今日頭條
官方微信
官方抖音
案例頻道★首鋼京唐鋼鐵聯(lián)合有限責(zé)任公司
1 方案目標(biāo)和概述
隨著國(guó)家“智能制造”、“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”戰(zhàn)略的持續(xù)推進(jìn),冶金行業(yè)迎來(lái)了新一輪發(fā)展機(jī)遇,融合數(shù)字化、網(wǎng)絡(luò)化、智能化的先進(jìn)生產(chǎn)系統(tǒng),使原本相對(duì)獨(dú)立的DCS、PLC、儀器儀表等控制系統(tǒng)通過(guò)網(wǎng)絡(luò)連為一體,實(shí)現(xiàn)對(duì)工業(yè)生產(chǎn)、能源管理、業(yè)務(wù)調(diào)度的扁平一體化管理。
但由于大量信息系統(tǒng)和新興技術(shù)的應(yīng)用,也使工業(yè)行業(yè)面臨著普遍歷史性和新興技術(shù)帶來(lái)的雙重安全風(fēng)險(xiǎn)威脅。工業(yè)行業(yè)普遍存在歷史性、系統(tǒng)性存量網(wǎng)絡(luò)安全問(wèn)題與5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應(yīng)用帶來(lái)的新風(fēng)險(xiǎn)新問(wèn)題的疊加,形成更為復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實(shí)威脅。
本方案針對(duì)工業(yè)控制網(wǎng)絡(luò)面臨的安全問(wèn)題,采用了工業(yè)自適應(yīng)綜合防護(hù)技術(shù)形成縱深防御體系,以加強(qiáng)和提升工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)能力。具體目前如下:(1)通過(guò)執(zhí)行單元組件,對(duì)工業(yè)控制系統(tǒng)中訪問(wèn)控制、協(xié)議指令、勒索病毒、未知病毒、進(jìn)程安全、流量異常等威脅進(jìn)行安全防護(hù)與行為監(jiān)測(cè)。
(2)通過(guò)工業(yè)自適應(yīng)綜合防護(hù)技術(shù),對(duì)工業(yè)控制系統(tǒng)全網(wǎng)資產(chǎn)資源、安全資源、數(shù)據(jù)資源進(jìn)行整合,有效聯(lián)動(dòng),結(jié)合威脅情報(bào)各安全資源進(jìn)行智能持續(xù)分析決策,預(yù)判系統(tǒng)薄弱點(diǎn)與被攻擊方向,實(shí)現(xiàn)全局性質(zhì)的安全監(jiān)測(cè)預(yù)警和動(dòng)態(tài)防護(hù)。
(3)通過(guò)基于工業(yè)安全自適應(yīng)綜合防護(hù)技術(shù)平臺(tái)的建設(shè),針對(duì)目前網(wǎng)絡(luò)中存在的已知威脅進(jìn)行檢測(cè)分析,對(duì)未知威脅進(jìn)行監(jiān)測(cè)和智能分析,通過(guò)全天全方位監(jiān)測(cè)與分析工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)與主機(jī)安全,實(shí)現(xiàn)防護(hù)、監(jiān)測(cè)、響應(yīng)為一體的三層閉環(huán)防護(hù)體系,建設(shè)工業(yè)網(wǎng)絡(luò)的“大腦”,為工業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。
2 方案介紹
本方案通過(guò)網(wǎng)絡(luò)執(zhí)行單元、流量執(zhí)行單元、主機(jī)執(zhí)行單元對(duì)整個(gè)工業(yè)自動(dòng)化控制網(wǎng)絡(luò)中的行為與流量進(jìn)行防護(hù)、監(jiān)控、采集、傳輸。結(jié)合自適應(yīng)平臺(tái)對(duì)采集到的數(shù)據(jù)進(jìn)行整合、分析。形成警告快速處理、快速配置和工業(yè)網(wǎng)絡(luò)安全全局可視化的管理界面,最終構(gòu)建一個(gè)可感知、易運(yùn)營(yíng)的分布式多元安全組件的自適應(yīng)平臺(tái)。實(shí)現(xiàn)預(yù)判攻擊、事件防御、實(shí)時(shí)監(jiān)測(cè)、快速響應(yīng)的自適應(yīng)安全技術(shù)方案。
圖1 方案架構(gòu)圖
2.1 執(zhí)行單元
