隨著越來越多的工控設(shè)備接入到互聯(lián)網(wǎng)當(dāng)中，工控網(wǎng)絡(luò)安全管理面臨更多考驗。根據(jù) CNVD的統(tǒng)計，2010年之后的工控系統(tǒng)行業(yè)漏洞數(shù)量達(dá)到2500多條，綜合近幾年全球互聯(lián)網(wǎng)爆發(fā)的工控安全事件可以看出，造成工控網(wǎng)絡(luò)安全問題的主要原因是工控協(xié)議的脆弱性，很容易受到攻擊。

針對這些工控網(wǎng)絡(luò)安全問題，需要對工控資產(chǎn)進行全面的安全治理。而安全治理首先要進行資產(chǎn)探測，全面識別工控設(shè)備資產(chǎn)；其次，要對工控設(shè)備資產(chǎn)進行脆弱性檢查；最后，針對探測到的漏洞進行修補和下線整改?？梢?，如何做到對工控設(shè)備資產(chǎn)的全面探測是我們首要要解決的問題。

目前，資產(chǎn)探測的方法主要分為三種：主動探測、被動探測和基于搜索引擎的非入侵式探測。

主動探測，是指通過主動向目標(biāo)網(wǎng)絡(luò)發(fā)送構(gòu)造的數(shù)據(jù)包，并從返回的數(shù)據(jù)包中通過指紋數(shù)據(jù)庫中的海量指紋規(guī)則，快速識別出資產(chǎn)的屬性信息（設(shè)備類型、廠商、品牌、型號、服務(wù)、協(xié)議等）。

被動探測，是指采集目標(biāo)網(wǎng)絡(luò)的流量，對流量中數(shù)據(jù)包中的特殊字段或者指紋特征進行分析，從而實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)信息的探測。

基于搜索引擎的探測，是指依托搜索引擎獲取的網(wǎng)絡(luò)爬蟲結(jié)果或?qū)Ｓ梅?wù)器掃描結(jié)果，提供一種搜索查詢的方式間接的實現(xiàn)資產(chǎn)探測。

主動探測方法適用于各種規(guī)模的網(wǎng)絡(luò)，探測速度快且能夠探測不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)。被動探測方法入侵性小，支持歷史數(shù)據(jù)的積累，但應(yīng)用范圍僅限于內(nèi)網(wǎng)，對不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)無效?；谒阉饕娴姆侨肭质教綔y，隱蔽性強、速度快但是探測能力受限于搜索引擎的數(shù)據(jù)獲取能力，準(zhǔn)確率相對較低。

工控系統(tǒng)中通信存在著眾多的協(xié)議和標(biāo)準(zhǔn)，盛邦安全網(wǎng)絡(luò)空間探測系統(tǒng)可以完成對大量工控協(xié)議進行探測，基于主動探測技術(shù)實現(xiàn)對工控設(shè)備資產(chǎn)的節(jié)點探測、指紋探測和脆弱性探測，可探測的工控資產(chǎn)指紋，如VTScada、Westermo MRD-455、Schneider Modicon M340、Siemens Scalance M800、Carrier BACNET-HVAC-CONTROLLERS等，如下圖所示。

圖1 工控資產(chǎn)指紋

網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)的資產(chǎn)信息展示如下圖所示：

圖2 資產(chǎn)信息1

圖3 資產(chǎn)信息2

盛邦安全網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)，基于工控協(xié)議深度交互的主動探測資產(chǎn)識別技術(shù)，實現(xiàn)對工控設(shè)備資產(chǎn)的節(jié)點、指紋、脆弱性進行全面探測，可協(xié)助監(jiān)管單位和工業(yè)控制系統(tǒng)用戶全維度普查遺落在互聯(lián)網(wǎng)空間的工控系統(tǒng)，快速定位存在的安全問題，進行協(xié)助整改和通報，不僅為工控資產(chǎn)威脅態(tài)勢感知提供了系統(tǒng)認(rèn)知基礎(chǔ)，更為后續(xù)的工控資產(chǎn)安全威脅分析和應(yīng)急響應(yīng)提供有效支撐。