01. 工業(yè)控制網(wǎng)絡(luò)的特殊安全需求

工業(yè)控制網(wǎng)絡(luò)(后簡(jiǎn)稱(chēng)工控網(wǎng)絡(luò))不同于普通信息網(wǎng)絡(luò)，其核心任務(wù)是保障生產(chǎn)操作指令運(yùn)行暢通、持續(xù)有效，并在確保生產(chǎn)指令、生產(chǎn)要素、生產(chǎn)活動(dòng)得以依托網(wǎng)絡(luò)快速展開(kāi)，在生產(chǎn)鏈路的全時(shí)貫通、操作信息的全時(shí)受控、生產(chǎn)系統(tǒng)的連續(xù)運(yùn)行、控制體系的安全可靠等方面有著很高的要求。這些特征導(dǎo)致工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)體系設(shè)計(jì)有其特殊性?，F(xiàn)階段主要是采取把傳統(tǒng)IT安全保護(hù)技術(shù)遷移到工控網(wǎng)絡(luò)的方法，但這并不能很好地滿(mǎn)足工控信息體系安全需求。其特殊性主要體現(xiàn)在以下3個(gè)方面：

一是安全防御以生產(chǎn)業(yè)務(wù)優(yōu)先作為首要原則。在信息網(wǎng)絡(luò)的安全保護(hù)中，主要關(guān)注的是對(duì)網(wǎng)絡(luò)中業(yè)務(wù)數(shù)據(jù)的安全防護(hù)，著重保證數(shù)據(jù)的保密性、完整性與可用性。而在工控網(wǎng)絡(luò)中，網(wǎng)絡(luò)的可用性是需要優(yōu)先保障的，生產(chǎn)業(yè)務(wù)要求不間斷運(yùn)行，運(yùn)行過(guò)程中很難對(duì)安全設(shè)備進(jìn)行更新?lián)Q代，也不能像信息網(wǎng)絡(luò)那樣可以晚間中止服務(wù)數(shù)個(gè)小時(shí)來(lái)更新版本、補(bǔ)丁或安全控制措施。

二是安全彈性是工控網(wǎng)絡(luò)的基本要求。與普通信息網(wǎng)絡(luò)強(qiáng)調(diào)“共享性”不同，工控網(wǎng)絡(luò)要求具有高彈性安全能力(Cyber Resilience)，也叫高魯棒性安全能力，其網(wǎng)絡(luò)信息體系設(shè)計(jì)和安全防御架構(gòu)，必須考慮從各類(lèi)網(wǎng)絡(luò)攻擊事件中“迅速恢復(fù)”能力。如何確保生產(chǎn)活動(dòng)在遭受網(wǎng)絡(luò)攻擊時(shí)，工控網(wǎng)絡(luò)系統(tǒng)能夠抵擋攻擊入侵并快速?gòu)墓魮p壞中恢復(fù)，自動(dòng)適應(yīng)生產(chǎn)環(huán)境并保持其業(yè)務(wù)正常運(yùn)轉(zhuǎn)能力，是非常重要的。

三是安全措施不能影響工控網(wǎng)絡(luò)的“四高”屬性。工控網(wǎng)絡(luò)的四高屬性：高可用性，與普通信息網(wǎng)絡(luò)強(qiáng)調(diào)保密性不同，工控網(wǎng)絡(luò)強(qiáng)調(diào)可用性;高確定性，工控網(wǎng)絡(luò)對(duì)通信時(shí)延、抖動(dòng)要求遠(yuǎn)高于普通信息網(wǎng)絡(luò);高可靠性，工控網(wǎng)絡(luò)要求盡可能短的通信中斷、盡可能低的丟包率、對(duì)報(bào)文時(shí)序錯(cuò)亂天生比較敏感;高融合性，這是當(dāng)代工控網(wǎng)絡(luò)出現(xiàn)的新趨勢(shì)，工控網(wǎng)絡(luò)不再是單純的OT網(wǎng)絡(luò)，而是OT、IT、IoT高度混雜融合的網(wǎng)絡(luò)。

