今日頭條
官方微信
官方抖音
資訊頻道1、方案背景與目標(biāo)
1.1當(dāng)前工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問(wèn)題日趨嚴(yán)重
工業(yè)互聯(lián)網(wǎng)涉及到很多與人民群眾生活息息相關(guān)的重要基礎(chǔ)設(shè)施,例如電力能源、軌道交通、石油化工、鋼鐵、有色、建材、新材料、民爆、礦業(yè)、工業(yè)母機(jī)和機(jī)器人等生產(chǎn)制造的關(guān)鍵環(huán)節(jié)和場(chǎng)景,關(guān)系到國(guó)計(jì)民生。隨著以互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等為代表的新一代信息技術(shù)與傳統(tǒng)工業(yè)生產(chǎn)系統(tǒng)的加速融合,工業(yè)互聯(lián)網(wǎng)在提升工業(yè)生產(chǎn)效率、加速向智能制造轉(zhuǎn)型的同時(shí),也打破了傳統(tǒng)工業(yè)相對(duì)封閉可信的環(huán)境,導(dǎo)致病毒、木馬和網(wǎng)絡(luò)攻擊等安全風(fēng)險(xiǎn)對(duì)工業(yè)生產(chǎn)和關(guān)鍵基礎(chǔ)設(shè)施的威脅日益加劇,一旦受到安全攻擊,不僅會(huì)造成巨大的經(jīng)濟(jì)損失,甚至?xí)<肮娚詈蛧?guó)家安全。
因此保障工業(yè)互聯(lián)網(wǎng)的安全可控是確保智能制造在生產(chǎn)領(lǐng)域?qū)嵤┑谋匾疤帷9I(yè)互聯(lián)網(wǎng)的信息安全問(wèn)題已引起國(guó)家和社會(huì)各界的高度重視。
工業(yè)互聯(lián)網(wǎng)安全是全局的、多層次、多維度的系統(tǒng)性安全。從分層結(jié)構(gòu)的角度,安全威脅可分為設(shè)備層安全威脅、控制層安全威脅、車(chē)間層安全威脅、企業(yè)層安全威脅和協(xié)同層安全威脅;從體系架構(gòu)的角度,安全威脅可分為設(shè)備層安全威脅、網(wǎng)絡(luò)層安全威脅、應(yīng)用層安全威脅、數(shù)據(jù)層安全威脅、控制層安全威脅、人員管理威脅和高級(jí)持續(xù)性威脅。當(dāng)前工業(yè)互聯(lián)網(wǎng)安全形勢(shì)復(fù)雜,針對(duì)工業(yè)互聯(lián)網(wǎng)的攻擊仍處于高發(fā)態(tài)勢(shì),涉及到國(guó)家級(jí)網(wǎng)絡(luò)公共基礎(chǔ)設(shè)施和國(guó)計(jì)民生的重要信息系統(tǒng),涵蓋了病毒、木馬、漏洞、流量攻擊等多種類(lèi)型,攻擊門(mén)檻不斷降低,攻擊對(duì)象更加廣泛,攻擊手段復(fù)雜多樣,攻擊范圍跨洲跨國(guó),攻擊目的利益驅(qū)動(dòng)。當(dāng)前信息安全威脅已經(jīng)成為我國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的一個(gè)顯著制約因素。較低的信息安全防護(hù)水平以及安全生產(chǎn)的重大責(zé)任使得數(shù)量眾多的工業(yè)企業(yè)在互聯(lián)互通、業(yè)務(wù)創(chuàng)新上非常謹(jǐn)慎,甚至有些企業(yè)談“網(wǎng)”色變,可以說(shuō)信息安全已經(jīng)成為我國(guó)進(jìn)行工業(yè)產(chǎn)業(yè)升級(jí)的實(shí)際阻礙。據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)顯示,截至2022年底,我國(guó)各類(lèi)低防護(hù)聯(lián)網(wǎng)設(shè)備總數(shù)再創(chuàng)新高。其中,物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)大量暴露,且極易遭受攻擊利用,可能造成設(shè)備宕機(jī)、停產(chǎn)停工等嚴(yán)重后果,存在較大安全隱患。