2.1.1 網(wǎng)絡(luò)執(zhí)行單元網(wǎng)絡(luò)執(zhí)行單元支持工業(yè)協(xié)議的深度解析功能。可廣泛應(yīng)用于工控網(wǎng)絡(luò)邊界防護(hù)、區(qū)域防護(hù)、重要監(jiān)控系統(tǒng)、控制設(shè)備防護(hù)等場(chǎng)景,有效解決工業(yè)企業(yè)工控系統(tǒng)組網(wǎng)安全、信息孤島、控制指令不可信、網(wǎng)絡(luò)數(shù)據(jù)不安全、網(wǎng)絡(luò)數(shù)據(jù)采集以及合規(guī)性等問(wèn)題,為工業(yè)安全智能綜合防護(hù)平臺(tái)提供高性能的網(wǎng)絡(luò)防護(hù)。支持ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等多種工業(yè)協(xié)議。
具備工控協(xié)議指令級(jí)“4S”深度防護(hù)專(zhuān)利技術(shù),支持多種訪問(wèn)控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計(jì)等安全防護(hù)功能,且具備Dos、ARP攻擊防護(hù)和自身訪問(wèn)控制功能,可有效保障自身和工控網(wǎng)絡(luò)的雙重安全。
針對(duì)首鋼京唐現(xiàn)如今網(wǎng)絡(luò)情況,本方案利用網(wǎng)絡(luò)執(zhí)行單元如下技術(shù)對(duì)首鋼京唐網(wǎng)絡(luò)進(jìn)行了全面的網(wǎng)絡(luò)安全防護(hù):
(1)“4S”深度防護(hù)技術(shù)針對(duì)首鋼京唐一二級(jí)工業(yè)網(wǎng)絡(luò)協(xié)議的類(lèi)型及分布特點(diǎn),通過(guò)廣泛的協(xié)議收集和逆向分析,形成了基于白名單的工業(yè)指令級(jí)“4S”深度防護(hù)技術(shù)。
此技術(shù)從工業(yè)協(xié)議的“規(guī)約符合度即完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”等維度,逐步深入對(duì)工業(yè)協(xié)議應(yīng)用層全字段進(jìn)行解析和過(guò)濾,可有效阻斷病毒、木馬等惡意軟件攻擊與傳播,無(wú)需借助病毒庫(kù)、漏洞庫(kù)、入侵庫(kù),無(wú)誤殺誤報(bào),真正適用于一線工業(yè)生產(chǎn)網(wǎng)絡(luò)。
圖2 4S深度防護(hù)技術(shù)原理圖
(2)工業(yè)協(xié)議自定義技術(shù)
由于歷史原因和控制系統(tǒng)廠商限制,一二級(jí)工業(yè)網(wǎng)絡(luò)內(nèi)存在大量私有協(xié)議和非公開(kāi)協(xié)議,綜合項(xiàng)目進(jìn)度和成本等因素?zé)o法實(shí)現(xiàn)對(duì)所有協(xié)議的全部?jī)?nèi)置。本項(xiàng)目首創(chuàng)工業(yè)協(xié)議自定義技術(shù)方法,針對(duì)私有協(xié)議和系統(tǒng)沒(méi)有內(nèi)置的工業(yè)協(xié)議可進(jìn)行快速自定義添加,從而保障系統(tǒng)的廣泛適應(yīng)性。
工業(yè)協(xié)議自定義技術(shù)分為工業(yè)協(xié)議特征識(shí)別和工業(yè)協(xié)議指令級(jí)深度防護(hù)兩類(lèi)場(chǎng)景。
(3)OPCNAT轉(zhuǎn)換技術(shù)
OPC協(xié)議基于微軟的OLE、COM和DCOM等技術(shù),在通訊過(guò)程中通過(guò)傳統(tǒng)NAT僅替換IP數(shù)據(jù)包的IP地址及端口,不能實(shí)現(xiàn)業(yè)務(wù)通訊,因?yàn)镺PC協(xié)議的連接信息在OPC協(xié)議應(yīng)用數(shù)據(jù)中,必須將應(yīng)用數(shù)據(jù)中的相關(guān)信息也進(jìn)行類(lèi)似的NAT轉(zhuǎn)換,才能實(shí)現(xiàn)OPC應(yīng)用的正常工作。
本項(xiàng)目在工業(yè)協(xié)議深度解析的基礎(chǔ)上,可對(duì)OPC協(xié)議的通訊和連接過(guò)程進(jìn)行持續(xù)監(jiān)視,通過(guò)對(duì)OPC客戶(hù)端與服務(wù)器遠(yuǎn)程調(diào)用過(guò)程的持續(xù)解析,實(shí)現(xiàn)OPC端口的動(dòng)態(tài)開(kāi)放,保證OPC通訊端口打開(kāi)數(shù)量的最小化,解決傳統(tǒng)防火墻無(wú)法對(duì)OPC協(xié)議進(jìn)行有效防護(hù)的問(wèn)題。
