安全態勢感知收集匯總日志、告警、流量等多個數據源的信息，通過大數據關聯分析，反映系統整體運行現狀和未來趨勢，可以理解是整個系統的大腦，對各種信息進行收集、加工、分析，為使用者提供決策參考。

圖1 工業態勢產品功能框架

工業態勢感知產品，從分析對象、分析方法、安全策略等方面與傳統IT系統態勢感知都有差別。工業系統由于溫度、濕度、震動、腐蝕性或者專有行業的專門的標準規范等要求，導致工業安全產品在硬件選型、通信協議、網絡部署、漏洞處理、安全策略等方面與傳統IT產品都有較大差異，傳統態勢感知產品不具備工業級硬件要求，不支持工業協議，不能識別工業資產和漏洞，所以工業安全領域中，需要使用工業態勢感知產品對工業系統進行安全監控和趨勢分析，為了便于理解，我們對IT領域和工業領域的安全態勢產品的差異進行了具體的對比分析。

數據是傳統IT系統的核心，例如政府、金融、互聯網電商的數據非常重要，系統安全建設主要圍繞著數據的產生、傳輸、存儲、備份、訪問利用的方向開展；常見的需要監控的資產通常是服務器、網絡設備、存儲設備。

圖2 常見IT資產和工控資產舉例

工控資產的發現通常使用無損掃描和被動發現的方式，通?；诹髁揩@取到資產的大致信息，再結合資產指紋庫，詳細匹配資產的廠商、型號、版本信息。由于市面上的工控設備廠商多，產品型號多，工業協議多，據統計，市面上的工控設備廠家達100+，產品型號500+、工業協議40+，導致工業資產的識別難度要遠超過IT系統，通常的IT態勢感知產品幾乎無法準確識別工控資產，通常建議使用工業態勢感知產品。

態勢感知產品需要使用探針進行數據采集，工業系統的運行環境比IT機房環境要復雜的多。例如工業產品需要滿足工業級寬溫要求，要求設備在在-40～70℃的范圍內可以正常運行，而且普通的IT設備機房的溫度一般工作在20℃左右；很多工業生產車間粉塵較重，要求設備滿足全密封無風扇要求；某些車間廠區沒有機架安裝環境，需要安全設備可以使用導軌安裝方式等各種特殊工業要求。

圖3 各種類型的工業環境

工業系統中的探針需要滿足工業環境要求，《GB/T 2423 環境試驗要求》和《GB/T 17626 電磁干擾》對工業領域應用的電子產品的溫度、濕度、抗震、跌落、防水、防塵、防腐蝕性、抗霉變、抗電磁干擾等運行環境都提出了要求。

Bypass在流量探針中普遍使用，當探針設備故障時，流量可以通過bypass透明傳輸，看似完美的設計，在工業領域里卻引起過嚴重的故障，某安全設備廠商的流量探針使用了bypass，在設備未上電的時候，旁路部署模式下bypass處于連通狀態，造成兩臺機組DCS網絡直接連通，導致兩臺機組跳機，嚴重影響了生產活動。

傳統漏洞掃描原理是模擬黑客的攻擊行為，向設備發送特定的漏洞利用報文，具有一定的攻擊性，極易導致工業主機和控制設備不穩定，所以工業領域的漏洞發現探針只允許采集信息，不能向工控領域發攻擊性的驗證報文，僅允許發送少量的無損報文。

圖4 數據采集探針對主機影響舉例

如下圖所示，IT系統內部通常是網絡可達的，數據采集比較簡單，應用系統可以直接發送數據給Server端，或者統一發送給探針；工業系統不同應用間通常是不通的，工業應用除了數據采集，通常不對外發送數據，需要單獨部署探針，同時探針數據上傳需要穿越網絡隔離裝置（網閘或防火墻）。

圖5 IT系統和工業系統數據采集示意圖

安全分析需要建立在通信語義的理解基礎上，需要識別系統通信協議和具體指令。IT網絡通信普遍基于TCP/IP標準通信協議，網絡中的流量基本HTTP\HTTPS\P2P\FTP\SMTP\VOIP\IMS\STP\H.263\TELNET\SSH\等傳統通信協議，基于這些通用協議，只能獲得上網行為、用戶畫像等與工業生產無關的互聯網用戶數據。

這些在工業網絡通常是禁止使用的，工業協議通常與生產加工制造相關，每條協議報文都跟生產控制關聯，對協議的理解能力，決定了態勢感知產品對系統工藝的理解能力，只有理解了工藝指令，才能及時發現對工藝有破壞影響的指令動作，在協議指令、功能碼、下發數據范圍多方面進行保護，能夠防止誤操作或者惡意篡改對工業產生的影響。

由于工控廠商很多，每個廠家的使用各自的通信協議，導致工業協議種類非常多，已經存在500多種工業協議，常見的包括Modbus、IEC104、OPC這類通用工業協議，還包括如西門子公司的S7協議、Tridium公司的Fox協議、菲尼克斯電氣公司的PCWorx，Vxworks公司的WDBRPC協議，歐姆龍的FINS協議等。通過對工業流量的分析收集，建立流量模型和流量基線，以基線出發，可以實現異常流量、異常行為檢測、異常指令檢測。

