浅谈安全态势感知对传统制造型企业的意义

概述

网络安全涉及国家安全、社会安全、企业安全、个人安全，从每次的国家会议上不难看出，国家对网络安全的重视程度不断提升，甚至出台了相关的法律法规。

2012 年美国提出工业互联网概念， 2013 年德国正式发布“工业 4.0 战略计划”， 2015 年中国发布“中国制造 2025 ”，无疑印证了传统制造企业向智能制造企业转型的决心。

随着 ABC （人工智能、大数据、云计算）技术的迅猛发展、数据处理和分析方法的不断创新，越来越多的企业开始了解、部署相关的解决方案，从而为实现企业数字化应用奠定基础。

制造业作为国家的支柱产业之一，已经不再是传统意义上的“老三样”，为更好的适应市场的发展，对用户的需求快速响应，已逐渐的拥抱互联网，掌握互联网思维，从研发、生产、销售到服务实现数字化链条。

作为企业的信息安全人员深感在数字化转型及万物互联的背景下，不能只关注具体点而忽略整体面。简单粗暴的采购一大批盒式设备“堆”在网络中的时代已经一去不复返，这只能带来虚假的安全感。信息安全的“短板效应”和“木桶理论”让我们意识到以全局视角去看待它，而且这种整体视角是基于动态博弈的暂时平衡。

什么安全态势感知？

网络安全态势感知是利用各种探测技术获取大量网络安全数据，分析并判断当前整个网络的安全状态，根据内置的安全模型预测未来安全风险趋势。网络安全已经从 “努力预防”转变为“安全运营”，从“发现并修补漏洞”转变为“过程持续监控”。网络安全适用“道高一尺，魔高一丈”的理论，所以无论你在网络和系统中投入多少，入侵者仍可能获胜。所以我们能做的就是在入侵者实现目标前尽快地发现、识别并做出响应，及时分析情况和通报事件，并以最小代价减轻入侵者的破坏。

网络安全态势感知就是这种思路的典型体现，通过获取海量数据与事件，直观、动态、全面、细粒度地提取各类网络攻击行为，并对其进行理解、分析、预测及可视化，从而实现态势感知。安全团队把安全态势感知平台作为安全运营的眼睛，发现传统安全平台和设备不能监测到的事件，将网络上似乎无关的事件有机的关联起来，从而更有效地排查安全事件并做出响应。

总体而言，可将安全态势感知拆解成三个阶段：

l 数据提取

通过各种提取技术对全网设备、流量中的关键安全数据进行收集，按照既定规则，获取刚需数据；

l 数据分析

通过内置模型、知识库、云端数据库以及人工智能自学习模式了解攻击造成的影响、攻击的行为意图以及当前态势发生的原因和方式；

l 风险预测

跟踪安全态势的演化方式，评估当前安全态势的发展趋势，预测攻击者将来可能采取的行动路径。

其实，安全态势感知平台被设计之初，是希望可以在没有人工干预的情况下进行自动化感知和防御，但当前的技术发展还未能完全达到如此智能化的水平。仍需要硬件设备、计算软件的协助，借助人工参与决策。

安全态势感知的功能和好处

安全态势感知已经成为网络安全领域最热的话题之一，几乎每个安全公司都在研究和推广，更是各大安全会议和展会上的“常客”。各种各样的酷炫态势感知大屏，让不少用户产生了困惑，到底安全态势感知有什么用处？对企业的信息安全有什么益处？

真正的安全态势感知是为了安全能力的落地，集全网安全可视、检测、预警及响应于一体，具备但不限于以下的好处：

l 感知网络资产 ：随着数字化进程的推进， IT 系统越来越复杂，越来越多。由于管理不善，企业中或多或少存在无主资产、僵尸资产，且这些资产长时间无人维护，存在大量的漏洞和配置违规，为用户网络安全带来了极大隐患。感知网络资产是态势感知平台的标准功能之一，通过主动探测的方式对网络中的资产进行探测，通过强大的资产指纹库建立各类型资产的特征，包括网络设备、安全设备、各类操作系统、数据库和应用中间件等，进行识别资产并完成资产属性的补全，最终实现未知资产的发现、识别与管理。

感知资产脆弱性 ： 脆弱性主要用于资产漏洞和弱口令的检查。脆弱性已经成为网络攻击者入侵网络窃取信息，破坏系统的重要入口。态势感谢系统通过采用基线安全配置检测工具，获取主机、服务器和网络设备等资产的配置信息，并与配置基线进行比较，发现资产配置的脆弱性。及时通知各系统的管理员尽快解决 。