基于工控網(wǎng)絡(luò)特殊安全屬性，其安全防御需求至少包括以下3個(gè)方面：

一是網(wǎng)絡(luò)環(huán)境的可信性，主要是指整個(gè)網(wǎng)絡(luò)環(huán)境必須是確定清晰且可信任的，至少涵蓋網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)交互的可信性等三個(gè)方面。網(wǎng)絡(luò)邊界可信是指所有網(wǎng)絡(luò)邊界都是清晰可描述的，包括終端設(shè)備的接入、終端設(shè)備上的外設(shè)接口、邊界隔離交換設(shè)備配置策略等;設(shè)備可信是指所有接入網(wǎng)絡(luò)的設(shè)備都是明確無(wú)遺漏的，所有終端設(shè)備的使用與變更要做到實(shí)時(shí)監(jiān)控;網(wǎng)絡(luò)交互可信是指網(wǎng)絡(luò)中各個(gè)終端設(shè)備之間的交互行為是清晰可信的，包括網(wǎng)絡(luò)交互的參與方、采用的通信協(xié)議、執(zhí)行的操作行為等。

二是網(wǎng)絡(luò)狀態(tài)的可知性，主要是指對(duì)于網(wǎng)絡(luò)當(dāng)前運(yùn)行的總體狀態(tài)明確可知，能夠及時(shí)感知其中正在發(fā)生或可能發(fā)生的安全事件，提前發(fā)現(xiàn)網(wǎng)絡(luò)異常情況或正在發(fā)生的攻擊活動(dòng)，提升網(wǎng)絡(luò)異常行為發(fā)現(xiàn)感知能力，至少涵蓋設(shè)備接入、網(wǎng)絡(luò)交互和安全事件的可知性等三個(gè)方面。

設(shè)備接入可知是指各類(lèi)終端設(shè)備接入網(wǎng)絡(luò)的情況是實(shí)時(shí)可知的，包括設(shè)備數(shù)量、類(lèi)型、終端屬性信息等;交互活動(dòng)可知是指網(wǎng)絡(luò)內(nèi)各個(gè)終端設(shè)備之間的交互情況是實(shí)時(shí)可知的，包括當(dāng)前活動(dòng)連接分布情況、網(wǎng)絡(luò)流量?jī)?nèi)容情況等;網(wǎng)絡(luò)行為事件可知是指網(wǎng)絡(luò)中出現(xiàn)的異常流量現(xiàn)象或異常網(wǎng)絡(luò)行為是實(shí)時(shí)可知的，包括可疑終端設(shè)備接入、違規(guī)外聯(lián)、惡意提權(quán)操作等。

三是網(wǎng)絡(luò)運(yùn)行的可控性，主要是指網(wǎng)絡(luò)能夠在運(yùn)行過(guò)程中隨著網(wǎng)絡(luò)環(huán)境的變化及時(shí)調(diào)整威脅檢測(cè)規(guī)則，在網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)異?；顒?dòng)或攻擊行為時(shí)能夠隨即采取措施，阻斷其攻擊活動(dòng)，控制其危害范圍，保證相關(guān)生產(chǎn)業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運(yùn)行，至少需要涵蓋分布性、適應(yīng)性和可恢復(fù)性等三個(gè)方面內(nèi)容。

控制的分布性是指網(wǎng)絡(luò)中的安全控制點(diǎn)或監(jiān)測(cè)設(shè)備分散在網(wǎng)絡(luò)各個(gè)角落;控制的適應(yīng)性是指能夠隨著網(wǎng)絡(luò)環(huán)境的變化動(dòng)態(tài)調(diào)整其威脅檢測(cè)能力，確保對(duì)外部安全威脅和內(nèi)部異常行為的檢測(cè)效率與準(zhǔn)確性;控制的自恢復(fù)性是指網(wǎng)絡(luò)在發(fā)現(xiàn)內(nèi)部異常活動(dòng)或外部攻擊行為后，能夠及時(shí)采取反制措施，自行恢復(fù)網(wǎng)絡(luò)運(yùn)轉(zhuǎn)。

