饒志波  水利部機(jī)電研究所工控網(wǎng)絡(luò)安全測(cè)評(píng)中心技術(shù)部長(zhǎng)

　　本文內(nèi)容有四大塊，第一是背景和政策的支持，另外是設(shè)計(jì)的方案還有部署的方案，以及我們針對(duì)于已經(jīng)做過的典型案例是怎么部署的，讓大家一起來給我們提一些意見。這些是前面很多專家和大師基本上都講到這一塊，為什么說要有態(tài)勢(shì)預(yù)警的東西，就是因?yàn)槊磕甑陌踩录侨找嫱怀龅?，你看到每一年都有大大小小的事情基本上都關(guān)乎到工控安全，我們針對(duì)最新發(fā)生的事情，我們水利為什么要做才是感知平臺(tái)？委內(nèi)瑞拉3月7日安全事件就是針對(duì)水利的，所以背景是這么一個(gè)背景，連續(xù)停了三天的電。攻擊的手段是利用水利電力系統(tǒng)的一些漏洞，所以導(dǎo)致了停電事件，所以后面廠家對(duì)可能發(fā)生的方式都做了分析，最終的結(jié)論就是利用了水利電力系統(tǒng)的安全漏洞所導(dǎo)致的攻擊事件。對(duì)于這個(gè)事件的本身是前車之鑒又加強(qiáng)國(guó)內(nèi)電力系統(tǒng)的工控安全建設(shè)，也就是說如果我們能夠在之前預(yù)警到這些能夠知道這些分析到它的漏洞，能夠掃描到漏洞就可以有效的避免這個(gè)問題，這就是我們?yōu)槭裁匆蓄A(yù)警態(tài)勢(shì)感知平臺(tái)的緯度。

　　我們剛剛說針對(duì)于委內(nèi)瑞拉的事情利用一些漏洞，我這里統(tǒng)計(jì)了近年來安全漏洞的事件，另外一點(diǎn)隨著剛剛前面很多專家都提出了萬物互聯(lián)或者說互聯(lián)互通工業(yè)互聯(lián)網(wǎng)，隨著這些關(guān)聯(lián)技術(shù)越來越緊密，這些安全技術(shù)漏洞的利用越來越大，在你沒有完整的防護(hù)固有的系統(tǒng)情況下，能不能盡早的預(yù)警到或者發(fā)現(xiàn)到它的問題，這就是態(tài)勢(shì)預(yù)警平臺(tái)的意義所在。為什么要建立態(tài)勢(shì)預(yù)警感知平臺(tái)是這么一個(gè)層面，我們對(duì)工業(yè)控制系統(tǒng)和工業(yè)互聯(lián)網(wǎng)系統(tǒng)和工業(yè)物聯(lián)網(wǎng)系統(tǒng)三個(gè)層面，第一個(gè)攻擊的方式網(wǎng)絡(luò)接觸從可能產(chǎn)生的攻擊幾個(gè)層面來分析，第一個(gè)是網(wǎng)絡(luò)解除從外網(wǎng)訪問和外部設(shè)備的接入還有內(nèi)部的登陸，實(shí)際上介子攻擊或者縱向的潛入。另外實(shí)時(shí)打擊從哪幾個(gè)方面，第一個(gè)是破壞性的操作，還是植入傳播性的病毒還有干擾系統(tǒng)的運(yùn)行，還是竊聽涉密信息，它攻擊的準(zhǔn)備就會(huì)涉及到安全程序運(yùn)行相應(yīng)的權(quán)限是這么一個(gè)平臺(tái)，那么對(duì)于構(gòu)建態(tài)勢(shì)預(yù)警感知平臺(tái)就提供了非常好的思維，我們要防御這些東西就要及早的開展監(jiān)測(cè)，事先完成對(duì)風(fēng)險(xiǎn)預(yù)防預(yù)控以及在事中對(duì)于及早的發(fā)現(xiàn)把潛在的風(fēng)險(xiǎn)給消滅掉，這對(duì)于公安系統(tǒng)的安全監(jiān)控，建立在工控網(wǎng)絡(luò)的安全攻擊態(tài)勢(shì)預(yù)警平臺(tái)，所以這就是我們建立這個(gè)平臺(tái)的另外分析的緯度。

