李緒國，曹 瑜，王建興，趙 英

（1.中國航空油料集團(tuán)有限公司，北京 100088；2.衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，北京 100070）

0 引言

網(wǎng)絡(luò)安全態(tài)勢感知平臺作為網(wǎng)絡(luò)安全的實時守護(hù)者，是實現(xiàn)“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”的主要手段[1]。隨著國內(nèi)網(wǎng)絡(luò)安全形勢日漸嚴(yán)峻，企業(yè)紛紛建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺，但目前尚無統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢感知平臺國家標(biāo)準(zhǔn)。國內(nèi)安全廠商有專門針對信息技術(shù)（Information Technology，IT）系統(tǒng)開發(fā)的態(tài)勢感知平臺，也有專門針對工控技術(shù)（Operation Technology，OT）系統(tǒng)開發(fā)的態(tài)勢感知平臺。對于具有OT 系統(tǒng)的企業(yè)來說，通常分別建設(shè)IT 系統(tǒng)和OT 系統(tǒng)兩套網(wǎng)絡(luò)安全態(tài)勢感知平臺，容易造成企業(yè)重復(fù)投資建設(shè)，也不便于網(wǎng)絡(luò)安全統(tǒng)一協(xié)同管控。為解決此問題，本文提出一種IT與OT 網(wǎng)絡(luò)安全態(tài)勢感知平臺聯(lián)合開發(fā)技術(shù)，并在企業(yè)進(jìn)行應(yīng)用實踐。

1 問題及需求

在建設(shè)層面，網(wǎng)絡(luò)安全態(tài)勢感知平臺作為專業(yè)的網(wǎng)絡(luò)安全管控系統(tǒng)，要求操作和使用人員具備較高的專業(yè)知識和實踐經(jīng)驗?zāi)芰?。如果分別建設(shè)IT和OT 態(tài)勢感知平臺，企業(yè)需要配備兩個專業(yè)支撐團(tuán)隊，并分別進(jìn)行運行維護(hù)，同時需要分別建設(shè)兩套獨立的數(shù)據(jù)分析和顯示平臺，增加企業(yè)的建設(shè)資金投入，在監(jiān)測和運維方面均增加了工作量，不利于企業(yè)的統(tǒng)一管理和使用。

在安全層面，IT 系統(tǒng)和OT 系統(tǒng)都會結(jié)合威脅情報進(jìn)行數(shù)據(jù)分析，并對海量數(shù)據(jù)進(jìn)行挖掘，以實現(xiàn)對安全事件和威脅事件的深度識別。網(wǎng)絡(luò)威脅情報就網(wǎng)絡(luò)資產(chǎn)可能存在或出現(xiàn)的風(fēng)險、威脅，給出相關(guān)聯(lián)的環(huán)境、機(jī)制、指標(biāo)、內(nèi)涵及可付諸行動的建議[2]，可為企業(yè)響應(yīng)相關(guān)威脅或風(fēng)險提供決策幫助。IT 和OT 網(wǎng)絡(luò)威脅情報分別揭示了IT 網(wǎng)絡(luò)和OT 網(wǎng)絡(luò)可能面臨的威脅或危險。對于企業(yè)而言，IT 和OT 是企業(yè)的左右手，相輔相成。目前，IT 系統(tǒng)和OT 系統(tǒng)分別擁有自己的網(wǎng)絡(luò)威脅情報庫但無法共享，不能實現(xiàn)安全威脅的協(xié)同感知和統(tǒng)一處置。

在監(jiān)管層面，國家監(jiān)管部門需要統(tǒng)一監(jiān)控IT系統(tǒng)或OT 系統(tǒng)的網(wǎng)絡(luò)風(fēng)險，最終通過一套平臺采集數(shù)據(jù)。

綜上，對于企業(yè)而言，希望擁有IT 與OT 一體化網(wǎng)絡(luò)安全態(tài)勢感知平臺，并能實現(xiàn)以下功能：

（1）能夠使用一種探針采集所有數(shù)據(jù)；

（2）能夠統(tǒng)一對企業(yè)各種異常行為以及日志與告警等數(shù)據(jù)進(jìn)行審計，并形成完整記錄，以實現(xiàn)安全事件取證；

（3）能夠統(tǒng)一識別企業(yè)IT/OT 網(wǎng)絡(luò)中潛藏的攻擊者；

（4）能夠統(tǒng)一研判企業(yè)IT/OT 網(wǎng)絡(luò)中受害主機(jī)資產(chǎn)；

（5）能夠統(tǒng)一呈現(xiàn)企業(yè)IT 系統(tǒng)和OT 系統(tǒng)的綜合態(tài)勢、資產(chǎn)態(tài)勢、漏洞態(tài)勢以及威脅態(tài)勢等內(nèi)容；