與此同時(shí),系統(tǒng)深度分析OPC協(xié)議的應(yīng)用層數(shù)據(jù),根據(jù)配置將OPC協(xié)議應(yīng)用中的連接信息進(jìn)行替換,實(shí)現(xiàn):拆包-替換-封包的功能,達(dá)到OPC應(yīng)用NAT的功能,可以有效的隱藏真正的服務(wù)器信息,有效解決當(dāng)前一二級(jí)網(wǎng)絡(luò)OPC數(shù)據(jù)采集與同網(wǎng)段地址沖突等組網(wǎng)問(wèn)題。
2.1.2 主機(jī)執(zhí)行單元
主機(jī)執(zhí)行單元自動(dòng)適配所有版本的windows、Linux系統(tǒng)物理機(jī)、虛擬機(jī)。運(yùn)行穩(wěn)定、消耗低。從而實(shí)現(xiàn)對(duì)主機(jī)異常的采集、分析、存儲(chǔ)并由平臺(tái)進(jìn)行告警、防護(hù)、學(xué)習(xí)等響應(yīng)實(shí)施動(dòng)作,執(zhí)行其下發(fā)的任務(wù),主動(dòng)發(fā)現(xiàn)主機(jī)問(wèn)題,實(shí)現(xiàn)工業(yè)部分主機(jī)系統(tǒng)過(guò)于老舊無(wú)法防護(hù)與數(shù)采問(wèn)題。
針對(duì)首鋼京唐現(xiàn)如今網(wǎng)絡(luò)情況,本方案利用主機(jī)執(zhí)行單元如下技術(shù)對(duì)首鋼京唐網(wǎng)絡(luò)進(jìn)行了全面的網(wǎng)絡(luò)安全防護(hù):
(1)智能化補(bǔ)丁與軟件更新技術(shù)
白名單生成:通過(guò)一鍵固化,自動(dòng)掃描功能,建立白名單
白名單導(dǎo)入導(dǎo)出:提供白名單的導(dǎo)入導(dǎo)出功能
白名單的手動(dòng)更新:支持告警程序的一鍵加白;支持基于目錄的程序掃描追加;
手動(dòng)軟件更新:支持本地手動(dòng)安裝軟件,并追加更新的程序到白名單庫(kù)中;
軟件智能更新:支持基于軟件更新平臺(tái)的自動(dòng)化軟件更新和基于信任軟件庫(kù)的軟件更新場(chǎng)景下的更新程序自動(dòng)追蹤,并添加到白名單中,不影響更新后軟件的使用;
補(bǔ)丁智能更新:支持操作系統(tǒng)的補(bǔ)丁更新,系統(tǒng)后臺(tái)智能跟蹤更新過(guò)程,并將更新文件追加到白名單庫(kù)中。
白名單技術(shù)是一種相對(duì)于黑名單的安全技術(shù),借助可信機(jī)制將“白”程序、“白”網(wǎng)絡(luò)、“白”外設(shè)等通過(guò)算法生成白名單庫(kù),只有在“白”庫(kù)內(nèi)的應(yīng)用或流量才可運(yùn)行或通過(guò)。隨著首鋼京唐生產(chǎn)業(yè)務(wù)的持續(xù)發(fā)展,一二級(jí)主機(jī)存在系統(tǒng)和工業(yè)控制軟件更新等場(chǎng)景,本項(xiàng)目通過(guò)智能化補(bǔ)丁與軟件更新技術(shù),可對(duì)系統(tǒng)更新和軟件更新安裝過(guò)程進(jìn)行智能化追蹤與捕捉,從而實(shí)現(xiàn)白名單庫(kù)的動(dòng)態(tài)、自動(dòng)化更新管理。
(2)輕量化資源需求與廣泛的系統(tǒng)支持技術(shù)
設(shè)備管理:設(shè)置硬件USBKey設(shè)備的用戶(hù)名稱(chēng),安全事件追蹤到指定責(zé)任人。
口令重置:在硬件USBKey設(shè)備因口令錯(cuò)誤鎖定后,進(jìn)行口令重置等操作后恢復(fù)使用。
用戶(hù)綁定:將硬件USBKey設(shè)備與操作系統(tǒng)內(nèi)的用戶(hù)關(guān)聯(lián),一個(gè)設(shè)備僅能關(guān)聯(lián)一個(gè)用戶(hù),且只有關(guān)聯(lián)的用戶(hù)才允許登錄。
登錄增強(qiáng):操作系統(tǒng)用戶(hù)在登錄系統(tǒng)、解鎖系統(tǒng)、切換用戶(hù)等操作時(shí),必須驗(yàn)證USBKey設(shè)備口令通過(guò)后,才能進(jìn)行密碼驗(yàn)證,實(shí)現(xiàn)登錄等功能。
(3)已知與未知威脅主動(dòng)防御技術(shù)
①阻止已知病毒及其變種
系統(tǒng)針對(duì)工控網(wǎng)絡(luò)中的主機(jī)(操作員站、工程師站、服務(wù)器各類(lèi)終端),提供貼合一二級(jí)生產(chǎn)主機(jī)特殊需求的安全防護(hù),不影響原有業(yè)務(wù)的運(yùn)行;為保障關(guān)鍵業(yè)務(wù)的運(yùn)行,可建立穩(wěn)定的運(yùn)行環(huán)境,同時(shí)有效遏止至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運(yùn)行。
