今日頭條
官方微信
官方抖音
案例頻道★首鋼京唐鋼鐵聯合有限責任公司
1 方案目標和概述
隨著國家“智能制造”、“互聯網+”、“工業互聯網”戰略的持續推進,冶金行業迎來了新一輪發展機遇,融合數字化、網絡化、智能化的先進生產系統,使原本相對獨立的DCS、PLC、儀器儀表等控制系統通過網絡連為一體,實現對工業生產、能源管理、業務調度的扁平一體化管理。
但由于大量信息系統和新興技術的應用,也使工業行業面臨著普遍歷史性和新興技術帶來的雙重安全風險威脅。工業行業普遍存在歷史性、系統性存量網絡安全問題與5G、云計算、大數據、物聯網等新興技術應用帶來的新風險新問題的疊加,形成更為復雜嚴峻的網絡安全挑戰和現實威脅。
本方案針對工業控制網絡面臨的安全問題,采用了工業自適應綜合防護技術形成縱深防御體系,以加強和提升工業控制網絡的安全防護能力。具體目前如下:(1)通過執行單元組件,對工業控制系統中訪問控制、協議指令、勒索病毒、未知病毒、進程安全、流量異常等威脅進行安全防護與行為監測。
(2)通過工業自適應綜合防護技術,對工業控制系統全網資產資源、安全資源、數據資源進行整合,有效聯動,結合威脅情報各安全資源進行智能持續分析決策,預判系統薄弱點與被攻擊方向,實現全局性質的安全監測預警和動態防護。
(3)通過基于工業安全自適應綜合防護技術平臺的建設,針對目前網絡中存在的已知威脅進行檢測分析,對未知威脅進行監測和智能分析,通過全天全方位監測與分析工業控制系統的網絡與主機安全,實現防護、監測、響應為一體的三層閉環防護體系,建設工業網絡的“大腦”,為工業網絡安全保駕護航。
2 方案介紹
本方案通過網絡執行單元、流量執行單元、主機執行單元對整個工業自動化控制網絡中的行為與流量進行防護、監控、采集、傳輸。結合自適應平臺對采集到的數據進行整合、分析。形成警告快速處理、快速配置和工業網絡安全全局可視化的管理界面,最終構建一個可感知、易運營的分布式多元安全組件的自適應平臺。實現預判攻擊、事件防御、實時監測、快速響應的自適應安全技術方案。
圖1 方案架構圖
2.1 執行單元
2.1.1 網絡執行單元網絡執行單元支持工業協議的深度解析功能。可廣泛應用于工控網絡邊界防護、區域防護、重要監控系統、控制設備防護等場景,有效解決工業企業工控系統組網安全、信息孤島、控制指令不可信、網絡數據不安全、網絡數據采集以及合規性等問題,為工業安全智能綜合防護平臺提供高性能的網絡防護。支持ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等多種工業協議。
具備工控協議指令級“4S”深度防護專利技術,支持多種訪問控制規則、協議深度分析、VPN、流量控制、安全審計等安全防護功能,且具備Dos、ARP攻擊防護和自身訪問控制功能,可有效保障自身和工控網絡的雙重安全。
針對首鋼京唐現如今網絡情況,本方案利用網絡執行單元如下技術對首鋼京唐網絡進行了全面的網絡安全防護:
(1)“4S”深度防護技術針對首鋼京唐一二級工業網絡協議的類型及分布特點,通過廣泛的協議收集和逆向分析,形成了基于白名單的工業指令級“4S”深度防護技術。
此技術從工業協議的“規約符合度即完整性”、“功能碼”、“地址范圍”和“工藝參數范圍”等維度,逐步深入對工業協議應用層全字段進行解析和過濾,可有效阻斷病毒、木馬等惡意軟件攻擊與傳播,無需借助病毒庫、漏洞庫、入侵庫,無誤殺誤報,真正適用于一線工業生產網絡。
圖2 4S深度防護技術原理圖
(2)工業協議自定義技術
由于歷史原因和控制系統廠商限制,一二級工業網絡內存在大量私有協議和非公開協議,綜合項目進度和成本等因素無法實現對所有協議的全部內置。本項目首創工業協議自定義技術方法,針對私有協議和系統沒有內置的工業協議可進行快速自定義添加,從而保障系統的廣泛適應性。
