今日頭條
官方微信
官方抖音
資訊頻道1 背景
在信息化高速發展的今天,網絡安全正面臨著全新的挑戰。近年來以工業環境為目標的惡意攻擊出現顯著增長。供應鏈和業務中斷的風險在過去三年里一直高居全球企業風險的榜首,而面向生產的網絡安全成為能源、制造工業企業首要新興問題。對于運營關鍵基礎設施的企業,風險日益壯大。
與此同時,工業網絡威脅越來越嚴重,各類安全攻擊手段層出不窮,新型威脅發現和處理時間長,缺少梳理工控網內的各類設備和節點,以及集中維護工控網絡基本信息、信息安全的解決方案。如何處理各自隔離的工業日志、工業網絡流量和業務流程數據,如何直觀感受安全態勢,如何解決安全事件響應慢,建立生產業務相關聯的生產監控網絡安全應急響應體系,成為企業面向智能制造考慮的現實需求。
2 概述
工業安全影響遠超過商業和名譽保護,在多數情況下,當涉及到工業系統威脅、攻擊、破壞時,往往首要考慮生態、社會和宏觀經濟因素。因此,工業系統等關鍵基礎設施的關鍵節點和網絡保護需要足夠高的防護等級才能對抗日益增長的網絡安全威脅。同時,工業環境需要一套綜合的解決方案通過安全預警響應的策略提升技術流程的可用性。
網絡安全供應商只有先了解工業系統于普通的IT業務導向型系統的區別,才能為客戶提供滿足工業控制系統和工業基礎設施獨特需求的解決方案。基于國家對工控安全的頂層規劃設計,實現測評、管理、組織、運行、技術全流程把控。
工業制造能力開放是企業創新的引擎,連接是行業數字化與智能制造的關鍵因數,能夠大幅提升生產效率,降低能耗,未來, IT場景與工控場景將越加融合,安全成為IT與生產環境融合的現實需求,成為企業面向智能制造考慮的關鍵因素之一,因此需要整合IT安全和工控安全,從設備安全、網絡安全、控制安全、應用安全、數據安全五大安全重點全覆蓋,綜合構建防護安全技術體系框架。由業務場景的融合,基于工業網絡安全方針,以情報驅動,建立一套工業網絡安全預警響應防護方案,可準確、高效地感知整個工業系統網絡的安全狀態以及變化趨勢,從而對外部的攻擊與危害行為及時發現,并采取相應的措施,保障工業系統網絡安全。
3 平臺介紹
3.1 Gartner對未來安全管理平臺的理解
智能是下一代安全管理平臺的核心特征,它能夠具備自動防御、檢測、響應和預測自適應的體系架構,更能高效地基于特殊的情境上下文和外部情報,協助安全專家發現安全問題,并通過運維手段實現閉環管理。
3.2 系統架構
工業網絡安全監測預警平臺(Industrial NetworkSecurity Monitoring and Warning Platform)是對工業網絡中資產的日志和網絡攻擊流量數據進行采集和分析、計算,通過數據聚合、去重、標準化、建模、索引和關聯,通過數據可視化的方式將分析和計算結果進行展示,建立和完善工業網絡安全態勢全面監控、安全威脅實時預警、安全事故緊急響應的能力,利用情報和智能分析成果,實現企業發布早期預警信息,評估工業企業內部可能受影響的設備或資產,避免核心業務系統遭受的攻擊和預防潛在的安全隱患的專用軟件安全產品。
工業網絡安全監測預警平臺主要由數據采集層、數據分析層、系統功能層、可視化展示層共四個部分組成,可以在各種不同場景的工業網絡環境中進行靈活的部署和管理。
(1)數據采集層3.5 一站式綜合管理
提供多種數據格式的接口,如syslog、snmp等協議格式,收集工業網絡中各類上位機服務器、工控終端、網絡交換設備、工控安全設備的日志信息和配置信息。
(2)數據分析層
對采集后,來自不同類型設備的日志、事件、配置信息進行集中分析和處理。
(3)系統功能層
在該層實現系統的應用功能的實現。包括基于工控網絡拓撲的綜合態勢管理和業務行為基線的風險預警管理、基于工控事件庫和處置預案庫的工控知識庫以及其他核心功能模塊。
(4)可視化展示層
在該層實現可視化的交互展示,包括工業網絡風險全景視圖、資產運維監視視圖、工控拓撲圖、風險儀表盤等可視化模塊。
3.3 集中管理
事件(日志、網絡流)統一管理,提供安全事件的監控、分析、處置和風險評估的統一平臺。基于大數據框架,通過主/被動結合的獲取手段,實時地采集用戶工業網絡中各種不同廠商的工控安全設備、工業網絡設備、工業上位機、操作系統,以及各種應用系統產生的日志信息,并將這些信息匯集到中心平臺,進行集中化的存儲、備份、查詢、審計、告警和分析,并出具相應的日志報告,實現日志的全生命周期管理,如圖1所示。
圖1 事件統一管理
3.4 工業網絡資產生命周期管理
基于工業網絡安全監測預警平臺(如圖2所示)可建立企業內網的資產基線,通過持續監控的手段,了解工業內網資產變化情況,對合法資產和非法資產進行有效稽查。
圖2 工業網絡安全監測預警平臺
提供并支持包括Syslog協議等8種數據協議類型數據采集能力,具備包含深度流檢測探針在內的多種安全采集工具。如圖3所示。
圖3 一站式綜合管理
3.6 數據采集能力
