今日頭條
官方微信
官方抖音
案例頻道★北京雙湃智安科技有限公司
1 項目概況
1.1 項目背景
目前紫光UNIPower工業互聯網平臺已經發布百余種工業應用服務和多個行業解決方案,齊聚超過200家生態合作伙伴,為TCL集團、新華三集團、人本集團、華亞智能科技等企業提供工業云服務和智能化改造的解決方案。
紫光UNIPower工業互聯網平臺服務特點包括以下幾個方面:一是全面的設備連接與數據整合能力;二是強大的數據分析和工業算法模型構建;三是提供PaaS層四庫四池,為企業和開發者提供工業應用開發所需的豐富資源服務;四是建設以“工業為基礎、數據為核心、云平臺為支撐”的安全能力,建立一個智能分析、協同防護、安全可控的工業互聯網安全平臺,做到事前預警、事中監控、事后分析響應,全面提升工業互聯網平臺安全管理與防護水平。
1.2 項目簡介
項目歷時6個月,按照統籌規劃、務求實效、立足創新、方便擴展的建設原則,以IITM(工業互聯網威脅檢測平臺)和ISOC(工業安全運營中心)為基礎建設成符合紫光云引擎業務需求,并且與工業互聯網平臺相融合的工業互聯網綜合防護平臺。
同時,通過部署探針類設備ITD(工業威脅探測器)和現有的工業安全系統搭建起完整的三級聯動安全防護體系構架,提升內部工業安全防護能力的同時也讓紫光工業互聯網平臺具備了對外提供工業網絡安全業務的能力。
1.3項目目標
1.3.1 行業所面臨的挑戰
(1)工業互聯網安全管理體系不健全
評估發現,大多數企業尚未結合生產應用場景建立適應工業互聯網發展需求的網絡安全管理制度,缺少針對工業互聯網安全考核機制,安全責權不清,人員和經費投入有限,缺乏有效的督促和激勵制度;缺少工業互聯網安全評估制度,多數企業對工業互聯網改造后需要保護的網絡、設備、數據等保護對象及其應達到的安全要求掌握分析不足,對網絡中已存在的漏洞、病毒不掌握;網絡安全應急保障不完善,絕大多數企業沒有針對自身工業互聯網情況明確網絡安全應急預案并開展演練。
(2)缺乏工業互聯網安全保障技術體系
目前,多數企業工業互聯網處于試點或改造階段,未完全實現從傳統單點、隔離工業控制系統到工業互聯網的轉變,更注重工業互聯網場景可用性,未做到網絡安全三同步要求;對網絡區域打通后的網絡隔離、安全監控、數據保護等安全問題考慮欠缺,工業互聯網安全態勢感知能力不足,缺乏專業安全防護設備與技術支持,缺乏工業互聯網網絡安全保障技術體系。
(3)工業數據安全保護措施不足
工業互聯網企業普遍對工業數據保護缺乏有效管控防護措施。多數平臺企業對數據安全的保護措施較欠缺,未對重要工業數據進行識別、分類分級;未采取加密存儲和傳輸、定期備份等防護措施;未對存儲、處理關鍵工業數據的設備的漏洞及時跟蹤處理,許多設備存在如弱口令、命令注入、遠程代碼執行等常見漏洞,工業數據遭竊取、破壞的風險較高;70%以上工業互聯網平臺企業對云服務外包缺乏安全管控,缺少云端業務數據防護舉措。
(4)工業互聯網軟硬件安全檢測不足
工業互聯網應用推廣過程中,涉及傳統工業控制系統與產品、工業互聯網網關、工業App等,但相關軟硬件產品安全檢測不足,引入了安全風險。如許多工業App產品存在反編譯和硬編碼等安全漏洞,能夠通過一些App直接調用生產系統控制功能,攻擊者可通過篡改控制指令引發重大生產事故和財產損失。對部分企業工業App檢測發現,App信息交互過程中存在數據明文傳輸、訪問控制不受限等風險,可以通過App獲取生產控制指令和工業生產參數,可能造成工藝生產流程泄露。
當前,工業互聯網企業面臨著安全風險,工業互聯網安全防護技術手段尚需健全。為有效提升工業互聯網服務商及其服務企業的網絡安全防范水平,適應新技術潮流下安全治理的新挑戰,需開展工業互聯網平臺安全監測與防護系統建設,依托自有網絡資源和系統,圍繞工業互聯網服務商及其服務企業的安全需求,利用大數據、人工智能等技術手段,為工業企業等提供網絡安全服務,實現本網絡內的威脅溯源定位、安全防護、入侵防御、安全監測、風險診斷與研判、應急處置等服務,最大程度降低企業系統遭受網絡攻擊的風險。
