工业安全态势感知解决方案

工业安全态势感知解决方案

2021-11-03 14:07:29

  随着网络规模和复杂性不断增大,新型高级入侵攻击手段不断涌现,传统的网络安全方案力不从心,单点检测和防护技术很难应对复杂的安全问题,网络安全人员的关注点也从单个安全问题的解决,发展到研究整个网络的安全状态及其变化趋势。

  安全态势感知就是获取影响网络安全的诸多要素,进行多维度综合理解、评估,并预测未来的发展趋势,态势感知已经成为网络安全2.0时代安全技术的焦点,对保障网络安全起着非常重要的作用。

  安全态势感知的概念由来已久,早在1995年,前美国空军首席科学家Mica R. Endsley就建立了态势感知的经典模型,其核心内容包括:态势要素获取、态势理解和态势预测,如下图所示:

       态势要素获取(第1级):提取环境中态势要素的位置和特征等信息;

       态势理解(第2级):关注信息融合以及信息与预想目标之间的联系;

       态势预测(第3级):主要预测未来的态势演化趋势以及可能发生的安全事件。

  根据《信息安全技术 网络安全态势感知通用技术要求(征求意见稿)》,安全态势感知系统主要划分为数据汇聚层、数据分析层、态势展示层和监测预警层,具体框图如下所示:

  数据汇聚层包括数据采集、数据预处理和数据存储,对应Endsley模型中的态势要素获取。

  数据分析层包括网络攻击分析、异常行为分析和资产风险分析,对应Endsley模型中的态势理解。

  态势展示层包括整体态势展示、专题态势展示和态势报告,是态势理解的可视化展示。

  监测预警层包括监测告警和安全预警,对应Endsley模型中的态势预测。

  安全态势感知系统通过各种方式、采用多种协议、从多种设备采集到各种数据,采集数据类型包括但不限于网络流量、资产信息、日志、漏洞信息、用户行为、威胁信息等数据。这些多源异构数据必须经过预处理才能进入后续的分析环节。

  总体来看,安全态势感知系统本质就是一个大数据分析系统,通过对海量数据的智能分析,理解网络的当前安全状态,预测网络的未来安全状态。数据汇聚层负责采集原始数据并进行预处理和存储,这部分功能决定了数据的质量,也是大数据分析的基础,数据质量决定分析质量。