安全知識圖譜 深挖兩安融合，加強風險防控

本文為安全知識圖譜技術白皮書《踐行安全知識圖譜，攜手邁進認知智慧》精華解讀系列第八篇，介紹了基於知識圖譜的安全風險融合分析。

01兩安融合的工業安全風險分析挑戰

工業4.0時代以來，生產效率需求的提升推動了工業物理環境的互聯互通，然而，網路環境的連線也帶來了資訊保安風險和一系列新的安全挑戰。工業安全內涵也由單一的功能安全Safety或資訊保安Security演變為兩者的融合。安全是風險控制的結果，傳統工業中的IT和OT環境相對隔離，資訊層和物理層各自的安全風險來源比較單一，可以單獨地根據對應的分析方法和技術得到。現代工業系統具備典型的資訊物理融合系統（CPS）特點，其自身的複雜性和工業現場環境的多樣性決定了工業安全風險來源多種多樣，需要進行全面的系統安全風險識別、分析和管理。

在實際工業現場環境中，基於IEC 61508和IEC 62443安全思想，以安全儀表系統（SIS）為代表的功能安全防護系統，透過感測器感知特定的物理引數（溫度、壓力、距離、位置等），然後邏輯單元將檢知的引數值進行計算比較，判斷狀態是否正常。以入侵檢測系統（IDS）為代表的資訊保安防護系統對網路傳輸資料包或主機狀態資訊進行線上監測，提取分析相關的資料特徵，識別其中的異常資料。儘管兩者都有海量的監測資料供系統分析，但單一的檢測結果並不足以展現工業系統安全態勢全貌，需要包含相關上下文的技術解決方案來快速瞭解一系列報警背後的總體情況，這樣才能避免浪費時間在孤立節點上，從而節省出更多時間進行風險緩解決策和採取行動。

02基於知識圖譜的安全風險融合分析

隨著工業生產的發展，系統安全分析方法和技術也在不斷提高，大致可以分為三個階段：第一階段，依賴安全分析人員經驗和儀表判斷的原始知識處理階段。在該階段，由領域專家或維護人員對現場裝置狀況進行監測，根據裝置執行狀態特徵和經驗，人工進行危險源的識別和定位；第二階段，隨著資訊傳輸和處理技術的提升，基於感測器和計算機技術的結合，技術人員能夠線上對裝置進行自動化安全分析，但在系統風險的識別處理過程中依然需要人員參與；第三階段，在工業現場生產裝置日趨複雜的場景下，以往的安全分析技術難以解決系統執行中出現的各種問題狀況，因此需要將深度學習和人工智慧方法引入到該領域，透過計算機模擬相關領域專家對系統進行安全分析，實現對系統安全風險的快速推理和定位。

知識圖譜以結構化的形式描述客觀世界中概念、實體及其關係，以更接近於人類認知世界的形式表達，提供了一種更好地組織和管理海量知識的能力。

利用知識圖譜構建工業過程知識庫，能夠較全面的展現工業控制系統執行過程中的變數及其關係，為後續的安全風險分析提供視覺化支援。將知識圖譜作為知識智慧應用的基礎設施，從多個異構安全資料來源中自動收集工業過程資訊，將有關已知的功能安全和資訊保安知識整合在一個資料模型中，安全系統就可以推理出工業網路中可能存在的潛在風險。根據自身知識庫的安全分析結果來預測業務過程中的危險，並提供一種查詢機制，幫助安全管理人員掌握安全動態，及時做出決策響應。

基於知識圖譜的工業系統兩安融合風險分析過程如下圖所示，主要分為離線和線上兩個階段。離線階段，基於功能安全和資訊保安領域專家知識，利用Security和Safety聯合分析方法構建兩者關係的本體模型，結合收集的系統歷史執行資料，建立工業系統安全知識圖譜；線上階段，分別在資訊側和物理側採集實時的系統安全監測資料，利用離線階段建立的安全知識圖譜，進行相關安全分析，並藉助分析結果，實現對工業控制系統安全態勢的線上感知。

基於知識圖譜的工業系統兩安融合風險分析示意圖

03總結

美國國家標準與技術研究院（NIST）釋出的《工業控制系統安全指南》（NIST-SP800-82）對風險管理提出明確要求：“負責操作、保護和維護ICS的人員必須瞭解Safety和Security之間的重要聯絡”。知識圖譜擅長從“關係”角度分析問題，透過關聯工業執行過程的報警資料對系統安全形勢做出判斷。相比於傳統工業安全風險分析依賴人員參與，知識圖譜的應用在資料分析範圍、資料探勘深度、資料視覺化分析上都有明顯進步，可以更精準和迅速地描述工業系統物理層和資訊層的風險關係，並依據分析結果及時做出風險預判，制定相關對策，保障工業過程安全穩定執行。