感知安全事件： 企业为保证网络系统的安全运行，在网络安全方面会采用“纵深防御模型”进行威胁防护。采购防火墙、入侵检测系统、漏洞扫描系统和安全审计系统等安全设备。这些安全设备会产生大量违反安全策略和安全规则的告警事件，且事件类型繁多，易出现误报。这些安全设备产生的日志相对独立，无联动性。通过态势感知平台对网络安全事件数据进行关联整合，并通过过滤、聚合等手段去伪存真，发掘隐藏在这些数据之后的事件之间的真实联系，确定事件的时间、地点、人物、根因和结果。

感知网络威胁： 随着技术的不断进步，网络攻击行为逐渐呈现分布式、智能化等趋势。传统的威胁防御机制已经无法阻拦多变的攻击手段，给信息安全从业人员带来巨大挑战，尤其是类似 APT 的攻击。利用态势感知平台，镜像内部网络流量数据、日志数据和安全等数据，进行大数据分析、 AI 技术的异常行为检测，发现隐藏在海量数据中的网络异常行为。

l 感知网络攻击： 态势感知平台可以收集当前网络中的攻防对抗数据，实时展现当前网络中的攻防对抗实况，挖掘各种攻击行为，如端口扫描、口令猜测、拒绝服务攻击等。同时利用网络异常行为检测和历史攻击信息，分析潜藏的高危攻击行为和未知威胁，抽取高价值的威胁情报。

l 感知安全风险： 态势感知平台通过感知资产、脆弱性、安全事件、安全威胁和安全攻击，进一步进行数据融合分析，建立全网的安全风险指标体系和风险评估模型，绘制出企业的信息安全风险趋势。为信息部门决策者提供有利的决策依据。

制造型企业的数字化转型

随着互联网、移动互联网及物联网的发展，已经没有传统意义上的制造型企业了。正如马云说的，“未来三十年，世界不属于互联网公司，而是属于用好互联网的公司” ，传统制造企业已经从尝试互联网转型为依托互联网，被称为新制造，它不再是标准化、规模化，而是定制化和智能化。数字化转型已经成为势不可挡的趋势，根据著名的咨询机构 IDC 和其他咨询机构的预测， 2020 年全球数字化转型相关的产业的增加值会达到 18 万亿美元。制造企业如何快速完成数字化转型，已经成为企业所关注的重点领域。

什么是工业互联网

工业互联网概念在 2012 年 11 月由美国通用电气提出，旨在指导企业从传统工业企业，向数字工业企业转型，基于工业互联网的数字工业时代。

我们可以把工业互联网看作是数据、硬件、软件和网络的互动，通过各种技术获取工业设备各种数据，利用大数据平台进行存储、分析和可视化，提供可靠的、有价值的数据，供决策者使用，并作出相对准确的判断。

工业互联网对传统制造型企业的意义

从国家层面，在政府工作报告中就已经指出，要大力推动传统产业改造提升，打造工业互联网平台，拓展“智能 + ”，为制造业转型升级赋能 。

随着通信技术的快速发展和数字化应用的普及，新一轮的工业革命正在展开。制造型企业利用 5G ，云计算、物联网、大数据、人工智能等先进信息技术，为制造业的数字化转型提供坚实的技术支撑。制造型企业拥抱“智能 + ”具备深远的意义：

l 促进传统企业向生产服务型企业转型

目前工业互联网依然处在初级应用阶段，主要体现在设备互联加分析或者业务系统互联加分析。

不就的将来，随着通信技术不断的发展及大数据、云计算、边缘计算、人工智能技术的不断深化，可以在万物互联的基础上实现更加复杂的分析和预测，从而不断推动企业管理流程、组织和商业模式的创新，加速产品智能化、定制化。

不只是单一机器或者单一的生产线进行智能化，而是整个生产流程的智能化。企业可以在关键设备上安装传感器，以 5G 通信技术为支撑，搭建工业云平台，实现从生产到管理全流程数据采集，形成闭环。对数据进行科学分析与应用，加速实现传统制造型企业向生产服务型转型。

l 提升制造工艺水平

数字化浪潮已经袭来，任何传统制造业都应该积极拥抱，抓住这根“救命稻草”。部分传统型企业依然停留在人工生产、核查的阶段。经常由于各种人为原因，导致产品出现不同程度的质量问题，增加产品返修率和用户投诉率。

透过工业互联网，可以实现设备的互联，使设备“上网”，生产设备加装传感器，对产品制造全生命周期进行数据采集、分析，及时发现有缺陷的产品，提前预警。同时可以让管理者更清晰的看到整个生产过程的生产数据，辅助企业决策。

l 降低制造综合本

随着人民生活水平的提高，中国以引为傲的人口红利已经逐渐消失。消费成本直线上升，直接导致企业综合成本上升，降低总体收入。尤其制造型企业，原本盈利较少，再加上用人成本上升，必然带来企业亏损和制造成本的上升。只有通过发展网联化、自动化、智能化，实现智能制造，提升生产效率，降低人工参与，才能保证制造成本与原来一致，甚至更低。