（6）能夠?qū)λ袛?shù)據(jù)分析結(jié)果以圖形、圖表和報告等多種形式在統(tǒng)一的界面上進(jìn)行直觀展示；

（7）能夠把IT/OT 威脅情報庫與漏洞庫進(jìn)行統(tǒng)一管理，并支持統(tǒng)一更新；

（8）能夠兼顧國家部委網(wǎng)絡(luò)安全監(jiān)管需求，預(yù)留相關(guān)對接接口，統(tǒng)一上報數(shù)據(jù)并統(tǒng)一接收威脅情報。

2 聯(lián)合開發(fā)技術(shù)路線

2.1 通用技術(shù)架構(gòu)

綜合分析文獻(xiàn)[3-10]可以看出，不論IT 系統(tǒng)態(tài)勢感知平臺還是OT 系統(tǒng)態(tài)勢感知平臺，常用技術(shù)架構(gòu)均由數(shù)據(jù)采集層、數(shù)據(jù)處理與分析層以及展示層組成，如圖1 所示。

圖1 IT/OT 態(tài)勢感知平臺技術(shù)架構(gòu)

（1）數(shù)據(jù)采集層。通過流量探針采集網(wǎng)絡(luò)中的原始流量、監(jiān)測數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、終端行為、審計數(shù)據(jù)和元數(shù)據(jù)等各種信息，構(gòu)成態(tài)勢感知平臺的大數(shù)據(jù)源。IT 系統(tǒng)和OT 系統(tǒng)的區(qū)別在于采集源和側(cè)重點不同。其中，IT 系統(tǒng)主要采集通用網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及終端等數(shù)據(jù)，OT 系統(tǒng)主要采集現(xiàn)場工業(yè)控制設(shè)備、自動化設(shè)備、控制監(jiān)控系統(tǒng)以及終端等數(shù)據(jù)。

（2）數(shù)據(jù)處理與分析層。數(shù)據(jù)處理與分析層將匯聚到的數(shù)據(jù)進(jìn)行存儲、清洗以及分析處理。對于數(shù)據(jù)分析的技術(shù)和方法，IT 態(tài)勢感知和OT 態(tài)勢感知類同，都會采用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等技術(shù)，根據(jù)各自不同的特征向量和使用場景進(jìn)行訓(xùn)練，構(gòu)建專用規(guī)則模型，再結(jié)合各自威脅情報庫對數(shù)據(jù)進(jìn)行分析和研判。

（3）展示層。展示層主要以可視化方式呈現(xiàn)分析結(jié)果，并提供多種措施管理企業(yè)的資產(chǎn)、日志、告警以及漏洞等信息，協(xié)同處置高風(fēng)險行為。IT 系統(tǒng)和OT 系統(tǒng)展示層均有對系統(tǒng)資產(chǎn)、漏洞、威脅以及態(tài)勢等情況的展示，功能類同。

2.2 聯(lián)合開發(fā)技術(shù)路線

通過對IT 和OT 態(tài)勢感知平臺技術(shù)架構(gòu)的分析和研究可以看出，二者在技術(shù)架構(gòu)和功能上均有類同，只是各自實現(xiàn)方式不同。因此，本文提出把IT系統(tǒng)和OT 系統(tǒng)態(tài)勢感知平臺進(jìn)行技術(shù)融合，聯(lián)合開發(fā)統(tǒng)一的態(tài)勢感知平臺（以下簡稱“融合態(tài)勢感知平臺”）。根據(jù)態(tài)勢感知平臺技術(shù)架構(gòu)，聯(lián)合開發(fā)意味著在技術(shù)架構(gòu)的3 個層次上進(jìn)行融合。

