摘要：網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)在采集多維度、多層次數(shù)據(jù)的基礎(chǔ)上，通過(guò)對(duì)安全信息分類(lèi)、歸并、建立數(shù)據(jù)模型、分析等手段進(jìn)行融合、分析，得到網(wǎng)絡(luò)的整體安全狀況及其應(yīng)對(duì)措施，并對(duì)網(wǎng)絡(luò)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，從而為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全提供可靠的數(shù)據(jù)參考和決策支持。本文在分析工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)建設(shè)必要性的基礎(chǔ)上，進(jìn)一步闡釋了態(tài)勢(shì)感知平臺(tái)的技術(shù)架構(gòu)及主要功能模塊，并探討了工控系統(tǒng)的態(tài)勢(shì)感知平臺(tái)的建設(shè)思路。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；態(tài)勢(shì)感知

Abstract: On the basis of collecting multi-dimensional and multi-level data, network security situational awareness technology fuses and analyses security information by means of classification, merging, establishing data model and analysis, and obtains the overall security situation of the network and its countermeasures, and forecasts the development trend of network security situation. The development trend of network security status is predicted to provide reliable data reference and decision support for industrial control system network security. Based on the analysis of the

necessity of the construction of industrial Internet security situational awareness platform, this paper further explains the technical framework and main functional modules of the situational awareness platform, and discusses the construction ideas of the situational awareness platform of industrial control system.

Key words: Industrial control system; Network security; Situation awareness

1　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

2015年以來(lái)，每年發(fā)生的工業(yè)信息安全事件接近300起。暴露的安全漏洞和過(guò)去相比大幅度增加。2017年，國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)發(fā)現(xiàn)和處理研判的工控安全漏洞達(dá)到380個(gè)，與2016年相比呈現(xiàn)躍升的趨勢(shì)。在這些漏洞中，接近兩成都屬于高危漏洞，對(duì)重要工業(yè)控制系統(tǒng)造成了極大威脅，如圖1所示。

圖1 工控系統(tǒng)行業(yè)漏洞危險(xiǎn)等級(jí)餅狀圖

2018年工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)20個(gè)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)開(kāi)展安全評(píng)估，發(fā)現(xiàn)安全風(fēng)險(xiǎn)2200余處。經(jīng)摸底，企業(yè)主要面臨兩類(lèi)安全風(fēng)險(xiǎn)：一是企業(yè)存在風(fēng)險(xiǎn)對(duì)象公網(wǎng)違規(guī)暴露。二是內(nèi)外網(wǎng)系統(tǒng)存在大量安全隱患，軟硬件安全漏洞、弱口令等情況普遍存在。三是企業(yè)對(duì)安全事件監(jiān)測(cè)防范能力較弱，后門(mén)、蠕蟲(chóng)等影響企業(yè)網(wǎng)絡(luò)安全事件長(zhǎng)期潛伏，行業(yè)整體安全形勢(shì)嚴(yán)峻，安全監(jiān)管需求日益迫切[1]。

2　網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知對(duì)影響工控網(wǎng)絡(luò)安全的諸多要素進(jìn)行獲取、理解、評(píng)估以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)，成為下一代安全技術(shù)的焦點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是對(duì)網(wǎng)絡(luò)安全性定量分析的一種手段，是對(duì)網(wǎng)絡(luò)安全性的精細(xì)度量。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)主要是通過(guò)提取網(wǎng)絡(luò)安全態(tài)勢(shì)分析指標(biāo)體系，建立基于復(fù)雜網(wǎng)絡(luò)行為模型與模擬的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)分析與預(yù)測(cè)體系，進(jìn)而得出量化的或定性的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果并通過(guò)對(duì)歷史態(tài)勢(shì)的分析、建模，對(duì)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)演化進(jìn)行預(yù)測(cè)，以便網(wǎng)絡(luò)安全管理人員對(duì)網(wǎng)絡(luò)內(nèi)的安全要素、安全設(shè)備、信息系統(tǒng)進(jìn)行合理的調(diào)整、升級(jí)，應(yīng)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化。網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)主要包括安全設(shè)備信息提取、數(shù)據(jù)預(yù)處理、數(shù)據(jù)存儲(chǔ)與索引、態(tài)勢(shì)數(shù)據(jù)建模與分析、數(shù)據(jù)理解與可視化五個(gè)層次，其技術(shù)架構(gòu)如圖2所示。

圖2 工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)

