面向關鍵基礎設施的工業(yè)互聯網安全監(jiān)測與態(tài)勢感知系統(tǒng)
引言:
天融信科技集團創(chuàng)始于1995年(簡稱天融信),自1996年推出填補國內空白的首臺自主知識產權防火墻起,如今已成長為中國領先的網絡安全、大數據與云服務提供商。天融信自成立至今為工業(yè)企業(yè)提供了大量優(yōu)質的解決方案,覆蓋電力、軌道交通、航空航天、軍工、能源、石油化工、機械制造、國防工業(yè)、汽車、電子等行業(yè)領域。目前獲得包括CCID、工業(yè)互聯網產業(yè)聯盟等頒發(fā)的優(yōu)秀解決方案、優(yōu)秀應用案例等多個獎項。天融信始終以捍衛(wèi)國家網絡空間安全為己任,創(chuàng)新超越,致力于成為民族安全產業(yè)的領導者、領先安全技術的創(chuàng)造者和數字時代安全的賦能者。
工業(yè)互聯網概念的提出和近年來的快速發(fā)展?jié)M足了“管控一體化”、工業(yè)智能化等工業(yè)企業(yè)發(fā)展需要,是工業(yè)企業(yè)提升信息化技術、創(chuàng)新應用的必然趨勢,在現階段和未來工業(yè)互聯網行業(yè)蓬勃發(fā)展的背景環(huán)境下,如何構建全方位的、融合傳統(tǒng)IT網絡安全技術與工業(yè)OT網絡安全技術的綜合技術保障體系是工業(yè)互聯網企業(yè)共同面對的技術難題。
現階段對于某省區(qū)域的工業(yè)互聯網企業(yè)的安全狀態(tài),目前缺乏必要的監(jiān)管技術措施,難以從全局角度洞悉該區(qū)域的工業(yè)互聯網企業(yè)的網絡安全態(tài)勢,對于各工業(yè)互聯網企業(yè)的相關安全信息,也無法進行有效的整合和利用,及時發(fā)現潛在的安全威脅。
面向省級的工業(yè)互聯網安全監(jiān)測與態(tài)勢感知系統(tǒng)是構建全方位的工業(yè)互聯網安全綜合保障網絡體系的重要基礎。通過打造企業(yè)內部工業(yè)互聯網態(tài)勢感知系統(tǒng),完成態(tài)勢的細粒度分析,并將態(tài)勢感知系統(tǒng)與省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知系統(tǒng)聯動,實現省級工業(yè)互聯網安全全面及實時的監(jiān)測。
一、項目概況
本案例是在某省區(qū)域建設企業(yè)級態(tài)勢分析系統(tǒng)和省級工業(yè)互聯網安全態(tài)勢感知平臺,實現省級工業(yè)互聯網安全全面及實時的監(jiān)測,并與國家平臺實現數據共享與交換。通過項目的實施,有助于推動互聯網與該省工業(yè)深度融合,優(yōu)化產業(yè)結構,提升產業(yè)競爭力,打造經濟發(fā)展新動能,打造工業(yè)互聯網產業(yè)新生態(tài)。
1. 項目背景
工業(yè)互聯網推進工業(yè)生產過程不斷靈活化、柔性化,企業(yè)、用戶、產品之間將高度協同、開放、共享,工業(yè)互聯網安全邊界越發(fā)模糊,攻擊面不斷擴大,未來安全將向設備、網絡、控制、數據、應用全方面滲透。安全是保障工業(yè)互聯網發(fā)展的重要前提,亟需從技術、管理、服務等多角度協同構建工業(yè)互聯網安全發(fā)展環(huán)境。
我國也高度關注工業(yè)互聯網安全的新形勢。中央領導從總體國家安全觀的高度指出,安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進。這個論述,把安全提到了一個前所未有的新高度。在工業(yè)互聯網時代,網絡安全至關重要,企業(yè)必須高度重視網絡和大數據安全問題,否則后果將是災難性的。