02. 高安全工控網(wǎng)絡(luò)防御體系設(shè)計(jì)思路

高安全性工控網(wǎng)絡(luò)，絕對(duì)不是簡(jiǎn)單地將普通信息網(wǎng)絡(luò)安全保護(hù)技術(shù)遷移到工控網(wǎng)絡(luò)，也不是將普通信息網(wǎng)絡(luò)安全保護(hù)的“三大件”部署在工控網(wǎng)絡(luò)，形成“安全孤島”或“數(shù)字堡壘”。高安全性工控網(wǎng)絡(luò)構(gòu)建思路分為全新重構(gòu)高安全性工控網(wǎng)絡(luò)和持續(xù)加固現(xiàn)有工控網(wǎng)絡(luò)。

全新重構(gòu)高安全性工控網(wǎng)絡(luò)，主要有以下2個(gè)設(shè)計(jì)思路：

一是創(chuàng)新網(wǎng)絡(luò)體系結(jié)構(gòu)，基于下一代互聯(lián)網(wǎng)技術(shù)建立具備自認(rèn)證特征的基礎(chǔ)安全網(wǎng)絡(luò)，解決現(xiàn)有網(wǎng)絡(luò)在互聯(lián)互通與安全可控之間的對(duì)立矛盾，改變當(dāng)前以行政管理手段解決基礎(chǔ)架構(gòu)安全問(wèn)題的尷尬局面，為工控網(wǎng)絡(luò)安全防御體系構(gòu)造打下堅(jiān)實(shí)技術(shù)根基;

二是建立動(dòng)態(tài)信任體系，將傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)與"可信計(jì)算"技術(shù)結(jié)合起來(lái)，改變傳統(tǒng)安全體系"防外重于防內(nèi)"卻"防不勝防"的不利現(xiàn)狀，根據(jù)不同任務(wù)場(chǎng)景的不同安全需求，以終端的安全可信為源頭、作為信任根，從終端到網(wǎng)絡(luò)、到應(yīng)用、到服務(wù)、到數(shù)據(jù)，基于主體屬性與客體保護(hù)等級(jí)之間的安全度量，建立動(dòng)態(tài)信任信任鏈，最終建立起覆蓋整個(gè)工控網(wǎng)絡(luò)的可信網(wǎng)絡(luò)連接，從而提供對(duì)工控網(wǎng)絡(luò)環(huán)境更加完善的安全控制與安全保障。

持續(xù)加固現(xiàn)有工控網(wǎng)絡(luò)，主要有以下2個(gè)設(shè)計(jì)思路：

一是建立和持續(xù)優(yōu)化縱深防御機(jī)制，將網(wǎng)絡(luò)安全能力部署到工控基礎(chǔ)設(shè)施與信息系統(tǒng)的“每一個(gè)角落”，力求最大化覆蓋構(gòu)成工控網(wǎng)絡(luò)的各個(gè)組成實(shí)體，實(shí)現(xiàn)工控網(wǎng)絡(luò)與安全防護(hù)措施“深度融合、縱深覆蓋”的縱深防御能力;

二是部署網(wǎng)絡(luò)主動(dòng)防御能力，建立威脅情報(bào)和人工智能引導(dǎo)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知與安全控制體系，持續(xù)檢測(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，準(zhǔn)確感知網(wǎng)絡(luò)攻擊特征，及時(shí)阻斷網(wǎng)絡(luò)攻擊活動(dòng)，完善改進(jìn)網(wǎng)絡(luò)防護(hù)措施。哪怕是遭受物理攻擊，也能確保核心業(yè)務(wù)數(shù)據(jù)不被竊取，重要生產(chǎn)活動(dòng)不被干擾，并能表現(xiàn)出充分的業(yè)務(wù)安全彈性與自主恢復(fù)能力。