工業協議自定義技術分為工業協議特征識別和工業協議指令級深度防護兩類場景。
(3)OPCNAT轉換技術
OPC協議基于微軟的OLE、COM和DCOM等技術,在通訊過程中通過傳統NAT僅替換IP數據包的IP地址及端口,不能實現業務通訊,因為OPC協議的連接信息在OPC協議應用數據中,必須將應用數據中的相關信息也進行類似的NAT轉換,才能實現OPC應用的正常工作。
本項目在工業協議深度解析的基礎上,可對OPC協議的通訊和連接過程進行持續監視,通過對OPC客戶端與服務器遠程調用過程的持續解析,實現OPC端口的動態開放,保證OPC通訊端口打開數量的最小化,解決傳統防火墻無法對OPC協議進行有效防護的問題。
與此同時,系統深度分析OPC協議的應用層數據,根據配置將OPC協議應用中的連接信息進行替換,實現:拆包-替換-封包的功能,達到OPC應用NAT的功能,可以有效的隱藏真正的服務器信息,有效解決當前一二級網絡OPC數據采集與同網段地址沖突等組網問題。
2.1.2 主機執行單元
主機執行單元自動適配所有版本的windows、Linux系統物理機、虛擬機。運行穩定、消耗低。從而實現對主機異常的采集、分析、存儲并由平臺進行告警、防護、學習等響應實施動作,執行其下發的任務,主動發現主機問題,實現工業部分主機系統過于老舊無法防護與數采問題。
針對首鋼京唐現如今網絡情況,本方案利用主機執行單元如下技術對首鋼京唐網絡進行了全面的網絡安全防護:
(1)智能化補丁與軟件更新技術
白名單生成:通過一鍵固化,自動掃描功能,建立白名單
白名單導入導出:提供白名單的導入導出功能
白名單的手動更新:支持告警程序的一鍵加白;支持基于目錄的程序掃描追加;
手動軟件更新:支持本地手動安裝軟件,并追加更新的程序到白名單庫中;
軟件智能更新:支持基于軟件更新平臺的自動化軟件更新和基于信任軟件庫的軟件更新場景下的更新程序自動追蹤,并添加到白名單中,不影響更新后軟件的使用;
補丁智能更新:支持操作系統的補丁更新,系統后臺智能跟蹤更新過程,并將更新文件追加到白名單庫中。
白名單技術是一種相對于黑名單的安全技術,借助可信機制將“白”程序、“白”網絡、“白”外設等通過算法生成白名單庫,只有在“白”庫內的應用或流量才可運行或通過。隨著首鋼京唐生產業務的持續發展,一二級主機存在系統和工業控制軟件更新等場景,本項目通過智能化補丁與軟件更新技術,可對系統更新和軟件更新安裝過程進行智能化追蹤與捕捉,從而實現白名單庫的動態、自動化更新管理。
(2)輕量化資源需求與廣泛的系統支持技術
設備管理:設置硬件USBKey設備的用戶名稱,安全事件追蹤到指定責任人。
口令重置:在硬件USBKey設備因口令錯誤鎖定后,進行口令重置等操作后恢復使用。
用戶綁定:將硬件USBKey設備與操作系統內的用戶關聯,一個設備僅能關聯一個用戶,且只有關聯的用戶才允許登錄。
登錄增強:操作系統用戶在登錄系統、解鎖系統、切換用戶等操作時,必須驗證USBKey設備口令通過后,才能進行密碼驗證,實現登錄等功能。
(3)已知與未知威脅主動防御技術
①阻止已知病毒及其變種
系統針對工控網絡中的主機(操作員站、工程師站、服務器各類終端),提供貼合一二級生產主機特殊需求的安全防護,不影響原有業務的運行;為保障關鍵業務的運行,可建立穩定的運行環境,同時有效遏止至今已經爆發的工控病毒(如“震網”、Havex、“勒索”等)及其變種的運行。
②防范未知的威脅,不需要額外的成本
主機執行單元通過建立穩定的計算環境,能對未知的病毒“免疫”。無論是黑客通過社會工程學的方式,還是利用零日漏洞的高級可持續性威脅攻擊,都無法侵入可信的計算環境。主機執行單元不需要做任何更新就能抵御不明的攻擊行為,沒有軟件更新和維護成本。
