今日頭條
官方微信
官方抖音
案例頻道傳統護城河似的安全防護方案已無法滿足兩化融合的工控安全防御需求,但是目前業界很多安全廠商還是采用通過產品重復堆砌的IT網絡安全的防護思路進行工控系統的安全防護,通過工業防火墻、網閘、入侵監測等一個個安全孤島進行單點防護,且部分產品串聯部署,一旦產品或策略出現問題,將影響企業的正常生產,造成非常嚴重的損失。
鑒于此,中新賽克星河工業互聯網安全團隊推出基于自研的大數據平臺開發的集資產管理、漏洞掃描、日志審計、安全檢測等多種安全功能于一體的工業安全管理中心和具有數據采集及邊緣計算能力的工業智能采集探針的工業互聯網安全監測解決方案。該方案摒棄傳統的通過安全產品重復堆砌、側重于信息網絡安全防護的思路,著重針對影響工業企業核心業務的OT網絡安全監測,保障核心控制網絡的安全生產,并利用大數據技術將多種安全產品模塊化、軟件化,采用微服務的方式為企業提供靈活適配的方案,降低企業的安全投入成本。
目前該解決方案已在鋼鐵、智能制造、電力等行業的幾十家工業企業落地應用,獲得了客戶的一致好評,并且榮獲工信部《2019年工業互聯網試點示范項目》榮譽,充分體現了該解決方案的價值與優勢。
1 方案概述
本方案在企業內網中OT網絡各層流量匯聚節點的交換機旁路部署智能采集探針,通過端口鏡像的方式將采集到智能采集探針,智能采集探針具有邊緣計算能力,可進行流量的預處理,剔除無效“臟”數據并對流量進行深度協議解析后生成安全日志,上送到安全管理中心。
工業安全管理中心對探針采集的日志信息進行關聯分析,識別工業企業的所有資產,繪制資產拓撲圖;監測工業現場異常操作、非法外聯,非法接入等安全事件;對資產進行無損漏洞掃描,發現資產存在的漏洞;安全管理中心內置豐富的工控漏洞利用攻擊模型庫、工控木馬病毒庫,進行對工控漏洞利用、工控木馬病毒的監測。安全管理中心可與第三方安全設備對接,進行安全日志的統一分析與審計,并通過高度可視化的界面給企業管理者提供直觀的全網絡一體化的安全態勢詳情。此外,安全管理中心可選擇與省級工業互聯網安全態勢感知平臺對接,一方面為省級平臺提供深入到企業內部的數據支撐,解決省級平臺在公網側獲取的數據源過于單一的問題;另一方面,企業可以從省級平臺獲取最新的漏洞、惡意IP、安全事件等信息,完善企業的安全監測能力;從而實現監管側與企業側的數據聯動,協同防御。其典型網絡拓撲如圖1所示。
圖1 典型網絡拓撲圖
2 產品介紹
2.1 工業智能采集探針
2.1.1 產品概述
中新賽克工業智能采集探針可分布旁路部署在企業內網中各層流量匯聚節點的交換機,在不影響正常工業生產的前提下,實現對所有工業企業OT網絡的實時數據采集。智能采集探針具有強大的邊緣計算能力, 可對工業現場的多源異構數據進行預處理,從而剔除“臟”數據和無關數據。通過集成強大的工業協議分析引擎,智能采集探針采用中新賽克工業安全描述語言對工業現場的設備進行畫像,并將畫像信息傳輸給工業安全管理中心。
2.1.2 主要功能
(1)工業協議深度解析
中新賽克研發的智能采集探針支持30多種工業協議的識別與深度解析,并在進一步拓展中。包括常見的Modbus、Profinet、IEC104、DNP3、S7、BacNet、OPC等。采用基于TCP/UDP端口識別、基于報文負載特征識別、基于關聯分析識別以及基于行為特征識別等技術進行多維度的協議識別,保障準確性。
(2)元數據提取
報文解析并不是網絡安全設備處理報文的終點,解析出的數據是支撐安全業務的大梁,可以說安全業務的好壞從根本上取決于報文解析結果,報文解析的層次越深,提取的特征越多,安全業務將會越豐富。智能采集探針支持多種類型的特征提取,為工業安全管理中心提供數據分析的業務數據支撐,主要支持以下特征的提取:
