趙軍凱，吳錦濤

（北京啟明星辰信息安全技術(shù)有限公司，北京 100089）

1 工業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀

經(jīng)過多年的信息化建設(shè)與數(shù)字化產(chǎn)業(yè)升級，我國工業(yè)企業(yè)的信息系統(tǒng)安全建設(shè)已經(jīng)具備相對完善的管理體系，隨著工業(yè)數(shù)字化進程的不斷發(fā)展，工業(yè)企業(yè)的網(wǎng)絡(luò)安全建設(shè)逐步由信息系統(tǒng)防護過渡到了整體防護階段。現(xiàn)階段的工業(yè)企業(yè)更加關(guān)注IT與OT的整體安全，并且強調(diào)從業(yè)務角度、生產(chǎn)控制角度去管理自身的安全能力，而非以往采用單一的安全防御機制保護單一目標，因此要做好工業(yè)企業(yè)的網(wǎng)絡(luò)安全管理，就需要一套結(jié)合實際生產(chǎn)流程、符合業(yè)務模式的安全管理體系。在這個體系中除了組織保障和流程保障，很重要的一點就是技術(shù)保障。

技術(shù)保障主要源于管理層和執(zhí)行層不同角色人員對于工業(yè)網(wǎng)絡(luò)安全管理工作的切身需要，目前針對大多數(shù)工業(yè)企業(yè)而言，負責信息系統(tǒng)建設(shè)和安全防護的部門與負責生產(chǎn)管理、流程控制的部門存在一定的認知偏差，IT人員可以為了保障保密性而犧牲一部分系統(tǒng)可用性、易用性，但負責生產(chǎn)的部門由于職責定位不同，保護生產(chǎn)控制系統(tǒng)的可用性與業(yè)務連續(xù)性是第一要務。因此針對IT系統(tǒng)的安全管理技術(shù)路線可能無法完全適應OT系統(tǒng)的部署環(huán)境。

對于管理層而言，高層領(lǐng)導、各業(yè)務主管領(lǐng)導和生產(chǎn)部門主管領(lǐng)導等都需要從各自的角度出發(fā)，對工業(yè)生產(chǎn)全流程或相關(guān)業(yè)務信息系統(tǒng)的整體安全運行狀況有直觀的了解和清晰的掌控，能夠獲悉當前的安全態(tài)勢、攻擊分布、防護缺陷，掌握安全防御體系建設(shè)的水平和安全管理能力建設(shè)的水平。

對于執(zhí)行層而言，生產(chǎn)現(xiàn)場與控制運維人員需要對其負責的工序段、控制區(qū)域的業(yè)務狀況、安全狀況有清晰的掌控，并且可以獲取及時的安全預警以及清晰簡潔的安全態(tài)勢信息。

隨著國家層面針對工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)的實施力度的不斷加強，各行業(yè)內(nèi)控與合規(guī)要求的不斷增強，以及越來越多的企業(yè)和組織投入到信息安全管理體系（Information Security Management System，簡稱ISMS）的建設(shè)之中，工業(yè)企業(yè)管理層更加需要一個適應工業(yè)生產(chǎn)環(huán)境的安全管理技術(shù)支撐平臺來協(xié)助符合和體現(xiàn)合規(guī)相關(guān)具體要求，將合規(guī)性要求和網(wǎng)絡(luò)安全管理體系落到實處。而企業(yè)執(zhí)行層也希望有一個工業(yè)網(wǎng)絡(luò)安全管理平臺幫助他們進行生產(chǎn)區(qū)域的安全管理，進而提高生產(chǎn)效率。

2 傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺

現(xiàn)代組織的業(yè)務大多已經(jīng)遷移到了組織中的信息系統(tǒng)中，信息系統(tǒng)作為企業(yè)生產(chǎn)經(jīng)營及業(yè)務實施的支撐平臺，其中任何相關(guān)信息技術(shù)環(huán)節(jié)出問題都將直接導致業(yè)務失敗，生產(chǎn)率降低，影響市場占有率、滿意度、銷售收入和快速反應能力，或者對組織的公信力和信用形成破壞，嚴重的情況甚至導致企業(yè)經(jīng)營管理癱瘓，組織工作無法開展，因此，信息系統(tǒng)運營管理水平的高低直接影響到組織或企業(yè)戰(zhàn)略能否順利實施[5]。