工业互联网的安全

网络和信息基础设施是工业互联网的发展基础，在国家的指导政策下，高举新基建大旗，加速通信技术的快速发展，全面促进工业互联网进程，实现新制造。

新制造已经实现工控与 IT 的互联互通，已经把孤岛型的工控网释放到互联网，实现全面互联，打通数据生命周期，自然工业互联网的安全也就自然成为了众矢之的和最热门的话题之一。

无论任何时候，都要深刻认识到安全是保障，应把安全放在工业发展最突出的位置。之前已经介绍过，工业互联网是以数字化、网络化、智能化为主要特征，通过系统构建网络、平台、安全三大功能体系，打造人、机、物全面互联的新型网络基础设施。通过工业互联网实现全系统、全产业链和全生命周期的互联互通。制造型企业在建厂初期，往往注重业务平台的功能性，对安全架构考虑欠妥，可能存在权限绕过、缓冲区溢出等安全设计缺陷，为网络攻击提供路径。

在工业互联网框架下，安全既是一套独立功能体系，又渗透融合在网络和平台建设使用的全过程，为网络、平台提供安全保障。构建工业互联网安全保障体系可从平台、网络、终端、数据四个方面考虑，本文主要介绍的是工控安全态势感知对传统制造型企业的意义，说白了就是如何在制造型企业中如何利用态势感知。

2017 年 12 月，工业和信息化部发布了《工业控制系统信息安全行动计划（ 2018 — 2020 年）》，提出在工控系统信息安全保障体系建设中，落实企业主体责任，因地制宜分类指导，坚持技术和管理并重等指导策略。之后一大批工控安全厂商如雨后春笋般成立，发力工控安全。态势感知作为网络安全中的“天眼”，实现实时在线监测、收集各种安全设备信息和网络流量，通过大数据技术，分析和预警各种威胁，对工业互联网安全进行全天候、全方位感知。

安全态势感知在制造型企业中的应用

安全态势感知技术作为一种成熟的全方位感知技术已经服务于各行各业，成为安全体系架构中不可或缺的一部分。在制造型企业中，我们利用安全态势感知平台，监控网络中的潜在威胁和攻击，对失陷的终端进行精准定位。在我们的企业中，主要有以下两种场景应用到安全态势感知技术。

1. IT 网络

分别部署两台高配置探针在两个不同的数据中心，通过镜像核心交换机流量，分析网络数据，感知网络威胁。

l 威胁感知：

前面已经介绍过威胁感知是安全态势的基本功能之一，我们利用威胁感知功能发现信息网内的各种潜在威胁。如网络攻击（图 1 ）、威胁事件数（图 2 ）所示。

图 1- 恶意攻击记录

图 2- 威胁事件数

脆弱性口令检查：

此功能主要是基于平台内置的基线配置库对现有流量进行分析，找出明文传输流量中的密码，比对其强弱程度。如图 3 所示。

图 3- 弱口令感知

攻击分析：

威胁攻击分为多种维度，横向威胁、外联威胁、文件威胁及邮件威胁。从不同的角度对威胁进行分析，如图 4 所示 - 威胁攻击。

图 4 所示 - 威胁攻击

危险终端定位：

危险源定位是态感平台的基本亮点，通过各种日志、流量的综合分析，追查到威胁源，协助管理员快速定位危险终端，清除风险，如图 5 所示 - 危险终端定位。

图 5- 危险终端定位

风险预测：

通过多种平台的日志关联，利用 AI 模块发掘其之间的关联性，察觉风险趋势，如图 7-8 所示 - 风险预测。

图 6- 风险预测

图 7- 风险预测

2.工控网

设备管控：

通过部署工业互联网态势感知平台，可以有效阻止非授权硬件对上位机、下位机及重点工控终端的非授权接入，防止病毒、木马等程序通过外设进行入侵。

威胁感知：

此功能与 IT 领域的态感平台类似，都是通过收集各种日志、流量，分析行为，找出符合威胁描述特殊的攻击流。

图 8- 威胁感知

漏洞检查：

利用态势感知平台内置的漏洞库对工控环境中的对象进行漏洞扫描，并提供修复方案。

图 9- 漏洞检查

资产探测：

工厂内部的各种工控设备和终端随着时间的推移，变得越来越多和复杂，很多甚至无人使用，但还在网络内。通过资产探测，可以轻松找到所有资产，并绘制出基本的拓扑及分布。

图 10- 资产探测

结束语

随着 ABC （ AI 、 Big Data 、 Cloud ）技术的迅猛发展、数据处理和分析方法的不断创新，以大数据为平台框架进行安全分析（即数据驱动安全）逐渐成为热点，给网络安全带来许多新的挑战。所以只有不断更新知识，善于发现问题、研究问题和解决问题，才能跟上信息化时代的脚步。

我个人的感触，安全无小事、安全永远是个变量，而且是相对的。只有不断的学习和实践，才能逐渐远离威胁，离安全近一点。