今日頭條
官方微信
官方抖音
案例頻道基于《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》精神,南京中新賽克科技有限責任公司聚焦工業網絡安全產品,通過標準化產品和行業定制化開發相結合的模式,開發推出具有自主產權的基于人工智能和大數據分析技術的工業互聯網安全態勢感知平臺,利用大數據分析技術,將主動威脅檢測與被動流量分析相結合,實現對工業互聯網安全事件的實時監測與預警。
1 項目概況
通信管理局擔負協調管理省內通信網、互聯網、工業互聯網網絡信息安全的重要職責。為進一步規劃統籌省內工業企業網絡安全建設,推進“兩化融合”進程,實現工業網絡向數字化、網絡化、智能化轉變,某省通信管理局與中新賽克獨家合作,通過在監管側部署工業互聯網安全監測與態勢感知平臺,實現對設備和控制的安全防護、對工業網絡進行風險評估、態勢感知、監測預警及應急處置。
1.1 項目背景
近年來,我國從法律法規、戰略規劃、標準規范等多個層面對工業互聯網安全做出了一系列工作部署,提出了一系列工作要求。某通信管理局在對管局側信安系統“專線資源”進行審核時發現,省內企業基數大、工業資產類型繁雜難以實現有效地統一監管,主要存在以下幾種典型的安全問題:
·部分基礎企業對互聯網專線信息存在漏報、誤報等問題,導致管局對專線數據監管不全,且缺少核驗機制;
·對于專線的使用僅僅存在于數據統計,缺乏數據資源獲取手段和對專線數據進行深入挖掘分析的技術手段,無法發現數據的潛在價值;
·缺少對工業互聯網協議與設備的識別能力、缺少對專線中存在的工業互聯網安全事件的監測預警、處置溯源能力、安全態勢分析能力;
·針對專線接入的重點用戶、關鍵基礎設施缺少安全監管和保障手段。
因此,為規范對專線監管的內容和范圍,省通信管理局希望通過部署工業互聯網安全監測與態勢感知平臺,實現對違法開辦互聯網信息服務進行管控、黑灰產業鏈監測預警、防范互聯網詐騙、為工業互聯網安全等工作打下基礎。
1.2 項目簡介
本項目提出的工業互聯網安全聯動解決方案以工業網絡安全數據、關鍵基礎設施行業數據為基礎,以包含工控設備資產指紋、漏洞信息、安全設備信息、物聯網傳感數據及工業網絡模型等海量數據的資源池為支撐,運用自主知識產權的云計算、大數據及人工智能安全感知技術,精準定位暴露在網上的工業系統、工業云平臺以及工業設備,進行全面的漏洞掃描,并通過AI分析網絡安全威脅態勢、流量分析關聯技術實現完整的網絡攻擊溯源取證,并具有高度可視化的界面,幫助相關主管部門對關鍵基礎設施進行設備和控制的安全防護、對工業網絡進行風險評估、態勢感知、監測預警及應急處置。
本項目將公司的工業互聯網探針系統與大數據安全態勢感知系統聯動,工業互聯網流量的接入側部署工業互聯網探針設備,部署方式可串接部署也可以旁路部署。工業互聯網探針支持多達30多種工業協議識別,支持用戶自定義協議識別和元數據提取,支持協議特征庫在線升級,支持實時生成工控設備流量日志,工控設備終端設備應用、行為日志,以及工控設備網關或后臺管理中心日志/操作系統日志/數據庫等日志。工業互聯網流量在經過工業互聯網探針后,工業互聯網探針將生成的日志送到安全態勢感知系統進行數據的分析挖掘與融合,這樣可以大大減輕安全態勢感知系統的處理壓力,提高安全態勢感知系統的性能。
1.3 項目目標
本項目以進一步做好省內基礎通信企業專線業務管理,強化屬地網絡信息安全技術監管,根據前期企業調研情況結合工作實際,擴大相關企業專線技術手段建設范圍,有效完善體系化的技術保障能力為總體目標。
·全量:全量端口全量數據,實現對省內基礎運營商的數據專線類型的全量端口、全量數據全覆蓋;