網(wǎng)絡(luò)安全管理面臨挑戰(zhàn)：

信息系統(tǒng)的投入是一個增量的過程，近年來企業(yè)業(yè)務發(fā)展與信息系統(tǒng)融合程度越來越緊密，規(guī)模也越來越大，分散度越來越高，各類軟/硬件設(shè)備資源不斷增加，增加了維護的工作量和復雜度。為了獲悉全網(wǎng)的整體安全態(tài)勢，就必須從現(xiàn)有的分散的安全系統(tǒng)和IT系統(tǒng)中采集相關(guān)的安全信息，而這些信息是海量的，每天的數(shù)據(jù)量可能數(shù)以百GB計。首先，如果不能采集到這些海量信息，分析的準確性就可能打折扣，而安全問題的回溯和取證就可能出現(xiàn)信息缺失。其次，如果不能對海量信息進行快速分析、提取出真正有意義的安全事件，就無法讓安全管理人員聚焦到重要的安全事件上，反而陷入到數(shù)據(jù)的汪洋大海之中。最后，如果不能直觀地展示分析結(jié)果，并將分析結(jié)果與響應處理過程掛鉤，也就無法使執(zhí)行層的安全管理流程運轉(zhuǎn)起來，更無法為管理層提供決策支持。因此，如何采集這些分散在網(wǎng)絡(luò)各處的海量信息，進行實時不間斷的處理、分析，并以用戶能夠接受的形式有效的展示出來，成為了考察運維管理技術(shù)水平的一把重要標尺[6]。

隨著網(wǎng)絡(luò)安全建設(shè)逐步引向深入，管理者越發(fā)體會到了安全工作是全局一盤棋。正所謂“不謀全局者，不足謀一域”，網(wǎng)絡(luò)安全管理工作急切需要獲悉全網(wǎng)的整體安全態(tài)勢。特別是下屬機構(gòu)，系統(tǒng)運營人員整體素質(zhì)參差不齊，不僅沒有足夠的時間、精力、技術(shù)，也無法及時掌握各類實時更新的各種網(wǎng)絡(luò)安全專業(yè)知識和信息，如何實現(xiàn)全企業(yè)信息化管理是現(xiàn)在運營人員需要迫切解決的問題。

合規(guī)建設(shè)和網(wǎng)絡(luò)安全管理體系/ISO27000建設(shè)已經(jīng)成為了他們安全管理工作中必不可少的職責。安全運營管理能否及如何符合和體現(xiàn)等級保護和網(wǎng)絡(luò)安全管理體系的要求成為了安全管理面臨的重大挑戰(zhàn)。

綜上所述企業(yè)網(wǎng)絡(luò)安全管理人員應從從組織策略、處理流程和技術(shù)體系等多方面進行統(tǒng)籌考量，并借助一個全新的安全運營支撐性平臺來為其安全管理工作提供技術(shù)支撐。實現(xiàn)對企業(yè)分散的海量安全信息進行全面的收集、整理、分析、審計，并借助智能化的分析手段提取出關(guān)鍵的安全事件；能夠?qū)ζ髽I(yè)復雜的IT系統(tǒng)從業(yè)務的角度進行全方位的可用性及性能監(jiān)測、故障定位和告警；能夠主動地進行事前安全管理，在攻擊發(fā)生之前就獲悉網(wǎng)絡(luò)的安全態(tài)勢[1]；對企業(yè)重要業(yè)務系統(tǒng)進行量化的風險評估；能夠借助量化的分析模型實現(xiàn)全網(wǎng)的安全態(tài)勢感知；能夠協(xié)助企業(yè)網(wǎng)絡(luò)安全運維進行常態(tài)化的安全運維；能夠符合并體現(xiàn)等級保護和網(wǎng)絡(luò)安全管理體系的要求[3]。

