@局外人
2年前 提问
1个回答

工控网络安全态势感知系统包括哪些层次

Andrew
2年前

工控网络安全态势感知系统包括以下层次:

  • 数据采集层:数据源是大数据分析的基础与前提,准确、高质量的数据是安全分析效果的保证。数据采集层针对用户对态势感知的场景需求,依托数据采集对象和采集内容,定义分析场景和建模。采集对象包括数据交换设备、网络安全设备、服务器等主机设备、移动终端设备等。数据源包括网络设备、主机、应用、安全设备等记录的日志数据和告警信息,异常流量数据和按规则匹配的网络流量数据,整个网络中所有的资产信息、相关的人员信息、账号信息,以及与资产相关的漏洞信息、脆弱性信息和威胁情报信息等辅助信息数据,为进一步场景化的态势感知分析需求提供数据支撑。

  • 数据处理层:对多源、异构数据进行去重、清洗、标准化、标识等操作,从而提高安全分析的可信度,降低误报率。其中,数据标准化是从原始数据信息中解析出各个不同的属性信息,将原始数据转换为统一的标准化数据,为后续分析处理提供统一的标准化数据结构;数据标识是在海量数据环境下,利用模式识别、深度学习、大数据分析技术和人工智能技术来识别和分离不明数据。

  • 数据存储层:数据存储用于对采集到的不同类型数据进行分类存储,以满足数据分析的要求,支持多种数据格式的存储,提供多种存储方式。采集数据的类别包括流量监测类、主动探测类、布点监测类、样本分析类等。实现对网络关键节点、区域边界、计算环境内部、网络基础设施等部位的监测,侧重于重点保护目标的威胁、隐患、风险、事件等的分类汇聚处理和存储。采用分级、分类、分层模式汇聚资源信息、安全事件信息、网络和系统运行信息、网络安全态势信息、威胁情报等知识库和重要数据库,实现各类网络安全信息的统一融合存储,为数据共享、安全决策提供基础支撑。

  • 数据分析层:采用大数据计算技术架构,将采集到的数据进行数据处理、分布式高性能存储和索引后,利用实时关联分析、历史关联分析、机器学习、统计分析、OLAP分析、数据挖掘、恶意代码分析等多种分析方法对数据进行综合关联分析。对所有数据建立索引,便于快速查询、管理分析和举证。提供数据访问调用服务,上层应用进行数据分析和处理时通过接口按需调用。为在线分析、离线分析、就地分析的态势感知需求提供支撑。

  • 展示和告警层:依据数据分析结果,实现网络安全事件告警、态势评估、安全预警、追踪溯源等应用。通过利用自身的态势模板,对采集数据进行统计分析、能力评估、关联分析、数据挖掘等操作,生成平台所需的运行态势、风险态势、资源态势等基础态势,如漏洞态势、恶意程序态势、DDoS态势、黑产活跃度态势等。在基础态势分析基础上进行更高维度的态势分析,充分结合时事政治、态势关联、黑产舆情、安全舆情,对其进行科学、合理的组合,得出网络安全指数。调用各类基础数据和知识库信息,提炼攻击手段,还原攻击过程,进行攻击者溯源,为事件预警和应急指挥提供依据,以全面支撑安全事件快速响应和应急处置工作。

  • 安全管理:在数据采集、传输、存储、分析、交换、销毁等各个环节中,都存在着大量的敏感信息,如漏洞信息、攻击信息、资产信息等,这些敏感信息的泄漏会带来严重的安全风险。制定数据分级、分类标准,建立数据最小化、最小授权、去隐私化、剩余信息保护等数据管理要求,保护数据的完整性、保密性和可用性,确保数据全生命周期中的安全。建立完善的数据安全管理体系,保障系统正确、安全、可靠运行,防止系统被破坏、渗透或非法使用。

  • 自身安全管理:网络安全态势感知平台的安全与信息系统的安全息息相关,它需要接入到信息系统的网络中进行数据采集,因此其自身的安全也非常重要,包括标识与鉴别、角色管理、远程管理、自身审计等。