)展趨勢(shì)，都指向了同一個(gè)技術(shù)——大數(shù)據(jù)分析。正如Gartner在2012年明確指出，“網(wǎng)絡(luò)安全正在變成一個(gè)大數(shù)據(jù)分析問(wèn)題”。于是，業(yè)界出現(xiàn)了將大數(shù)據(jù)分析技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的技術(shù)——大數(shù)據(jù)安全分析[14]。必須特別指出的是，大數(shù)據(jù)安全分析是指利用大數(shù)據(jù)技術(shù)來(lái)進(jìn)行安全分析，而非我們一般所言的大數(shù)據(jù)安全。大數(shù)據(jù)安全，通常是指研究如何保護(hù)大數(shù)據(jù)自身的安全，包括針對(duì)大數(shù)據(jù)計(jì)算和大數(shù)據(jù)存儲(chǔ)的安全性。針對(duì)在工業(yè)企業(yè)的網(wǎng)絡(luò)安全管理平臺(tái)，需要考慮智能制造背景下的工業(yè)大數(shù)據(jù)環(huán)境，結(jié)合信息系統(tǒng)與生產(chǎn)系統(tǒng)的工業(yè)大數(shù)據(jù)將更加有效的提高分析結(jié)果的準(zhǔn)確性，為安全管理提供決策依據(jù)。

工業(yè)大數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期數(shù)據(jù)的總稱(chēng)，包括研究設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理等各個(gè)環(huán)節(jié)出現(xiàn)的數(shù)據(jù)，并且其設(shè)備來(lái)源主要為三種：第一種是生產(chǎn)經(jīng)營(yíng)的業(yè)務(wù)數(shù)據(jù)，屬于信息系統(tǒng)數(shù)據(jù)；第二類(lèi)是設(shè)備物聯(lián)數(shù)據(jù)，其中包括直接參與生產(chǎn)制造的工業(yè)控制系統(tǒng)數(shù)據(jù)，如PLC以及其他監(jiān)控軟件數(shù)據(jù)，還有監(jiān)測(cè)周?chē)h(huán)境數(shù)據(jù)的物聯(lián)網(wǎng)數(shù)據(jù)；第三類(lèi)是外部數(shù)據(jù)，如供應(yīng)商、客戶(hù)等外部環(huán)境提供的數(shù)據(jù)[19]。

工業(yè)大數(shù)據(jù)除具有一般大數(shù)據(jù)的特征（數(shù)據(jù)量大、多樣、快速和價(jià)值密度低）外，還具有時(shí)序性、強(qiáng)關(guān)聯(lián)性、準(zhǔn)確性、閉環(huán)性等特征[13]，因此基于工業(yè)大數(shù)據(jù)的網(wǎng)絡(luò)安全管理平臺(tái)需要利用其特征。從數(shù)據(jù)范圍來(lái)講，工業(yè)大數(shù)據(jù)的采集來(lái)源包括了生產(chǎn)環(huán)節(jié)的各個(gè)流程，包括結(jié)構(gòu)化與半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)，與此同時(shí)工業(yè)大數(shù)據(jù)的時(shí)序性與數(shù)據(jù)強(qiáng)關(guān)聯(lián)性可以作為安全分析的基礎(chǔ)，建立數(shù)據(jù)層面的行為邏輯[12]。

圖2 基于大數(shù)據(jù)分析網(wǎng)絡(luò)安全管理平臺(tái)概念架構(gòu)