從2000 年開始，國內(nèi)外陸續(xù)推出了安全管理平臺產(chǎn)品，也稱為SOC（Security Operations Center）產(chǎn)品，國外稱為安全信息和事件管理SIEM（Security Information and Event Management）產(chǎn)品[4]。經(jīng)過多年的發(fā)展，安全管理平臺已經(jīng)實現(xiàn)了對企業(yè)分散的海量安全信息進行全面的收集、整理、分析、審計，并借助智能化的分析手段提取出關(guān)鍵的安全事件；對企業(yè)復雜的IT 系統(tǒng)從業(yè)務的角度進行全方位的可用性及性能監(jiān)測、故障定位和告警；主動地進行事前安全管理，在攻擊發(fā)生之前就獲悉網(wǎng)絡(luò)的安全態(tài)勢；對企業(yè)重要業(yè)務系統(tǒng)進行量化的風險評估；借助量化的分析模型實現(xiàn)全網(wǎng)的安全態(tài)勢感知；協(xié)助企業(yè)進行常態(tài)化的安全運維；符合并體現(xiàn)了等級保護和網(wǎng)絡(luò)安全管理體系的要求。同時，能夠與企業(yè)的其他管理系統(tǒng)實現(xiàn)協(xié)同工作[5]。

安全管理是從業(yè)務出發(fā)，通過業(yè)務需求分析、業(yè)務建模、面向業(yè)務的安全域和資產(chǎn)管理、業(yè)務連續(xù)性監(jiān)控、業(yè)務價值分析、業(yè)務風險和影響性分析、業(yè)務可視化等各個環(huán)節(jié)，采用主動、被動相結(jié)合的方法采集來自總部和所屬企業(yè)網(wǎng)絡(luò)中的各種IT資源的安全信息，從業(yè)務的角度進行歸一化、監(jiān)控、分析、審計、報警、響應、存儲和報告。安全管理平臺通過建立一套實時的資產(chǎn)風險模型，協(xié)助管理員進行運行監(jiān)控、事件分析、風險分析、預警管理和應急響應處理。

圖1 網(wǎng)絡(luò)安全管理平臺架構(gòu)設(shè)計

安全管理平臺的建設(shè)與運營，構(gòu)建一套針對企業(yè)整體IT計算環(huán)境的統(tǒng)一安全管理架構(gòu)，對包括網(wǎng)絡(luò)、安全、主機和應用在內(nèi)的各類IT資源從業(yè)務系統(tǒng)的角度進行統(tǒng)一監(jiān)控、統(tǒng)一安全事件審計與分析、統(tǒng)一預警與響應，提升企業(yè)現(xiàn)有信息與網(wǎng)絡(luò)整體安全保障水平，并符合國家等級保護、內(nèi)部控制的相關(guān)管理、審計和內(nèi)控的要求[10]。

3 工業(yè)網(wǎng)絡(luò)安全管理面臨挑戰(zhàn)

但在IT和OT系統(tǒng)逐漸融合的網(wǎng)絡(luò)環(huán)境下，針對工業(yè)網(wǎng)絡(luò)環(huán)境的安全防護正在面臨著多種挑戰(zhàn)。一方面，企業(yè)和組織安全體系架構(gòu)的日趨復雜，各種類型的數(shù)據(jù)越來越多，OT系統(tǒng)逐漸IP化，并且以往物理隔離的控制系統(tǒng)隨著業(yè)務模式的數(shù)字化轉(zhuǎn)變逐漸接入IT系統(tǒng)，傳統(tǒng)網(wǎng)絡(luò)安全管理平臺在處理多元、海量的數(shù)據(jù)能力難以為繼；一方面，新型威脅的興起，內(nèi)控與合規(guī)的深入，傳統(tǒng)的分析方法存在諸多缺陷。這兩者帶來的是安全數(shù)據(jù)的數(shù)量、速度、種類的迅速膨脹，不僅帶來了海量異構(gòu)數(shù)據(jù)的融合、存儲和管理的問題，甚至動搖了傳統(tǒng)的安全分析方法。當前絕大多數(shù)網(wǎng)絡(luò)安全管理平臺的安全分析都是針對小數(shù)據(jù)量設(shè)計的，在面對工業(yè)生產(chǎn)的大數(shù)據(jù)量時難以為繼。新的攻擊手段層出不窮，需要檢測的數(shù)據(jù)越來越多，現(xiàn)有的分析技術(shù)不堪重負。面對天量的安全要素信息，我們?nèi)绾尾拍芨友附莸馗兄W(wǎng)絡(luò)安全態(tài)勢？

傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺分析方法大都采用基于規(guī)則和特征的分析引擎，必須要有規(guī)則庫和特征庫才能工作，而規(guī)則和特征只能對已知的攻擊和威脅進行描述，無法識別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和威脅。面對未知攻擊和復雜攻擊如APT等，需要更有效的分析方法和技術(shù)。如何才能做到知所未知？

面對大量工業(yè)環(huán)境的業(yè)務數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺（譬如SIEM，安全管理平臺等）遭遇到了諸多瓶頸，主要表現(xiàn)在以下幾方面：

工業(yè)生產(chǎn)數(shù)據(jù)的采集和存儲變得困難；

異構(gòu)數(shù)據(jù)的存儲和管理變得困難；

生產(chǎn)環(huán)境下威脅數(shù)據(jù)源較小，導致系統(tǒng)判斷能力有限，樣本較少；

對歷史生產(chǎn)數(shù)據(jù)的檢測能力很弱，使用效率偏低；

安全事件的調(diào)查效率太低；

安全系統(tǒng)相互獨立，無有效手段協(xié)同工作；

分析的方法較少；

對于趨勢性的東西預測較難，對早期預警的能力比較差；

系統(tǒng)交互能力有限，數(shù)據(jù)展示效果有待提高。

從上世紀80年代入侵檢測技術(shù)的誕生和確立以來，安全分析已經(jīng)發(fā)展了很長的時間。當前，信息與網(wǎng)絡(luò)安全分析存在兩個基本的發(fā)展趨勢：情境感知的安全分析與智能化的安全分析。

Gartner指出，“未來的網(wǎng)絡(luò)安全將是情境感知的和自適應的”所謂情境感知，就是利用更多的相關(guān)性要素信息的綜合研判來提升安全決策的能力，包括資產(chǎn)感知、位置感知、拓撲感知、應用感知、身份感知、內(nèi)容感知，等等。情境感知極大地擴展了安全分析的縱深，納入了更多的安全要素信息，拉升了分析的空間和時間范圍，也必然對傳統(tǒng)的安全分析方法提出了挑戰(zhàn)[7]。

Gartner報告指出，要“為企業(yè)安全智能的興起做好準備”在這份報告中，Gartner提出了安全智能的概念，強調(diào)必須將過去分散的安全信息進行集成與關(guān)聯(lián)，獨立的分析方法和工具進行整合形成交互[9]，從而實現(xiàn)智能化的安全分析與決策。而信息的集成、技術(shù)的整合必然導致安全要素信息的迅猛增長，智能的分析必然要求將機器學習、數(shù)據(jù)挖據(jù)等技術(shù)應用于安全分析，并且要更快更好地的進行安全決策[8]。

4 基于大數(shù)據(jù)分析的工業(yè)網(wǎng)絡(luò)安全管理平臺

面對新形勢下工業(yè)網(wǎng)絡(luò)安全管理挑戰(zhàn)，作為信息管理的技術(shù)保障，工業(yè)網(wǎng)絡(luò)安全管理平臺不僅僅要滿足基本的安全管理需要，需具備處理海量、高速、多變的信息能力，獲得超越以往的洞察力、決策支持能力和處理的自動化。

海量、多元化的數(shù)據(jù)分析的技術(shù)的核心就是大數(shù)據(jù)分析。Gartner將大數(shù)據(jù)分析定義為追求顯露模式檢測和發(fā)散模式檢測，以及強化對過去未連接資產(chǎn)的使用的實踐和方法，意即一套針對大數(shù)據(jù)進行知識發(fā)現(xiàn)的方法。通俗地講，大數(shù)據(jù)分析技術(shù)就是大數(shù)據(jù)的收集、存儲、分析和可視化的技術(shù)，是一套能夠解決大數(shù)據(jù)的海量、高速、多變、低密度的問題，分析出高價值的信息的工具集合。