2.1　安全設(shè)備信息提取

工業(yè)數(shù)據(jù)采集通過(guò)各類(lèi)通信手段接入不同設(shè)備、系統(tǒng)和產(chǎn)品，采集大范圍、深層次的工業(yè)數(shù)據(jù)，以及異構(gòu)數(shù)據(jù)的協(xié)議轉(zhuǎn)換與邊緣處理，構(gòu)建工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的數(shù)據(jù)基礎(chǔ)。南京中新賽克科技有限責(zé)任公司自主研發(fā)的工業(yè)數(shù)據(jù)采集探針集成強(qiáng)大的工業(yè)協(xié)議分析引擎，可以識(shí)別OPC、Modbus、S7、Ethernet/IP(CIP)、IEC104、MMS、DNP3等多種工業(yè)協(xié)議，并對(duì)協(xié)議進(jìn)行深度解析，支持對(duì)包括終端行為、原始流量、審計(jì)數(shù)據(jù)、監(jiān)測(cè)數(shù)據(jù)、威脅告警數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)和元數(shù)據(jù)等各種信息的數(shù)據(jù)采集，并支持以syslog、SNMP、tlv、Json等多種格式輸出至平臺(tái)。

2.2　數(shù)據(jù)預(yù)處理

由于采集的原始數(shù)據(jù)來(lái)源多樣化，其數(shù)據(jù)格式、內(nèi)容、質(zhì)量千差萬(wàn)別，存儲(chǔ)形式、表達(dá)的語(yǔ)義也不同，同時(shí)，這些數(shù)據(jù)中還存在著大量的不完整、不一致，甚至重復(fù)、錯(cuò)誤或異常的數(shù)據(jù)，如果不對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，就會(huì)嚴(yán)重影響到后續(xù)數(shù)據(jù)的分析和挖掘，以及分析的準(zhǔn)確性。因此，在態(tài)勢(shì)分析之前，需要對(duì)采集的數(shù)據(jù)進(jìn)行規(guī)格化、統(tǒng)一化的預(yù)處理，以改進(jìn)數(shù)據(jù)質(zhì)量，提高數(shù)據(jù)分析的效率、質(zhì)量和準(zhǔn)確性。數(shù)據(jù)預(yù)處理采用必要的數(shù)據(jù)清理算法，將異構(gòu)的數(shù)據(jù)整理成易處理的結(jié)構(gòu)化數(shù)據(jù)，通過(guò)聚類(lèi)分析等算法壓縮報(bào)警記錄、消除冗余，對(duì)原始數(shù)據(jù)進(jìn)行重新審核、篩選和排序，形成準(zhǔn)確、基礎(chǔ)的數(shù)據(jù)關(guān)系圖譜[2]。

2.3　數(shù)據(jù)存儲(chǔ)與索引

數(shù)據(jù)存儲(chǔ)與索引實(shí)現(xiàn)探測(cè)數(shù)據(jù)、監(jiān)測(cè)數(shù)據(jù)及知識(shí)庫(kù)資源的數(shù)據(jù)匯聚、存儲(chǔ)及索引功能，提供開(kāi)放接口供數(shù)據(jù)建模層進(jìn)行數(shù)據(jù)獲取。知識(shí)庫(kù)作為工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的核心模塊，應(yīng)該主要包含工業(yè)設(shè)備（如各品牌PLC、RTU、IED等）指紋庫(kù)、工業(yè)惡意行為指紋庫(kù)（比如，支持SiemensS7、Modbus、Bacnet、Ethernet/IP等協(xié)議）、工業(yè)惡意組織指紋庫(kù)、工業(yè)網(wǎng)絡(luò)漏洞庫(kù)等專(zhuān)業(yè)知識(shí)庫(kù)。

2.4　態(tài)勢(shì)數(shù)據(jù)建模與分析

將預(yù)處理之后的數(shù)據(jù)與知識(shí)庫(kù)進(jìn)行關(guān)聯(lián)分析，把具有一定相關(guān)性，反映某些安全信息的數(shù)據(jù)提取出來(lái)進(jìn)行建模，結(jié)合機(jī)器學(xué)習(xí)算法深入分析工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)信息、工控資產(chǎn)信息、攻擊事件和攻擊源頭信息，進(jìn)行威脅態(tài)勢(shì)展示和數(shù)據(jù)關(guān)聯(lián)挖掘。

在全面獲取網(wǎng)絡(luò)威脅相關(guān)狀態(tài)數(shù)據(jù)的前提下，設(shè)定不同的場(chǎng)景和條件，根據(jù)網(wǎng)絡(luò)安全的歷史和當(dāng)前狀態(tài)信息，建立符合網(wǎng)絡(luò)及業(yè)務(wù)場(chǎng)景的分析模型，并基于網(wǎng)絡(luò)威脅結(jié)合資產(chǎn)脆弱性來(lái)進(jìn)行態(tài)勢(shì)預(yù)測(cè)[3]，能夠更好地反映網(wǎng)絡(luò)安全在未來(lái)一段時(shí)間內(nèi)的發(fā)展趨勢(shì)。