2022年公開(kāi)披露的工業(yè)領(lǐng)域勒索事件共89起,較2021年增長(zhǎng)78%。從受影響的行業(yè)來(lái)看,制造業(yè)首當(dāng)其沖。具體而言,電子制造行業(yè)遭勒索攻擊最多,占全部勒索事件的23.3%。工業(yè)和信息化部工業(yè)控制產(chǎn)品安全漏洞專(zhuān)業(yè)庫(kù)統(tǒng)計(jì)發(fā)現(xiàn),2022年工控漏洞數(shù)量再度攀升,共涉及緩沖區(qū)錯(cuò)誤、代碼問(wèn)題、權(quán)限許可和訪問(wèn)控制問(wèn)題等多種類(lèi)型風(fēng)險(xiǎn)。
1.2智能工廠工業(yè)網(wǎng)絡(luò)安全一體化防護(hù)能力嚴(yán)重不足
雖然我國(guó)在工業(yè)互聯(lián)網(wǎng)的頂層設(shè)計(jì),包括政策實(shí)施、標(biāo)準(zhǔn)制定等方面跟進(jìn)較快,但由于我國(guó)工業(yè)互聯(lián)網(wǎng)安全技術(shù)的研究起步較晚,與國(guó)外先進(jìn)水平相比仍有較大差距。在工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)方面,我國(guó)除依托傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行安全技術(shù)產(chǎn)品功能的拓展外,著重基于新興互聯(lián)網(wǎng)技術(shù),開(kāi)展新一代網(wǎng)絡(luò)安全技術(shù)產(chǎn)品的研發(fā)創(chuàng)新。相關(guān)研究主要有:工業(yè)互聯(lián)網(wǎng)邊緣端點(diǎn)的防護(hù)技術(shù)、工業(yè)防火墻技術(shù)、工業(yè)互聯(lián)網(wǎng)漏洞挖掘技術(shù)、滲透測(cè)試技術(shù)、安全態(tài)勢(shì)感知技術(shù)等,多為針對(duì)某一種技術(shù)的分析及應(yīng)用研究。
在工業(yè)互聯(lián)網(wǎng)安全企業(yè)應(yīng)用推廣方面,企業(yè)基于安全認(rèn)識(shí)和意識(shí)、安全成本預(yù)算等方面的考慮,主要采取分步建設(shè)的思路,缺哪補(bǔ)哪的外掛式建設(shè)思路,導(dǎo)致產(chǎn)品之間的融合和協(xié)同能力差,表現(xiàn)在如下幾個(gè)方面:
· 網(wǎng)絡(luò)安全流量、日志、漏洞、設(shè)備終端等安全數(shù)據(jù)采集不足,風(fēng)險(xiǎn)資產(chǎn)底數(shù)不清晰;
· 采集的網(wǎng)絡(luò)安全數(shù)據(jù)割裂,存在“安全數(shù)據(jù)孤島”現(xiàn)場(chǎng),無(wú)法實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)集中管理和關(guān)聯(lián)分析;
· 安全智能分析能力不足,對(duì)勒索攻擊、惡意程序等高級(jí)威脅攻擊形態(tài)缺乏感知分析能力;
· 安全協(xié)同響應(yīng)能力不足,各設(shè)備之間缺乏聯(lián)動(dòng)效應(yīng),應(yīng)對(duì)威脅響應(yīng)處置不及時(shí)。
據(jù)工業(yè)和信息化部等八部門(mén)對(duì)外公布了《“十四五”智能制造發(fā)展規(guī)劃》,未來(lái)15年將通過(guò)“兩步走”,加快推動(dòng)生產(chǎn)方式變革:一是到2025年,規(guī)模以上制造業(yè)企業(yè)大部分實(shí)現(xiàn)數(shù)字化網(wǎng)絡(luò)化,重點(diǎn)行業(yè)骨干企業(yè)初步應(yīng)用智能化;70%的規(guī)模以上制造業(yè)企業(yè)基本實(shí)現(xiàn)數(shù)字化網(wǎng)絡(luò)化,建成500個(gè)以上引領(lǐng)行業(yè)發(fā)展的智能制造示范工廠。