　　這里就是我們建立一個(gè)針對(duì)公安控制系統(tǒng)態(tài)勢(shì)感知平臺(tái)的必要性，我們?cè)趺慈シ治鏊谋匾?？我們通過一個(gè)對(duì)比，一般通用的監(jiān)控技術(shù)都是采用流量和報(bào)文進(jìn)行分析，工業(yè)互聯(lián)網(wǎng)服務(wù)器的協(xié)議進(jìn)行監(jiān)測(cè)和分析，對(duì)網(wǎng)絡(luò)進(jìn)行隔離。但是對(duì)于我們工業(yè)控制系統(tǒng)，因?yàn)樗且粋€(gè)比較穩(wěn)定的，網(wǎng)絡(luò)服務(wù)是有可控的，這個(gè)系統(tǒng)明顯不是最佳的選擇，因?yàn)閺倪@幾個(gè)緯度。

　　第一、監(jiān)測(cè)的對(duì)象來說，官方系統(tǒng)監(jiān)測(cè)的對(duì)象主要是工業(yè)控制系統(tǒng)當(dāng)中的各種設(shè)備協(xié)議日志以及包括傳統(tǒng)信息安全數(shù)據(jù)報(bào)文這幾個(gè)緯度，另外監(jiān)測(cè)的手段傳統(tǒng)信息安全是網(wǎng)絡(luò)流量及報(bào)文內(nèi)容的分析，對(duì)于我們工業(yè)控制系統(tǒng)它是被監(jiān)測(cè)對(duì)象自身感知的設(shè)備級(jí)的監(jiān)測(cè)，為什么？就像前面大家說的OT這些網(wǎng)絡(luò)就會(huì)涉及到OS、CS這些工程師賬戶操作員這些設(shè)備，這些都是我們?cè)O(shè)備自身的東西。而監(jiān)測(cè)的內(nèi)容就是利用已知漏洞的攻擊行為，對(duì)于我們工業(yè)控制系統(tǒng)就是外網(wǎng)到網(wǎng)絡(luò)訪問外部設(shè)備的接入用戶登陸人員操作等這幾個(gè)方面的事件，那么對(duì)于典型的設(shè)備就是IDS防火墻這些，對(duì)于工控系統(tǒng)就是網(wǎng)絡(luò)安全特殊的監(jiān)測(cè)，包括了感知加密傳輸以及數(shù)據(jù)采集到展示方方面面的事情。所以這就迫切希望我們研發(fā)一套針對(duì)工業(yè)監(jiān)控的系統(tǒng)，面向社會(huì)事件的網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)的工控網(wǎng)絡(luò)安全預(yù)警態(tài)勢(shì)感知平臺(tái)，這個(gè)就是我們說的監(jiān)測(cè)建立的必要性。

　　為了加深必要性的了解，我們也列出了現(xiàn)狀，我們?cè)诠I(yè)控制系統(tǒng)當(dāng)中我們看到的現(xiàn)狀以及我們實(shí)際上建立工業(yè)控制系統(tǒng)的態(tài)勢(shì)預(yù)警感知，希望它能夠有效的解決問題索要承擔(dān)的一些事情，我們看到的系統(tǒng)大部分會(huì)說有沒有安全措施，會(huì)說有我們有邊界防火墻這些東西，你這里是否有攻擊行為的黑客電腦在這里攻擊，外面有防火墻縱向加密裝置這些，一旦對(duì)于內(nèi)部可能產(chǎn)生的風(fēng)險(xiǎn)沒有辦法監(jiān)控，也就是說它是由外到內(nèi)縱向的攻擊有一些手段，當(dāng)然對(duì)于工業(yè)企業(yè)來說它這些東西大部分都是好多年沒有更新過的，我們調(diào)研過電廠有好幾百個(gè)基本上都是這樣子沒有任何的更新，我們要做的態(tài)勢(shì)預(yù)警感知平臺(tái)要解決邊界的問題，同時(shí)要解決內(nèi)部的包括數(shù)據(jù)庫操作系統(tǒng)服務(wù)器，還有它邊界的防火墻，以及正反向隔離裝置加密，以及它自身在終端設(shè)備的數(shù)據(jù)庫，以及工業(yè)控制系統(tǒng)特有的工控設(shè)備它本身的這些行為，這些日志以及它數(shù)據(jù)報(bào)文都能做相應(yīng)的分析，能夠處置做到真正的預(yù)警態(tài)勢(shì)感知分析。