②防范未知的威脅,不需要額外的成本
主機(jī)執(zhí)行單元通過(guò)建立穩(wěn)定的計(jì)算環(huán)境,能對(duì)未知的病毒“免疫”。無(wú)論是黑客通過(guò)社會(huì)工程學(xué)的方式,還是利用零日漏洞的高級(jí)可持續(xù)性威脅攻擊,都無(wú)法侵入可信的計(jì)算環(huán)境。主機(jī)執(zhí)行單元不需要做任何更新就能抵御不明的攻擊行為,沒(méi)有軟件更新和維護(hù)成本。
傳統(tǒng)防病毒方案以“病毒庫(kù)”為核心,需保障及時(shí)的庫(kù)更新才能有效發(fā)揮殺毒作用,更新周期需保持為小時(shí)、天級(jí),但由于“病毒庫(kù)”技術(shù)是一項(xiàng)滯后于病毒發(fā)現(xiàn)的技術(shù)(即在發(fā)現(xiàn)某類(lèi)病毒并分析完成后,才可對(duì)其進(jìn)行防護(hù)與查殺),導(dǎo)致無(wú)法對(duì)未知或在野病毒進(jìn)行有效防護(hù),本項(xiàng)目采用“白名單+可信機(jī)制”進(jìn)行主機(jī)防護(hù)。
2.1.3 流量執(zhí)行單元
流量執(zhí)行單元,是一款專(zhuān)門(mén)針對(duì)于工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)安全產(chǎn)品。以工控協(xié)議指令級(jí)“4S”深度檢測(cè)技術(shù)為技術(shù)核心,支持多種工控協(xié)議(ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等)的深度報(bào)文解析,通過(guò)建立工控網(wǎng)絡(luò)安全通信矩陣,實(shí)時(shí)發(fā)現(xiàn)惡意指令、破壞行為、違規(guī)使用等安全事件,能夠持續(xù)收集并通過(guò)固定端口向Sever端上傳的所有日志。從而實(shí)現(xiàn)平臺(tái)對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、存儲(chǔ)并由平臺(tái)進(jìn)行告警、防護(hù)、學(xué)習(xí)等響應(yīng)實(shí)施動(dòng)作。
流量執(zhí)行單元的功能如下:
(1)流量異常檢測(cè)
(2)實(shí)時(shí)流量審計(jì)
(3)實(shí)時(shí)網(wǎng)絡(luò)連接審計(jì)
(4)實(shí)時(shí)主機(jī)數(shù)量審計(jì)
(5)基于業(yè)務(wù)的安全審計(jì)
(6)協(xié)議內(nèi)容審計(jì)及工業(yè)協(xié)議深度解析
(7)日志審計(jì)
(8)通信管理
2.2 工業(yè)自適應(yīng)平臺(tái)
作為核心平臺(tái)的信息處理中樞,支持橫向擴(kuò)展分布式部署,能夠持續(xù)分析檢測(cè)從各個(gè)執(zhí)行單元上接收到的信息和行為并進(jìn)行保存,可從各個(gè)維度的信息中發(fā)現(xiàn)漏洞、弱密碼、工業(yè)網(wǎng)絡(luò)薄弱點(diǎn)等安全風(fēng)險(xiǎn)和Webshell寫(xiě)入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用行為、工業(yè)協(xié)議篡改、入侵攻擊等異常行為,從而實(shí)現(xiàn)對(duì)入侵行為實(shí)時(shí)預(yù)警與防護(hù)。
圖3 工業(yè)自適應(yīng)平臺(tái)
在工業(yè)網(wǎng)絡(luò)生產(chǎn)管理層或過(guò)程監(jiān)控層部署工業(yè)自適應(yīng)平臺(tái),對(duì)全網(wǎng)各節(jié)點(diǎn)安全檢測(cè)執(zhí)行單元的數(shù)據(jù)進(jìn)行收集,采用分布式計(jì)算和搜索引擎技術(shù)對(duì)所有數(shù)據(jù)進(jìn)行處理,能夠支撐大并發(fā)量計(jì)算及查詢(xún)的業(yè)務(wù)需求,并通過(guò)可視化的形式為用戶(hù)呈現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)資產(chǎn)及針對(duì)網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅。