新一代網(wǎng)絡(luò)安全管理以生產(chǎn)環(huán)境為核心保障目標(biāo)，融合業(yè)界的大數(shù)據(jù)技術(shù)，針對(duì)高速信息進(jìn)行采集，融合多源異構(gòu)數(shù)據(jù)，結(jié)合SQL、NewSQL、NoSQL 等技術(shù)，實(shí)現(xiàn)異構(gòu)海量安全數(shù)據(jù)的高效可靠存儲(chǔ)，并以安全數(shù)據(jù)為驅(qū)動(dòng)，提供智能化關(guān)聯(lián)分析技術(shù)和基于機(jī)器學(xué)習(xí)的行為分析技術(shù)，流安全分析技術(shù)和態(tài)勢(shì)感知。系統(tǒng)內(nèi)建主動(dòng)安全管理機(jī)制，通過(guò)的漏洞掃描和安全配置核查，及時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)環(huán)境中存在的隱患和風(fēng)險(xiǎn)，并進(jìn)行事前預(yù)警；結(jié)合內(nèi)外部情報(bào)協(xié)作，提供更加準(zhǔn)確和及時(shí)的安全分析；融合多種網(wǎng)絡(luò)安全技術(shù)和管理理念，充分實(shí)現(xiàn)組織、過(guò)程和技術(shù)三個(gè)體系的合理調(diào)配，幫助企業(yè)運(yùn)維人員從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)、運(yùn)維四個(gè)維度實(shí)現(xiàn)對(duì)業(yè)務(wù)信息系統(tǒng)的統(tǒng)一安全保障[18]。

5 基于大數(shù)據(jù)的工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)價(jià)值

傳統(tǒng)的安全分析是構(gòu)建在基于特征的檢測(cè)基礎(chǔ)之上的，只能做到知所已知，難以應(yīng)對(duì)高級(jí)威脅（譬如APT）的挑戰(zhàn)。而要更好地檢測(cè)高級(jí)威脅，就需要知所未知，這也就催生了諸如行為異常分析技術(shù)的發(fā)展。行為異常分析的本質(zhì)就是一種機(jī)器學(xué)習(xí)，自動(dòng)建立起一個(gè)正常的基線(xiàn)，從而去幫助分析人員識(shí)別異常，由于工業(yè)環(huán)境內(nèi)的業(yè)務(wù)邏輯相對(duì)固定并且清晰，控制流程在短時(shí)間內(nèi)不會(huì)頻繁變化，因此行為基線(xiàn)技術(shù)十分適合部署在工業(yè)環(huán)境內(nèi)，通過(guò)行為基線(xiàn)識(shí)別異常行為是一種相對(duì)高效的技術(shù)方法。面對(duì)天量的待分析數(shù)據(jù)，要想達(dá)成理想的異常分析結(jié)果，借助大數(shù)據(jù)分析技術(shù)成為明智之舉[17]。同時(shí)，為了對(duì)抗高級(jí)威脅，還需要有長(zhǎng)時(shí)間周期的數(shù)據(jù)分析能力，而這正是大數(shù)據(jù)分析的優(yōu)勢(shì)所在。此外，安全分析人員在進(jìn)行高級(jí)威脅檢測(cè)的過(guò)程中需要不斷地對(duì)感興趣的安全數(shù)據(jù)進(jìn)行數(shù)據(jù)勘探，而要針對(duì)天量數(shù)據(jù)實(shí)現(xiàn)及時(shí)的交互式分析，需要有強(qiáng)大的數(shù)據(jù)查詢(xún)引擎，這同樣也是大數(shù)據(jù)分析的優(yōu)勢(shì)所在。

以大數(shù)據(jù)的相關(guān)技術(shù)為基礎(chǔ)，確保工業(yè)網(wǎng)絡(luò)的安全事件得到超前預(yù)警，具體來(lái)說(shuō)，在實(shí)現(xiàn)大數(shù)據(jù)安全預(yù)警功能的過(guò)程中，基礎(chǔ)數(shù)據(jù)資源應(yīng)當(dāng)以設(shè)備安全恒產(chǎn)大數(shù)據(jù)庫(kù)中的告警信息等歷史統(tǒng)計(jì)數(shù)據(jù)為主[16]，在此基礎(chǔ)上確保關(guān)聯(lián)規(guī)則分析和預(yù)測(cè)有效實(shí)現(xiàn)，并且分析結(jié)果是與生產(chǎn)流程緊密結(jié)合的。與此同時(shí)，通過(guò)物聯(lián)網(wǎng)等技術(shù)的應(yīng)用，實(shí)時(shí)采集設(shè)備生產(chǎn)環(huán)境數(shù)據(jù)，之后開(kāi)展數(shù)據(jù)的預(yù)處理及分析、犓等工作，以大數(shù)據(jù)流處理技術(shù)為依托，確保動(dòng)態(tài)監(jiān)測(cè)數(shù)據(jù)，使長(zhǎng)期預(yù)警和實(shí)施預(yù)警功能有效優(yōu)化，將大數(shù)據(jù)預(yù)警機(jī)制納入工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)中。