　　在這個(gè)基礎(chǔ)上，這就是我們說的必要性，那么做這個(gè)事情的基礎(chǔ)上大家會(huì)問你做這個(gè)是不是自己憑空想象的我們需要法律政策的支撐，這個(gè)是國(guó)家的層面大家可以看到從2014年、2016年、2018年這些都有相應(yīng)的國(guó)家層面相應(yīng)的政策法規(guī)做支撐。另外一個(gè)是行業(yè)政策的支撐，大家可以看到分析這幾年行業(yè)的政策支撐，尤其是在電力能源以及水利一塊，還有工信部這些層面基本上是年年都有相應(yīng)的政策法規(guī)來針對(duì)于關(guān)鍵技術(shù)設(shè)施和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的政策出臺(tái)。大家看一下這是水利，為什么提這個(gè)？因?yàn)槲覀冊(cè)谒@一塊參與的比較多，最近招標(biāo)的是實(shí)施國(guó)家信息安全專項(xiàng)，丹江口水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全感知工程，這個(gè)是影響非常大的也是目前為止在水利國(guó)家級(jí)層面對(duì)工控安全做的比較大的態(tài)勢(shì)感知防護(hù)的東西，也是貫徹落實(shí)網(wǎng)絡(luò)安全法等級(jí)保護(hù)條例的示范性工程。

　　另外一個(gè)是能源局，大家可以看到紅色標(biāo)出了對(duì)企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知平臺(tái)，還有建設(shè)網(wǎng)絡(luò)感知環(huán)境也有相應(yīng)的提到，以及網(wǎng)絡(luò)安全自主創(chuàng)新安全可控的內(nèi)容，這個(gè)是國(guó)家電網(wǎng)公司設(shè)備自身感知監(jiān)測(cè)裝置就地采集以及平臺(tái)統(tǒng)一監(jiān)管這都是態(tài)勢(shì)感知的內(nèi)容，所以從這些層面都有相應(yīng)的政策法規(guī)支撐態(tài)勢(shì)感知平臺(tái)的建設(shè)。

　　大家知道了必要性也有相應(yīng)的政策支撐，大家就會(huì)問態(tài)勢(shì)感知平臺(tái)建設(shè)的原則和能達(dá)到的目標(biāo)是什么？我們從業(yè)務(wù)目標(biāo)功能目標(biāo)三個(gè)緯度來驗(yàn)證，第一個(gè)原則一定要繼承已有的優(yōu)勢(shì)，不能說因?yàn)槲覀內(nèi)ソㄟ@個(gè)態(tài)勢(shì)感知的平臺(tái)就把已有的安全的東西全部否定，所以我們要鞏固現(xiàn)有的控制系統(tǒng)布防的安全策略和防護(hù)手段，通過閉環(huán)管理手段進(jìn)一步的加強(qiáng)。我們剛剛說的大部分的企業(yè)已經(jīng)有邊界的防火墻和隔離裝置，我們不能把它們踢出我們要很好的利用它，我們把它防護(hù)以及業(yè)務(wù)數(shù)據(jù)分兩個(gè)緯度分別采集起來。第一是做分析，第二做業(yè)務(wù)數(shù)據(jù)的分析，從兩個(gè)緯度分析了網(wǎng)絡(luò)安全性，還有一個(gè)創(chuàng)新性的發(fā)展在用到設(shè)備的基礎(chǔ)上我們要做對(duì)監(jiān)測(cè)技術(shù)分析手段更加豐富，同時(shí)具備必要的響應(yīng)處置手段，這個(gè)怎么去講？作為不同的工業(yè)系統(tǒng)運(yùn)營(yíng)系統(tǒng)是不同的，可能要通過抓業(yè)務(wù)數(shù)據(jù)流以及對(duì)它的業(yè)務(wù)模型進(jìn)行建模，因?yàn)槲覀冋f有OS、CS這些設(shè)備方面的內(nèi)容，我們可能要做一些相應(yīng)采集的處理，可能會(huì)有一些數(shù)據(jù)采集抓取的工具，這就是創(chuàng)新性的發(fā)展。