對于數(shù)據(jù)采集層，需要開發(fā)一款采集探針，能夠同時采集IT 和OT 的數(shù)據(jù)。由于IT 與OT 部署的物理位置與數(shù)據(jù)采集內(nèi)容的側(cè)重點不同，即使技術(shù)融合后也需分開部署。再由于IT 和OT 系統(tǒng)內(nèi)使用協(xié)議和采集數(shù)據(jù)類型不同，數(shù)據(jù)結(jié)構(gòu)差異較大，需要統(tǒng)一數(shù)據(jù)結(jié)構(gòu)和標(biāo)準(zhǔn)后融合，難度較大。

對于數(shù)據(jù)分析層，IT 與OT 采用的技術(shù)類同，只是數(shù)據(jù)模型、規(guī)則和協(xié)議不同，可進(jìn)行數(shù)據(jù)融合分析。對于情報庫，可根據(jù)情報類型和屬性進(jìn)行分類，融合成統(tǒng)一的情報庫。

對于展示層，主要以可視化界面為主，可融合為統(tǒng)一的展示效果，較易融合。

可以看出，3 個層次融合的難度為采集層＞數(shù)據(jù)分析層＞展示層。本文基于聯(lián)合技術(shù)開發(fā)難度和投入成本等因素，提出階段式融合方式。

第一階段，實現(xiàn)最利于企業(yè)操作實踐的部分功能融合。將IT 和OT 兩套態(tài)勢感知平臺展示功能和部分?jǐn)?shù)據(jù)分析功能融合在一起，實現(xiàn)統(tǒng)一的分析和可視化展示效果，使企業(yè)能夠在融合的展示界面上看到整體風(fēng)險和威脅情況，并能進(jìn)行統(tǒng)一的協(xié)同處置。

第二階段，在部分功能融合的基礎(chǔ)上，對數(shù)據(jù)處理與分析層和采集層進(jìn)行深度融合，最后形成一套統(tǒng)一的平臺，實現(xiàn)IT 和OT 態(tài)勢感知平臺的全面功能融合。

2.2.1 部分功能融合

（1）技術(shù)路線。部分功能融合為保留兩個平臺各自獨立的數(shù)據(jù)采集層和數(shù)據(jù)分析層，在展示層面融合部分核心功能，在保持主題風(fēng)格、操作邏輯等可視化內(nèi)容統(tǒng)一的前提下整合技術(shù)架構(gòu)，把IT與OT 各自的特色功能統(tǒng)一展示。在數(shù)據(jù)與功能層面，融合IT 和OT 數(shù)據(jù)分析功能及分析結(jié)果，并對分析結(jié)果結(jié)合IT 和OT 大環(huán)境再次進(jìn)行關(guān)聯(lián)分析和深度挖掘，能夠?qū)魵淸11]的7 個步驟進(jìn)行更深層次探測，精準(zhǔn)識別風(fēng)險。在系統(tǒng)運行層面仍為兩個獨立運行的平臺，不融合情報庫和采集探針。技術(shù)融合部分如圖2 中粗線框圖所示。

圖2 部分功能融合技術(shù)路線

（2）實現(xiàn)方式。繼承IT 和OT 系統(tǒng)已有的態(tài)勢感知產(chǎn)品的技術(shù)和功能，進(jìn)行IT 和OT 態(tài)勢感知呈現(xiàn)和展示功能的統(tǒng)一化設(shè)計，分兩步實現(xiàn)。

第1 步：以其中一個態(tài)勢感知平臺的前端業(yè)務(wù)處理為基礎(chǔ)，在繼承和沿用IT 和OT 態(tài)勢感知平臺的主要功能和模型算法的基礎(chǔ)上，通過實現(xiàn)統(tǒng)一的數(shù)據(jù)交互接口和統(tǒng)一的用戶認(rèn)證授權(quán)接口，實現(xiàn)兩個態(tài)勢感知分析數(shù)據(jù)和前端業(yè)務(wù)的融合。此步的關(guān)鍵點在于把IT 和OT 各自的安全分析結(jié)果數(shù)據(jù)通過關(guān)聯(lián)分析模型，從攻擊鏈、攻擊源以及時間關(guān)聯(lián)性等角度進(jìn)行二次分析，為最終的綜合態(tài)勢提供數(shù)據(jù)支撐。同時，為了使IT 和OT 兩個平臺結(jié)合為一個有機(jī)的整體，需要把前端頁面整合在同一個前端框架中，而后端的數(shù)據(jù)分布在兩個分析平臺上。所以，需要進(jìn)行統(tǒng)一數(shù)據(jù)交互接口、統(tǒng)一用戶認(rèn)證授權(quán)接口等融合性開發(fā)，以實現(xiàn)數(shù)據(jù)分析功能分布式部署、前端管理呈現(xiàn)高度集成的效果。

