第七章  企业网络安全风险的解决方案研究



             生产制造、经营管理等各个环节出现的数据，并且其设备来源主要为三种：第一
             种是生产经营的业务数据，属于信息系统数据；第二类是设备物联数据，其中包
             括直接参与生产制造的工业控制系统数据，如 PLC 以及其他监控软件数据，还

             有监测周围环境数据的物联网数据；第三种是外部数据，如供应商、客户等外部
             环境提供的数据。
                 工业大数据除具有一般大数据的特征（数据量大、多样、快速和价值密度
             低）外，还具有时序性、强关联性、准确性、闭环性等特征，因此基于工业大数

             据的网络安全管理平台需要利用其特征。从数据范围来讲，工业大数据的采集来
             源包括了生产环节的各个流程，包括结构化与半结构化数据、非结构化数据，与
             此同时工业大数据的时序性与数据强关联性可以作为安全分析的基础，建立数据
             层面的行为逻辑。

                 新一代网络安全管理以生产环境为核心保障目标，融合业界的大数据技术，
             针对高速信息进行采集，融合多源异构数据，结合 SQL、NewSQL、NoSQL 等
             技术，实现异构海量安全数据的高效可靠存储，并以安全数据为驱动，提供智能
             化关联分析技术和基于机器学习的行为分析技术、安全分析技术和态势感知。系

             统内建立主动安全管理机制，通过的漏洞扫描和安全配置核查，及时发现工业网
             络环境中存在的隐患和风险，并进行事前预警；结合内外部情报协作，提供更加
             准确和及时的安全分析；融合多种网络安全技术和管理理念，充分实现组织、过
             程和技术三个体系的合理调配，帮助企业运维人员从监控、审计、风险、运维四

             个维度实现对业务信息系统的统一安全保障。
                 （五）基于大数据的工业网络安全管理平台价值
                 传统的安全分析是构建在基于特征的检测基础之上的，只能做到知所已知，
             难以应对高级威胁（如 APT）的挑战。而要更好地检测高级威胁，就需要知所未

             知，这也就催生了诸如行为异常分析技术的发展。行为异常分析的本质就是一种
             机器学习，自动建立起一个正常的基线，从而去帮助分析人员识别异常，由于工
             业环境内的业务逻辑相对固定并且清晰，控制流程在短时间内不会频繁变化，因
             此行为基线技术十分适合部署在工业环境内，通过行为基线识别异常行为是一种

             相对高效的技术方法。面对天量的待分析数据，要想达成理想的异常分析结果，
             借助大数据分析技术成为明智之举。同时，为了对抗高级威胁，还需要有长时间
             周期的数据分析能力，而这正是大数据分析的优势所在。此外，安全分析人员在



                                                                                 ·217·