根據(jù)工業(yè)安全態(tài)勢(shì)感知平臺(tái)功能特點(diǎn),本方案將安全分析引擎與平臺(tái)方案劃分為多元數(shù)據(jù)采集、信息理解分析、態(tài)勢(shì)可視化呈現(xiàn)三個(gè)過(guò)程單元。
2.2.1 多元數(shù)據(jù)采集
工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)通過(guò)部署在各廠區(qū)的網(wǎng)絡(luò)執(zhí)行單元、流量執(zhí)行單元、主機(jī)執(zhí)行單元進(jìn)行采集、初步分析和上傳,平臺(tái)以資產(chǎn)為核心進(jìn)行數(shù)據(jù)收集、存儲(chǔ)、分類(lèi),以備進(jìn)一步安全分析與應(yīng)用。
通過(guò)對(duì)工業(yè)網(wǎng)相關(guān)數(shù)據(jù)進(jìn)行采集,形成統(tǒng)一的數(shù)據(jù)池,為后續(xù)的安全分析和態(tài)勢(shì)感知提供基礎(chǔ)支撐,由于數(shù)據(jù)采集方式的不同,以及相關(guān)設(shè)備的部署位置區(qū)別,將數(shù)據(jù)采集分為如下幾個(gè)方面:日志數(shù)據(jù)采集、流量信息采集、其他系統(tǒng)數(shù)據(jù)采集。安全數(shù)據(jù)通過(guò)各類(lèi)分布式執(zhí)行單元采集完成后,采用加密的方式傳輸至自適應(yīng)平臺(tái)系統(tǒng)。
2.2.2 信息理解分析
理解分析過(guò)程包含數(shù)據(jù)標(biāo)準(zhǔn)化處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全分析三部分。
(1)數(shù)據(jù)標(biāo)準(zhǔn)化處理在海量的原始數(shù)據(jù)中存在著大量的不完整(有缺失值)、不一致、有異常的數(shù)據(jù),嚴(yán)重影響到數(shù)據(jù)挖掘建模的執(zhí)行效率,甚至可能導(dǎo)致挖掘結(jié)果的偏差,所以進(jìn)行數(shù)據(jù)清洗顯得尤為重要,數(shù)據(jù)清洗完成后接著進(jìn)行或者同時(shí)進(jìn)行數(shù)據(jù)歸一化、集成、變換等一系列的處理,該過(guò)程就是數(shù)據(jù)標(biāo)準(zhǔn)化處理。
數(shù)據(jù)標(biāo)準(zhǔn)化處理將傳輸至平臺(tái)的安全數(shù)據(jù)按統(tǒng)一標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)歸約、歸一化和富化后進(jìn)行存儲(chǔ)和分析。
(3)數(shù)據(jù)安全存儲(chǔ)
工業(yè)自適應(yīng)平臺(tái)采用大數(shù)據(jù)架構(gòu),而數(shù)據(jù)存儲(chǔ)是大數(shù)據(jù)的核心,針對(duì)結(jié)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)據(jù)實(shí)現(xiàn)數(shù)據(jù)集中存儲(chǔ)、管理與維護(hù),能夠支持?jǐn)?shù)據(jù)緩存、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)索引、數(shù)據(jù)分析等。數(shù)據(jù)存儲(chǔ)支持分布式存儲(chǔ)系統(tǒng),為采集到的企業(yè)網(wǎng)各類(lèi)數(shù)據(jù)提供各種存儲(chǔ)接口實(shí)現(xiàn)對(duì)數(shù)據(jù)的快速寫(xiě)入、讀取等。分布式存儲(chǔ)要實(shí)現(xiàn)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ),同時(shí)要保證數(shù)據(jù)存儲(chǔ)的可靠性,保證數(shù)據(jù)高效可靠存儲(chǔ)。
工業(yè)自適應(yīng)平臺(tái)可對(duì)多源異構(gòu)的海量數(shù)據(jù)進(jìn)行存儲(chǔ),支持對(duì)原始數(shù)據(jù)文件的分布式存儲(chǔ),支持文本、鍵值對(duì)、對(duì)象等多種數(shù)據(jù)特征的存儲(chǔ),最終滿(mǎn)足業(yè)務(wù)系統(tǒng)復(fù)雜數(shù)據(jù)源類(lèi)型的存儲(chǔ)需求。平臺(tái)支持對(duì)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ),支持可伸縮的分布式數(shù)據(jù)存儲(chǔ)架構(gòu),滿(mǎn)足數(shù)據(jù)量持續(xù)增長(zhǎng)需求,支持集群的計(jì)算資源管理。