03. 全新重構(gòu)高安全性工控網(wǎng)絡(luò)關(guān)鍵路徑

高安全性工控網(wǎng)絡(luò)以統(tǒng)一安全基底為基礎(chǔ)、以安全因需賦能為核心、以智能安全管理為保障，在安全態(tài)勢(shì)感知、威脅檢測(cè)預(yù)警、防御能力部署機(jī)制的支撐下，形成“監(jiān)測(cè)-決策-響應(yīng)-防御”的動(dòng)態(tài)防御體系，實(shí)現(xiàn)基于態(tài)勢(shì)變化和安全需求的網(wǎng)絡(luò)信息系統(tǒng)安全防御。

其關(guān)鍵技術(shù)途徑主要包括：內(nèi)生安全的基礎(chǔ)網(wǎng)絡(luò)、安全可信終端、動(dòng)態(tài)信任機(jī)制，其中：具備內(nèi)生安全的基礎(chǔ)網(wǎng)絡(luò)是整個(gè)工控網(wǎng)絡(luò)防御的基石;動(dòng)態(tài)信任體制是工控網(wǎng)絡(luò)防御的關(guān)口，既不能讓“壞人”進(jìn)來(lái)，又要把“好人”放進(jìn)來(lái)，而且“好”與“壞”并非一成不變，而是要持續(xù)度量持續(xù)評(píng)估;安全可信終端是工控網(wǎng)絡(luò)防御的支點(diǎn)，終端是所有安全策略與信任關(guān)系的執(zhí)行點(diǎn)，是所有安全措施與訪問(wèn)控制的落腳點(diǎn)，是所有安全防御活動(dòng)實(shí)際效果體現(xiàn)的環(huán)節(jié)。

內(nèi)生安全基礎(chǔ)網(wǎng)絡(luò)：當(dāng)前基礎(chǔ)的工控網(wǎng)絡(luò)，包括普通信息網(wǎng)絡(luò)，都不具備地址真實(shí)性鑒別的內(nèi)生機(jī)制。針對(duì)此問(wèn)題，IETF提出的HIP協(xié)議思路，在網(wǎng)絡(luò)層和傳輸層之間插入主機(jī)標(biāo)識(shí)層，IP地址只作為網(wǎng)絡(luò)層所使用的定位標(biāo)識(shí)符，實(shí)現(xiàn)數(shù)據(jù)報(bào)的路由轉(zhuǎn)發(fā)，主機(jī)標(biāo)識(shí)符 HI(Host Identity)提供主機(jī)身份標(biāo)識(shí)功能，由傳輸層使用。雙方在通信時(shí)，IP地址的變化對(duì)傳輸層透明，從而保證在發(fā)生移動(dòng)或地址變化時(shí)，通信不中斷可以持續(xù)進(jìn)行，并且通信對(duì)端可以根據(jù)主機(jī)標(biāo)識(shí) HI確定移動(dòng)節(jié)點(diǎn)身份。

安全可信終端：目前工控網(wǎng)絡(luò)中的各類(lèi)終端設(shè)備，其軟硬件體系結(jié)構(gòu)大多是Wintel架構(gòu)，其終端安全管控系統(tǒng)只能通過(guò)"打補(bǔ)丁、堵漏洞、建盾墻"等外掛方式，為終端系統(tǒng)運(yùn)行提供安全防護(hù)能力，其防護(hù)效果往往是防不勝防。有人提出借助當(dāng)前國(guó)產(chǎn)化替代的契機(jī)，采用虛擬化技術(shù)來(lái)實(shí)現(xiàn)可信終端。

