隨著越來越多的工控設(shè)備接入到互聯(lián)網(wǎng)當(dāng)中，工控網(wǎng)絡(luò)安全管理面臨更多考驗(yàn)。根據(jù) CNVD的統(tǒng)計(jì)，2010年之后的工控系統(tǒng)行業(yè)漏洞數(shù)量達(dá)到2500多條，綜合近幾年全球互聯(lián)網(wǎng)爆發(fā)的工控安全事件可以看出，造成工控網(wǎng)絡(luò)安全問題的主要原因是工控協(xié)議的脆弱性，很容易受到攻擊。

針對(duì)這些工控網(wǎng)絡(luò)安全問題，需要對(duì)工控資產(chǎn)進(jìn)行全面的安全治理。而安全治理首先要進(jìn)行資產(chǎn)探測，全面識(shí)別工控設(shè)備資產(chǎn)；其次，要對(duì)工控設(shè)備資產(chǎn)進(jìn)行脆弱性檢查；最后，針對(duì)探測到的漏洞進(jìn)行修補(bǔ)和下線整改?？梢姡绾巫龅綄?duì)工控設(shè)備資產(chǎn)的全面探測是我們首要要解決的問題。

目前，資產(chǎn)探測的方法主要分為三種：主動(dòng)探測、被動(dòng)探測和基于搜索引擎的非入侵式探測。

主動(dòng)探測，是指通過主動(dòng)向目標(biāo)網(wǎng)絡(luò)發(fā)送構(gòu)造的數(shù)據(jù)包，并從返回的數(shù)據(jù)包中通過指紋數(shù)據(jù)庫中的海量指紋規(guī)則，快速識(shí)別出資產(chǎn)的屬性信息（設(shè)備類型、廠商、品牌、型號(hào)、服務(wù)、協(xié)議等）。

被動(dòng)探測，是指采集目標(biāo)網(wǎng)絡(luò)的流量，對(duì)流量中數(shù)據(jù)包中的特殊字段或者指紋特征進(jìn)行分析，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)信息的探測。

基于搜索引擎的探測，是指依托搜索引擎獲取的網(wǎng)絡(luò)爬蟲結(jié)果或?qū)Ｓ梅?wù)器掃描結(jié)果，提供一種搜索查詢的方式間接的實(shí)現(xiàn)資產(chǎn)探測。

主動(dòng)探測方法適用于各種規(guī)模的網(wǎng)絡(luò)，探測速度快且能夠探測不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)。被動(dòng)探測方法入侵性小，支持歷史數(shù)據(jù)的積累，但應(yīng)用范圍僅限于內(nèi)網(wǎng)，對(duì)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)無效?；谒阉饕娴姆侨肭质教綔y，隱蔽性強(qiáng)、速度快但是探測能力受限于搜索引擎的數(shù)據(jù)獲取能力，準(zhǔn)確率相對(duì)較低。

工控系統(tǒng)中通信存在著眾多的協(xié)議和標(biāo)準(zhǔn)，盛邦安全網(wǎng)絡(luò)空間探測系統(tǒng)可以完成對(duì)大量工控協(xié)議進(jìn)行探測，基于主動(dòng)探測技術(shù)實(shí)現(xiàn)對(duì)工控設(shè)備資產(chǎn)的節(jié)點(diǎn)探測、指紋探測和脆弱性探測，可探測的工控資產(chǎn)指紋，如VTScada、Westermo MRD-455、Schneider Modicon M340、Siemens Scalance M800、Carrier BACNET-HVAC-CONTROLLERS等，如下圖所示。

圖1 工控資產(chǎn)指紋

網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)的資產(chǎn)信息展示如下圖所示：

圖2 資產(chǎn)信息1

圖3 資產(chǎn)信息2

盛邦安全網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)，基于工控協(xié)議深度交互的主動(dòng)探測資產(chǎn)識(shí)別技術(shù)，實(shí)現(xiàn)對(duì)工控設(shè)備資產(chǎn)的節(jié)點(diǎn)、指紋、脆弱性進(jìn)行全面探測，可協(xié)助監(jiān)管單位和工業(yè)控制系統(tǒng)用戶全維度普查遺落在互聯(lián)網(wǎng)空間的工控系統(tǒng)，快速定位存在的安全問題，進(jìn)行協(xié)助整改和通報(bào)，不僅為工控資產(chǎn)威脅態(tài)勢感知提供了系統(tǒng)認(rèn)知基礎(chǔ)，更為后續(xù)的工控資產(chǎn)安全威脅分析和應(yīng)急響應(yīng)提供有效支撐。