借鑒著名數(shù)據(jù)庫專家、圖靈獎獲得者詹姆士·格雷的科學研究范式理論[2]，我們提出了“全范式分析”的全新安全分析體系：

安全分析第一范式：嘗試、實驗。在網(wǎng)絡(luò)應用尚未大規(guī)模普及、網(wǎng)絡(luò)安全還未成為突出問題的時候，市場上還沒有培育出成熟的安全工具和產(chǎn)品，安全分析主要依賴于安全管理人員的經(jīng)驗。目前仍然廣泛采用的滲透測試、安全咨詢服務等，仍然是以這種模式運行的。

安全分析第二范式：模型、特征。隨著安全問題的日益普遍，單憑安全管理人員的經(jīng)驗已經(jīng)無法應對，迫切需要自動化的分析工具，由此產(chǎn)生了入侵檢測系統(tǒng)、防病毒系統(tǒng)和防火墻等安全產(chǎn)品。這些安全產(chǎn)品的共同點就是對網(wǎng)絡(luò)攻擊行為進行分析，提取不同層面的特征（如網(wǎng)絡(luò)層連接特征用于防火墻制定ACL規(guī)則；應用層內(nèi)容特征用于提取IDS的匹配規(guī)則；文件級特征用于病毒掃描），對網(wǎng)絡(luò)流量進行實時自動化分析。這類安全產(chǎn)品的關(guān)鍵是對攻擊特征的提取和描述，其本質(zhì)是對攻擊行為的建模，而在工業(yè)環(huán)境內(nèi)的應用需要學習工業(yè)通信協(xié)議的行為，并且結(jié)合業(yè)務梳理和日常需求制定白名單防護機制。

安全分析第三范式：模擬、仿真。隨著APT的出現(xiàn)，攻擊變得越來越復雜、特征變化越來越快，以攻擊行為建模為基礎(chǔ)的分析方式漸漸難以應對，從而出現(xiàn)了以虛擬執(zhí)行技術(shù)為代表的新型分析技術(shù)。這種技術(shù)的本質(zhì)是模擬被攻擊者在遭受攻擊后的反應，這樣無需對攻擊行為建模也能檢測未知的攻擊。

安全分析第四范式：大數(shù)據(jù)安全分析。大數(shù)據(jù)技術(shù)的出現(xiàn)，將安全分析提升到了新的階段。有了大數(shù)據(jù)平臺的支撐，安全分析人員可以將各類不同類型的數(shù)據(jù)，如通過滲透測試得到的漏洞信息、通過傳統(tǒng)檢測設(shè)備產(chǎn)生的報警事件、通過虛擬執(zhí)行得到的可疑攻擊執(zhí)行結(jié)果，進行大范圍的匯總和關(guān)聯(lián)。同時，通過長時間的關(guān)聯(lián)，安全分析人員可挖掘某臺主機、某個用戶的行為異常，從而實現(xiàn)不基于簽名的未知攻擊檢測。對于每一條可疑報警，分析人員可以查詢與該報警相關(guān)的各類數(shù)據(jù)，從而確定報警真實性、攻擊源，評估攻擊造成的危害。

從上述分析中可以看到，安全分析方法的發(fā)展歷程與詹姆士·格雷概括的科學研究范式間存在著高度對應的關(guān)系，從而可以用科學研究范式來類比安全分析方法。而這其中，大數(shù)據(jù)安全分析技術(shù)正代表了最前沿的安全分析第四范式。大數(shù)據(jù)安全分析是全新的“全范式安全分析”體系的重要組成部分。

安全數(shù)據(jù)的大數(shù)據(jù)化，以及傳統(tǒng)安全分析所面臨的挑戰(zhàn)和發(fā)展趨勢，都指向了同一個技術(shù)——大數(shù)據(jù)分析。正如Gartner在2012年明確指出，“網(wǎng)絡(luò)安全正在變成一個大數(shù)據(jù)分析問題”。于是，業(yè)界出現(xiàn)了將大數(shù)據(jù)分析技術(shù)應用于網(wǎng)絡(luò)安全的技術(shù)——大數(shù)據(jù)安全分析[14]。必須特別指出的是，大數(shù)據(jù)安全分析是指利用大數(shù)據(jù)技術(shù)來進行安全分析，而非我們一般所言的大數(shù)據(jù)安全。大數(shù)據(jù)安全，通常是指研究如何保護大數(shù)據(jù)自身的安全，包括針對大數(shù)據(jù)計算和大數(shù)據(jù)存儲的安全性。針對在工業(yè)企業(yè)的網(wǎng)絡(luò)安全管理平臺，需要考慮智能制造背景下的工業(yè)大數(shù)據(jù)環(huán)境，結(jié)合信息系統(tǒng)與生產(chǎn)系統(tǒng)的工業(yè)大數(shù)據(jù)將更加有效的提高分析結(jié)果的準確性，為安全管理提供決策依據(jù)。