(3)數(shù)據(jù)安全分析
數(shù)據(jù)安全分析是工業(yè)自適應(yīng)平臺(tái)的核心部分,數(shù)據(jù)安全分析通過(guò)關(guān)聯(lián)分析、場(chǎng)景分析、數(shù)據(jù)統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)等分析引擎發(fā)現(xiàn)安全事件。發(fā)現(xiàn)的安全事件將通過(guò)安全事件檢測(cè)、安全事件響應(yīng)機(jī)制反饋到業(yè)務(wù)層中相關(guān)應(yīng)用進(jìn)行人機(jī)交互。
①關(guān)聯(lián)分析引擎
關(guān)聯(lián)分析是數(shù)據(jù)挖掘中一項(xiàng)基礎(chǔ)又重要的技術(shù),是一種在大型數(shù)據(jù)集合中發(fā)現(xiàn)變量之間復(fù)雜關(guān)系的方法。關(guān)聯(lián)規(guī)則其實(shí)是兩個(gè)項(xiàng)集之間的蘊(yùn)涵表達(dá)式。如果我們有兩個(gè)不相交的項(xiàng)集X和Y,就可以有規(guī)則X→Y。項(xiàng)集和項(xiàng)集之間組合可以產(chǎn)生很多規(guī)則,但不是每個(gè)規(guī)則都是有用的,關(guān)聯(lián)分析可在一些限定條件來(lái)幫助我們找到強(qiáng)度高的規(guī)則。
工業(yè)自適應(yīng)平臺(tái)關(guān)聯(lián)分析引擎能夠在大數(shù)據(jù)量級(jí)下,對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析。支持接入各種類(lèi)型和維度的數(shù)據(jù),并支持對(duì)輸出結(jié)果進(jìn)行回注分析。關(guān)聯(lián)分析引擎提供如下計(jì)算單元:日志過(guò)濾、日志連接、聚類(lèi)統(tǒng)計(jì)、閾值比較和序列分析,可通過(guò)組合計(jì)算單元來(lái)實(shí)現(xiàn)自定義威脅事件發(fā)現(xiàn)規(guī)則。提供豐富的語(yǔ)義,包含統(tǒng)計(jì)、基線、關(guān)聯(lián)和序列等,以覆蓋各類(lèi)安全場(chǎng)景的威脅建模和發(fā)現(xiàn)。
②場(chǎng)景分析引擎場(chǎng)景是指在特定的主題下,通過(guò)引擎的一系列圖、表等可視化手段,依據(jù)攻防等經(jīng)驗(yàn)構(gòu)造的數(shù)據(jù)展示形式。旨在提供多維視角來(lái)查看相關(guān)數(shù)據(jù),為發(fā)現(xiàn)、判斷網(wǎng)絡(luò)安全問(wèn)題提供幫助。解決了規(guī)則判定時(shí),無(wú)法確定具體閾值的問(wèn)題,可根據(jù)自己網(wǎng)絡(luò)特點(diǎn)和經(jīng)驗(yàn)進(jìn)行判斷。
場(chǎng)景化分析采用插件式架構(gòu),分為輸入插件、場(chǎng)景分析插件、輸出插件三種插件。
輸入插件:為場(chǎng)景化分析提供數(shù)據(jù)源,根據(jù)英賽克大數(shù)據(jù)平臺(tái)中數(shù)據(jù)存儲(chǔ)模塊的設(shè)計(jì),數(shù)據(jù)將存儲(chǔ)于數(shù)據(jù)平臺(tái)中,各個(gè)場(chǎng)景化可通過(guò)配置一個(gè)輸入插件獲取數(shù)據(jù)源,各輸入插件相互獨(dú)立。
場(chǎng)景分析插件:各場(chǎng)景化分析核心邏輯,它們根據(jù)輸入插件而獲取的數(shù)據(jù)源進(jìn)行分析,并根據(jù)輸出插件,輸出結(jié)果并保存,中間結(jié)果(如緩存內(nèi)容)由場(chǎng)景分析提供接口。
輸出插件:用于保存場(chǎng)景分析插件分析而得到的最終結(jié)果。
③機(jī)器學(xué)習(xí)引擎