2.5　數(shù)據(jù)理解與可視化

網(wǎng)絡(luò)安全態(tài)勢(shì)感知與可視化技術(shù)的結(jié)合，將網(wǎng)絡(luò)中蘊(yùn)涵的態(tài)勢(shì)狀況通過(guò)可視化圖形方式展示給用戶(hù)，并借助于人在圖形圖像方面強(qiáng)大的處理能力，實(shí)現(xiàn)對(duì)標(biāo)識(shí)態(tài)勢(shì)、攻擊源、攻擊事件和工控資產(chǎn)的態(tài)勢(shì)進(jìn)行可視化展示，并通過(guò)可視化界面進(jìn)行數(shù)據(jù)關(guān)聯(lián)查詢(xún)。

3　網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)主要能力

3.1　資產(chǎn)發(fā)現(xiàn)與管理

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)內(nèi)置豐富的資產(chǎn)指紋庫(kù)，通過(guò)指紋比對(duì)等方式可以自動(dòng)識(shí)別網(wǎng)絡(luò)中的IT與OT資產(chǎn)信息，并可將被監(jiān)測(cè)的工業(yè)企業(yè)的網(wǎng)絡(luò)拓?fù)湓陧?yè)面上動(dòng)態(tài)呈現(xiàn)。支持IP自動(dòng)發(fā)現(xiàn)、指紋自動(dòng)識(shí)別和數(shù)據(jù)同步的方式在系統(tǒng)數(shù)據(jù)庫(kù)中錄入資產(chǎn)信息，實(shí)現(xiàn)對(duì)資產(chǎn)流量監(jiān)視、端口狀態(tài)統(tǒng)計(jì)、協(xié)議狀態(tài)統(tǒng)計(jì)、資產(chǎn)活躍狀態(tài)監(jiān)視、資產(chǎn)訪問(wèn)行為監(jiān)視等管理方式，并隨時(shí)對(duì)資產(chǎn)可能出現(xiàn)的變更或退網(wǎng)方式及時(shí)響應(yīng)。能夠識(shí)別的資產(chǎn)種類(lèi)包括但不限于工業(yè)互聯(lián)網(wǎng)平臺(tái)、聯(lián)網(wǎng)設(shè)備及系統(tǒng)、工業(yè)APP、工業(yè)數(shù)據(jù)等。

3.2　工業(yè)網(wǎng)絡(luò)入侵檢測(cè)

工業(yè)控制系統(tǒng)屬于生產(chǎn)運(yùn)行系統(tǒng)，其現(xiàn)場(chǎng)控制層具有較高的實(shí)時(shí)性和可用性需求，因此需要?jiǎng)討B(tài)信息安全防護(hù)結(jié)構(gòu)。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)內(nèi)置工業(yè)網(wǎng)絡(luò)入侵檢測(cè)模塊，針對(duì)采集數(shù)據(jù)進(jìn)行入侵檢測(cè)分析，并及時(shí)告警。入侵反應(yīng)根據(jù)實(shí)時(shí)入侵檢測(cè)所感知的系統(tǒng)攻擊警報(bào)和異常警報(bào)，評(píng)估系統(tǒng)安全態(tài)勢(shì)，及時(shí)的做出并實(shí)施最優(yōu)安全策略，以緩解入侵攻擊的影響。

入侵反應(yīng)包括安全策略決策和策略執(zhí)行兩個(gè)部分。前者根據(jù)檢測(cè)的警報(bào)，綜合工業(yè)控制系統(tǒng)的多方面約束和目標(biāo)，制定最優(yōu)安全策略；后者協(xié)調(diào)制定的信息安全策略和可能的功能安全策略，并制定具體的實(shí)施方案。在安全策略決策過(guò)程，評(píng)估入侵攻擊的危害性對(duì)于制定最優(yōu)策略具有重要參考。如果系統(tǒng)的入侵反應(yīng)成本超過(guò)信息攻擊所造成的損失，則要慎重考慮是否需要采取反應(yīng)措施，以防出現(xiàn)過(guò)度反應(yīng)。

