计算机应用软件开发技术研究
            Research on Computer Application Software Development Technology

            全管理架构，对包括网络、安全、主机和应用在内的各类 IT 资源从业务系统的
            角度进行统一监控、统一安全事件审计与分析、统一预警与响应，提升企业现有
            信息与网络整体安全保障水平，并符合国家等级保护、内部控制的相关管理、审

            计和内控的要求。
                （三）工业网络安全管理面临挑战
                但在 IT 和 OT 系统逐渐融合的网络环境下，针对工业网络环境的安全防护
            正在面临着多种挑战。一方面，企业和组织安全体系架构的日趋复杂，各种类型

            的数据越来越多，OT 系统逐渐 IP 化，并且以往物理隔离的控制系统随着业务模
            式的数字化转变逐渐接入 IT 系统，传统网络安全管理平台在处理多元、海量的
            数据能力难以为继；另一方面，新型威胁的兴起，内控与合规的深入，传统的
            分析方法存在诸多缺陷。这两者带来的是安全数据的数量、速度、种类的迅速膨

            胀，不仅带来了海量异构数据的融合、存储和管理的问题，甚至动摇了传统的安
            全分析方法。当前绝大多数网络安全管理平台的安全分析都是针对小数据量设计
            的，在面对工业生产的大数据量时难以为继。新的攻击手段层出不穷，需要检测
            的数据越来越多，现有的分析技术不堪重负。面对大量的安全要素信息，我们如

            何才能更加迅捷地感知网络安全态势？
                传统的网络安全管理平台分析方法大都采用基于规则和特征的分析引擎，
            必须有规则库和特征库才能工作，而规则和特征只能对已知的攻击和威胁进行
            描述，无法识别未知的攻击，或者是尚未被描述成规则的攻击和威胁。面对未知

            攻击和复杂攻击如 APT 等，需要更有效的分析方法和技术。如何才能做到知所
            未知？
                面对大量工业环境的业务数据，传统的集中化安全分析平台（如 SIEM、安
            全管理平台等）遭遇到了诸多瓶颈，主要表现在以下几方面：工业生产数据的采

            集和存储变得困难；异构数据的存储和管理变得困难；生产环境下威胁数据源较
            小，导致系统判断能力有限，样本较少；对历史生产数据的检测能力很弱，使用
            效率偏低；安全事件的调查效率太低；安全系统相互独立，无有效手段协同工
            作；分析的方法较少；对于趋势性的东西预测较难，对早期预警的能力比较差；

            系统交互能力有限，数据展示效果有待提高。
                从 20 世纪 80 年代入侵检测技术的诞生和确立以来，安全分析已经发展了很
            长的时间。当前，信息与网络安全分析存在两个基本的发展趋势：情境感知的安



            ·214·