2017年11月國務院推出《關于深化“互聯網+先進制造業(yè)”發(fā)展工業(yè)互聯網的指導意見》該意見提出以“強化安全保障”為指導思想、“安全可靠”為基本原則,明確“建立工業(yè)互聯網安全保障體系、提升安全保障能力”的發(fā)展目標,部署“強化安全保障”的主要任務,為工業(yè)互聯網安全保障工作制定了時間表和路線圖。意見提出以來,國內工業(yè)互聯網建設的頂層設計逐步加強,相關工作有序推動,國家和地方政府密集出臺了一系列的相關政策來推動工業(yè)互聯網的落地實施。為貫徹落實國務院《關于深化“互聯網+先進制造業(yè)”發(fā)展工業(yè)互聯網的指導意見》,前瞻布局工業(yè)互聯網,全面支撐制造強國和網絡強國建設,工業(yè)和信息化部、財政部決定聯合開展2018年工業(yè)互聯網創(chuàng)新發(fā)展工程項目工作。我司為了響應國家的工業(yè)互聯網建設需求,申報了2018年工業(yè)互聯網創(chuàng)新發(fā)展工程。
2. 項目簡介
本案例是在某省區(qū)域建設企業(yè)級態(tài)勢分析系統(tǒng)和省級工業(yè)互聯網安全態(tài)勢感知平臺。通過建設企業(yè)級態(tài)勢分析系統(tǒng),向省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺提供監(jiān)測數據;通過構建省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺,實現數據共享與交換,通過接口向國家工業(yè)互聯網網絡安全監(jiān)測與態(tài)勢感知技術平臺提供監(jiān)測數據。通過該項目的實施,有助于推動互聯網與該省工業(yè)深度融合,優(yōu)化產業(yè)結構,提升產業(yè)競爭力,打造經濟發(fā)展新動能,打造工業(yè)互聯網產業(yè)新生態(tài)。
3. 項目目標
通過建設工業(yè)互聯網省級安全監(jiān)管平臺,可以從監(jiān)管層面全局洞悉工業(yè)互聯網企業(yè)的網絡安全態(tài)勢,解決工業(yè)互聯網關鍵基礎設施制造行業(yè)面臨的網絡安全保障問題。圍繞關鍵信息基礎設施的工業(yè)互聯網監(jiān)測,企業(yè)級態(tài)勢感知系統(tǒng),構建省級安全監(jiān)測與態(tài)勢感知平臺。一方面通過采用主動探測的方式,發(fā)現互聯網中工業(yè)相關安全信息,形成互聯網工業(yè)網絡安全底圖,另一方面通過打造企業(yè)內部工業(yè)互聯網態(tài)勢感知系統(tǒng),實現對網絡安全的態(tài)勢覺察、跟蹤、預測和預警,并將態(tài)勢感知系統(tǒng)與平臺聯動,實現省級工業(yè)互聯網安全全面及實時的監(jiān)測。平臺能夠匯聚安全感知各維度信息,實時感知生產系統(tǒng)和設備的運行狀況、風險隱患及企業(yè)管理運行情況等信息,實現對監(jiān)測信息的分類匯聚、精準研判,及時對潛在的網絡安全威脅和風險進行預警,不斷的提升智能制造系統(tǒng)的網絡安全的防護水平。
二、項目實施概況
通過建設分布式工業(yè)互聯網數據采集系統(tǒng)、數據處理及存儲系統(tǒng)等子系統(tǒng),構建省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺和企業(yè)級態(tài)勢分析系統(tǒng),從監(jiān)管層面實現省級工業(yè)互聯網安全全面及實時的監(jiān)測。
1. 項目總體架構和主要內容
圖1項目總體結構