·準確:準確的技術核驗手段,實現對省內專線流量和企業上報數據的準確的技術核驗手段,有效防止企業漏報、錯報;
·多維:多維度的數據分析,實現對省內專線流量多維度的數據分析,形成統一資源池;
·開放:開放的能力平臺,實現省通管局統一能力平臺的建設,開放端口,能夠為其他業務部門提供相應的業務數據支撐;
·安全:安全保障重點用戶,對省內政府、化工、能源、工控等關鍵行業網站的域名、IP、APP、資產信息進行重點保障。
2 項目實施
本項目方案提供工業互聯網流量采集、流量清洗、大數據分析與挖掘、工業設備和工業系統資產暴露情況監測、工業互聯網安全漏洞掃描、異常流量分析、木馬病毒等網絡攻擊檢測與溯源等一站式的解決方案,使工業互聯網安全態勢感知系統更專業、更高效、更系統。
2.1 項目總體架構和主要內容
(1)總體技術架構
圖1 工業互聯網安全態勢感知系統總體技術架構
·數據源:通過大范圍、深層次的數據采集,以及異構數據的協議轉換與邊緣處理,構建工業互聯網平臺的數據基礎;
·IaaS:IaaS層提供數據導入/導出管理、數據存儲、數據標準、元數據管理、血緣分析、數據質量管理等服務;
·PaaS:PaaS層提供資產指紋庫、漏洞資源庫、研判資源庫、安全知識庫、業務數據庫、專題數據庫、以及原始數據庫,為DaaS層的數據分析提供數據庫;
·DaaS:DaaS層引入人工智能、機器學習以及神經網絡等先進大數據分析技術對數據進行分析;
·SaaS:工業互聯網對外開放的接口,通過SaaS層對工業互聯網的網絡安全態勢進行安全監測、安全態勢分析以及預警處置。
本項目充分利用中新賽克現有技術優勢,創新性地將工業互聯網探針與智能大數據系統聯動使用,開發了工業互聯網安全聯動解決方案。其中工業互聯網探針部署在工業互聯網接入側,利用其高性能的接入和處理能力,靈活的日志和流量內容識別能力,對工業互聯網流量進行實時的清洗,分析與轉化,將生成的日志信息提供給后面的大數據分析系統,日志的輸出比大概為千分之五,即1T的工業互聯網數據流量,經過第一級的工業互聯網探針處理后,只有5G的流量送給后面的智能大數據分析系統進行網絡安全態勢的感知。此種方案解決了大數據系統普遍存在的接入能力差,處理性能較弱的問題,此外由于流量已經經過清洗與轉換,大大提高了大數據分析系統的處理效率,從而提高了網絡安全態勢感知的實時性。
圖2 工業互聯網安全態勢感知平臺架構
(2)安全解決方案
中新賽克工業互聯網安全態勢感知系統總體技術方案目標是構建工業互聯網安全共同體,如圖3所示,以行業/區域監管部門(GOV)為中心,將企業側工控系統數據、暴露在公網的工業數據以及工業云平臺數據接入政府監管部門工業互聯網態勢感知平臺并建立工業安全漏洞數據庫,進行實時分析和風險預防,對相關的工業互聯網安全風險及漏洞等及時通報給各企業和平臺,同時可以通過工業安全漏洞數據庫將最新的漏洞、安全風險同步通知各企業、平臺做好安全防護工作,從而構建工業互聯網共同體。
·在運營商核心路由器上做規則過濾,篩選出工業專線流量,并通過鏡像方式將流量接入到工業互聯網探針;
·工業互聯網探針支持工業協議的解析、工業設備指紋的提取等,對接入的流量進行預處理生成全息日志;
·工業互聯網安全監測與態勢感知平臺對全息日志進行數據治理、數據分析,并結合人工智能等技術進行工業資產、工控漏洞、工業云平臺、安全事件的監測。
圖3 工業互聯網安全聯動解決方案網絡架構
2.2 安全及可靠性
(1)安全性
系統設計保障用戶、業務、數據解耦,確保原始數據安全,同時硬件配備高性能防火墻,身份證識別設備、指紋識別設備、殺毒軟件嚴格防護系統和網絡的安全。嚴格控制數據訪問權限,做到“事前申請、事中監控、事后備案”。建立嚴格的安全授權管理機制。
