工业企业网络安全管理技术
——基于大数据分析的工业网络安全管理

赵军凯，吴锦涛

（北京启明星辰信息安全技术有限公司，北京 100089）

1 工业网络安全管理现状

经过多年的信息化建设与数字化产业升级，我国工业企业的信息系统安全建设已经具备相对完善的管理体系，随着工业数字化进程的不断发展，工业企业的网络安全建设逐步由信息系统防护过渡到了整体防护阶段。现阶段的工业企业更加关注IT与OT的整体安全，并且强调从业务角度、生产控制角度去管理自身的安全能力，而非以往采用单一的安全防御机制保护单一目标，因此要做好工业企业的网络安全管理，就需要一套结合实际生产流程、符合业务模式的安全管理体系。在这个体系中除了组织保障和流程保障，很重要的一点就是技术保障。

技术保障主要源于管理层和执行层不同角色人员对于工业网络安全管理工作的切身需要，目前针对大多数工业企业而言，负责信息系统建设和安全防护的部门与负责生产管理、流程控制的部门存在一定的认知偏差，IT人员可以为了保障保密性而牺牲一部分系统可用性、易用性，但负责生产的部门由于职责定位不同，保护生产控制系统的可用性与业务连续性是第一要务。因此针对IT系统的安全管理技术路线可能无法完全适应OT系统的部署环境。

对于管理层而言，高层领导、各业务主管领导和生产部门主管领导等都需要从各自的角度出发，对工业生产全流程或相关业务信息系统的整体安全运行状况有直观的了解和清晰的掌控，能够获悉当前的安全态势、攻击分布、防护缺陷，掌握安全防御体系建设的水平和安全管理能力建设的水平。

对于执行层而言，生产现场与控制运维人员需要对其负责的工序段、控制区域的业务状况、安全状况有清晰的掌控，并且可以获取及时的安全预警以及清晰简洁的安全态势信息。

随着国家层面针对工业企业网络安全建设的实施力度的不断加强，各行业内控与合规要求的不断增强，以及越来越多的企业和组织投入到信息安全管理体系（Information Security Management System，简称ISMS）的建设之中，工业企业管理层更加需要一个适应工业生产环境的安全管理技术支撑平台来协助符合和体现合规相关具体要求，将合规性要求和网络安全管理体系落到实处。而企业执行层也希望有一个工业网络安全管理平台帮助他们进行生产区域的安全管理，进而提高生产效率。

2 传统的网络安全管理平台

现代组织的业务大多已经迁移到了组织中的信息系统中，信息系统作为企业生产经营及业务实施的支撑平台，其中任何相关信息技术环节出问题都将直接导致业务失败，生产率降低，影响市场占有率、满意度、销售收入和快速反应能力，或者对组织的公信力和信用形成破坏，严重的情况甚至导致企业经营管理瘫痪，组织工作无法开展，因此，信息系统运营管理水平的高低直接影响到组织或企业战略能否顺利实施[5]。

网络安全管理面临挑战：

信息系统的投入是一个增量的过程，近年来企业业务发展与信息系统融合程度越来越紧密，规模也越来越大，分散度越来越高，各类软/硬件设备资源不断增加，增加了维护的工作量和复杂度。为了获悉全网的整体安全态势，就必须从现有的分散的安全系统和IT系统中采集相关的安全信息，而这些信息是海量的，每天的数据量可能数以百GB计。首先，如果不能采集到这些海量信息，分析的准确性就可能打折扣，而安全问题的回溯和取证就可能出现信息缺失。其次，如果不能对海量信息进行快速分析、提取出真正有意义的安全事件，就无法让安全管理人员聚焦到重要的安全事件上，反而陷入到数据的汪洋大海之中。最后，如果不能直观地展示分析结果，并将分析结果与响应处理过程挂钩，也就无法使执行层的安全管理流程运转起来，更无法为管理层提供决策支持。因此，如何采集这些分散在网络各处的海量信息，进行实时不间断的处理、分析，并以用户能够接受的形式有效的展示出来，成为了考察运维管理技术水平的一把重要标尺[6]。