大數(shù)據(jù)安全分析推動(dòng)高級(jí)威脅檢測(cè)，威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。威脅情報(bào)最大的好處就是能夠直接作用于工業(yè)企業(yè)和組織的安全防護(hù)設(shè)施，實(shí)現(xiàn)高效快速的威脅檢測(cè)和阻斷。專(zhuān)業(yè)的威脅情報(bào)服務(wù)提供商能夠采集互聯(lián)網(wǎng)上的各種數(shù)據(jù)，既包括淺層WEB，也包括深層WEB，甚至是暗網(wǎng)的數(shù)據(jù)，抑或是授權(quán)企業(yè)的數(shù)據(jù)，然后基本上都利用大數(shù)據(jù)分析技術(shù)產(chǎn)生有關(guān)攻擊者的威脅情報(bào)信息。利用工業(yè)大數(shù)據(jù)分析技術(shù)，安全廠(chǎng)商與工業(yè)企業(yè)可以建立起一個(gè)威脅情報(bào)的分享和協(xié)作平臺(tái)，進(jìn)行威脅情報(bào)的交換，更大限度地發(fā)揮情報(bào)的價(jià)值。

大數(shù)據(jù)安全分析技術(shù)將數(shù)據(jù)泄漏保護(hù)將變得更加智能，不僅能夠?qū)σ呀?jīng)標(biāo)定的生產(chǎn)敏感信息進(jìn)行檢測(cè)，還能對(duì)上層用戶(hù)使用數(shù)據(jù)的行為過(guò)程進(jìn)行建模，從而針對(duì)更多地難以進(jìn)行簡(jiǎn)單標(biāo)定的敏感信息的訪(fǎng)問(wèn)進(jìn)行異常檢測(cè)。通過(guò)對(duì)數(shù)據(jù)庫(kù)行為與監(jiān)控系統(tǒng)收集到的海量數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)日志進(jìn)行業(yè)務(wù)建模，從而識(shí)別用戶(hù)的業(yè)務(wù)違規(guī)，使得數(shù)據(jù)庫(kù)行為與監(jiān)控系統(tǒng)的價(jià)值得到進(jìn)一步提升[15]。

大數(shù)據(jù)安全分析技術(shù)能夠?qū)崿F(xiàn)用戶(hù)違規(guī)智能審計(jì)。通過(guò)對(duì)信息系統(tǒng)和控制系統(tǒng)的用戶(hù)訪(fǎng)問(wèn)日志進(jìn)行建模和機(jī)器學(xué)習(xí)，發(fā)現(xiàn)小概率的異常事件。借助大數(shù)據(jù)安全分析技術(shù)提升靜態(tài)應(yīng)用安全測(cè)試系統(tǒng)的檢測(cè)速率，并能夠通過(guò)高效地聚類(lèi)/分類(lèi)等算法更好地尋找應(yīng)用系統(tǒng)的安全漏洞。

大數(shù)據(jù)安全分析的興起不僅改變了傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)架構(gòu)、安全分析體系，也在深刻變革現(xiàn)有的網(wǎng)絡(luò)安全業(yè)務(wù)模式。最典型地，大數(shù)據(jù)安全分析直接促進(jìn)了安全即服務(wù)的發(fā)展。包括SIEM、日志分析、欺詐檢測(cè)、威脅情報(bào)在內(nèi)的多種服務(wù)都在積極擁抱大數(shù)據(jù)安全分析技術(shù)。大數(shù)據(jù)安全分析已成為安全業(yè)務(wù)模式變革的催化劑。