五元組特征提取;
資產特征提取;
工控漏洞特征提取;
工控木馬病毒特征提取;
行為特征提取。
(3)數據加密與壓縮傳輸
智能采集探針在數據采集和傳輸的環節中,通過對處理完提取的全息日志采用國產加密算法的方式進行數據的安全防護,防止核心數據的泄露。此外,智能采集探針通過提取關鍵特征生成全息日志的方式進行數據的壓縮,降低了業務系統的成本。
(4)數據統一格式轉換
智能采集探針在對數據預處理之后,可以將處理后的數據生成統一的日志格式,默認的數據格式為TLV日志格式,但可開啟日志轉換功能,生成MQTT、Syslog等日志格式,從而可以很好地與第三采方平臺對接,比如私有云等。
2.2 工業安全管理中心
2.2.1 產品概述
中新賽克工業安全管理中心通過處理工業現場萃取的各類數據,識別工業企業的所有資產,繪制資產拓撲圖;監測工業現場異常操作、非法外聯,非法接入等安全事件;對工控資產進行無損漏洞掃描,發現資產存在的漏洞;內置豐富的工控漏洞利用攻擊模型庫、工控木馬病毒庫,對工控漏洞利用、工控木馬病毒進行監測,從而為工業企業的安全保駕護航。工業安全管理中心支持對工業智能采集探針、工業防火墻、第三方安全設備進行集中管理和編排,實現對企業安全防護產品的統一配置、全面監控、實時告警和聯動處置。此外,安全管理中心可與省級工業互聯網安全態勢感知平臺對接,為省級平臺提供基礎的數據支撐。其系統demo首頁如圖2所示。
圖2 工業安全管理中心系統demo首頁
2.2.2 主要功能
(1)資產發現與管理
工業安全管理中心內置豐富的資產指紋庫,通過指紋比對等方式可以自動識別網絡中的資產信息,并可將被監測的工業企業的網絡拓撲在頁面上動態呈現。識別IT層和OT層的資產信息,包括服務器、路由器、主機等IT層資產,上位機、PLC、控制器等工業現場資產。當管理員對拓撲圖上的設備屬性進行修改、添加設備或者刪除設備,可根據設備通信狀態進行網絡拓撲圖的動態更新。
(2)工控網絡異常監測
工業安全管理中心基于對主流工控網絡協議(Modbus/TCP、OPC、S7、IEC10等)的通信數據進行采集與深度解析,建立符合現場工藝的業務指令流模型,將網絡合法通信行為加入“通信白名單”及“協議白名單”中,將當前工控通信行為與白名單進行比對,及時發現違反業務生產秩序的操作行為,并可對“未知通信行為”、“用戶誤操作”、“用戶違規操作”、“工藝閾值非預期波動”等異常行為進行監測。
工業安全管理中心內置豐富的工控漏洞攻擊特征庫以及工控木馬病毒庫,可以對工控網絡安全日志進行特征比對,監測漏洞攻擊以及木馬病毒事件。
(3)漏洞掃描
工業安全管理中心內置豐富的網絡安全漏洞和工控安全漏洞庫,并集成先進的漏洞掃描引擎探測企業網絡中的IT網絡和OT網絡的安全漏洞,且針對IT層和OT層的漏洞掃描引擎與策略不同,從而進行有效安全的漏洞監測。
漏洞掃描后可以生成全面的漏洞分析報告,清晰地展示了漏洞的危險等級,并提供漏洞修補方案及補丁鏈接等。用戶能夠根據掃描報告完成漏洞的修補,形成對漏洞全生命周期的掌控。
(4)漏洞管理
工業安全管理中心通過實時采集最新漏洞信息、內網主機掃描結果、基線掃描結果、人工滲透測試結果等漏洞信息,對網內資產漏洞信息進行統一關聯、展現和告警,使得管理人員可以有效地跟蹤資源漏洞生命周期,清楚地掌握全網的安全健康狀況,實現漏洞全生命周期的可視、可控和可管。
智能驗證漏洞:經過智能分析后通過引擎掃描可能存在漏洞的資產,確認漏洞是否存在。
準確關聯資產:獲取最新漏洞后第一時間匹配資產信息,從而找出可能存在漏洞的資產。
漏洞實時預警:實時推送最新的權威漏洞機構、廠商最新漏洞并進行全網預警。
(5)日志統一審計與分析