動(dòng)態(tài)信任機(jī)制：靜態(tài)信任機(jī)制先構(gòu)建基礎(chǔ)的信任根，然后從信任根開(kāi)始到硬件平臺(tái)、操作系統(tǒng)、應(yīng)用程序，一層認(rèn)證一層，一層信任一層，把這種信任擴(kuò)展到整個(gè)工控網(wǎng)絡(luò)，從而確保整個(gè)工控網(wǎng)絡(luò)的可信性。工業(yè)互聯(lián)網(wǎng)將封閉的工控網(wǎng)絡(luò)系統(tǒng)打開(kāi)，更加強(qiáng)調(diào)大規(guī)模業(yè)務(wù)資源共享與廣域業(yè)務(wù)流程協(xié)作，更加強(qiáng)調(diào)扁平化控制與分步式協(xié)同聯(lián)動(dòng)，靜態(tài)信任機(jī)制已經(jīng)不適用于當(dāng)前及未來(lái)工控網(wǎng)絡(luò)。

基于“零信任”理念的動(dòng)態(tài)信任機(jī)制，是參考了人類(lèi)社會(huì)中的信任關(guān)系而提出的用于解決分布式網(wǎng)絡(luò)的信任管理模型。動(dòng)態(tài)信任管理模型認(rèn)為信任關(guān)系隨時(shí)間變化而變化，需要實(shí)時(shí)在線對(duì)信任關(guān)系進(jìn)行評(píng)估;認(rèn)為不同任務(wù)場(chǎng)景下網(wǎng)絡(luò)主體與客體之間的信任關(guān)系，需要根據(jù)主體身份屬性與客體受保護(hù)等級(jí)的不同而精確度量分析，進(jìn)行細(xì)粒度權(quán)限控制和特定時(shí)空范圍的檢測(cè)審計(jì);認(rèn)為信任關(guān)系可以傳播，可以沿著業(yè)務(wù)網(wǎng)絡(luò)中具備可信連接路徑的關(guān)系路線進(jìn)行傳播，解決不同安全域之間身份標(biāo)識(shí)按需安全互認(rèn)問(wèn)題;認(rèn)為信任關(guān)系的構(gòu)建主要依靠相當(dāng)長(zhǎng)有效時(shí)間的安全交互行為，真正管用好用的可信管理策略需要從海量通信實(shí)體交互日志中挖掘生成，人為行政管理手段只是輔助。

04. 持續(xù)安全加固現(xiàn)有工控網(wǎng)絡(luò)關(guān)鍵路徑

在實(shí)現(xiàn)高安全工控網(wǎng)絡(luò)的時(shí)候，我們不得不面對(duì)一個(gè)現(xiàn)實(shí)，那就是當(dāng)前存在超大規(guī)模的正在服役的工控網(wǎng)絡(luò)系統(tǒng)，如何確保它的網(wǎng)絡(luò)信息安全?

一是建立和持續(xù)優(yōu)化縱深防御機(jī)制?？v深防御是攻防對(duì)抗中消耗對(duì)方資源的最有效的方法。從網(wǎng)絡(luò)空間安全的角度來(lái)看，可以從物理層、技術(shù)層和管理層分別建立縱深防御體系。如下圖所示：

物理層縱深防御又可分為物理層、技術(shù)層和管理層。物理層有可視性、CPTED等安全考慮和措施指標(biāo);技術(shù)層措施包括電子門(mén)禁、物理入侵檢測(cè)、CCTV、報(bào)警系統(tǒng)等指標(biāo);管理層面會(huì)有場(chǎng)地管理、人員管理、應(yīng)急演練等指標(biāo)。

技術(shù)層縱深防御至少包括網(wǎng)絡(luò)、主機(jī)/設(shè)備、應(yīng)用、數(shù)據(jù)等四層防線。如下圖所示：

網(wǎng)絡(luò)層按協(xié)議縱向?qū)哟畏烙贠SI模型7個(gè)層次都可以采取相應(yīng)的安全措施，比如物理層的防竊聽(tīng)、鏈路層的防ARP欺騙、網(wǎng)絡(luò)層的IPsec、傳輸層的TLS等，應(yīng)用層的識(shí)別控制等。網(wǎng)絡(luò)層按照邏輯區(qū)域防御，從外至內(nèi)看，DMZ區(qū)可以有防火墻、VPN、WAF、IDS、APT防護(hù)、蜜罐等防控措施，在內(nèi)網(wǎng)區(qū)域，有防火墻和網(wǎng)絡(luò)分區(qū)，有VLAN隔離、網(wǎng)絡(luò)準(zhǔn)入、網(wǎng)絡(luò)DLP、內(nèi)網(wǎng)蜜罐、SIEM、虛擬桌面等等內(nèi)容，在內(nèi)網(wǎng)的核心區(qū)域，保存著重要業(yè)務(wù)的數(shù)據(jù)庫(kù)。