3.3　僵木蠕態(tài)勢(shì)感知

僵尸網(wǎng)絡(luò)、木馬、蠕蟲(chóng)病毒三者合稱(chēng)“僵木蠕”。僵木蠕對(duì)互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)危害非常巨大。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)針對(duì)僵木蠕的傳播特點(diǎn)，對(duì)網(wǎng)絡(luò)上傳播的僵木蠕進(jìn)行識(shí)別，并追蹤溯源僵木蠕的傳播路徑、控制命令路徑，最終追蹤溯源發(fā)現(xiàn)命令控制服務(wù)器。通過(guò)發(fā)現(xiàn)的命令控制服務(wù)器，再反查受控主機(jī)，最終實(shí)現(xiàn)對(duì)僵木蠕網(wǎng)絡(luò)態(tài)勢(shì)的感知，為后續(xù)采取行動(dòng)打擊僵木蠕創(chuàng)造條件。

3.4　工業(yè)控制系統(tǒng)漏洞掃描

漏洞掃描主要包括兩個(gè)方面的能力：傳統(tǒng)網(wǎng)絡(luò)的漏洞掃描及工控系統(tǒng)漏洞掃描。系統(tǒng)支持同時(shí)對(duì)傳統(tǒng)網(wǎng)絡(luò)和工控網(wǎng)絡(luò)進(jìn)行漏洞掃描，其中在傳統(tǒng)網(wǎng)絡(luò)掃描方面支持對(duì)操作系統(tǒng)（LINUX，WINDOWS，MACOS）進(jìn)行漏洞掃描，包括系統(tǒng)漏洞掃描和配置檢查，支持對(duì)通用應(yīng)用軟件進(jìn)行漏洞掃描，包括常用的HTTP服務(wù)、FTP服務(wù)、TELNET服務(wù)、郵件服務(wù)等進(jìn)行漏洞掃描，支持對(duì)業(yè)界主流的數(shù)據(jù)庫(kù)掃描，包括Oracle、MSsql、Mysql、DB2、Sybase、達(dá)夢(mèng)等，能夠?qū)θ蹩诹顧z測(cè)、配置風(fēng)險(xiǎn)、賬號(hào)風(fēng)險(xiǎn)等進(jìn)行檢測(cè)。

在工業(yè)控制系統(tǒng)中，無(wú)論是一次系統(tǒng)還是二次系統(tǒng)，以及間隔層還是過(guò)程層，業(yè)務(wù)的連續(xù)性、健康性是至關(guān)重要的，尤其對(duì)石化、電力、交通、核工業(yè)、水利等行業(yè)的核心監(jiān)控、生產(chǎn)系統(tǒng)。工控漏洞掃描模塊實(shí)現(xiàn)了針對(duì)SCADA、現(xiàn)場(chǎng)總線、數(shù)字化設(shè)計(jì)制造軟件的漏洞掃描，實(shí)現(xiàn)了針對(duì)Schneider、Siemens、VxWorks等DCS控制器嵌入式軟件（包括PLC等）的漏洞掃描，具備了發(fā)現(xiàn)漏洞、評(píng)估漏洞、展示漏洞、跟蹤漏洞等完備的漏洞管理能力。

3.5　安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)估

在安全事件預(yù)處理后，需要將安全事件進(jìn)行綜合的關(guān)聯(lián)分析，考慮到整體網(wǎng)絡(luò)攻擊的危害程度和區(qū)域安全防護(hù)能力，并將得到的結(jié)果以可視化的方式直觀地顯示出來(lái)。事件關(guān)聯(lián)技術(shù)一般采用決策樹(shù)、貝葉斯網(wǎng)絡(luò)等方法。而網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估主要是綜合評(píng)估網(wǎng)絡(luò)安全狀態(tài)，即利用網(wǎng)絡(luò)安全屬性的歷史記錄，為用戶(hù)提供一個(gè)準(zhǔn)確的網(wǎng)絡(luò)安全狀態(tài)評(píng)判和網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，使網(wǎng)絡(luò)管理者能夠有目標(biāo)的進(jìn)行決策和防護(hù)準(zhǔn)備。可以將神經(jīng)網(wǎng)絡(luò)、模糊推理等方法引入到態(tài)勢(shì)評(píng)估中，進(jìn)行合理的規(guī)則推理，得到合理的判斷結(jié)果。

3.6　網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

安全態(tài)勢(shì)預(yù)警是實(shí)現(xiàn)網(wǎng)絡(luò)安全主動(dòng)防衛(wèi)的關(guān)鍵環(huán)節(jié)。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)利用海量的報(bào)警數(shù)據(jù)，發(fā)現(xiàn)黑客入侵規(guī)律，根據(jù)入侵前奏實(shí)現(xiàn)入侵行為的早期預(yù)測(cè)，預(yù)測(cè)系統(tǒng)未來(lái)可能遭受的入侵行為、黑客入侵目的及可能遭受威脅的設(shè)備，即實(shí)現(xiàn)“分析過(guò)去，預(yù)測(cè)未來(lái)”的目的。只有準(zhǔn)確地預(yù)測(cè)入侵行為，才能采取有效的針對(duì)性措施，加以阻止。