傳統防病毒方案以“病毒庫”為核心,需保障及時的庫更新才能有效發揮殺毒作用,更新周期需保持為小時、天級,但由于“病毒庫”技術是一項滯后于病毒發現的技術(即在發現某類病毒并分析完成后,才可對其進行防護與查殺),導致無法對未知或在野病毒進行有效防護,本項目采用“白名單+可信機制”進行主機防護。
2.1.3 流量執行單元
流量執行單元,是一款專門針對于工業控制網絡的數據安全產品。以工控協議指令級“4S”深度檢測技術為技術核心,支持多種工控協議(ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等)的深度報文解析,通過建立工控網絡安全通信矩陣,實時發現惡意指令、破壞行為、違規使用等安全事件,能夠持續收集并通過固定端口向Sever端上傳的所有日志。從而實現平臺對工控網絡數據的采集、分析、存儲并由平臺進行告警、防護、學習等響應實施動作。
流量執行單元的功能如下:
(1)流量異常檢測
(2)實時流量審計
(3)實時網絡連接審計
(4)實時主機數量審計
(5)基于業務的安全審計
(6)協議內容審計及工業協議深度解析
(7)日志審計
(8)通信管理
2.2 工業自適應平臺
作為核心平臺的信息處理中樞,支持橫向擴展分布式部署,能夠持續分析檢測從各個執行單元上接收到的信息和行為并進行保存,可從各個維度的信息中發現漏洞、弱密碼、工業網絡薄弱點等安全風險和Webshell寫入行為、異常登錄行為、異常網絡連接行為、異常命令調用行為、工業協議篡改、入侵攻擊等異常行為,從而實現對入侵行為實時預警與防護。
圖3 工業自適應平臺
在工業網絡生產管理層或過程監控層部署工業自適應平臺,對全網各節點安全檢測執行單元的數據進行收集,采用分布式計算和搜索引擎技術對所有數據進行處理,能夠支撐大并發量計算及查詢的業務需求,并通過可視化的形式為用戶呈現網絡業務資產及針對網絡關鍵業務資產的攻擊與潛在威脅。
根據工業安全態勢感知平臺功能特點,本方案將安全分析引擎與平臺方案劃分為多元數據采集、信息理解分析、態勢可視化呈現三個過程單元。
2.2.1 多元數據采集
工業網絡安全數據通過部署在各廠區的網絡執行單元、流量執行單元、主機執行單元進行采集、初步分析和上傳,平臺以資產為核心進行數據收集、存儲、分類,以備進一步安全分析與應用。
通過對工業網相關數據進行采集,形成統一的數據池,為后續的安全分析和態勢感知提供基礎支撐,由于數據采集方式的不同,以及相關設備的部署位置區別,將數據采集分為如下幾個方面:日志數據采集、流量信息采集、其他系統數據采集。安全數據通過各類分布式執行單元采集完成后,采用加密的方式傳輸至自適應平臺系統。
2.2.2 信息理解分析
理解分析過程包含數據標準化處理、數據存儲、數據安全分析三部分。
(1)數據標準化處理在海量的原始數據中存在著大量的不完整(有缺失值)、不一致、有異常的數據,嚴重影響到數據挖掘建模的執行效率,甚至可能導致挖掘結果的偏差,所以進行數據清洗顯得尤為重要,數據清洗完成后接著進行或者同時進行數據歸一化、集成、變換等一系列的處理,該過程就是數據標準化處理。
數據標準化處理將傳輸至平臺的安全數據按統一標準進行數據清洗、數據歸約、歸一化和富化后進行存儲和分析。
(3)數據安全存儲
工業自適應平臺采用大數據架構,而數據存儲是大數據的核心,針對結構化數據及非結構化數據實現數據集中存儲、管理與維護,能夠支持數據緩存、數據存儲、數據索引、數據分析等。數據存儲支持分布式存儲系統,為采集到的企業網各類數據提供各種存儲接口實現對數據的快速寫入、讀取等。分布式存儲要實現結構化數據、半結構化數據的存儲,同時要保證數據存儲的可靠性,保證數據高效可靠存儲。
