工控網絡安全態勢感知系統包括哪些層次

工控網絡安全態勢感知系統包括以下層次：

• 數據采集層：數據源是大數據分析的基礎與前提，準確、高質量的數據是安全分析效果的保證。數據采集層針對用戶對態勢感知的場景需求，依托數據采集對象和采集內容，定義分析場景和建模。采集對象包括數據交換設備、網絡安全設備、服務器等主機設備、移動終端設備等。數據源包括網絡設備、主機、應用、安全設備等記錄的日志數據和告警信息，異常流量數據和按規則匹配的網絡流量數據，整個網絡中所有的資產信息、相關的人員信息、賬號信息，以及與資產相關的漏洞信息、脆弱性信息和威脅情報信息等輔助信息數據，為進一步場景化的態勢感知分析需求提供數據支撐。

• 數據處理層：對多源、異構數據進行去重、清洗、標準化、標識等操作，從而提高安全分析的可信度，降低誤報率。其中，數據標準化是從原始數據信息中解析出各個不同的屬性信息，將原始數據轉換為統一的標準化數據，為后續分析處理提供統一的標準化數據結構；數據標識是在海量數據環境下，利用模式識別、深度學習、大數據分析技術和人工智能技術來識別和分離不明數據。

• 數據存儲層：數據存儲用于對采集到的不同類型數據進行分類存儲，以滿足數據分析的要求，支持多種數據格式的存儲，提供多種存儲方式。采集數據的類別包括流量監測類、主動探測類、布點監測類、樣本分析類等。實現對網絡關鍵節點、區域邊界、計算環境內部、網絡基礎設施等部位的監測，側重于重點保護目標的威脅、隱患、風險、事件等的分類匯聚處理和存儲。采用分級、分類、分層模式匯聚資源信息、安全事件信息、網絡和系統運行信息、網絡安全態勢信息、威脅情報等知識庫和重要數據庫，實現各類網絡安全信息的統一融合存儲，為數據共享、安全決策提供基礎支撐。

• 數據分析層：采用大數據計算技術架構，將采集到的數據進行數據處理、分布式高性能存儲和索引后，利用實時關聯分析、歷史關聯分析、機器學習、統計分析、OLAP分析、數據挖掘、惡意代碼分析等多種分析方法對數據進行綜合關聯分析。對所有數據建立索引，便于快速查詢、管理分析和舉證。提供數據訪問調用服務，上層應用進行數據分析和處理時通過接口按需調用。為在線分析、離線分析、就地分析的態勢感知需求提供支撐。

• 展示和告警層：依據數據分析結果，實現網絡安全事件告警、態勢評估、安全預警、追蹤溯源等應用。通過利用自身的態勢模板，對采集數據進行統計分析、能力評估、關聯分析、數據挖掘等操作，生成平臺所需的運行態勢、風險態勢、資源態勢等基礎態勢，如漏洞態勢、惡意程序態勢、DDoS態勢、黑產活躍度態勢等。在基礎態勢分析基礎上進行更高維度的態勢分析，充分結合時事政治、態勢關聯、黑產輿情、安全輿情，對其進行科學、合理的組合，得出網絡安全指數。調用各類基礎數據和知識庫信息，提煉攻擊手段，還原攻擊過程，進行攻擊者溯源，為事件預警和應急指揮提供依據，以全面支撐安全事件快速響應和應急處置工作。

• 安全管理：在數據采集、傳輸、存儲、分析、交換、銷毀等各個環節中，都存在著大量的敏感信息，如漏洞信息、攻擊信息、資產信息等，這些敏感信息的泄漏會帶來嚴重的安全風險。制定數據分級、分類標準，建立數據最小化、最小授權、去隱私化、剩余信息保護等數據管理要求，保護數據的完整性、保密性和可用性，確保數據全生命周期中的安全。建立完善的數據安全管理體系，保障系統正確、安全、可靠運行，防止系統被破壞、滲透或非法使用。

• 自身安全管理：網絡安全態勢感知平臺的安全與信息系統的安全息息相關，它需要接入到信息系統的網絡中進行數據采集，因此其自身的安全也非常重要，包括標識與鑒別、角色管理、遠程管理、自身審計等。

回答所涉及的環境：聯想天逸510S、Windows 10。