圖6 IT網絡和工業網絡常見協議舉例

隨著兩化融合的大趨勢，工業系統的網絡環境發生了變化，早期的封閉的工業網絡邊界逐漸模糊，由于工控設備設計之初考慮的主要是功能、性能、實時性這些要求，安全因素考慮的較少，導致存在大量的安全漏洞，CNVD收錄的工控設備漏洞每年呈現快速增長，截止目前已經達到2000多個，很多攻擊行為都是利用了工控系統的漏洞，執行惡意代碼，由于各類工業安全事件的頻繁發生，工業用戶開始關注自己系統中的安全漏洞。

傳統漏洞探針多數使用IP掃描和端口掃描對系統所有資產進行多次掃描，并對端口進行反復的漏洞利用嘗試，最終確定系統中的漏洞，這種方式往往需要向網絡中發送較多的報文，有可能導致被掃描系統運行不穩定。工業系統中，明確要求禁止大范圍的頻繁發送報文，所以工業系統的漏洞探針通常需要使用被動發現和無損掃描結合，同時結合指紋庫、漏洞庫信息，確定系統中的漏洞，漏洞發現過程中可以不發送報文，或者發送少量的無損探測報文，完全不會對工業網絡造成影響。

通過綜合整合分析漏洞所屬資產的軟硬件配置、運行的應用、上報的日志告警、日?；€、網絡流量、網絡邊界防火墻或網閘、本機防毒和殺毒軟件運行情況等影響因素，綜合評估和監控漏洞的影響面。同時將感知到的風險和威脅同步給防火墻、主機設備等安全產品，通過增加或安全策略的方式，規避漏洞，相當于間接給系統打了補丁，業界也稱為虛擬補丁。

IT系統面臨的攻擊主要集中在應用服務和數據方面，攻擊者利用僵尸網絡大量的向服務器發送請求，逐漸耗盡服務器資源，最終導致不能提供服務；另外，數據篡改也是較為常見，攻擊者通過利用操作系統、中間件、應用程序的漏洞，入侵服務器，對數據進行修改、刪除、竊取操作；例如針對數據庫服務的暴力破解、特權提升、漏洞利用、數據竊??；針對WEB服務的目錄遍歷、SQL注入、XSS跨站、木馬上傳等。

如下圖所示，工業態勢感知產品通過關聯分析安全設備、流量、日志、告警、白名單等多重數據源信息，建立流量模型、操作模型、網絡模型、工藝模型、行為模型，通過套用分析模型提高威脅判定準確率。

圖7 工業態勢感知威脅分析過程示意圖

工業生產網通常不對外提供服務，也不允許安裝與工藝無關的應用，很多IT系統中的威脅場景在生產網絡中并不存在；控制指令很多需要操作員手動下發，誤操作再所難免；工業態勢產品通過關聯分析網絡流量和工藝指令，建立誤操作操作模型，并同步給防火墻，當誤操作發生時，防火墻能夠攔截到此次操作，從而避免錯誤的發生。

工業主機通常不允許連接外界網絡，同時企業信息網也不允許跨區訪問工業生產網，工業生產網中的主機和通信模型是確定的，通過對網絡流量的學習，建立合法的連接模型，并將連接模型同步給主機衛士軟件，當主機嘗試連接模型之外的設備時，及時上報告警或阻斷。

流量探針解析并學習系統中的工藝指令，建立工藝指令模型，并將模型同步給防火墻，破壞性或錯誤指令下發時，通過防火墻進行攔截。

IT系統的安全建設從系統早期建設就已經開始了，各種安全防護能力多數已經具備，缺少的是對各單點設備數據收集匯總分析，形象點就是缺一個分析大腦。

工業安全系統建設較晚，很多安全建設都是伴隨著等保合規逐步開展的，態勢感知產品的建設過程本身就是等保2.0中的安全管理中心的重要組成部分，不單純是為了某個應用或某個項目定制的大屏展示型產品，相比于大腦型態勢感知產品，工業態勢感知產品，更像是一個管家，對系統中資產和應用進行配置核查、合規評估，確保系統安全建設符合各類標準要求。

表1 IT系統和工業系統態勢感知建設思路對比

表1對IT系統和工業系統態勢感知建設思路做了簡單對比，工業安全項目建設開始時就建議規劃出流量探針、軟件探針的數量和部署位置，例如流量探針與流量審計產品可以復用，軟件探針可以與主機衛士類產品復用，建議系統建設初期就把態勢感知產品與安全合規建設放在一起考慮，同步進行，一方面節約成本，另一方面，各系統接口兼容性更好；產品選型上盡量選擇專業的工業態勢感知產品，便于更能適應工業環境和應用場景。 

原文來源：威努特工控安全 ，作者：產品與解決方案部