該項目通過打造企業(yè)內部工業(yè)互聯網態(tài)勢感知系統(tǒng),實現對網絡安全的態(tài)勢覺察、跟蹤、預測和預警,同時向省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺提供監(jiān)測數據。工業(yè)互聯網企業(yè)級態(tài)勢分析系統(tǒng)針對工業(yè)互聯網設計,可以提供安全監(jiān)測、威脅情報、安全審計、資產管理、安全處置等功能,通過對工業(yè)互聯網流量的采集、分析、監(jiān)測,結合特定的安全策略,快速有效識別出工業(yè)互聯網中存在的網絡異常事件和網絡攻擊行為并進行實時告警。
省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺的核心系統(tǒng)包括工業(yè)互聯網數據采集子系統(tǒng)、數據處理及存儲子系統(tǒng)、實時數據分析子系統(tǒng)、離線數據分析子系統(tǒng)和工業(yè)互聯網態(tài)勢應用子系統(tǒng)等。其中,工業(yè)互聯網數據采集子系統(tǒng)主要實現對工業(yè)互聯網資產、安全漏洞、安全事件以及流量等數據的采集;工業(yè)互聯網數據處理及存儲子系統(tǒng)主要實現接收并處理工業(yè)互聯網數據采集系統(tǒng)采集的網絡數據,存儲在數據倉庫和分布式文件系統(tǒng)中;數據分析子系統(tǒng)實現對數據的建模和分析;工業(yè)互聯網態(tài)勢應用子系統(tǒng)主要實現對數據的不同維度的展示。
通過省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺的設計,實現省級工業(yè)互聯網安全全面及實時的監(jiān)測,并向國家工業(yè)互聯網安全監(jiān)測與態(tài)勢感知技術平臺提供監(jiān)測數據,實現監(jiān)測數據的共享與交換。
該平臺的建設通過主動探測、流量監(jiān)測、企業(yè)側采集等技術手段,打造了態(tài)勢感知、安全檢測、安全預警、快速處置、追蹤溯源等功能于一體的態(tài)勢感知系統(tǒng),構建“國家-省-企業(yè)”立體全方位的安全保障管理體系,實現對該省工業(yè)互聯網業(yè)務發(fā)展及網絡安全的態(tài)勢研判。
圖2 系統(tǒng)總體技術架構
系統(tǒng)的設計思想是通過一套完整的面向海量數據應用(網絡監(jiān)測數據、專項數據、安全數據等)的數據管理平臺框架,從“數據收集、數據匯總、數據分析、數據展示”全過程對網絡安全態(tài)勢進行分析和展現,平臺以各類組件庫及組件為基礎,遵循體系化、層次化、迭代過程的設計,融入具體業(yè)務應用特性,實現對多類異構數據的集中統(tǒng)一處理,展現有價值的數據信息視圖。
網絡安全態(tài)勢感知系統(tǒng)包括三個層次:業(yè)務系統(tǒng)層、數據存儲中心層、數據采集層:
(1)業(yè)務系統(tǒng)層:通過安全監(jiān)測、安全預警、快速處置、追蹤溯源等業(yè)務功能,提供多維度態(tài)勢統(tǒng)計分析與展示,不但支持全網態(tài)勢、工控態(tài)勢、威脅態(tài)勢、安全底圖態(tài)勢、安全處置態(tài)勢等,而且還包括針對客戶關注的專享態(tài)勢,如資產態(tài)勢、脆弱性態(tài)勢、攻擊態(tài)勢、僵木蠕態(tài)勢、網站監(jiān)測態(tài)勢等展示。