　　另外還有面向設(shè)備事件的監(jiān)視技術(shù)，因?yàn)槲覀冋f有很多新的設(shè)備，很多新的系統(tǒng)，所以是基于事件監(jiān)視技術(shù)分布式工業(yè)網(wǎng)絡(luò)安全管理措施，因?yàn)槲覀兇蟛糠值墓I(yè)控制系統(tǒng)都是分布式的，那么業(yè)務(wù)的目標(biāo)就是第一要外部入侵的有效手段，我們建立態(tài)勢(shì)預(yù)警感知，大部分的內(nèi)容是說在你沒有完整的能夠阻斷所有控制的基礎(chǔ)上，我能夠?qū)λM(jìn)行預(yù)警，比如說第一個(gè)車間受到的攻擊馬上能夠預(yù)警到第二第三第四個(gè)車間也可能出現(xiàn)這個(gè)問題，也達(dá)到了一種對(duì)于外部入侵的有效手段，還有外部干擾的有效隔離，怎么樣隔離這一塊的東西。第三個(gè)內(nèi)部介入有效的遏制，還有安全風(fēng)險(xiǎn)的有效管控，你能夠通過可視化的東西事前分析到可能導(dǎo)致的問題，第三個(gè)緯度就是管控的目標(biāo)支持安全保護(hù)措施的閉環(huán)管理。我能夠通過日志這種安全產(chǎn)品的日志以及主機(jī)產(chǎn)品運(yùn)行的信息，以及相應(yīng)的工業(yè)控制本身設(shè)備數(shù)據(jù)能夠閉環(huán)的分析到可能出現(xiàn)的問題，盡快的展示它可能遇到的風(fēng)險(xiǎn)，從而更好的防護(hù)好我的工業(yè)控制系統(tǒng)。

　　第二個(gè)支持工業(yè)控制系統(tǒng)安全事件的全方位監(jiān)視和控制有一個(gè)強(qiáng)有力的UI或者相應(yīng)分析的模塊能夠更好的展示相應(yīng)的防護(hù)能力。第三個(gè)點(diǎn)支持工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的態(tài)勢(shì)職能分析，能夠轉(zhuǎn)向它的職能能夠從多個(gè)緯度展現(xiàn)出相應(yīng)的安全風(fēng)險(xiǎn)安全隱患。通過這幾點(diǎn)為了貫徹網(wǎng)絡(luò)安全法以及等級(jí)保護(hù)相關(guān)的規(guī)范要求，所做出的一個(gè)分析。這是構(gòu)建預(yù)警態(tài)勢(shì)感知平臺(tái)的技術(shù)路線，剛剛開始也給大家講了，做的主要檢測(cè)和管理預(yù)警，主要的特點(diǎn)是認(rèn)為任何的網(wǎng)絡(luò)安全事件總是從接觸控制的第一臺(tái)設(shè)備開始發(fā)展蔓延，做好網(wǎng)絡(luò)安全監(jiān)管必須監(jiān)測(cè)從網(wǎng)絡(luò)邊界到服務(wù)器到工作站以及交換網(wǎng)絡(luò)設(shè)備這些具體的設(shè)備入手，從每一臺(tái)設(shè)備的訪問設(shè)備接入人員登陸設(shè)備操作以及程序的運(yùn)行這幾個(gè)方面統(tǒng)一的監(jiān)管，只有把這些監(jiān)管了才能更好的處置網(wǎng)絡(luò)攻擊病毒感染這些事件。