工業(yè)大數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務全生命周期數(shù)據(jù)的總稱，包括研究設(shè)計、生產(chǎn)制造、經(jīng)營管理等各個環(huán)節(jié)出現(xiàn)的數(shù)據(jù)，并且其設(shè)備來源主要為三種：第一種是生產(chǎn)經(jīng)營的業(yè)務數(shù)據(jù)，屬于信息系統(tǒng)數(shù)據(jù)；第二類是設(shè)備物聯(lián)數(shù)據(jù)，其中包括直接參與生產(chǎn)制造的工業(yè)控制系統(tǒng)數(shù)據(jù)，如PLC以及其他監(jiān)控軟件數(shù)據(jù)，還有監(jiān)測周圍環(huán)境數(shù)據(jù)的物聯(lián)網(wǎng)數(shù)據(jù)；第三類是外部數(shù)據(jù)，如供應商、客戶等外部環(huán)境提供的數(shù)據(jù)[19]。

工業(yè)大數(shù)據(jù)除具有一般大數(shù)據(jù)的特征（數(shù)據(jù)量大、多樣、快速和價值密度低）外，還具有時序性、強關(guān)聯(lián)性、準確性、閉環(huán)性等特征[13]，因此基于工業(yè)大數(shù)據(jù)的網(wǎng)絡(luò)安全管理平臺需要利用其特征。從數(shù)據(jù)范圍來講，工業(yè)大數(shù)據(jù)的采集來源包括了生產(chǎn)環(huán)節(jié)的各個流程，包括結(jié)構(gòu)化與半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)，與此同時工業(yè)大數(shù)據(jù)的時序性與數(shù)據(jù)強關(guān)聯(lián)性可以作為安全分析的基礎(chǔ)，建立數(shù)據(jù)層面的行為邏輯[12]。

圖2 基于大數(shù)據(jù)分析網(wǎng)絡(luò)安全管理平臺概念架構(gòu)

新一代網(wǎng)絡(luò)安全管理以生產(chǎn)環(huán)境為核心保障目標，融合業(yè)界的大數(shù)據(jù)技術(shù)，針對高速信息進行采集，融合多源異構(gòu)數(shù)據(jù)，結(jié)合SQL、NewSQL、NoSQL 等技術(shù)，實現(xiàn)異構(gòu)海量安全數(shù)據(jù)的高效可靠存儲，并以安全數(shù)據(jù)為驅(qū)動，提供智能化關(guān)聯(lián)分析技術(shù)和基于機器學習的行為分析技術(shù)，流安全分析技術(shù)和態(tài)勢感知。系統(tǒng)內(nèi)建主動安全管理機制，通過的漏洞掃描和安全配置核查，及時發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)環(huán)境中存在的隱患和風險，并進行事前預警；結(jié)合內(nèi)外部情報協(xié)作，提供更加準確和及時的安全分析；融合多種網(wǎng)絡(luò)安全技術(shù)和管理理念，充分實現(xiàn)組織、過程和技術(shù)三個體系的合理調(diào)配，幫助企業(yè)運維人員從監(jiān)控、審計、風險、運維四個維度實現(xiàn)對業(yè)務信息系統(tǒng)的統(tǒng)一安全保障[18]。