機(jī)器學(xué)習(xí)可以概括為“使用正確的特征來(lái)構(gòu)建正確的模型,以完成既定的任務(wù)”。特征(feature)是一種對(duì)問(wèn)題域中相關(guān)對(duì)象的描述,一旦獲得對(duì)問(wèn)題域中對(duì)象的某種恰當(dāng)?shù)奶卣鞅硎荆覀儽悴槐卦偃リP(guān)注這些對(duì)象本身。任務(wù)(task)是對(duì)我們所期望解決的、與問(wèn)題域?qū)ο笥嘘P(guān)問(wèn)題的一種抽象表示(例如兩類(lèi)或多類(lèi)分類(lèi)問(wèn)題)。許多任務(wù)都可以抽象為一個(gè)從數(shù)據(jù)點(diǎn)到輸出的映射,我們將這種映射稱(chēng)為模型(model),而這種映射或模型本身又是應(yīng)用于訓(xùn)練數(shù)據(jù)的某個(gè)機(jī)器學(xué)習(xí)算法的輸出。
④數(shù)據(jù)統(tǒng)計(jì)引擎
日常的安全分析中經(jīng)常會(huì)使用各種統(tǒng)計(jì)手段,傳統(tǒng)系統(tǒng)中經(jīng)常使用簡(jiǎn)單的SQL語(yǔ)句來(lái)完成相關(guān)數(shù)據(jù)庫(kù)日志的處理。但是在海量數(shù)據(jù)情況下,利用SQL已經(jīng)不再可能,而大數(shù)據(jù)平臺(tái)所提供的批處理手段雖然能夠?qū)崿F(xiàn)數(shù)據(jù)統(tǒng)計(jì),但往往需要等待很長(zhǎng)時(shí)間,無(wú)法滿(mǎn)足實(shí)時(shí)安全分析與響應(yīng)的需要。
工業(yè)安全態(tài)勢(shì)感知平臺(tái)基于搜索基礎(chǔ)之上開(kāi)發(fā)了實(shí)時(shí)的統(tǒng)計(jì)分析功能,該功能可以針對(duì)日志的某一字段進(jìn)行數(shù)據(jù)歸并,并在以此數(shù)據(jù)為主鍵的前提下對(duì)其他字段進(jìn)行包括計(jì)數(shù)、排序、累加等相關(guān)操作。保證了在相對(duì)較小數(shù)據(jù)量的情況下可以快速反饋相關(guān)結(jié)果,為儀表板、調(diào)查分析等上層安全應(yīng)用功能的使用提供了強(qiáng)有力的幫助。
同時(shí)為了應(yīng)對(duì)大時(shí)間范圍數(shù)據(jù)的統(tǒng)計(jì)需要,工業(yè)安全態(tài)勢(shì)感知平臺(tái)也支持批量定時(shí)的統(tǒng)計(jì)任務(wù),相關(guān)功能被報(bào)表應(yīng)用使用的最為廣泛。
系統(tǒng)支持對(duì)資產(chǎn)、漏洞、告警自定義各種維度的可視化統(tǒng)計(jì)分析,這些維度包括資產(chǎn)組、資產(chǎn)操作系統(tǒng)類(lèi)型、資產(chǎn)責(zé)任人、資產(chǎn)廠家、IP地址、漏洞編號(hào)、告警類(lèi)型、告警狀態(tài)等,可以進(jìn)行兩個(gè)維度的對(duì)比使用,統(tǒng)計(jì)出所關(guān)注的各種維度的數(shù)量等信息。可以生成各種所需維度的視圖并進(jìn)行展示,展示方式包括統(tǒng)計(jì)視圖,視圖種類(lèi)包括柱狀圖、折線圖、條形圖、面積圖、餅圖、詞云圖、玫瑰圖、表格等。同時(shí)自定義的可視化視圖可以被儀表板及報(bào)表系統(tǒng)調(diào)用。針對(duì)告警用戶(hù)可以指定告警加白策略,指定哪些條件下的告警內(nèi)容不進(jìn)行告警展示。
2.2.3 自適應(yīng)安全評(píng)估
(1)威脅評(píng)估
結(jié)合聚類(lèi)分析、關(guān)聯(lián)分析和序列模式分析等大數(shù)據(jù)分析方法對(duì)發(fā)現(xiàn)的惡意代碼、流量信息等威脅項(xiàng)進(jìn)行跟蹤分析。利用相關(guān)圖等相關(guān)性的方法檢測(cè)并擴(kuò)建威脅列表,對(duì)網(wǎng)絡(luò)異常流量、網(wǎng)絡(luò)異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊、APT攻擊等多種類(lèi)型的地鐵網(wǎng)絡(luò)安全威脅數(shù)據(jù)進(jìn)行統(tǒng)計(jì)建模與評(píng)估。只有通過(guò)安全威脅評(píng)估,才能完成從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報(bào)的完整轉(zhuǎn)化過(guò)程,才能做到對(duì)攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等狀況的及時(shí)發(fā)現(xiàn)與檢測(cè)預(yù)測(cè),實(shí)現(xiàn)全貌還原攻擊過(guò)程、攻擊者意圖目的,客觀評(píng)估攻擊投入和防護(hù)效能,為威脅溯源提供必要的線索支撐。