應(yīng)用層可從代碼層、服務(wù)層和業(yè)務(wù)層來(lái)防御，代碼層是最基礎(chǔ)，對(duì)應(yīng)的安全方法有安全編碼規(guī)范、代碼走查、代碼掃描、代碼審計(jì)等等;服務(wù)層，有認(rèn)證、授權(quán)、日志、加密、哈希、簽名等等技術(shù)措施;業(yè)務(wù)層，可以做更多的安全措施，會(huì)根據(jù)用戶(hù)的行為和特征做相應(yīng)的安全防范。

管理層縱深防御從組織保障、安全規(guī)劃、管理制度到人的安全意識(shí)逐層遞進(jìn)。在組織保障層面，要建立起安全組織架構(gòu)、人員配備、崗位職責(zé)、協(xié)調(diào)機(jī)制等;在安全規(guī)劃層面，要制定安全方針、目標(biāo)、愿景、策略并注重跟蹤落實(shí);在管理制度層面，要定義一系列工作的規(guī)章和流程，如安全需求管理、漏洞管理、應(yīng)急管理、事件管理、變更管理、配置管理等規(guī)章制度。

最終在人的安全意識(shí)層面上，本質(zhì)上是要防范和規(guī)避人性的缺陷。為防范因人的疏忽而導(dǎo)致的誤操作，會(huì)采用變更管理、方案審核、雙人復(fù)核等措施;為防范人的懶惰，會(huì)采用考勤、巡檢、抽查、督辦、審計(jì)等措施;為防范人的貪婪，會(huì)采用最小特權(quán)、職責(zé)分離、多人控制、知識(shí)分離、特權(quán)管理等手段;為防范或威懾可能的作案者，會(huì)采用崗位輪換、強(qiáng)制休假、離任審計(jì)等手段;為防范人的安全防范意識(shí)薄弱，需要對(duì)他們進(jìn)行不斷的培訓(xùn)、教育、宣傳、警示。信息安全意識(shí)培訓(xùn)最重要的是提高警惕性，尤其是提高對(duì)社工類(lèi)型攻擊的識(shí)別和防范能力。最后，建立安全問(wèn)責(zé)機(jī)制也很重要，要對(duì)所有因不履行流程、不盡職、甚至是故意違反制度，尤其是引起不良后果的人和事都要問(wèn)責(zé)。

為正在運(yùn)行服役的工控網(wǎng)絡(luò)系統(tǒng)部署縱深防御能力，也可以考慮從物理層面、技術(shù)層面和管理層面來(lái)實(shí)施。這里僅描述技術(shù)層面的縱深防御體系。

為工控網(wǎng)絡(luò)系統(tǒng)實(shí)施縱深防御的核心思想：垂直分層、水平分區(qū);邊界控制、內(nèi)部監(jiān)測(cè);態(tài)勢(shì)感知、集中管理。如下圖所示，為工控系統(tǒng)和網(wǎng)絡(luò)提供五道防線：

第1道防線：部署工業(yè)網(wǎng)閘或工業(yè)防火墻實(shí)現(xiàn)IT與OT網(wǎng)絡(luò)隔離與訪問(wèn)控制;

第2道防線：部署工業(yè)防火墻實(shí)現(xiàn)操作層與監(jiān)控層網(wǎng)絡(luò)隔離與訪問(wèn)控制;

第3道防線：部署工業(yè)衛(wèi)士實(shí)現(xiàn)上位機(jī)加固、惡意代碼防護(hù);

