安全知识图谱 | 深挖两安融合,加强风险防控

2022-01-21 19:15:05 浏览数 (1)

全文共1749字,阅读大约需3分钟。

本文为安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第八篇,介绍了基于知识图谱的安全风险融合分析。

01两安融合的工业安全风险分析挑战

工业4.0时代以来,生产效率需求的提升推动了工业物理环境的互联互通,然而,网络环境的连接也带来了信息安全风险和一系列新的安全挑战。工业安全内涵也由单一的功能安全Safety或信息安全Security演变为两者的融合。安全是风险控制的结果,传统工业中的IT和OT环境相对隔离,信息层和物理层各自的安全风险来源比较单一,可以单独地根据对应的分析方法和技术得到。现代工业系统具备典型的信息物理融合系统(CPS)特点,其自身的复杂性和工业现场环境的多样性决定了工业安全风险来源多种多样,需要进行全面的系统安全风险识别、分析和管理。

在实际工业现场环境中,基于IEC 61508和IEC 62443安全思想,以安全仪表系统(SIS)为代表的功能安全防护系统,通过传感器感知特定的物理参数(温度、压力、距离、位置等),然后逻辑单元将检知的参数值进行计算比较,判断状态是否正常。以入侵检测系统(IDS)为代表的信息安全防护系统对网络传输数据包或主机状态信息进行在线监测,提取分析相关的数据特征,识别其中的异常数据。尽管两者都有海量的监测数据供系统分析,但单一的检测结果并不足以展现工业系统安全态势全貌,需要包含相关上下文的技术解决方案来快速了解一系列报警背后的总体情况,这样才能避免浪费时间在孤立节点上,从而节省出更多时间进行风险缓解决策和采取行动。

02基于知识图谱的安全风险融合分析

随着工业生产的发展,系统安全分析方法和技术也在不断提高,大致可以分为三个阶段:第一阶段,依赖安全分析人员经验和仪表判断的原始知识处理阶段。在该阶段,由领域专家或维护人员对现场设备状况进行监测,根据设备运行状态特征和经验,人工进行危险源的识别和定位;第二阶段,随着信息传输和处理技术的提升,基于传感器和计算机技术的结合,技术人员能够在线对设备进行自动化安全分析,但在系统风险的识别处理过程中依然需要人员参与;第三阶段,在工业现场生产设备日趋复杂的场景下,以往的安全分析技术难以解决系统运行中出现的各种问题状况,因此需要将深度学习和人工智能方法引入到该领域,通过计算机模拟相关领域专家对系统进行安全分析,实现对系统安全风险的快速推理和定位。

知识图谱以结构化的形式描述客观世界中概念、实体及其关系,以更接近于人类认知世界的形式表达,提供了一种更好地组织和管理海量知识的能力。

利用知识图谱构建工业过程知识库,能够较全面的展现工业控制系统运行过程中的变量及其关系,为后续的安全风险分析提供可视化支持。将知识图谱作为知识智能应用的基础设施,从多个异构安全数据源中自动收集工业过程信息,将有关已知的功能安全和信息安全知识整合在一个数据模型中,安全系统就可以推理出工业网络中可能存在的潜在风险。根据自身知识库的安全分析结果来预测业务过程中的危险,并提供一种查询机制,帮助安全管理人员掌握安全动态,及时做出决策响应。

基于知识图谱的工业系统两安融合风险分析过程如下图所示,主要分为离线和在线两个阶段。离线阶段,基于功能安全和信息安全领域专家知识,利用Security和Safety联合分析方法构建两者关系的本体模型,结合收集的系统历史运行数据,建立工业系统安全知识图谱;在线阶段,分别在信息侧和物理侧采集实时的系统安全监测数据,利用离线阶段建立的安全知识图谱,进行相关安全分析,并借助分析结果,实现对工业控制系统安全态势的在线感知。

基于知识图谱的工业系统两安融合风险分析示意图

03总结

美国国家标准与技术研究院(NIST)发布的《工业控制系统安全指南》(NIST-SP800-82)对风险管理提出明确要求:“负责操作、保护和维护ICS的人员必须了解Safety和Security之间的重要联系”。知识图谱擅长从“关系”角度分析问题,通过关联工业运行过程的报警数据对系统安全形势做出判断。相比于传统工业安全风险分析依赖人员参与,知识图谱的应用在数据分析范围、数据挖掘深度、数据可视化分析上都有明显进步,可以更精准和迅速地描述工业系统物理层和信息层的风险关系,并依据分析结果及时做出风险预判,制定相关对策,保障工业过程安全稳定运行。

0 人点赞