(2)數據存儲與分析層:提供數據的轉換、存儲、分析功能。數據轉換支持的數據類型包括結構化、半結構化、非結構化的數據,提供清洗、歸一化、過濾、歸并、打標簽等數據轉換方式;數據存儲提供分布式文件存儲、數據倉庫、NoSQL數據庫、關系型數據庫等存儲方式,實現對事實數據、結果數據、知識數據的存儲;數據分析提供分析引擎、分析組件、分析模型等。
(3)數據采集層:通過部署分布式的采集探針實現對安全數據、威脅監(jiān)測數據、網絡監(jiān)測數據等數據等的采集,安全數據經過數據匯入后存儲到存儲計算引擎中。
2. 網絡、平臺或安全互聯架構
圖3 項目建設示意圖
本項目主要是在互聯網側、省級平臺和企業(yè)側實施的部署:在互聯網區(qū)(運營商)部署漏掃產品,通過網絡隔離設備導入內網FTP服務器,再接入省級平臺,向省級平臺傳輸監(jiān)測數據,部署DPI流量分析設備,可為工控入侵檢測提供原始工控流量,為僵木蠕提供全網抽樣流量;省級的態(tài)勢感知平臺部署在核心區(qū),通過對接收的企業(yè)側和互聯網側的檢測數據進行綜合分析,實現省級工業(yè)互聯網安全全面及實時的監(jiān)測;在某省企業(yè)區(qū)域部署企業(yè)級的態(tài)勢分析系統(tǒng)及僵木蠕、工控審計等探針,向省級態(tài)勢感知平臺提供監(jiān)測數據。
本項目在某省區(qū)域建成面向關鍵基礎設施的省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺1套,實現了分布式工業(yè)互聯網數據采集、大容量分布式工業(yè)互聯網數據處理及存儲、在線實時數據分析、離線批量數據分析及網絡安全態(tài)勢感知應用,并且向國家工業(yè)互聯網安全態(tài)勢感知與風險預警平臺上報有關數據,建設內容包含省級面向關鍵基礎設施的工業(yè)互聯網安全監(jiān)測與態(tài)勢感知系統(tǒng)1套和企業(yè)級態(tài)勢分析系統(tǒng),目前系統(tǒng)接入了工業(yè)企業(yè)互聯網專線流量110G,監(jiān)測了30000+個工業(yè)IP、3200個域名和83家工業(yè)互聯網云服務平臺。
3. 具體應用場景和應用模式
基于數據分析、數據存儲、數據處理等技術,構建工業(yè)互聯網安全態(tài)勢感知體系,實現工業(yè)互聯網企業(yè)的全面及實時的監(jiān)測,可用于多種安全應用場景:
企業(yè)工控網監(jiān)測場景
基于工控安全探針設備,采集工控網的數據,對工控協議進行深度解析,對企業(yè)工控網的通訊內容進行完整性、功能碼、地址范圍、值范圍多維度的檢測和審計,及時發(fā)現違規(guī)操作、異常指令等安全威脅,并進行及時告警。
企業(yè)IT網監(jiān)測場景
基于IT安全探針設備,采集并分析企業(yè)IT系統(tǒng)數據,實現惡意程序檢測、APT檢測、WEB安全檢測等多種攻擊監(jiān)測,并進行報警,實現對企業(yè)IT網的安全防護。
企業(yè)級態(tài)勢分析
構建企業(yè)級態(tài)勢分析系統(tǒng),圍繞企業(yè)內部工業(yè)網絡數據,構建態(tài)勢應用包括態(tài)勢感知數據交互式檢索、工控數據實時監(jiān)測、態(tài)勢分析模型、安全風險快速處置、工業(yè)安全問題追蹤溯源等功能。
集團級/省級態(tài)勢分析
構建集團級/省級安全監(jiān)測與態(tài)勢感知分析系統(tǒng),從多個維度分析并可以可視化/集團/全省安全態(tài)勢,根據集團/全省工業(yè)互聯網安全狀態(tài),針對不同的安全問題,進行針對性的安全預警。
4. 安全及可靠性
