在当今科技飞速发展的时代，工业控制行业正处于深刻变革之中，两化融合使高度自动化生产技术与信息化运营管理普及，大幅提升生产效率，但工业控制系统（ICS）安全问题接踵而至。传统基于 TCP/IP 协议的网络安全模式在工业场景中难以适用，ICS 安全防护薄弱。深度融合引入大量计算机与网络技术，却带来诸多隐患。如系统终端防护差、软件漏洞多、工控协议存缺陷、私有协议缺保障、隐藏后门与未知漏洞难发现、TCP/IP 漏洞凸显、用户权限管理混乱、网络边界防护松懈以及内部非法操作频发等。这些问题严重威胁企业生产控制系统与办公网络安全，一旦遭受攻击，易导致生产中断、数据泄露，给企业造成重大经济损失与声誉损害。

此外，政策标准对态势感知提出多方面要求，从宏观指导到具体环节、不同领域，全面且细致地规范了态势感知，促使其在数据采集汇聚、威胁识别分析、实时监测预警、可视化呈现、数据存储回溯等方面不断完善，以适应网络安全新形势，提升整体防护水平，保障网络空间安全稳定。

在此严峻形势下，构建全面、高效的工业安全态势感知体系迫在眉睫。企业亟需深入了解工业生产网络内部的资产详情、业务流量动态以及病毒木马等潜在威胁状况，通过在厂区全方位部署流量识别节点，并借助大数据分析技术对工业流量态势进行深度剖析，打造 “上下联动” 的态势感知网络架构，从而为工业控制系统的安全稳定运行保驾护航，确保企业在数字化转型的道路上稳健前行。

办公网和生产网的工控网络中网络设备、安全设备、终端服务器等资产繁多，由于对设备缺乏有效管理，资产运行状况、漏洞分布情况不掌握，加上终端本体安全防护能力弱，容易被不法分子利用，从而对企业生产控制系统和办公网造成重大危害。

办公网和生产网各系统的主要软硬件、通信设备等核心设备以及网络安全防护设备大多依赖相关厂商进行技术支持和运维服务，一方面安全威胁不能及时发现和应急响应处置，另一方面，由于缺乏相关手段，无法对第三方人员在运维过程中的操作行为进行有效安全管控，误操作、恶意操作无法进行审计，容易引入不可控风险，安全隐患较大。

由于规划设计阶段缺乏对工业控制系统网络安全的统筹规划，后期靠网络安全事件驱动逐步建立的以“防护”为主的安全体系正面临极大挑战。在网络安全事件发生之前未能及时有效监测预警，网络安全工作处于被动应付状态，无法有效应对当前及未来以APT攻击为代表的威胁，给生产网络安全带来无法估量的风险，严重影响生产安全。

数据来源：Verizon 数据泄露调查报告

由此可见，办公网和工业控制系统网络面临的安全威胁依然较为严重，需要在以生产运行安全规范为基础，不影响生产业务正常运行的前提下，完善生产控制系统信息安全体系框架，建设自主可控的生产控制系统信息安全态势感知平台，有效地解决以上问题。

另外，随着工业互联网的不断发展，生产网络与办公网络的数据交互越来越频繁，通过建立企业工业控制系统信息安全态势感知平台，在企业内部可与办公网的安全体系形成互补，形成安全合力，达到事前预警、事中监控、事后分析，全面提升工业控制系统信息安全管理与防护水平。

针对现状，威努特借助在工控安全领域的长期技术积累，自主研发了态势分析与安全运营管理平台，利用多种探针实时采集网络中从区域边界、通信网络到计算环境的多维数据并进行数据范化，采用关联分析和数据挖掘等技术进行数据分析，最后采用安全可视化手段直观地展示工业网络环境的安全态势，包括资产态势、运行态势、脆弱性态势、网络攻击态势等。通过该平台可以理清网络资产家底、实时监测运行状态、及时发现安全威胁、深度挖掘历史事件，为安全运维提供技术支撑，为安全防护提供监测预警，为等保合规提供辅助指导，为安全事故提供溯源能力，达到“事前预警、事中监测、事后回溯”的效果。

系统架构设计

威努特态势感知平台的系统架构如上图所示，主要包括数据采集、数据处理、数据存储、智能分析、业务应用和展现层的典型应用系统架构，该应用系统架构涉及的软硬件易升级、易维护、易扩展。

态势感知子系统主要从资产感知、漏洞感知、运行感知、攻击感知、威胁感知、风险感知等多个维度来呈现基础态势信息。在基础态势分析基础上，进行更高维度的态势分析，得出整体态势和工控安全健康指数。

态势感知总览是对当前各个方面态势的汇总展现，摘取其中的重要信息让客户能简要了解当前各个方面态势的情况，对全方位的态势有一定了解，具体态势如下：

整体态势架构

综合安全态势大屏展示

从集团整体和分公司维度展示集团及下属公司资产和安全情况，该态势可反映系统全局资产和安全情况。以拓扑图、地图、园区图等方式展示集团及下属公司分布，悬浮展示各区域资产、漏洞、威胁情况。可以对整体及各区域、风险评分、合规评分、风险资产排名、告警数量和趋势，以及各类资产数量、运行情况、活跃情况进行全面综合展示。

对用户网内资产的识别和梳理是态势感知的关键和基础，因为对安全态势的感知和防护是围绕着资产进行了，目标是降低用户资产的风险态势。

资产态势架构

资产态势大屏展示

资产感知提供了强大的资产探知发现能力，其通过内置的资产发现引擎，可以迅速全面地发现网络中存在的各类资产，实时掌握资产和其状态的变动，并以此作为后续监测和威胁感知的基础。资产感知实现主要功能和特点包括主被动相结合的高效资产发现能力和实时监测资产变化情况，还支持自动资产信息补全。

