网络攻防学习笔记 Day121

面向资产/漏洞/配置/补丁的系统安全是一套体系化综合运营服务方案，它以内生安全为核心理念，集合多种产品能力，通过专职系统安全人员的运营而形成以资产和风险为核心的企业资产安全管理系统，以“工具平台+人员运营服务”的模式进行交付，旨在解决企业和机构安全防护中的基础设施安全管理挑战，把基础安全工作从定期检查模式转变为可持续验证模式，切实提高客户从资产完整性到漏洞修复的闭环的安全运营服务。

安全配置管理（SecureConfiguration Management，SCM）是指管理和控制信息系统的配置，以实现安全性并促进信息安全风险的管理，一般包括 4 个步骤：

1.资产发现。

2.为每种受管设备类型定义安全基线。

3.根据预先定义的频率策略，评估管理的设备。

4.确保问题得到修复或准许它作为异常存在。

资产采集技术分为主动感知与被动收集。主动感知可对所有在线设备进行网络扫描和深入识别，获取终端的网络地址、系统指纹、资产指纹、开放端口和服务等，并根据积累和运营的指纹库确定每个终端的类型、操作系统、厂商信息。被动收集通过采集资产间的流量数据，发现隐匿资产、孤岛资产以及易被黑客攻击的资产。

工业控制系统（ICS）是工业生产网络的核心组成部分，由控制设备、传感执行设备、系统软件以及通信网络构成。典型的控制系统包括数据采集与监视控制系统（SCADA）、集散控制系统（DCS）、可编程逻辑控制器（PLC）等。

工业生产网已形成了广获共识的层次结构模型，按功能分为 5 个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。

工业生产网的安全可以从工业生产和网络连接两个视角分析。从工业生产视角看，安全的重点是保护智能化生产的连续性、可靠性，关注智能装备、工业控制设备及应用系统的安全；从网络连接视角看，安全主要保障个性化定制、网络化协同以及服务化延伸等边缘云计算的安全运行，防止重要数据泄露，保护工业 App 安全，并提供持续的服务能力。

工业生产网已发展了多套成熟的通信协议，主流的有几十种，大致分为工业总线协议和工业以太网协议两大类，如 Modbus、S7、OPC、Profinet、IEC104 等。工控协议的识别能力是安全设备工作的基础，也是评价产品能力的重要指标。

内部威胁攻击者一般是指企业或组织的员工（在职或离职）、承包商以及商业伙伴等，他们具有企业或组织的系统、网络以及数据的访问权；内部威胁就是内部威胁攻击者利用合法获得的访问权对企业或组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为。

网络 DLP 系统基于内容识别、自然语言处理、机器学习、数字指纹、OCR 等技术，对常见数据格式和网络协议进行深度解析。它可以有效识别敏感数据，监控敏感数据的使用情况，防止特定的敏感数据或信息资产以违反安全策略规定的形式流出企业。