本項目的工業(yè)互聯網安全監(jiān)測與態(tài)勢感知分析系統(tǒng),具有自主知識產權,符合國家法律政策及相關部委監(jiān)管法規(guī)的要求。根據項目的建設需求,完成產品在互聯網側、企業(yè)側、省級的安全應用,涉及網絡安全、數據安全、主機安全、控制安全、應用安全等多方面的安全防護應用,已形成立體的工業(yè)互聯網安全防護與分析體系,一方面通過采用主動探測的方式,發(fā)現互聯網中工業(yè)相關安全信息,形成互聯網工業(yè)網絡安全底圖,另一方面通過打造企業(yè)內部工業(yè)互聯網態(tài)勢感知系統(tǒng),實現對網絡安全的態(tài)勢覺察、跟蹤、預測和預警,并將態(tài)勢感知系統(tǒng)與平臺聯動,實現省級工業(yè)互聯網安全全面及實時的監(jiān)測,滿足工業(yè)互聯網企業(yè)的安全建設需求,提升工業(yè)互聯網安全運營水平。。
5. 其他亮點
采用了工業(yè)互聯網安全人工智能分析技術
利用人工智能算法實現對各種工業(yè)控制網絡的自動學習、自動適應和自動規(guī)則生成。通過人工智能的數據分析構建工業(yè)場景的行為模型,實現對通用的工業(yè)控制協議和安全大數據的有效建模,有效得利用了機器學習、模式識別、數據挖掘、高性能算法設計。
采用了可擴展數據建模技術
平臺的多維數據分析功能都是基于多維分析技術來實現,提供可擴展的數據建模框架,利用豐富的過程組件,實現可視化的數據建模定義。
三、下一步實施計劃
就本項目而言,目前錄入到該省級平臺里的工業(yè)企業(yè)信息描述較少,難以對規(guī)模以上的重點企業(yè)進行標注,所以下一步計劃在省內繼續(xù)推廣該項目,使更多的企業(yè)信息可以錄入到省級平臺,使省級平臺更有效地實現對省工業(yè)互聯網業(yè)務發(fā)展及網絡安全態(tài)勢研判,有效提升該省工業(yè)互聯網的綜合管理和安全保障能力,加速推動互聯網與該省工業(yè)深度融合,優(yōu)化產業(yè)結構,打造經濟發(fā)展新動能,打造工業(yè)互聯網產業(yè)新生態(tài),推進該省工業(yè)企業(yè)進入新的發(fā)展階段。
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
項目先進性
基于大數據/機器學習/深度學習技術的網絡安全態(tài)勢感知系統(tǒng)是當前國際網絡安全研究和開發(fā)的熱點,我們開發(fā)的面向關鍵信息基礎設施的工業(yè)互聯網網絡態(tài)勢感知系統(tǒng),將把互聯網網絡安全研究的最新成果與工業(yè)互聯網關鍵基礎設施的具體情況結合起來,將會為工業(yè)互聯網關鍵基礎設施制造領域提供安全上的保障,可以支持超過1000個點的數據采集能力,每秒最大可入庫20000條各類安全數據,系統(tǒng)數據存儲能力可達到100T,建成了大容量分布式工業(yè)互聯網數據處理及存儲系統(tǒng),實現了工業(yè)互聯網資產、安全漏洞、安全事件以及流量等數據的預處理、分析和存儲。
項目創(chuàng)新點
基于圖計算的關聯分析技術
將來自多個數據源的安全信息表示為一系列動態(tài)變化的圖,通過圖計算的方式,識別出網絡行為模式的變化,識別出網絡潛在的安全風險以及主要的風險源。
基于時間窗置信區(qū)間的檢測模型技術
平臺采用了基于時間窗置信區(qū)間的檢測模型和方法,可以在運行中自適應實際環(huán)境,自動剔除歷史時間窗內的異常歷史數據,實現歷史時間窗數據與網絡實際正常流量行為特征的高度吻合,提高對異常行為報警的準確性。
先進的事件歸并技術
平臺的事件歸并技術可以根據用戶指定要歸并的信息的特征、字段等信息進行歸并,只有具有該特征、字段的信息才可以被歸并,即當多個信息的指定特征、字段的內容一致時,產生一個歸并信息。同時,用戶可以自己指定是否丟棄原始信息。