工業自適應平臺可對多源異構的海量數據進行存儲,支持對原始數據文件的分布式存儲,支持文本、鍵值對、對象等多種數據特征的存儲,最終滿足業務系統復雜數據源類型的存儲需求。平臺支持對結構化數據、半結構化數據和非結構化數據的存儲,支持可伸縮的分布式數據存儲架構,滿足數據量持續增長需求,支持集群的計算資源管理。
(3)數據安全分析
數據安全分析是工業自適應平臺的核心部分,數據安全分析通過關聯分析、場景分析、數據統計分析、機器學習等分析引擎發現安全事件。發現的安全事件將通過安全事件檢測、安全事件響應機制反饋到業務層中相關應用進行人機交互。
①關聯分析引擎
關聯分析是數據挖掘中一項基礎又重要的技術,是一種在大型數據集合中發現變量之間復雜關系的方法。關聯規則其實是兩個項集之間的蘊涵表達式。如果我們有兩個不相交的項集X和Y,就可以有規則X→Y。項集和項集之間組合可以產生很多規則,但不是每個規則都是有用的,關聯分析可在一些限定條件來幫助我們找到強度高的規則。
工業自適應平臺關聯分析引擎能夠在大數據量級下,對數據進行實時關聯分析。支持接入各種類型和維度的數據,并支持對輸出結果進行回注分析。關聯分析引擎提供如下計算單元:日志過濾、日志連接、聚類統計、閾值比較和序列分析,可通過組合計算單元來實現自定義威脅事件發現規則。提供豐富的語義,包含統計、基線、關聯和序列等,以覆蓋各類安全場景的威脅建模和發現。
②場景分析引擎場景是指在特定的主題下,通過引擎的一系列圖、表等可視化手段,依據攻防等經驗構造的數據展示形式。旨在提供多維視角來查看相關數據,為發現、判斷網絡安全問題提供幫助。解決了規則判定時,無法確定具體閾值的問題,可根據自己網絡特點和經驗進行判斷。
場景化分析采用插件式架構,分為輸入插件、場景分析插件、輸出插件三種插件。
輸入插件:為場景化分析提供數據源,根據英賽克大數據平臺中數據存儲模塊的設計,數據將存儲于數據平臺中,各個場景化可通過配置一個輸入插件獲取數據源,各輸入插件相互獨立。
場景分析插件:各場景化分析核心邏輯,它們根據輸入插件而獲取的數據源進行分析,并根據輸出插件,輸出結果并保存,中間結果(如緩存內容)由場景分析提供接口。
輸出插件:用于保存場景分析插件分析而得到的最終結果。
③機器學習引擎
機器學習可以概括為“使用正確的特征來構建正確的模型,以完成既定的任務”。特征(feature)是一種對問題域中相關對象的描述,一旦獲得對問題域中對象的某種恰當的特征表示,我們便不必再去關注這些對象本身。任務(task)是對我們所期望解決的、與問題域對象有關問題的一種抽象表示(例如兩類或多類分類問題)。許多任務都可以抽象為一個從數據點到輸出的映射,我們將這種映射稱為模型(model),而這種映射或模型本身又是應用于訓練數據的某個機器學習算法的輸出。
④數據統計引擎
日常的安全分析中經常會使用各種統計手段,傳統系統中經常使用簡單的SQL語句來完成相關數據庫日志的處理。但是在海量數據情況下,利用SQL已經不再可能,而大數據平臺所提供的批處理手段雖然能夠實現數據統計,但往往需要等待很長時間,無法滿足實時安全分析與響應的需要。
工業安全態勢感知平臺基于搜索基礎之上開發了實時的統計分析功能,該功能可以針對日志的某一字段進行數據歸并,并在以此數據為主鍵的前提下對其他字段進行包括計數、排序、累加等相關操作。保證了在相對較小數據量的情況下可以快速反饋相關結果,為儀表板、調查分析等上層安全應用功能的使用提供了強有力的幫助。
同時為了應對大時間范圍數據的統計需要,工業安全態勢感知平臺也支持批量定時的統計任務,相關功能被報表應用使用的最為廣泛。