1.3.2 項目建設目標
(1)形成邊界安全、業務和應用安全、數據安全的工業互聯網平臺安全縱深防御解決方案,具備防攻擊、防病毒、防入侵、防盜竊、防控制等安全防護能力。應用10類以上工業互聯網平臺安全防護核心技術及產品,實現抗DDoS、虛擬機逃逸、鏡像篡改、數據竊取與篡改等安全能力。
(2)建設工業互聯網平臺安全綜合防護系統,實現對平臺接入終端、云基礎設施、工業微服務、工業APP和防護設備的安全數據匯聚并進行綜合分析,實現對接入設備、防護設備、應用服務和日志數據的統一管理。同時具備應用發布安全感知、攻擊源畫像威脅展示及設備應用連通監測的功能。
(3)建設紫光工業互聯網設備安全接入系統,對設備接入平臺進行統一認證。
(4)對平臺安全綜合防護系統進行實際應用評價,對各項指標進行數據采集,對標準的合理性和科學性進行反向驗證,產生平臺安全綜合防護系統的測試用例,并利用市場渠道進行對外服務和宣傳推廣,推動平臺功能不斷完善,加快平臺在廣大制造業企業的落地應用與實踐。
2 項目實施
2.1 系統架構和主要內容
建設工業互聯網平臺安全綜合防護平臺,系統架構如圖1所示。該平臺是針對工業互聯網企業的一個開放互聯的平臺,可匯總多站點工業安全設備上報的威脅數據以及資產數據,以數據可視化為核心,為資產及其脆弱性、告警事件、處置情況和網絡訪問情況提供集中視圖,為安全運營提供跨地域的即時可見性。在此基礎上,增加工業設備與工業安全設備日志收集與分析、策略管控、數據上報等數據及產品管控功能,依托大數據分析,最終實現場景化運營。該平臺有效提升工控網絡在線安全監測能力,全面提高工業企業的風險預警能力,整體提升工業企業的安全運營能力和安全防護水平。
圖1 系統架構
建設紫光工業互聯網平臺監測服務系統,如圖2所示,以資產探測和威脅發現為基礎,以威脅分析和安全保障為核心,以事前預防、事中控制和事后響應為目標,支撐監管部門和安全服務運營商對工業互聯網網絡空間與工業互聯網企業提供資產探查、漏洞發現、風險評估、威脅推送、工業現場檢查、工業應急響應等安全服務,填補網絡安全監管部門執法監督管理以及區域服務中心在線安全服務的空白,豐富安全監管部門管理手段以及安全服務運營商的運營手段,幫助安全監管部門和安全服務運營商構建全天候、全方位的安全監測和威脅感知能力,強化通過自動化工具開展實時安全監測、風險評估、威脅推送、預警通報等安全服務,提升安全監管部門權威性、安全服務運營商安全建設與運營的規范化程度,提高工業互聯網企業的安全管理能力,降低工業互聯網企業因安全事件導致的資產和人員損失,保障工業互聯網企業安全生產。
圖2 紫光工業互聯網平臺監測服務系統
2.2 技術方案
工業互聯網平臺安全綜合防護平臺由工業互聯網平臺安全綜合管理系統(DZ-SOCP)、工業安全運營中心系統(SP-ISOC)和工業互聯網數據模擬器系統(SP-DSS)組成。如圖3所示。
圖3 工業互聯網安全綜合防護典型部署
該平臺的威脅檢測分析系統和運營管理系統,依托“九天”情報系統和“哈莫韋”工業網絡安全實驗室,針對工業互聯網行業特點,建立從基礎信息采集到數據分析的一體化威脅情報分析。通過搭建威脅監測和分析管理平臺,將“九天”系統的威脅分析能力和“哈莫韋”工業網絡安全實驗室的研究成果,有效串聯至工業安全態勢感知平臺各業務環節,為工業安全態勢感知平臺的安全穩定運行提供堅強支撐。
圖4 工業互聯網平臺防護能力模型
2.3 應用場景分析
工業互聯網平臺安全綜合防護平臺是針對工業互聯網企業的一個開放互聯的平臺。該平臺可匯總多站點工業安全設備上報的威脅數據以及資產數據,以數據可視化為核心,為資產及其脆弱性、告警事件、處置情況及網絡訪問情況提供集中視圖,為安全運營提供跨地域的即時可見性。