4　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)思路

網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)對(duì)提升網(wǎng)絡(luò)安全防護(hù)能力至關(guān)重要。從政府監(jiān)管層面來(lái)說(shuō)，應(yīng)做好頂層設(shè)計(jì)，結(jié)合國(guó)家工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)需求，統(tǒng)籌設(shè)計(jì)國(guó)家工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)技術(shù)平臺(tái)功能和架構(gòu)。加強(qiáng)構(gòu)建“國(guó)家級(jí)-省級(jí)-企業(yè)級(jí)”專(zhuān)業(yè)化安全監(jiān)測(cè)和預(yù)警通報(bào)技術(shù)手段，實(shí)現(xiàn)工控網(wǎng)絡(luò)相關(guān)企業(yè)安全態(tài)勢(shì)可感、可知、可監(jiān)管。

南京中新賽克科技有限責(zé)任公司提供監(jiān)管側(cè)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)解決方案。在運(yùn)營(yíng)商核心路由器上做規(guī)則過(guò)濾，篩選出工業(yè)專(zhuān)線流量，并通過(guò)鏡像方式將流量接入到工業(yè)互聯(lián)網(wǎng)探針；工業(yè)互聯(lián)網(wǎng)探針支持工業(yè)協(xié)議的解析、工業(yè)設(shè)備指紋的提取等，對(duì)接入的流量進(jìn)行預(yù)處理生成全息日志；工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)對(duì)全息日志進(jìn)行數(shù)據(jù)治理、數(shù)據(jù)分析，并結(jié)合人工智能等技術(shù)進(jìn)行工業(yè)資產(chǎn)、工控漏洞、工業(yè)云平臺(tái)、安全事件的監(jiān)測(cè)，如圖3所示。

圖3 監(jiān)管側(cè)工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)部署方式

要建好用好網(wǎng)絡(luò)安全態(tài)勢(shì)感知，離不開(kāi)有效的技術(shù)平臺(tái)、安全運(yùn)營(yíng)管理和安全人員建設(shè)。通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)平臺(tái)建設(shè)實(shí)現(xiàn)網(wǎng)絡(luò)空間的安全持續(xù)監(jiān)控能力，及時(shí)預(yù)警各種威脅與異常，并進(jìn)行可視化展示；通過(guò)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理建設(shè)，建立健全各項(xiàng)安全管理制度、安全預(yù)警機(jī)制等，實(shí)現(xiàn)有效的安全決策和應(yīng)急響應(yīng)；通過(guò)技術(shù)人員建設(shè)，提高網(wǎng)絡(luò)安全工作能力和安全事件處置能力，達(dá)到網(wǎng)絡(luò)安全威脅事中阻斷、事后溯源的效果。

5　總結(jié)

網(wǎng)絡(luò)入侵和攻擊正在向規(guī)模化、復(fù)雜化的趨勢(shì)發(fā)展。工業(yè)控制系統(tǒng)由于在設(shè)計(jì)之初就存在大量安全漏洞，且因可用性的要求，絕大多數(shù)使用者都不會(huì)對(duì)系統(tǒng)進(jìn)行升級(jí)或改造，因此工控網(wǎng)絡(luò)往往容易成為網(wǎng)絡(luò)攻擊的首選目標(biāo)。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)能夠?qū)崟r(shí)、準(zhǔn)確地掌握網(wǎng)絡(luò)安全態(tài)勢(shì)狀況，檢測(cè)惡意攻擊行為，讓網(wǎng)絡(luò)安全工作具有主動(dòng)性和條理性，是監(jiān)測(cè)和預(yù)防網(wǎng)絡(luò)安全事件的有效途徑。

作者簡(jiǎn)介

湯永田（1990-），男，南京人，碩士，現(xiàn)任南京中新賽克科技有限責(zé)任公司產(chǎn)品經(jīng)理，曾就職于中興通訊，主要從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)研究。

參考文獻(xiàn)：

[1] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[Z]. 2018.

[2] 陳秀真, 等. 網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢(shì)評(píng)估的研究[J]. 西安交通大學(xué)學(xué)報(bào), 2004, 38 ( 4 ) : 404 － 408.

[3] 龔儉, 臧小東, 蘇琪, 等. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J]. 軟件學(xué)報(bào), 2017，28 ( 4 ) ：1010 - 1026.

摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊（第六輯）》