第2 步：把IT 和OT 的分析結(jié)果統(tǒng)一匯總并進(jìn)行關(guān)聯(lián)分析后，在統(tǒng)一設(shè)計的界面上呈現(xiàn)IT 和OT融合的態(tài)勢分析效果。

（3）實現(xiàn)功能。第一，能夠統(tǒng)一識別企業(yè)IT和OT 網(wǎng)絡(luò)中潛藏的攻擊者；第二，能夠統(tǒng)一研判企業(yè)IT 和OT 網(wǎng)絡(luò)中受害主機(jī)資產(chǎn)；第三，能夠統(tǒng)一對企業(yè)各種異常行為、日志與告警數(shù)據(jù)進(jìn)行審計，形成完整記錄，實現(xiàn)安全事件取證；第四，能夠統(tǒng)一呈現(xiàn)企業(yè)IT 系統(tǒng)和OT 系統(tǒng)綜合態(tài)勢、資產(chǎn)態(tài)勢、漏洞態(tài)勢以及威脅態(tài)勢等內(nèi)容；第五，能夠?qū)λ袛?shù)據(jù)分析結(jié)果以直觀的圖形、圖表和報告等多種形式呈現(xiàn)在統(tǒng)一的界面上。

2.2.2 全面功能融合

（1）技術(shù)路線。在部分功能融合的基礎(chǔ)上，實現(xiàn)IT 和OT 兩個態(tài)勢感知平臺系統(tǒng)層、數(shù)據(jù)處理層、采集層以及威脅情報庫的全面融合。以任一方態(tài)勢感知平臺系統(tǒng)層為基準(zhǔn)，重新開發(fā)另一方態(tài)勢感知平臺系統(tǒng)層并進(jìn)一步全面對接，最終形成統(tǒng)一的平臺。優(yōu)先把平臺系統(tǒng)層和數(shù)據(jù)分析層進(jìn)行融合，再把采集探針和情報庫進(jìn)行融合。融合部分如圖3中粗線框圖所示。

圖3 全面功能融合技術(shù)路線

（2）實現(xiàn)方式。采用共用平臺和共用技術(shù)架構(gòu)統(tǒng)一IT 和OT 態(tài)勢感知的技術(shù)平臺、數(shù)據(jù)采集器、數(shù)據(jù)采集和存儲架構(gòu)、數(shù)據(jù)分析引擎、情報庫和業(yè)務(wù)邏輯。分3 步實現(xiàn)全面融合。

第1 步：開發(fā)一款采集探針，既能采集IT 數(shù)據(jù)又能采集OT 數(shù)據(jù)，完成數(shù)據(jù)采集分析功能和數(shù)據(jù)格式的統(tǒng)一。此步的關(guān)鍵點在于研究分析IT 和OT 數(shù)據(jù)在資產(chǎn)、事件、漏洞以及告警等方面的共性與特性，設(shè)計一套兼容IT 和OT 數(shù)據(jù)的數(shù)據(jù)標(biāo)準(zhǔn)，定義統(tǒng)一的數(shù)據(jù)格式，并依此標(biāo)準(zhǔn)開發(fā)IT 和OT 數(shù)據(jù)采集探針，對采集的數(shù)據(jù)進(jìn)行統(tǒng)一清洗、入庫。

第2 步：以IT 或OT 一方平臺為基礎(chǔ)，在其上完成另一方特性功能模塊開發(fā)與數(shù)據(jù)融合。例如，以O(shè)T 態(tài)勢感知平臺為基礎(chǔ)作為融合平臺，在其上增加如IT 網(wǎng)處置機(jī)制、監(jiān)管機(jī)構(gòu)對接接口以及IT網(wǎng)智能檢測等功能，并進(jìn)行適應(yīng)性研發(fā)。