　　所以通過這點(diǎn)我們可以從三個(gè)緯度，第一個(gè)是采用感知采集管控三個(gè)層面對(duì)工業(yè)控制系統(tǒng)進(jìn)行感知平臺(tái)的建設(shè)，大家也可以看一下我這個(gè)圖，大概是這樣標(biāo)的。對(duì)于技術(shù)路線大概的框架是什么？第一是我們的監(jiān)測(cè)，我們說我們工控的態(tài)勢(shì)感知一定是基于設(shè)備的，你要把設(shè)備本身的那些感知信息能夠采集到。第二個(gè)是傳統(tǒng)信息安全把業(yè)務(wù)數(shù)據(jù)能夠采上來，所以第一個(gè)層面就是我們自身的感知涉及到交換網(wǎng)絡(luò)設(shè)備安全設(shè)備安防設(shè)備，防火墻、IDS縱向加密還有主機(jī)設(shè)備終端設(shè)備服務(wù)器工程師站，以及數(shù)據(jù)庫以及工控系統(tǒng)特有的IDS這些，這些是怎么去采集的？這方面是采集相應(yīng)的數(shù)據(jù)，另一方面如果對(duì)于服務(wù)器我們是會(huì)裝一些工具把相應(yīng)的數(shù)據(jù)采集上來，到上一層就要做分層分區(qū)域的采集，就是網(wǎng)絡(luò)安全的行為分析系統(tǒng)這個(gè)是我們自己定義的，其實(shí)就是數(shù)據(jù)采集器，通過加密比如說在電力系統(tǒng)電網(wǎng)系統(tǒng)可能就是61850或者通過別的DMP3這些協(xié)議一級(jí)級(jí)往上傳，因?yàn)椴煌臉I(yè)務(wù)系統(tǒng)走的協(xié)議是不同的，這也是我們工業(yè)控制系統(tǒng)和信息安全系統(tǒng)極大的差別，這也是我們態(tài)勢(shì)感知系統(tǒng)建設(shè)的必要性。所以大家看這就是我們介紹的三層怎么做的，第一層是把它自己的數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)往上傳，第二層從車間廠級(jí)分區(qū)做數(shù)據(jù)綜合匯總，第三層做一個(gè)綜合的態(tài)勢(shì)感知預(yù)警的展示模塊化分析。

　　在這個(gè)基礎(chǔ)上我們有相應(yīng)產(chǎn)品的框架，可以分為這三層的框架，第一層屬于數(shù)據(jù)采集層，使用各種采集數(shù)據(jù)采集流量日志各種資產(chǎn)信息規(guī)劃處理傳輸?shù)胶诵膶?，核心層就?huì)涉及到相應(yīng)的各種數(shù)據(jù)加工處置，模塊化的分析處置，第三層就是數(shù)據(jù)展示層，完全以用戶之間的交互達(dá)到安全預(yù)警事件的監(jiān)控安全運(yùn)行的監(jiān)控這樣一個(gè)目的，這是我們說的基本架構(gòu)，也是我們當(dāng)時(shí)在設(shè)計(jì)之初的初衷。它達(dá)到的功能我們認(rèn)為針對(duì)于工控網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)應(yīng)該有一些功能，大概有這九個(gè)方面。