工業網絡安全監測預警平臺支持多源異構數據接入,并支持包括Syslog協議等8種數據協議類型數據采集能力,具備包含深度流檢測探針在內的多種安全采集工具,為平臺的上層分析研判業務提供有力的支撐,如圖4所示。各項性能指標如下:
(1)各類日志采集性能,4萬/秒;
(2)原始數據包采集性能,7萬/秒;
(3)網絡流量數據采集性能,15萬/秒。
圖4 數據采集
3.7 迅捷的預警通報能力
利用事件理解模型實現多元數據關聯分析,基于攻擊模型實現事件的正反向推理,結合威脅情報模型實現威脅驗證和預警,最終借助風險評估模型為工業網絡安全防護決策提供有力支撐。站在威脅視角,以網絡入侵切入點,做到知己知彼。站在脆弱性視角,以工業系統漏洞和系統安全態勢為切入點,做到知己,提供全方位的工業網絡態勢感知能力。
3.8 高效的應急響應體系
應急響應體系以大數據框架為基礎,結合威脅情報系統,通過攻防場景模型的大數據分析及可視化展示等手段建立和完善工業網絡安全態勢全面監控、安全威脅實時預警、安全事故緊急響應的能力。通過獨有的自適應的體系架構,高效地結合情境上下文分析,協助安全專家快速發現和分析安全問題,并能通過實際的運維手段實現安全閉環管理,同時弱化工業信息孤島導致不能關聯分析的問題。利用情報和智能分析成果,對企業發布早期預警信息,評估工業企業內部可能受影響的設備或資產,避免核心業務系統遭受的攻擊和預防潛在的安全隱患。
4 創新與優勢
4.1 創新
(1)PB級的日志處理能力
平臺使用Spark技術,在并發內存內處理機制方面能夠帶來數倍于其它采用磁盤訪問方式的解決方案,借助離線計算引擎在小時級別內,即可完成對PB數量級的數據挖掘。可以為大規模、超大規模網絡提供高性能的日志采集,存儲和審計功能。例如:6個月內的安全事件之間的相關性,安全事件之間的影響程度,安全事件之間的規律性等并以報表形式進行輸出。
(2)獨家數據強化技術
根據綠盟科技對攻防研究的長期積累,提供一套簡潔有效的日志統一分類,使用獨有的技術將日志快速標準化,并基于安全分析需要進行數據的過濾和強化,丟棄無法用的噪音信息,提升日志查詢和分析效率。
(3)強大的分析引擎
平臺中預制關聯分析引擎,預制引擎構成分析平臺的核心功能并且對專項分析提供基礎能力,如風險分析、脆弱性分析、態勢分析、資產分析、攻擊分析等。
分析引擎采用分布式設計能夠進行橫向擴展,面臨工業網絡數據量時能夠實現按需擴展,將分析引擎分散到其他更多的機器中,實現按需進行計算資源擴展。
(4)面向業務的插件化設計
采用全新大數據框架,將上層業務模塊插件化處理,使業務模塊與平臺功能進行一對一設計,業務模塊的改善和增加就不會造成其他模塊或平臺功能的調整,也就是將業務模塊抽象并與平臺功能實現分離,從而提高研發效率,降低企業維護成本。
(5)可靠性
采用大數據組件,對數據對象彈性分布存儲3個存儲節點中,并采用線程級監控,一旦發現問題,可迅速恢復并告警,同時3個節點備份可以提供完整的災難恢復功能。
(6)多地部署
針對大型多組織的企業和機構,采集器可以部署在異地站點或二級單位(保持網絡可達),分析中心部署在總部節點,異地站點將采集到的數據定時通過FTP或SFTP上傳到上級分析中心,供本地留存和查詢服務。
4.2 優勢
(1)實現安全事件分析的統一化,集約化;
(2)能夠綜合多種數據來源進行未知威脅分析;
(3)減少威脅發現和響應時間;
(4)上至業務層網絡,下達生產現場,全局把控;
(5)能夠幫助安全人員簡化工業網絡安全運維難度;
(6)可以構建企業整體安全態勢感知中心;
(7)能夠應對多項監管合規要求。
5 結語
由于工業控制系統所覆蓋的行業重要性,比如油化、電力、核電廠、水利、交通、市政、軍事、高端制造業等,其安全性問題也越發重要,并牽涉到國計民生。對于這些關鍵信息基礎設施,如何進行安全監測及預警,如何及時有效地進行事前防范,事中監測以及事后追溯,正成為工控安全領域亟待解決的問題。
基于全生命周期的工控系統安全綜合保障手段的建設,為傳統的單點安全防護提供了新的思路。將功能安全、信息安全進行深度融合的工業網絡安全監測預警平臺,連接了孤軍奮戰的單個結點,融入了故障診斷、異常告警、態勢感知、攻擊檢測等持續可運營的安全防護理念,最大限度地保障工業控制系統的穩定、高效、安全運行。
作者簡介
楊 倫(1992-),男,貴州人,高級產品經理,現就職于北京神州綠盟信息安全科技股份有限公司,主要研究方向為面向APT(AdvancedPersistentThreat)的下一代威脅防御技術(NextGenerationThreatProtection),以及數據挖掘、數據分析、機器學習在工業控制信息安全的應用。曾服務過公安部、國家電網國際發展公司、上汽通用、長江電力、國家核安保、神華集團、華潤電力、IBM(國際商業機器公司)等單位、企業,長期從事信息安全咨詢服務。
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號