随着网络安全建设逐步引向深入，管理者越发体会到了安全工作是全局一盘棋。正所谓“不谋全局者，不足谋一域”，网络安全管理工作急切需要获悉全网的整体安全态势。特别是下属机构，系统运营人员整体素质参差不齐，不仅没有足够的时间、精力、技术，也无法及时掌握各类实时更新的各种网络安全专业知识和信息，如何实现全企业信息化管理是现在运营人员需要迫切解决的问题。

合规建设和网络安全管理体系/ISO27000建设已经成为了他们安全管理工作中必不可少的职责。安全运营管理能否及如何符合和体现等级保护和网络安全管理体系的要求成为了安全管理面临的重大挑战。

综上所述企业网络安全管理人员应从从组织策略、处理流程和技术体系等多方面进行统筹考量，并借助一个全新的安全运营支撑性平台来为其安全管理工作提供技术支撑。实现对企业分散的海量安全信息进行全面的收集、整理、分析、审计，并借助智能化的分析手段提取出关键的安全事件；能够对企业复杂的IT系统从业务的角度进行全方位的可用性及性能监测、故障定位和告警；能够主动地进行事前安全管理，在攻击发生之前就获悉网络的安全态势[1]；对企业重要业务系统进行量化的风险评估；能够借助量化的分析模型实现全网的安全态势感知；能够协助企业网络安全运维进行常态化的安全运维；能够符合并体现等级保护和网络安全管理体系的要求[3]。

从2000 年开始，国内外陆续推出了安全管理平台产品，也称为SOC（Security Operations Center）产品，国外称为安全信息和事件管理SIEM（Security Information and Event Management）产品[4]。经过多年的发展，安全管理平台已经实现了对企业分散的海量安全信息进行全面的收集、整理、分析、审计，并借助智能化的分析手段提取出关键的安全事件；对企业复杂的IT 系统从业务的角度进行全方位的可用性及性能监测、故障定位和告警；主动地进行事前安全管理，在攻击发生之前就获悉网络的安全态势；对企业重要业务系统进行量化的风险评估；借助量化的分析模型实现全网的安全态势感知；协助企业进行常态化的安全运维；符合并体现了等级保护和网络安全管理体系的要求。同时，能够与企业的其他管理系统实现协同工作[5]。

安全管理是从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自总部和所属企业网络中的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。安全管理平台通过建立一套实时的资产风险模型，协助管理员进行运行监控、事件分析、风险分析、预警管理和应急响应处理。

图1 网络安全管理平台架构设计

安全管理平台的建设与运营，构建一套针对企业整体IT计算环境的统一安全管理架构，对包括网络、安全、主机和应用在内的各类IT资源从业务系统的角度进行统一监控、统一安全事件审计与分析、统一预警与响应，提升企业现有信息与网络整体安全保障水平，并符合国家等级保护、内部控制的相关管理、审计和内控的要求[10]。

3 工业网络安全管理面临挑战

但在IT和OT系统逐渐融合的网络环境下，针对工业网络环境的安全防护正在面临着多种挑战。一方面，企业和组织安全体系架构的日趋复杂，各种类型的数据越来越多，OT系统逐渐IP化，并且以往物理隔离的控制系统随着业务模式的数字化转变逐渐接入IT系统，传统网络安全管理平台在处理多元、海量的数据能力难以为继；一方面，新型威胁的兴起，内控与合规的深入，传统的分析方法存在诸多缺陷。这两者带来的是安全数据的数量、速度、种类的迅速膨胀，不仅带来了海量异构数据的融合、存储和管理的问题，甚至动摇了传统的安全分析方法。当前绝大多数网络安全管理平台的安全分析都是针对小数据量设计的，在面对工业生产的大数据量时难以为继。新的攻击手段层出不穷，需要检测的数据越来越多，现有的分析技术不堪重负。面对天量的安全要素信息，我们如何才能更加迅捷地感知网络安全态势？

传统的网络安全管理平台分析方法大都采用基于规则和特征的分析引擎，必须要有规则库和特征库才能工作，而规则和特征只能对已知的攻击和威胁进行描述，无法识别未知的攻击，或者是尚未被描述成规则的攻击和威胁。面对未知攻击和复杂攻击如APT等，需要更有效的分析方法和技术。如何才能做到知所未知？

