态势感知概念的由来
态势感知这个概念的提起始建于美国,而当时的应用背景主要考虑的是军事和太空领域。态势感知的定义即:在特定的时间和空间下,对环境中各元素或对象的觉察、理解以及对未来状态的预测。1994年,美国学者Dominguez引入可视化理念,把态势感知的基本定义扩展为4个阶段:感知、理解、展示、预测,由此态势感知的概念基本定型。态势感知的应用范围逐步扩大,1999年,美国军方又提出了网络态势感知的概念,这种概念包含对网络运行状况的真实掌握,同时能预测潜在的威胁。态势感知的概念和理念正与我们古代的思想——“知己知彼,百战不殆”不谋而合。
在工业互联网安全中常见的“网络安全态势感知”是2018年全国科学技术名词审定委员会公布的计算机科学技术名词,出自《计算机科学技术名词 》第三版。
态势感知的作用
态势感知首当其冲的能力就是感知能力也就是发现能力,这是以大量的信息输入采集为前提的,需要设置多个采集端点也就是各类端点的日志和网络中的流量从而获取当前整体的网络安全态势情况。
态势感知的用处是多方面的,集网络安全可视化、检测评估、预警响应于一身。感知方面,可以对整个网络环境中的资产、脆弱性、安全事件、威胁进行感知。由于企业的IT系统越来越庞杂,无名资产和僵尸资产的大量搁置引发了成本的上升和漏洞的积累。态势感知通过主动探测的方式可以很好识别各种类型的资产,实现未知资产识别和管理,同时发现资产配置的脆弱环节,为解决方案提供依据。
借助态势感知平台的日志数据、镜像数据等进行大数据分析可发现隐藏在海量数据中的网络异常行为,分析潜藏的高危攻击行为和未知威胁,获取更具价值的威胁情报。
态势感知类产品可简单分为两类:一类主要为满足行业监管需求,侧重整体的监控统计和形势的展示;另一类定位于企业类型客户的自身需求,他们通常需要提供威胁发现、事件的分析响应处置及告警效率等。
工业和制造业部署态势感知的必要性
在IT网络中,态势感知平台可以对威胁和攻击进行分析、定位危险终端、风险预测。在工控网络中,威胁感知平台也可以对设备进行安全管控并检查漏洞、探测资产,并且做好工业网络中的态势感知也是构建网络安全生态中的重要一环。
《关键信息基础设施安全保护条例》中提到过:为维护网络安全提供坚强后盾。数字时代,网络安全形势日趋严峻。强化创新发展研究,利用云计算、大数据、人工智能等新技术,提升关键信息基础设施网络安全能力,构建网络安全生态至关重要。此条例彰显了网络安全态势感知在整体网络安全防护体系中的重要作用,另一方面,全球范围频繁发生的网络攻击事件也使得广大企业级客户清晰认识到网络安全对企业数字转型的重要保障意义。
态势感知技术基本已趋于成熟,成为整个网络安全体系防卫屏障不可或缺的角色。由于现代工业或制造业中大量应用了IT网络及工业自动化控制网络,我们可以通过安全态势感知平台进行全方位的安全防护。在当今工业互联网高速发展的同时,应积极利用态势感知技术。
上图是某一态势感知平台的基本架构,包括采集层、核心处理层、操作展示层三大模块,基本思路是通过收集到的多源信息展示工业企业的安全状况,通过各种工作场景下的检测方式提高安全检测的范围和深度,通过威胁情报、资产信息、漏洞库等模块建设提升安全事件发现、定位及处置效率,通过内部系统对接和自动化响应等实现数字化流转及问题闭环,最终实现数据采集、操作处理、发现漏洞、解决问题。
齐安工业互联网威胁感知系统
齐安工业互联网威胁感知系统通过主动探测IP网络空间的方式,发现暴露在互联网中的物联网设备,同时获得其详细系统信息并分析安全隐患,是一套对物联网设备进行在线监测、威胁评级、态势分析以及预警的系统。可支持监管机关及企事业单位对工控系统、安防监控系统等重要信息基础设施进行安全检查与评估,提高安全威胁防护能力。
该系统既可用于厂站侧工控安全管理,又可用于集团统一分析工控安全态势。广泛应用于电力、石油石化、轨道交通、钢铁冶金、智能制造等各行业工业控制系统中。实现了工业网络安全态势觉察、跟踪和分析,为工业企业用户的安全运行提供一站式的管理和监控。