即便是針對(duì)工業(yè)企業(yè)和組織內(nèi)部的大數(shù)據(jù)安全分析，由于安全與業(yè)務(wù)的不斷融合，以及生產(chǎn)現(xiàn)場(chǎng)邊緣數(shù)據(jù)中心和工業(yè)云計(jì)算的普及，未來(lái)必然要求將大數(shù)據(jù)安全分析與大數(shù)據(jù)業(yè)務(wù)分析進(jìn)行整合，安全數(shù)據(jù)不過(guò)是工業(yè)企業(yè)和組織業(yè)務(wù)數(shù)據(jù)的支撐數(shù)據(jù)之一。在這個(gè)發(fā)展趨勢(shì)下，必然涉及到生產(chǎn)、開(kāi)發(fā)、運(yùn)維、安全團(tuán)隊(duì)的交互與協(xié)作，業(yè)務(wù)部門(mén)與技術(shù)部門(mén)的融合。大數(shù)據(jù)安全分析將成為安全與業(yè)務(wù)融合的催化劑。

借助大數(shù)據(jù)安全分析技術(shù)，能夠更好地解決天量安全要素信息的采集、存儲(chǔ)的問(wèn)題，借助基于大數(shù)據(jù)分析技術(shù)的機(jī)器學(xué)習(xí)和數(shù)據(jù)挖據(jù)算法，能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢(shì)，更加主動(dòng)、彈性地去應(yīng)對(duì)新型復(fù)雜的威脅和未知多變的風(fēng)險(xiǎn)。大數(shù)據(jù)安全分析不是一個(gè)產(chǎn)品分類(lèi)，而代表一種技術(shù)，一種安全分析的理念和方法。各種安全產(chǎn)品都能夠運(yùn)用大數(shù)據(jù)安全分析技術(shù)去重塑自身。

6 結(jié)語(yǔ)

大數(shù)據(jù)時(shí)代已經(jīng)到來(lái)，我們創(chuàng)造的大數(shù)據(jù)正在改變?nèi)祟?lèi)生產(chǎn)生活的各個(gè)方面。信息與網(wǎng)絡(luò)安全作為保障工業(yè)資產(chǎn)的關(guān)鍵能力也正在被大數(shù)據(jù)所重新塑造。工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)，作為安全保障體系中位于頂層的技術(shù)支撐平臺(tái)，天然具有與大數(shù)據(jù)結(jié)合的特質(zhì)。基于大數(shù)據(jù)安全分析技術(shù)的工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)正在成為未來(lái)安全管理平臺(tái)發(fā)展的重要技術(shù)方向。我們必須看到，不論安全管理平臺(tái)的技術(shù)如何發(fā)展，如何與大數(shù)據(jù)結(jié)合，安全管理平臺(tái)所要解決的工業(yè)企業(yè)根本性問(wèn)題，以及與企業(yè)業(yè)務(wù)融合的趨勢(shì)依然未變。對(duì)大數(shù)據(jù)的應(yīng)用依然要服務(wù)于解決企業(yè)的實(shí)際安全管理問(wèn)題這個(gè)根本目標(biāo)[11]。

同時(shí)謹(jǐn)記，大數(shù)據(jù)安全分析要產(chǎn)生實(shí)際價(jià)值還離不開(kāi)制度貫穿和安全分析師。正如大數(shù)據(jù)需要數(shù)據(jù)分析師，大數(shù)據(jù)安全更需要安全分析師。安全，本質(zhì)上是人與人之間的對(duì)抗，不論安全分析的自動(dòng)化技術(shù)如何演進(jìn)，相互之間進(jìn)行對(duì)抗的，始終是坐在屏幕前的人。