面对大量工业环境的业务数据，传统的集中化安全分析平台（譬如SIEM，安全管理平台等）遭遇到了诸多瓶颈，主要表现在以下几方面：

工业生产数据的采集和存储变得困难；

异构数据的存储和管理变得困难；

生产环境下威胁数据源较小，导致系统判断能力有限，样本较少；

对历史生产数据的检测能力很弱，使用效率偏低；

安全事件的调查效率太低；

安全系统相互独立，无有效手段协同工作；

分析的方法较少；

对于趋势性的东西预测较难，对早期预警的能力比较差；

系统交互能力有限，数据展示效果有待提高。

从上世纪80年代入侵检测技术的诞生和确立以来，安全分析已经发展了很长的时间。当前，信息与网络安全分析存在两个基本的发展趋势：情境感知的安全分析与智能化的安全分析。

Gartner指出，“未来的网络安全将是情境感知的和自适应的”所谓情境感知，就是利用更多的相关性要素信息的综合研判来提升安全决策的能力，包括资产感知、位置感知、拓扑感知、应用感知、身份感知、内容感知，等等。情境感知极大地扩展了安全分析的纵深，纳入了更多的安全要素信息，拉升了分析的空间和时间范围，也必然对传统的安全分析方法提出了挑战[7]。

Gartner报告指出，要“为企业安全智能的兴起做好准备”在这份报告中，Gartner提出了安全智能的概念，强调必须将过去分散的安全信息进行集成与关联，独立的分析方法和工具进行整合形成交互[9]，从而实现智能化的安全分析与决策。而信息的集成、技术的整合必然导致安全要素信息的迅猛增长，智能的分析必然要求将机器学习、数据挖据等技术应用于安全分析，并且要更快更好地的进行安全决策[8]。

4 基于大数据分析的工业网络安全管理平台

面对新形势下工业网络安全管理挑战，作为信息管理的技术保障，工业网络安全管理平台不仅仅要满足基本的安全管理需要，需具备处理海量、高速、多变的信息能力，获得超越以往的洞察力、决策支持能力和处理的自动化。

海量、多元化的数据分析的技术的核心就是大数据分析。Gartner将大数据分析定义为追求显露模式检测和发散模式检测，以及强化对过去未连接资产的使用的实践和方法，意即一套针对大数据进行知识发现的方法。通俗地讲，大数据分析技术就是大数据的收集、存储、分析和可视化的技术，是一套能够解决大数据的海量、高速、多变、低密度的问题，分析出高价值的信息的工具集合。

借鉴著名数据库专家、图灵奖获得者詹姆士·格雷的科学研究范式理论[2]，我们提出了“全范式分析”的全新安全分析体系：

安全分析第一范式：尝试、实验。在网络应用尚未大规模普及、网络安全还未成为突出问题的时候，市场上还没有培育出成熟的安全工具和产品，安全分析主要依赖于安全管理人员的经验。目前仍然广泛采用的渗透测试、安全咨询服务等，仍然是以这种模式运行的。

安全分析第二范式：模型、特征。随着安全问题的日益普遍，单凭安全管理人员的经验已经无法应对，迫切需要自动化的分析工具，由此产生了入侵检测系统、防病毒系统和防火墙等安全产品。这些安全产品的共同点就是对网络攻击行为进行分析，提取不同层面的特征（如网络层连接特征用于防火墙制定ACL规则；应用层内容特征用于提取IDS的匹配规则；文件级特征用于病毒扫描），对网络流量进行实时自动化分析。这类安全产品的关键是对攻击特征的提取和描述，其本质是对攻击行为的建模，而在工业环境内的应用需要学习工业通信协议的行为，并且结合业务梳理和日常需求制定白名单防护机制。

安全分析第三范式：模拟、仿真。随着APT的出现，攻击变得越来越复杂、特征变化越来越快，以攻击行为建模为基础的分析方式渐渐难以应对，从而出现了以虚拟执行技术为代表的新型分析技术。这种技术的本质是模拟被攻击者在遭受攻击后的反应，这样无需对攻击行为建模也能检测未知的攻击。

安全分析第四范式：大数据安全分析。大数据技术的出现，将安全分析提升到了新的阶段。有了大数据平台的支撑，安全分析人员可以将各类不同类型的数据，如通过渗透测试得到的漏洞信息、通过传统检测设备产生的报警事件、通过虚拟执行得到的可疑攻击执行结果，进行大范围的汇总和关联。同时，通过长时间的关联，安全分析人员可挖掘某台主机、某个用户的行为异常，从而实现不基于签名的未知攻击检测。对于每一条可疑报警，分析人员可以查询与该报警相关的各类数据，从而确定报警真实性、攻击源，评估攻击造成的危害。