2. 實施效果
通過構建企業(yè)的工業(yè)互聯網安全態(tài)勢感知系統(tǒng),可以使企業(yè)全局洞悉工業(yè)互聯網的網絡安全態(tài)勢,并結合工業(yè)互聯網威脅情報中心與響應中心的情報,及時發(fā)現可能面臨的安全威脅和風險,采取及時的響應,通過監(jiān)管與運營的結合,有效指導了工業(yè)企業(yè)在網絡安全建設過程中存在的不足,優(yōu)化企業(yè)網絡安全建設思路,進而強化企業(yè)網絡安全建設效果,降低因網絡安全造成的非計劃停機比例,增大攻擊成本從而降低企業(yè)遭受攻擊頻率,間接降低了企業(yè)因事故造成的財產損失,并且可以向省級工業(yè)互聯網安全監(jiān)測與態(tài)勢感知平臺提供監(jiān)測數據。
通過構建省級安全監(jiān)測與態(tài)勢感知平臺,可以實現省級平臺與國家平臺的數據共享與交換,并且可以從工控資產態(tài)勢、工業(yè)產業(yè)態(tài)勢、全網態(tài)勢、威脅態(tài)勢等多個維度查看分析工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)網絡的安全態(tài)勢,可以有效提升某省工業(yè)互聯網的綜合管理和安全保障能力,通過與國家級安全態(tài)勢感知平臺對接,形成上下聯動、政企協同的某省工業(yè)互聯網監(jiān)測體系。該項目適用于工業(yè)企業(yè)對自身生產業(yè)務有安全狀態(tài)監(jiān)測需求、省級單位對下屬工業(yè)企業(yè)的安全狀態(tài)監(jiān)測需求等應用場景。
本項目成果擁有自主知識產權,符合國家法律政策及相關部委監(jiān)管法規(guī)的要求,滿足該省工業(yè)互聯網信息安全建設需求,可提高省級的工業(yè)互聯網信息安全管理水平。本項目的成功實施,將作為后續(xù)該省制造業(yè)數字化轉型的重要參考,快速推動該省制造業(yè)深化改革節(jié)奏,具備很深遠的市場推廣和示范型意義,為后續(xù)全國其他省份工業(yè)互聯網平臺建設起到示范性效應,具有廣闊的應用前景和推廣價值:
項目提供了結合企業(yè)、區(qū)域監(jiān)管、國家監(jiān)管的多級監(jiān)管運營結構實踐場景,對建設單位后續(xù)區(qū)域安全運營進行了理論基礎支撐,根據本項目實踐場景,建設單位后續(xù)可以推出一系列如安全公共服務平臺、區(qū)域安全運營平臺等;
該項目有效促進建設單位對于國家工業(yè)互聯網安全發(fā)展思路的理解,對后續(xù)有效支撐國家在工業(yè)互聯網安全領域的產業(yè)發(fā)展與建設提供了理論基礎支撐,并對企業(yè)后續(xù)參與其他省份省級監(jiān)管平臺設計與建設提供了實踐依據,促進建設單位在相關領域的能力發(fā)展;
從分析展示層面,省級可以集中監(jiān)管各企業(yè)單位業(yè)務板塊工控系統(tǒng)網絡安全實時狀態(tài),能有效的降低信息安全人力需求;
加強頂層設計,有效提升用戶單位生產控制系統(tǒng)網絡應對網絡攻擊風險的能力;
有利于優(yōu)化產業(yè)結構,提升產業(yè)競爭力;
有利于提高用戶工控系統(tǒng)信息化建設水平;
有利于國家相關部門對工控系統(tǒng)信息安全態(tài)勢的管控。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯網產業(yè)聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號