工業安全管理中心實時將網絡中不同廠商的網絡設備、安全設備、服務器、操作員站、數據庫系統、智能采集探針的日志信息,進行統一地收集、處理和關聯分析,幫助一線管理人員從海量日志中迅速、精準地識別安全事件,及時對安全事件進行追溯或干預,滿足國家標準規范中關于日志審計的相關要求。
基于聚類分析的機器學習算法,實現海量日志信息的自動泛化和精準識別,采用業內先進的大數據計算技術,實現工業控制網絡中不同廠商設備海量日志信息的高速采集和處理。
(6)安全事件回溯
工業安全管理中心具備長時間、大容量數據存儲能力,能實時捕獲原始數據包、數據流、網絡會話、應用日志等各種統計數據并長期保存,提供針對用戶重要網絡流量的線速分析處理能力。
具備任意時段內的海量數據進行快速檢索和挖掘的能力,讓用戶可以在復雜的海量數據里,采用數據關聯,篩選過濾、挖掘分析等手段進行大數據分析。系統自帶強大的過濾條件,可最大限度地幫助用戶挖掘問題并提取相關內容,為迅速定位問題發生原因提供了更全面的分析手段。
(7)安全權限管理
工業安全管理中心可以針對不同的人員設置不同的權限,分別為超級管理員、系統管理員和日志審計員。超級管理員主要負責用戶的創建、刪除和功能證書的管理;系統管理員主要負責平臺的業務配置和管理,包括規則的管理和報警的處理等;日志審計員可對安全日志進行審計。
(8)多樣化報表
工業安全管理中心基于豐富的安全事件庫對網絡環境安全進行全方位多維度的統計分析,對監測結果進行專業分析,提出建議,幫助用戶全面掌握網絡安全。工業安全管理中心的統計分析結果可靈活選擇定制化報表及月報表,自主選擇關注點進行重點分析。
(9)高度可靠的自身安全性
工業安全管理中心本身采用獨立的硬件平臺,數據分區加密,Web站點訪問采用HTTPS方式訪問;產品本身屏蔽關鍵掃描服務外的其他服務端口;產品涉及用戶密碼的地方都加密處理,保證密碼的安全性;產品相關任務、日志、數據等導出都采用獨立的加密處理;產品升級及證書系統采用高等的數據加密處理;提供獨立的產品診斷Consle,保證系統的可維護性。
3 方案優勢
(1)工業安全管理中心設計采用當前最新的分布式并行技術,使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、TensorFlow等組件,代表了未來一段時期的技術和方案的發展趨勢。系統充分利用目前先進的云計算和海量數據處理關鍵技術,保證系統技術的前瞻性和先進性。智能采集探針設備使用工業級硬件,可以滿足多種工業生產現場的部署,在硬件集成度、處理性能方面處于業界領先水平。
(2)公司在網絡安全領域深耕十多年,尤其在工控領域積淀了豐富的工業資產指紋庫、漏洞數據庫、研判資源庫、安全知識庫以及人才庫。
(3)工控安全解決方案產品從設計到產品硬件都是全國產化,并具有自主知識產權,從而有效避免產品設計后門,提高產品自身的安全性。
(4)工業智能采集探針采取IP40級防護和無鉛化標準:不同于傳統的數據采集產品,本產品需要部署在工業現場進行數據的采集,而相比于傳統的辦公區域,某些工業現場環境比較惡劣。因此用于工業現場的數據采集設備需要具備耐高溫、耐低溫、防結露、防鹽霧、防震、防電磁輻射等工業級可靠性;另外從生產加工到發貨的全生命周期都滿足RoHS無鉛化的標準。
(5)工業安全管理中心采用大數據技術架構,打破了傳統的產品堆砌、單點部署的方式,將復雜多樣的硬件安全產品軟件化、模塊化,采用微服務發布的方式進行多種安全功能的支撐,不僅可以打破安全孤島形成更好的安全監測能力,還可以降低客戶的安全投入成本。
摘自《自動化博覽》2020年8月刊
北京市公安局海淀分局備案號:11010802023656號