5 基于大數(shù)據(jù)的工業(yè)網(wǎng)絡(luò)安全管理平臺價值

傳統(tǒng)的安全分析是構(gòu)建在基于特征的檢測基礎(chǔ)之上的，只能做到知所已知，難以應對高級威脅（譬如APT）的挑戰(zhàn)。而要更好地檢測高級威脅，就需要知所未知，這也就催生了諸如行為異常分析技術(shù)的發(fā)展。行為異常分析的本質(zhì)就是一種機器學習，自動建立起一個正常的基線，從而去幫助分析人員識別異常，由于工業(yè)環(huán)境內(nèi)的業(yè)務邏輯相對固定并且清晰，控制流程在短時間內(nèi)不會頻繁變化，因此行為基線技術(shù)十分適合部署在工業(yè)環(huán)境內(nèi)，通過行為基線識別異常行為是一種相對高效的技術(shù)方法。面對天量的待分析數(shù)據(jù)，要想達成理想的異常分析結(jié)果，借助大數(shù)據(jù)分析技術(shù)成為明智之舉[17]。同時，為了對抗高級威脅，還需要有長時間周期的數(shù)據(jù)分析能力，而這正是大數(shù)據(jù)分析的優(yōu)勢所在。此外，安全分析人員在進行高級威脅檢測的過程中需要不斷地對感興趣的安全數(shù)據(jù)進行數(shù)據(jù)勘探，而要針對天量數(shù)據(jù)實現(xiàn)及時的交互式分析，需要有強大的數(shù)據(jù)查詢引擎，這同樣也是大數(shù)據(jù)分析的優(yōu)勢所在。

以大數(shù)據(jù)的相關(guān)技術(shù)為基礎(chǔ)，確保工業(yè)網(wǎng)絡(luò)的安全事件得到超前預警，具體來說，在實現(xiàn)大數(shù)據(jù)安全預警功能的過程中，基礎(chǔ)數(shù)據(jù)資源應當以設(shè)備安全恒產(chǎn)大數(shù)據(jù)庫中的告警信息等歷史統(tǒng)計數(shù)據(jù)為主[16]，在此基礎(chǔ)上確保關(guān)聯(lián)規(guī)則分析和預測有效實現(xiàn)，并且分析結(jié)果是與生產(chǎn)流程緊密結(jié)合的。與此同時，通過物聯(lián)網(wǎng)等技術(shù)的應用，實時采集設(shè)備生產(chǎn)環(huán)境數(shù)據(jù)，之后開展數(shù)據(jù)的預處理及分析、犓等工作，以大數(shù)據(jù)流處理技術(shù)為依托，確保動態(tài)監(jiān)測數(shù)據(jù)，使長期預警和實施預警功能有效優(yōu)化，將大數(shù)據(jù)預警機制納入工業(yè)網(wǎng)絡(luò)安全管理平臺中。

大數(shù)據(jù)安全分析推動高級威脅檢測，威脅情報是一種基于證據(jù)的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應。威脅情報最大的好處就是能夠直接作用于工業(yè)企業(yè)和組織的安全防護設(shè)施，實現(xiàn)高效快速的威脅檢測和阻斷。專業(yè)的威脅情報服務提供商能夠采集互聯(lián)網(wǎng)上的各種數(shù)據(jù)，既包括淺層WEB，也包括深層WEB，甚至是暗網(wǎng)的數(shù)據(jù)，抑或是授權(quán)企業(yè)的數(shù)據(jù)，然后基本上都利用大數(shù)據(jù)分析技術(shù)產(chǎn)生有關(guān)攻擊者的威脅情報信息。利用工業(yè)大數(shù)據(jù)分析技術(shù)，安全廠商與工業(yè)企業(yè)可以建立起一個威脅情報的分享和協(xié)作平臺，進行威脅情報的交換，更大限度地發(fā)揮情報的價值。

大數(shù)據(jù)安全分析技術(shù)將數(shù)據(jù)泄漏保護將變得更加智能，不僅能夠?qū)σ呀?jīng)標定的生產(chǎn)敏感信息進行檢測，還能對上層用戶使用數(shù)據(jù)的行為過程進行建模，從而針對更多地難以進行簡單標定的敏感信息的訪問進行異常檢測。通過對數(shù)據(jù)庫行為與監(jiān)控系統(tǒng)收集到的海量數(shù)據(jù)庫訪問日志進行業(yè)務建模，從而識別用戶的業(yè)務違規(guī)，使得數(shù)據(jù)庫行為與監(jiān)控系統(tǒng)的價值得到進一步提升[15]。