基于资产感知能力，系统将呈现资产态势的实时监视，可通过拓扑图或资产树列表的形式将资产信息直观展示，并反映资产的实时变化，监视违规资产接入以及重要资产离线。同时无论资产拓扑或是资产列表视图都可将后续的威胁隐患等感知监测进行联动，从资产的维度统一呈现。

工控网络的大多数的网络攻击都是工业控制系统的漏洞被利用所导致的，对漏洞的利用实施攻击可以直接危害工业控制系统功能、用户业务数据，也可以作为APT攻击的一个环节导致更大范围更深层的危害，因此对漏洞的感知是消除或降低隐患的重要环节。

漏洞态势架构

漏洞态势大屏展示

态势感知系统的漏洞感知可将内置的配置弱点扫描模块和网内所部署的工控系统无损漏扫整合，形成完整的漏洞弱点集中监测发现并统一呈现。基于所获取的各类系统漏洞、应用漏洞以及配置弱点信息进行漏洞隐患态势分析，包括与资产对象的关联、与业务系统的关联，并对脆弱性的分布、趋势、处置时间进行统计分析，隐患态势还可分析各漏洞以及配置弱点的成因，并通过资产感知所获取的资产指纹信息对网内各资产对象进行脆弱性发生隐患分析，支撑上层的脆弱性预警展示。

运行态势大屏展示

实时监测并展示系统内资产的可用性、运行情况、漏洞和告警情况。通过简单直观的颜色区别描述并展示系统资产的在线、离线、正常、异常、危险情况 ，该态势可反映系统整体运行情况。

攻击态势架构

网络攻击态势大屏展示

攻击态势根据态势的来源、分布、规律和趋势、攻击结果的维度去分析，形成最终的攻击全貌图，对攻击进行全面剖析，能够快速理解攻击的发起方、被攻击情况，攻击关系、类型、结果和趋势。

威胁态势架构

横向威胁态势大屏展示

威胁感知实现对攻击行为和入侵监测的威胁隐患的整体态势感知。通过威胁信息的目标维度、攻击类型、业务关联维度、时间维度、与脆弱性信息的关联维度等等进行数据处理，通过威胁感知的可视化呈现使用户对全网的威胁入侵态势整体把控，并通过威胁事件关联分析、漏洞关联分析、KPI威胁模型、自学习异常分析等方式发现潜在威胁，进行威胁感知预警。

日志告警趋势大屏展示

安全事件态势对系统日志、安全事件、安全告警情况进行统计分析，反映系统整体安全事件总数、时间分布、类型分布，该态势可反映系统对安全事件的提取、提炼、关联分析情况。综合资产价值、安全属性、脆弱性、攻击威胁等风险要素，基于风险模块内置的风险计算模型，进行全网、各安全域及各业务系统的风险量化评估和风险赋值。

系统内置5000多种设备指纹，自动识别工业控制网络中的自动化设备和系统，如PLC、RTU、DCS、SCADA等，支持3000+网络设备指纹、500+控设备指纹、300+视频监控设备指纹、1500+打印机指纹、200+安全设备指纹、100+种工控应用指纹，识别准确率可达90%。以资产为核心，将漏扫设备、配置核查设备、安全设备数据进行整合，将资产运行信息、链路状态、资产漏洞、风险、操作系统、服务和端口等信息进行结构化整合，从底层硬件、操作系统、应用程序、安全风险多层次对资产情况进行全面刻画。

创新性地引入基于业务、基于工艺、基于拓扑的安全监测模式，以可视化拓扑方式实时展示网络安全问题。安全监测不再是安全设备本身的监测，而是基于网络内所有资产的监测，如主机、网络设备、服务器甚至“网线连通状态”，从单纯的安全监测提升到业务安全监测。

工业环境通常不允许使用WEB服务，所以常规的SQL注入、XSS跨站、DDOS攻击等IT事件在工业环境非常少见，但工业环境中的U盘滥用、非法设备接入、非法外联、非法软件安装、非法远程访问、非法命令操作、工业协议关键事件、跨区通信等行为比较多见，得益于我司在工业协议解析和工控主机安全防护方面的经验积累，我司产品在上述工业典型威胁的监测和分析中优势明显。

内置分析模型自动对系统内海量安全事件进行关联度挖掘，排查出潜在的威胁行为，便于提前跟踪和整改。系统采用经典的频繁序列模式挖掘算法PrefixSpan（Prefix-Projected Pattern Growth），结合安全事件的实际发生场景，去除噪音，从序列数据中找出全部频繁序列模式，从而发现安全事件之间的关联关系。使用ACF（Auto-Correlation Function）算法计算对应周期的ACF自相关系数，取自相关系数最大且强相关的周期估计值。从而获得安全事件序列的周期特征，根据周期性进行预测和预判。采用自回归移动平均模型ARMA(Auto Regressive Moving Average)进行趋势预测。根据特征提取后的网络流量数据进行模型建立过程，通过数据预处理、时间序列分解、模式识别、ARMA模型训练、模型评价等过程，最终输出训练好的模型，根据该模型进行时间序列的趋势预测和异常点检测。

多重关联分析，全面减少误报警

内网态势感知平台，支持灵活的上下级设备级联。下级设备可部署在场站区内网，收集内网的各类安全告警和日志，经过专线将告警和日志信息上报给内网态势感知平台，实现安全大数据分析。

内置等保2.0知识库，自动对系统合规情况进行检查，提供不合规项整改报告，量化合规指标，帮助安全管理员定期进行安全合规情况检查，让合规建设工作开展有序。