从上述分析中可以看到，安全分析方法的发展历程与詹姆士·格雷概括的科学研究范式间存在着高度对应的关系，从而可以用科学研究范式来类比安全分析方法。而这其中，大数据安全分析技术正代表了最前沿的安全分析第四范式。大数据安全分析是全新的“全范式安全分析”体系的重要组成部分。

安全数据的大数据化，以及传统安全分析所面临的挑战和发展趋势，都指向了同一个技术——大数据分析。正如Gartner在2012年明确指出，“网络安全正在变成一个大数据分析问题”。于是，业界出现了将大数据分析技术应用于网络安全的技术——大数据安全分析[14]。必须特别指出的是，大数据安全分析是指利用大数据技术来进行安全分析，而非我们一般所言的大数据安全。大数据安全，通常是指研究如何保护大数据自身的安全，包括针对大数据计算和大数据存储的安全性。针对在工业企业的网络安全管理平台，需要考虑智能制造背景下的工业大数据环境，结合信息系统与生产系统的工业大数据将更加有效的提高分析结果的准确性，为安全管理提供决策依据。

工业大数据是工业领域产品和服务全生命周期数据的总称，包括研究设计、生产制造、经营管理等各个环节出现的数据，并且其设备来源主要为三种：第一种是生产经营的业务数据，属于信息系统数据；第二类是设备物联数据，其中包括直接参与生产制造的工业控制系统数据，如PLC以及其他监控软件数据，还有监测周围环境数据的物联网数据；第三类是外部数据，如供应商、客户等外部环境提供的数据[19]。

工业大数据除具有一般大数据的特征（数据量大、多样、快速和价值密度低）外，还具有时序性、强关联性、准确性、闭环性等特征[13]，因此基于工业大数据的网络安全管理平台需要利用其特征。从数据范围来讲，工业大数据的采集来源包括了生产环节的各个流程，包括结构化与半结构化数据、非结构化数据，与此同时工业大数据的时序性与数据强关联性可以作为安全分析的基础，建立数据层面的行为逻辑[12]。

图2 基于大数据分析网络安全管理平台概念架构

新一代网络安全管理以生产环境为核心保障目标，融合业界的大数据技术，针对高速信息进行采集，融合多源异构数据，结合SQL、NewSQL、NoSQL 等技术，实现异构海量安全数据的高效可靠存储，并以安全数据为驱动，提供智能化关联分析技术和基于机器学习的行为分析技术，流安全分析技术和态势感知。系统内建主动安全管理机制，通过的漏洞扫描和安全配置核查，及时发现工业网络环境中存在的隐患和风险，并进行事前预警；结合内外部情报协作，提供更加准确和及时的安全分析；融合多种网络安全技术和管理理念，充分实现组织、过程和技术三个体系的合理调配，帮助企业运维人员从监控、审计、风险、运维四个维度实现对业务信息系统的统一安全保障[18]。

5 基于大数据的工业网络安全管理平台价值

传统的安全分析是构建在基于特征的检测基础之上的，只能做到知所已知，难以应对高级威胁（譬如APT）的挑战。而要更好地检测高级威胁，就需要知所未知，这也就催生了诸如行为异常分析技术的发展。行为异常分析的本质就是一种机器学习，自动建立起一个正常的基线，从而去帮助分析人员识别异常，由于工业环境内的业务逻辑相对固定并且清晰，控制流程在短时间内不会频繁变化，因此行为基线技术十分适合部署在工业环境内，通过行为基线识别异常行为是一种相对高效的技术方法。面对天量的待分析数据，要想达成理想的异常分析结果，借助大数据分析技术成为明智之举[17]。同时，为了对抗高级威胁，还需要有长时间周期的数据分析能力，而这正是大数据分析的优势所在。此外，安全分析人员在进行高级威胁检测的过程中需要不断地对感兴趣的安全数据进行数据勘探，而要针对天量数据实现及时的交互式分析，需要有强大的数据查询引擎，这同样也是大数据分析的优势所在。