大數(shù)據(jù)安全分析技術(shù)能夠?qū)崿F(xiàn)用戶違規(guī)智能審計。通過對信息系統(tǒng)和控制系統(tǒng)的用戶訪問日志進行建模和機器學習，發(fā)現(xiàn)小概率的異常事件。借助大數(shù)據(jù)安全分析技術(shù)提升靜態(tài)應用安全測試系統(tǒng)的檢測速率，并能夠通過高效地聚類/分類等算法更好地尋找應用系統(tǒng)的安全漏洞。

大數(shù)據(jù)安全分析的興起不僅改變了傳統(tǒng)的網(wǎng)絡(luò)安全防護架構(gòu)、安全分析體系，也在深刻變革現(xiàn)有的網(wǎng)絡(luò)安全業(yè)務模式。最典型地，大數(shù)據(jù)安全分析直接促進了安全即服務的發(fā)展。包括SIEM、日志分析、欺詐檢測、威脅情報在內(nèi)的多種服務都在積極擁抱大數(shù)據(jù)安全分析技術(shù)。大數(shù)據(jù)安全分析已成為安全業(yè)務模式變革的催化劑。

即便是針對工業(yè)企業(yè)和組織內(nèi)部的大數(shù)據(jù)安全分析，由于安全與業(yè)務的不斷融合，以及生產(chǎn)現(xiàn)場邊緣數(shù)據(jù)中心和工業(yè)云計算的普及，未來必然要求將大數(shù)據(jù)安全分析與大數(shù)據(jù)業(yè)務分析進行整合，安全數(shù)據(jù)不過是工業(yè)企業(yè)和組織業(yè)務數(shù)據(jù)的支撐數(shù)據(jù)之一。在這個發(fā)展趨勢下，必然涉及到生產(chǎn)、開發(fā)、運維、安全團隊的交互與協(xié)作，業(yè)務部門與技術(shù)部門的融合。大數(shù)據(jù)安全分析將成為安全與業(yè)務融合的催化劑。

借助大數(shù)據(jù)安全分析技術(shù)，能夠更好地解決天量安全要素信息的采集、存儲的問題，借助基于大數(shù)據(jù)分析技術(shù)的機器學習和數(shù)據(jù)挖據(jù)算法，能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢，更加主動、彈性地去應對新型復雜的威脅和未知多變的風險。大數(shù)據(jù)安全分析不是一個產(chǎn)品分類，而代表一種技術(shù)，一種安全分析的理念和方法。各種安全產(chǎn)品都能夠運用大數(shù)據(jù)安全分析技術(shù)去重塑自身。

6 結(jié)語

大數(shù)據(jù)時代已經(jīng)到來，我們創(chuàng)造的大數(shù)據(jù)正在改變?nèi)祟惿a(chǎn)生活的各個方面。信息與網(wǎng)絡(luò)安全作為保障工業(yè)資產(chǎn)的關(guān)鍵能力也正在被大數(shù)據(jù)所重新塑造。工業(yè)網(wǎng)絡(luò)安全管理平臺，作為安全保障體系中位于頂層的技術(shù)支撐平臺，天然具有與大數(shù)據(jù)結(jié)合的特質(zhì)?；诖髷?shù)據(jù)安全分析技術(shù)的工業(yè)網(wǎng)絡(luò)安全管理平臺正在成為未來安全管理平臺發(fā)展的重要技術(shù)方向。我們必須看到，不論安全管理平臺的技術(shù)如何發(fā)展，如何與大數(shù)據(jù)結(jié)合，安全管理平臺所要解決的工業(yè)企業(yè)根本性問題，以及與企業(yè)業(yè)務融合的趨勢依然未變。對大數(shù)據(jù)的應用依然要服務于解決企業(yè)的實際安全管理問題這個根本目標[11]。

同時謹記，大數(shù)據(jù)安全分析要產(chǎn)生實際價值還離不開制度貫穿和安全分析師。正如大數(shù)據(jù)需要數(shù)據(jù)分析師，大數(shù)據(jù)安全更需要安全分析師。安全，本質(zhì)上是人與人之間的對抗，不論安全分析的自動化技術(shù)如何演進，相互之間進行對抗的，始終是坐在屏幕前的人。