　　首先你能夠?qū)δ愕馁Y產(chǎn)進(jìn)行管控，那么在發(fā)生任何的攻擊事件之后，至少能夠?qū)τ跀嗑W(wǎng)或者說設(shè)備的故障關(guān)閉狀態(tài)能夠有一個(gè)展示，比如說以打問號(hào)打差的方式顯示沒有連上的這種方式也是預(yù)警態(tài)勢(shì)。另外一個(gè)可管理，能夠很輕松的展現(xiàn)整個(gè)場(chǎng)的網(wǎng)絡(luò)拓補(bǔ)結(jié)構(gòu)，第三點(diǎn)安全事件的管理，你發(fā)生了任何的安全事件以及各種的威脅能夠做相應(yīng)查詢以便于規(guī)避責(zé)任和事件的統(tǒng)計(jì)。第四點(diǎn)說的告警管理又涉及到五個(gè)點(diǎn)網(wǎng)絡(luò)狀態(tài)的檢測(cè)，網(wǎng)絡(luò)流量的檢測(cè)，USB的插拔這一塊的東西，還有在主機(jī)上裝本身運(yùn)行的一些監(jiān)測(cè)。

　　在這個(gè)基礎(chǔ)上又有第五點(diǎn)知識(shí)庫的管理，分別有數(shù)據(jù)收集庫用戶數(shù)據(jù)庫知識(shí)數(shù)據(jù)庫三個(gè)緯度，以及第六但就是認(rèn)知采集和管理，我們說的對(duì)于我們已有的網(wǎng)絡(luò)設(shè)備防火墻縱向加密裝置這些，本身又帶有安全裝置不能拋棄它，我們?cè)趺礃尤プ霭阉陌踩罩灸軌虿缮蟻?，?duì)于前期沒有注意的，但是是工業(yè)控制系統(tǒng)特有的主機(jī)OS、CS這些操作系統(tǒng)能夠采集上來，同時(shí)能夠支持多種協(xié)議采集上來這就是我們說的日志采集和管理，還有關(guān)聯(lián)性的分析，一旦出現(xiàn)了本身在拓展不應(yīng)該出現(xiàn)的相互之間的通信也能夠有關(guān)聯(lián)性的分析，以及各種前期出現(xiàn)的同樣攻擊事件是不是有同樣的關(guān)聯(lián)性做一些模塊化的分析。工業(yè)控制系統(tǒng)行為監(jiān)測(cè)分析，對(duì)于我們說的有的那些DCS，因?yàn)槲覀冇邢鄳?yīng)的知識(shí)庫能夠知道它的起停關(guān)機(jī)以及預(yù)警狀態(tài)比較關(guān)鍵的操作行為，那么就能夠檢測(cè)到工業(yè)控制系統(tǒng)行為的一些異常。第九大應(yīng)急處置是怎么處置的問題，在這里知道了產(chǎn)品的一些功能，以及它能做的一些事情一些架構(gòu)，大家就會(huì)問你們這個(gè)產(chǎn)品到底生產(chǎn)出來了嗎？這個(gè)是肯定的。大家可以看到我們的態(tài)勢(shì)感知平臺(tái)也就是通過以國(guó)網(wǎng)模板做的升級(jí)板，大家可以看到我們把它定義為網(wǎng)絡(luò)安全的行為分析系統(tǒng)，我們通俗的說是采集系統(tǒng)，另外一個(gè)是網(wǎng)絡(luò)行為的管理平臺(tái)綜合匯總平臺(tái)，大家會(huì)問你不是要采集主機(jī)的設(shè)備以及操作信息這個(gè)是白名單化的，我們可以用市面上通用的，也可以用自己本身有的，這就是對(duì)于我們?cè)O(shè)備大概的配置。