直觀地體現總體安全態勢和潛在風險,主要包括態勢分析、地圖呈現、下鉆、設置模式和統計信息。其中態勢分析內容包括風險等級資產分布、區域資產分布、行業資產分布、漏洞類型占比、行業風險排名、資產趨勢、風險趨勢、被篡改應用站點行業統計、應用站點漏洞行業分布、應用站點流行漏洞排名、問題站點區域分布、問題站點、RTSP弱口令攝像頭、資產趨勢、區域資產分布等以及利用地圖直觀展現轄區應用站點安全隱患的分布情況,并支持利用導航地圖技術結合站點地址經緯度數據定位。可視化包括視圖安全管控視圖和安全領導視圖:為安全運營和實驗室人員提供安全可視化視圖,支持安全事件調查、取證、溯源和處置等功能聯動;為管理層領導提供安全可視化視圖,支持安全建設成果可視化、安全威脅統計可視化等數據,支持安全決策。
2.4 安全應用模式
在眾多的用戶需求中,安全保障的基本需求是用戶最根本的利益所在。雙湃智安通過安全運營平臺,圍繞資產、脆弱性、威脅和事件四個要素為客戶提供一系列安全服務,幫助用戶構筑遠程(24×7小時)對客戶側安全事件和相關數據源安全監控和威脅檢測、漏洞(弱點)評估與管理、IT安全設備和工具管理、安全事件響應等能力。
圖5 紫光工業互聯網平臺綜合防護整體架構
2.5 實際應用效果
(1)系統監測和防護
實現1000個工業互聯網業務與基礎信息系統的監測和防護。
(2)設備采集
實現100萬臺以上工業聯網設備采集入庫。
(3)漏洞監測
累計完成100萬次以上工業聯網設備和系統漏洞檢測。
(4)為企業用戶提供安全防護
服務對500家企業用戶網站、系統、設備進行安全監測。
(5)開發環境安全系統
防止源代碼泄密,防范勒索病毒,滿足開發環境和生產環境30臺服務器防護要求。
3 案例亮點及創新性
(1)構建在線監測網絡,直觀掌控安全態勢
基于多源數據支持安全威脅監測以及安全威脅突出情況的分析展示。利用大數據技術進行分析挖掘,實時掌握網絡攻擊對手情況、攻擊手段、攻擊目標、攻擊結果以及網絡自身存在的隱患、問題、風險等情況,對比歷史數據,形成趨勢性、合理性判斷,為通報預警提供重要支撐。該模塊支持對網絡空間安全態勢進行全方位、多層次、多角度和細粒度感知,包括但不限于對工業互聯網平臺、重點行業、重點單位、重點網站,重要信息系統、網絡基礎設施等保護對象的態勢進行感知。該模塊主要包括態勢分析和態勢呈現。
(2)實現多維風險監測,增強威脅發現能力
匯聚網絡側和企業側安全監測和態勢感知平臺的共享信息,結合國家態勢感知平臺的共享信息,構建基礎資源庫、知識庫和威脅信息庫等信息資源;結合專業機構的認定結果和處置建議,有針對性地開展日常信息運營,包括威脅分析和資產審核,提升安全威脅信息共享能力,實現工業互聯網綜合態勢可視化,完成與國家平臺信息共享和聯動。
(3)建立協同聯動體系,提高事件處置效率
以安全數據共享、安全監測業務協同、安全處置協同聯動為核心,基于工業互聯網安全監管機構、工業互聯網企業、運營商與工業企業,構建以工信部、省級監管機構、工業企業、運營商為主的協同監測和多級聯動管理架構,實現工業互聯網安全監測、預警通報、應急處置、處置溯源和信息共享,形成上下聯動、政企協同的工業互聯網安全管理系統
(4)基于業務的工業安全運營
實現被動到主動的轉變:根據本地數據結合云端大數據及威脅情報,結合服務過程中發現的工業安全事件,針對可能發生的攻擊行為提前做好響應對策,并通過專業化的保障服務,使監管具備處理突發事件的技術實力,提高安全事件響應與處理能力。
安全運營團隊圍繞態勢感知平臺系統,通過資產梳理、安全事件監測、流量深度分析、事件通報、應急處置、重要時期安全保障等一系列安全措施,協助省監管部門更全面、更準確、更高效地行使工業安全監管職能。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號