以大数据的相关技术为基础，确保工业网络的安全事件得到超前预警，具体来说，在实现大数据安全预警功能的过程中，基础数据资源应当以设备安全恒产大数据库中的告警信息等历史统计数据为主[16]，在此基础上确保关联规则分析和预测有效实现，并且分析结果是与生产流程紧密结合的。与此同时，通过物联网等技术的应用，实时采集设备生产环境数据，之后开展数据的预处理及分析、犓等工作，以大数据流处理技术为依托，确保动态监测数据，使长期预警和实施预警功能有效优化，将大数据预警机制纳入工业网络安全管理平台中。

大数据安全分析推动高级威胁检测，威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。威胁情报最大的好处就是能够直接作用于工业企业和组织的安全防护设施，实现高效快速的威胁检测和阻断。专业的威胁情报服务提供商能够采集互联网上的各种数据，既包括浅层WEB，也包括深层WEB，甚至是暗网的数据，抑或是授权企业的数据，然后基本上都利用大数据分析技术产生有关攻击者的威胁情报信息。利用工业大数据分析技术，安全厂商与工业企业可以建立起一个威胁情报的分享和协作平台，进行威胁情报的交换，更大限度地发挥情报的价值。

大数据安全分析技术将数据泄漏保护将变得更加智能，不仅能够对已经标定的生产敏感信息进行检测，还能对上层用户使用数据的行为过程进行建模，从而针对更多地难以进行简单标定的敏感信息的访问进行异常检测。通过对数据库行为与监控系统收集到的海量数据库访问日志进行业务建模，从而识别用户的业务违规，使得数据库行为与监控系统的价值得到进一步提升[15]。

大数据安全分析技术能够实现用户违规智能审计。通过对信息系统和控制系统的用户访问日志进行建模和机器学习，发现小概率的异常事件。借助大数据安全分析技术提升静态应用安全测试系统的检测速率，并能够通过高效地聚类/分类等算法更好地寻找应用系统的安全漏洞。

大数据安全分析的兴起不仅改变了传统的网络安全防护架构、安全分析体系，也在深刻变革现有的网络安全业务模式。最典型地，大数据安全分析直接促进了安全即服务的发展。包括SIEM、日志分析、欺诈检测、威胁情报在内的多种服务都在积极拥抱大数据安全分析技术。大数据安全分析已成为安全业务模式变革的催化剂。

即便是针对工业企业和组织内部的大数据安全分析，由于安全与业务的不断融合，以及生产现场边缘数据中心和工业云计算的普及，未来必然要求将大数据安全分析与大数据业务分析进行整合，安全数据不过是工业企业和组织业务数据的支撑数据之一。在这个发展趋势下，必然涉及到生产、开发、运维、安全团队的交互与协作，业务部门与技术部门的融合。大数据安全分析将成为安全与业务融合的催化剂。

借助大数据安全分析技术，能够更好地解决天量安全要素信息的采集、存储的问题，借助基于大数据分析技术的机器学习和数据挖据算法，能够更加智能地洞悉信息与网络安全的态势，更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。大数据安全分析不是一个产品分类，而代表一种技术，一种安全分析的理念和方法。各种安全产品都能够运用大数据安全分析技术去重塑自身。

6 结语

大数据时代已经到来，我们创造的大数据正在改变人类生产生活的各个方面。信息与网络安全作为保障工业资产的关键能力也正在被大数据所重新塑造。工业网络安全管理平台，作为安全保障体系中位于顶层的技术支撑平台，天然具有与大数据结合的特质。基于大数据安全分析技术的工业网络安全管理平台正在成为未来安全管理平台发展的重要技术方向。我们必须看到，不论安全管理平台的技术如何发展，如何与大数据结合，安全管理平台所要解决的工业企业根本性问题，以及与企业业务融合的趋势依然未变。对大数据的应用依然要服务于解决企业的实际安全管理问题这个根本目标[11]。

同时谨记，大数据安全分析要产生实际价值还离不开制度贯穿和安全分析师。正如大数据需要数据分析师，大数据安全更需要安全分析师。安全，本质上是人与人之间的对抗，不论安全分析的自动化技术如何演进，相互之间进行对抗的，始终是坐在屏幕前的人。