　　在這個(gè)基礎(chǔ)上大家會(huì)問你這個(gè)產(chǎn)品主要實(shí)現(xiàn)了哪些功能，這邊是功能的圖，這邊是我們實(shí)現(xiàn)的性能。能力一安全可視，做了資產(chǎn)的識(shí)別業(yè)務(wù)的識(shí)別行為的識(shí)別安全的識(shí)別，第二個(gè)動(dòng)態(tài)的感知做了資產(chǎn)變動(dòng)的動(dòng)態(tài)感知還有安全風(fēng)險(xiǎn)的動(dòng)態(tài)感知，以及我們安全事件的持續(xù)感知，還有異常行為的持續(xù)感知。當(dāng)然這是我們最初比較老的版本新的版本已經(jīng)比個(gè)豐富了非常多的內(nèi)容，大家最關(guān)心的你這個(gè)是怎么部署的？因?yàn)閷?duì)于我們的安全這一套東西不會(huì)給本身的業(yè)務(wù)系統(tǒng)帶來隱患，這個(gè)對(duì)于單獨(dú)成網(wǎng)的，上面這一層是單獨(dú)自己成了一個(gè)網(wǎng)絡(luò)有自己的網(wǎng)絡(luò)行為分析系統(tǒng)，自己的防火墻自己的交換機(jī)自己的采集器自己的網(wǎng)閘以及交換機(jī)這些東西自成一個(gè)網(wǎng)絡(luò)，當(dāng)然下面這些交換機(jī)我們廠里面已經(jīng)有的匯集交換機(jī)以及它的業(yè)務(wù)系統(tǒng)，但是我們自己是一個(gè)單獨(dú)成網(wǎng)，同時(shí)我們又是安全分區(qū)的，不會(huì)對(duì)你區(qū)域之間互聯(lián)互通產(chǎn)生相應(yīng)的影響。

　　大家看到合乎就會(huì)問你到底做了哪些工作？這就是我們能做的一些事，安全事件類、操作類、運(yùn)行信息類，其實(shí)我們還有一個(gè)工控行為類，這一塊是沒歸類出來，對(duì)于每一產(chǎn)品做了哪些處置也是我們可以看到的。對(duì)于裝置本身我們自己的數(shù)據(jù)采集也能做一些信息的采集，咱們裝上的東西不應(yīng)該給系統(tǒng)帶來隱患的，所以我們自己也會(huì)帶來監(jiān)控。另外主機(jī)設(shè)備就是CS、OS這些東西，以及PLC、DCS這些東西，都會(huì)做一些相應(yīng)的處置，這是我們的設(shè)備。這是我們的安全設(shè)備，大家說為什么只有防火墻和隔離裝置？其他的也有，其他的沒有列出來。這個(gè)是態(tài)勢(shì)感知平臺(tái)，因?yàn)楝F(xiàn)在互網(wǎng)行動(dòng)很多設(shè)備一下斷掉之后我們能展示的就是有相應(yīng)的拓展，但是就是連不上了這個(gè)是受到攻擊之后的展示下面有分析。

　　這個(gè)是典型的案例，大家可以看到自己成網(wǎng)的在火電廠，火電廠分為一期二期三期，還有生產(chǎn)控制大區(qū)和管理大區(qū)的東西，我們通過隔離的網(wǎng)站每一次采集都有相應(yīng)的隔離網(wǎng)把它隔離出來然后通過匯總做到綜合態(tài)勢(shì)預(yù)警分析。當(dāng)然在我們的主機(jī)上也裝了相應(yīng)的白名單軟件自己的東西，做相關(guān)日志操作的采集，然后傳到監(jiān)管平臺(tái)，這個(gè)是水電站這些也是同樣的道理分三個(gè)區(qū)。大家就會(huì)問這是已經(jīng)建好的系統(tǒng)，我現(xiàn)在建怎么做這個(gè)系統(tǒng)？這個(gè)是我們針對(duì)智能制造的系統(tǒng)，我們把它各個(gè)車間區(qū)域分好，對(duì)于相應(yīng)的分區(qū)域的東西統(tǒng)一的采集到一級(jí)級(jí)的數(shù)據(jù)做數(shù)據(jù)的采集，最終傳到態(tài)勢(shì)預(yù)警的分析平。