系統支持對資產、漏洞、告警自定義各種維度的可視化統計分析,這些維度包括資產組、資產操作系統類型、資產責任人、資產廠家、IP地址、漏洞編號、告警類型、告警狀態等,可以進行兩個維度的對比使用,統計出所關注的各種維度的數量等信息。可以生成各種所需維度的視圖并進行展示,展示方式包括統計視圖,視圖種類包括柱狀圖、折線圖、條形圖、面積圖、餅圖、詞云圖、玫瑰圖、表格等。同時自定義的可視化視圖可以被儀表板及報表系統調用。針對告警用戶可以指定告警加白策略,指定哪些條件下的告警內容不進行告警展示。
2.2.3 自適應安全評估
(1)威脅評估
結合聚類分析、關聯分析和序列模式分析等大數據分析方法對發現的惡意代碼、流量信息等威脅項進行跟蹤分析。利用相關圖等相關性的方法檢測并擴建威脅列表,對網絡異常流量、網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊、APT攻擊等多種類型的地鐵網絡安全威脅數據進行統計建模與評估。只有通過安全威脅評估,才能完成從數據到信息、從信息到網絡安全威脅情報的完整轉化過程,才能做到對攻擊行為、網絡系統異常等狀況的及時發現與檢測預測,實現全貌還原攻擊過程、攻擊者意圖目的,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索支撐。
(2)自適應評估
以工業網絡安全事件監測為驅動,以安全威脅線索為牽引,對安全相關信息進行匯聚融合,將多個安全事件聯系在一起進行綜合評估與決策支撐,實現對整體網絡安全狀況的判定。
對安全事件尤其是對工業網絡空間安全相關信息進行匯聚融合后所形成針對人、物、地、事和關系的多維安全事件知識圖譜,是安全自適應分析的關鍵。工控安全自適應與決策支撐技術從“人”的角度評估攻擊者的身份、團伙關系、行為和動機意圖;從“物”的角度評估其工具手段、網絡要素、虛擬資產和保護目標;從“地”的角度評估其地域、關鍵部位、活動場所和途徑軌跡;從“事”的角度評估攻擊事件的相似關系、同源關系。
(3)自適應防護通過結合工業協議分析、威脅評估、自適應評估等所有安全分析與評估結果,對工控網絡進行綜合評估,并對其網絡薄弱點、事件發生、疑似威脅點采取對應的防護措施,下發任務給執行單元,并作出相對應的告警通知。
3 代表性及推廣價值
該項目實施前,工控系統網絡安全防護采用傳動模式,即工程師站、操作員站、HMI服務器、數據服務器、工藝服務器、模型服務器等安裝賽門鐵克、諾頓等主流通用型殺毒軟件,按授權時間費用不等,軟件授權到期后更新授權、更新病毒庫需再次發生費用。項目實施后,主要經濟效益包括兩部分:
目前公司工控系統主機配置共1478臺/套,基本處于無防護狀態,若按集團系統優化部要求配備賽門鐵克殺毒軟件(系統中賽門鐵克端點安全12.1版、50用戶、3年升級服務價格為21800元),年均節約費用為:1478×21800/50/3=21.48萬元
項目實施后完成了公司工控系統主機防護和關鍵網絡隔離,能夠保障公司各產線生產運行穩定,有效抵御病毒攻擊造成的生產停機。從統計數據分析,平均事故處理時間為15.1小時,結合近兩年煉鋼鑄機中毒、冷軋表檢儀服務器中毒、中厚板4300剪切線中毒、鋼軋藍屏4起問題,按照每年抵御2次網絡病毒攻擊,有效減少停機30.2小時,以煉鋼廠工序為標準,按停機損失進行效益評估,煉鋼部年損失合計為1067.92萬元。
綜上,項目總年效益預計為1089.4萬元。
此方案結合自適應技術,形成的一套涵括工業互聯網云、管、邊、端各層面安全需求的整體解決方案。該解決方案可廣泛應用與冶金、水處理、電力、煤炭、石油石化、港口、軌道交通、煙草、汽車等多個行業企業,切實為客戶解決工業互聯網安全威脅。
摘自《自動化博覽》2023年4月刊
北京市公安局海淀分局備案號:11010802023656號