第4道防線：部署工業(yè)網(wǎng)絡(luò)入侵防御系統(tǒng)或工業(yè)防火墻抵御上位機(jī)與控制器之間的雙向入侵攻擊;

第5道防線：部署現(xiàn)場(chǎng)總線防火墻抵御來(lái)自現(xiàn)場(chǎng)總線網(wǎng)絡(luò)的入侵攻擊。

如上圖所示，有時(shí)候我們?nèi)菀讓⒐I(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)、工業(yè)安全管理平臺(tái)、廠站工業(yè)態(tài)勢(shì)感知平臺(tái)三個(gè)系統(tǒng)在縱深防御體系中的價(jià)值定位混淆。

旁路部署在工業(yè)交換機(jī)的工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)，屬于安全監(jiān)測(cè)類(lèi)系統(tǒng)，它的視野也僅僅是工業(yè)交換機(jī)所能夠連接的網(wǎng)絡(luò)區(qū)域，要想搞清楚工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)應(yīng)該提供哪些安全功能，應(yīng)該以什么樣的交互方式提供這些安全功能，那么我們可以觀察一下這個(gè)網(wǎng)絡(luò)區(qū)域的OT工程師他們是如何監(jiān)測(cè)生產(chǎn)業(yè)務(wù)的，具有如下特點(diǎn)：

● 工控裝置為監(jiān)測(cè)單元，一臺(tái)顯示器的一個(gè)畫(huà)面監(jiān)測(cè)此裝置的相關(guān)指標(biāo)數(shù)據(jù)是否存在異常;

● 在線監(jiān)測(cè)，線下處置;

● 監(jiān)控畫(huà)面多為形象化、指標(biāo)化。

因此工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)不需要太多的統(tǒng)計(jì)分析圖表，而是重點(diǎn)提供經(jīng)過(guò)去重、關(guān)聯(lián)、排序后的安全事件實(shí)時(shí)監(jiān)測(cè)畫(huà)面即可，當(dāng)然還需要提供安全事件留存證據(jù)查詢(xún)與調(diào)取的操作界面。

工業(yè)安全管理平臺(tái)針對(duì)整個(gè)工控網(wǎng)絡(luò)或工控網(wǎng)絡(luò)某區(qū)域從安全設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略、安全事件四個(gè)方面進(jìn)行統(tǒng)一管理。因此工業(yè)安全管理平臺(tái)的管理視野可以小到一臺(tái)工業(yè)交換機(jī)的網(wǎng)絡(luò)范圍，大到整個(gè)工廠的工控網(wǎng)絡(luò)。

二是部署主動(dòng)防御能力。工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)是針對(duì)安全事件的實(shí)時(shí)監(jiān)測(cè)，但往往視野僅僅局限在某個(gè)工業(yè)交換機(jī)網(wǎng)絡(luò)范圍，如果希望了解整個(gè)工廠的工控網(wǎng)絡(luò)，甚至是工廠IT網(wǎng)絡(luò)的安全狀況，則需要一個(gè)能夠監(jiān)測(cè)到更大范圍的工具，這個(gè)工具就是上圖中的廠站工業(yè)態(tài)勢(shì)感知平臺(tái)。

在工廠范圍來(lái)說(shuō)，更關(guān)心的是發(fā)生了什么，是否被網(wǎng)絡(luò)入侵、感染病毒了，因此廠站工業(yè)態(tài)勢(shì)感知平臺(tái)側(cè)重于基于XDR思想，借助人工智能、大數(shù)據(jù)分析等技術(shù)，實(shí)現(xiàn)整個(gè)工廠的工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的關(guān)聯(lián)威脅檢測(cè)和威脅處置，從而具備主動(dòng)防御能力：持續(xù)檢測(cè)網(wǎng)絡(luò)安全威脅、準(zhǔn)確感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、及時(shí)阻斷網(wǎng)絡(luò)攻擊活動(dòng)、完善改進(jìn)網(wǎng)絡(luò)防護(hù)措施。

文章來(lái)源：六方云