(2)可靠性
系統設計選用工作性能穩定的軟、硬件。保證系統可靠連續7×24小時的無故障運行。數據備份存儲,且存儲系統布置容災系統,確保數據存儲可靠。
本系統可支持7×24小時穩定運行,軟件系統全年無故障率不低于99.999%。
3 未來實施規劃
該項目已在某省通信管理局進行部署與實施,從實施效果來看,該項目經受住了實戰考驗,且基本達到了預期設定的目標,得到了有關主管部門的高度認可,為工業互聯網的安全保障提供了有力的支撐。下一步建設的主要內容有:
·完善工業互聯網安全聯動解決方案在項目實施過程中遇到的問題,進一步的優化此防御體系;
·探索利用區塊鏈、物聯網等新技術在工業互聯網安全防護的創新應用,有效推動解決設備、控制、網絡、平臺和數據等多層次安全問題;
·進一步優化可視化界面,做到資產可視、威脅可視、攻擊可視、路徑可視。
4 項目創新點和實施效果
4.1 項目先進性及創新點
(1)項目的先進性
數據采集設備采用專用硬件,采用業界領先的硬件平臺架構,在硬件集成度、處理性能方面處于業界領先水平。
系統軟件設計采用當前最新的分布式并行技術,使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、Tensorflow等組件,代表了未來一段時期的技術和方案的發展趨勢。系統充分利用目前先進的云計算和海量數據處理關鍵技術,保證系統技術的前瞻性和先進性。
(2)項目的創新點
·通過建立被動監測為主、主動監測為輔的采集手段、數據核驗校正手段,提升省內工業資產數據的準確性、完整性,從而支撐省主管部門摸清家底,了解省內工業設備資產的真實情況;
·該系統行為分析建模能力支持50多種數據建模模型、20多種工業場景模型和機器學習自主建模,具備不依賴規則而檢測低概率威脅的能力,有效檢測APT攻擊和潛伏在網絡內部的未知威脅,提升整體網絡安全能力;
·海量的數據支撐:PB級海量數據,為各類服務與分析提供了豐富的數據支持。
4.2 實施效果
(1)工業控制系統與設備暴露情況監測實施效果
本項目開發的工業互聯網安全聯動解決方案通過全面采集和分析工控設備信息,對互聯網上的工業控制系統進行掃描探測,定位工控設備位置,最小粒度可定位到某省份的具體某一企業/單位,并進行高度可視化界面呈現,有利于主管部門摸清省內的資產家底。
(2)工業控制系統及設備漏洞態勢感知實施效果
省通信管理局通過部署該平臺,對全網的工業控制系統以及設備進行全面的掃描,捕捉開放的工控端口, PLC設備漏洞、上位機軟件漏洞與弱點、攝像頭漏洞、應用程序SQL漏洞、系統文件上傳漏洞,并將這些漏洞信息反饋給相關主管部門,再傳達到企業進行漏洞的修復,部署之后,企業的網絡攻擊次數下降非常明顯,有效地保護了企業資產,也為相關主管部門做相關決策提供支撐。
(3)木馬病毒攻擊態勢感知與溯源分析實施效果
隨著工業互聯網的發展,暴露在公網上的工業設備以及控制系統會越來越多,這樣就給了一些不法分子通過植入病毒或者木馬入侵設備和控制系統的機會。該系統的部署成功攔截了多達幾十次的木馬與病毒入侵事件,并且威脅溯源分析模塊將終端與網關病毒信息日志進行大數據關聯分析,進行病毒源精確溯源定位,抓獲不法分子,從源頭上快速精準消除病毒隱患,大大提高了省內的安全保障能力。
(4)企業安全運維成本實施效果
企業可將暴露在公網上的外部網絡的安全維護工作交與本系統,不僅可以節約大量安全運維成本,且安全質量有保障。
摘自《自動化博覽》2020年2月刊
北京市公安局海淀分局備案號:11010802023656號