第3 步：完成兩套情報庫的融合。分析IT 和OT 兩套情報庫的情報類別、條目以及數(shù)據(jù)結(jié)構(gòu)等內(nèi)容，設(shè)計一套兼容IT 和OT 情報的數(shù)據(jù)結(jié)構(gòu)，對兩套情報庫的數(shù)據(jù)根據(jù)統(tǒng)一的數(shù)據(jù)結(jié)構(gòu)進(jìn)行格式轉(zhuǎn)換，并進(jìn)行統(tǒng)一的存儲和發(fā)布，形成一套情報庫。

（3）實現(xiàn)功能。在部分功能融合開發(fā)實現(xiàn)功能的基礎(chǔ)上，增加下列功能：能夠使用一種探針采集所有數(shù)據(jù)；能夠?qū)T 和OT 威脅情報庫與漏洞庫進(jìn)行統(tǒng)一管理，并支持統(tǒng)一更新；能夠兼顧國家部委網(wǎng)絡(luò)安全監(jiān)管需求，預(yù)留相關(guān)對接接口，統(tǒng)一上報數(shù)據(jù)并統(tǒng)一接收威脅情報。

3 應(yīng)用實踐

本文設(shè)計的IT 與OT 網(wǎng)絡(luò)安全態(tài)勢感知平臺聯(lián)合開發(fā)技術(shù)已在中國航空油料集團(tuán)有限公司成功進(jìn)行建設(shè)實踐。前期先進(jìn)行部分功能融合，最終采用全面融合方式實現(xiàn)該企業(yè)管理信息系統(tǒng)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知平臺的全面功能融合，形成了統(tǒng)一高效的網(wǎng)絡(luò)安全通報預(yù)警和協(xié)同響應(yīng)工作機(jī)制。

采用部分功能融合形式，在該企業(yè)使用一套統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢感知界面對管理信息系統(tǒng)和工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全威脅情況進(jìn)行統(tǒng)一的分析和處置，呈現(xiàn)效果如圖4 所示。

圖4 中國航油融合態(tài)勢感知平臺應(yīng)用效果

應(yīng)用融合態(tài)勢感知平臺后，整合中國航油現(xiàn)網(wǎng)存量網(wǎng)絡(luò)安全資源，使“安全防御孤島”產(chǎn)生協(xié)同效應(yīng)，建立了管理信息系統(tǒng)和工業(yè)控制系統(tǒng)綜合的大數(shù)據(jù)處理、威脅研判、應(yīng)急響應(yīng)、信息共享以及協(xié)同工作機(jī)制。

4 技術(shù)創(chuàng)新性

（1）采用多元數(shù)據(jù)采集技術(shù)，統(tǒng)一IT 系統(tǒng)與OT 系統(tǒng)數(shù)據(jù)標(biāo)準(zhǔn)，為關(guān)聯(lián)分析提供泛化的數(shù)據(jù)源；

（2）構(gòu)建IT 系統(tǒng)和OT 系統(tǒng)關(guān)聯(lián)分析的數(shù)據(jù)模型和綜合研判檢測規(guī)則，兼顧IT 系統(tǒng)和OT 系統(tǒng)的攻擊特征，能夠更深層次地探測攻擊殺傷鏈的7個步驟，更精準(zhǔn)地識別企業(yè)網(wǎng)絡(luò)中存在的安全風(fēng)險和威脅；

（3）實現(xiàn)IT 系統(tǒng)與OT 系統(tǒng)情報庫的統(tǒng)一分類和融合；

（4）實現(xiàn)IT 系統(tǒng)和OT 系統(tǒng)一體化網(wǎng)絡(luò)安全風(fēng)險管控。

5 結(jié)語

本文提出的IT 與OT 網(wǎng)絡(luò)安全態(tài)勢感知平臺聯(lián)合開發(fā)技術(shù)，借助統(tǒng)一的態(tài)勢感知平臺實現(xiàn)企業(yè)辦公網(wǎng)安全和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的關(guān)聯(lián)分析和綜合態(tài)勢感知呈現(xiàn)，建立形成覆蓋企業(yè)信息系統(tǒng)和工控系統(tǒng)的“感知—預(yù)警—評估—處置”閉環(huán)管控機(jī)制，有力提升了企業(yè)的網(wǎng)絡(luò)安全整體防御能力。