(2)自適應(yīng)評(píng)估
以工業(yè)網(wǎng)絡(luò)安全事件監(jiān)測(cè)為驅(qū)動(dòng),以安全威脅線索為牽引,對(duì)安全相關(guān)信息進(jìn)行匯聚融合,將多個(gè)安全事件聯(lián)系在一起進(jìn)行綜合評(píng)估與決策支撐,實(shí)現(xiàn)對(duì)整體網(wǎng)絡(luò)安全狀況的判定。
對(duì)安全事件尤其是對(duì)工業(yè)網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合后所形成針對(duì)人、物、地、事和關(guān)系的多維安全事件知識(shí)圖譜,是安全自適應(yīng)分析的關(guān)鍵。工控安全自適應(yīng)與決策支撐技術(shù)從“人”的角度評(píng)估攻擊者的身份、團(tuán)伙關(guān)系、行為和動(dòng)機(jī)意圖;從“物”的角度評(píng)估其工具手段、網(wǎng)絡(luò)要素、虛擬資產(chǎn)和保護(hù)目標(biāo);從“地”的角度評(píng)估其地域、關(guān)鍵部位、活動(dòng)場(chǎng)所和途徑軌跡;從“事”的角度評(píng)估攻擊事件的相似關(guān)系、同源關(guān)系。
(3)自適應(yīng)防護(hù)通過(guò)結(jié)合工業(yè)協(xié)議分析、威脅評(píng)估、自適應(yīng)評(píng)估等所有安全分析與評(píng)估結(jié)果,對(duì)工控網(wǎng)絡(luò)進(jìn)行綜合評(píng)估,并對(duì)其網(wǎng)絡(luò)薄弱點(diǎn)、事件發(fā)生、疑似威脅點(diǎn)采取對(duì)應(yīng)的防護(hù)措施,下發(fā)任務(wù)給執(zhí)行單元,并作出相對(duì)應(yīng)的告警通知。
3 代表性及推廣價(jià)值
該項(xiàng)目實(shí)施前,工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)采用傳動(dòng)模式,即工程師站、操作員站、HMI服務(wù)器、數(shù)據(jù)服務(wù)器、工藝服務(wù)器、模型服務(wù)器等安裝賽門(mén)鐵克、諾頓等主流通用型殺毒軟件,按授權(quán)時(shí)間費(fèi)用不等,軟件授權(quán)到期后更新授權(quán)、更新病毒庫(kù)需再次發(fā)生費(fèi)用。項(xiàng)目實(shí)施后,主要經(jīng)濟(jì)效益包括兩部分:
目前公司工控系統(tǒng)主機(jī)配置共1478臺(tái)/套,基本處于無(wú)防護(hù)狀態(tài),若按集團(tuán)系統(tǒng)優(yōu)化部要求配備賽門(mén)鐵克殺毒軟件(系統(tǒng)中賽門(mén)鐵克端點(diǎn)安全12.1版、50用戶(hù)、3年升級(jí)服務(wù)價(jià)格為21800元),年均節(jié)約費(fèi)用為:1478×21800/50/3=21.48萬(wàn)元
項(xiàng)目實(shí)施后完成了公司工控系統(tǒng)主機(jī)防護(hù)和關(guān)鍵網(wǎng)絡(luò)隔離,能夠保障公司各產(chǎn)線生產(chǎn)運(yùn)行穩(wěn)定,有效抵御病毒攻擊造成的生產(chǎn)停機(jī)。從統(tǒng)計(jì)數(shù)據(jù)分析,平均事故處理時(shí)間為15.1小時(shí),結(jié)合近兩年煉鋼鑄機(jī)中毒、冷軋表檢儀服務(wù)器中毒、中厚板4300剪切線中毒、鋼軋藍(lán)屏4起問(wèn)題,按照每年抵御2次網(wǎng)絡(luò)病毒攻擊,有效減少停機(jī)30.2小時(shí),以煉鋼廠工序?yàn)闃?biāo)準(zhǔn),按停機(jī)損失進(jìn)行效益評(píng)估,煉鋼部年損失合計(jì)為1067.92萬(wàn)元。
綜上,項(xiàng)目總年效益預(yù)計(jì)為1089.4萬(wàn)元。
此方案結(jié)合自適應(yīng)技術(shù),形成的一套涵括工業(yè)互聯(lián)網(wǎng)云、管、邊、端各層面安全需求的整體解決方案。該解決方案可廣泛應(yīng)用與冶金、水處理、電力、煤炭、石油石化、港口、軌道交通、煙草、汽車(chē)等多個(gè)行業(yè)企業(yè),切實(shí)為客戶(hù)解決工業(yè)互聯(lián)網(wǎng)安全威脅。
摘自《自動(dòng)化博覽》2023年4月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)