二是到2035年,規(guī)模以上制造業(yè)企業(yè)全面普及數(shù)字化網(wǎng)絡(luò)化,重點(diǎn)行業(yè)骨干企業(yè)基本實(shí)現(xiàn)智能化。對(duì)國(guó)家《“十四五”智能制造發(fā)展規(guī)劃》規(guī)化要求,當(dāng)前針對(duì)智能工廠安全防護(hù)解決方案及配套產(chǎn)品存在技術(shù)儲(chǔ)備不足、測(cè)試驗(yàn)證不足、應(yīng)用推廣不足等多方面的問(wèn)題,迫切需要針對(duì)當(dāng)前智能工廠的上述痛點(diǎn)問(wèn)題,打造貫穿工業(yè)網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)采集、監(jiān)測(cè)、分析、預(yù)測(cè)到響應(yīng)的全過(guò)程的安全能力,攻關(guān)工業(yè)網(wǎng)安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應(yīng)控制等技術(shù),構(gòu)建集工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知、風(fēng)險(xiǎn)評(píng)估、威脅預(yù)警、攻擊阻斷、網(wǎng)端聯(lián)動(dòng)、縱深防御于一體化的綜合安全解決方案,為制造業(yè)的轉(zhuǎn)型升級(jí)保駕護(hù)航。
2、方案詳細(xì)介紹
2.1 總體技術(shù)架構(gòu)
本項(xiàng)目主要針對(duì)當(dāng)前工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)采集不充分,分析不智能,響應(yīng)不協(xié)同等痛點(diǎn)問(wèn)題,研制面向智能工廠的網(wǎng)端聯(lián)動(dòng)一體化安全防護(hù)解決方案及配套產(chǎn)品,通過(guò)打造貫穿工業(yè)網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)采集、監(jiān)測(cè)、分析、預(yù)測(cè)到響應(yīng)的全過(guò)程的安全能力,攻關(guān)工業(yè)網(wǎng)安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應(yīng)控制等技術(shù),構(gòu)建集工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知、風(fēng)險(xiǎn)評(píng)估、威脅預(yù)警、攻擊阻斷、網(wǎng)端聯(lián)動(dòng)、縱深防御于一體化的綜合安全解決方案,并以此為基礎(chǔ)針對(duì)能源電力、軌道交通、石油化工、高端制造、汽車(chē)電子、生物制藥、新能源等國(guó)計(jì)民生的廣泛行業(yè)領(lǐng)域的網(wǎng)絡(luò)特點(diǎn),構(gòu)建重點(diǎn)行業(yè)應(yīng)用解決方案,進(jìn)行應(yīng)用推廣。
智能制造工控安全整體解決方案以工業(yè)安全威脅發(fā)現(xiàn)與運(yùn)營(yíng)管理平臺(tái)為核心,配合工控防火墻、工控監(jiān)測(cè)于審計(jì)、工控主機(jī)安全衛(wèi)士等安全防護(hù)設(shè)備,實(shí)現(xiàn)工業(yè)安全一體化落地。
方案體系架構(gòu)如下圖所示。
圖1 智能制造工控安全整體解決方案總體架構(gòu)
圖2 智能制造工控安全態(tài)勢(shì)感知平臺(tái)效果圖
2.2關(guān)鍵技術(shù)
(1)多維度智能高級(jí)威脅分析技術(shù)
基于人工智能對(duì)安全大數(shù)據(jù)多維度關(guān)聯(lián)分析,不僅能夠有效定位攻擊行為的路徑,還能發(fā)現(xiàn)威脅并預(yù)判趨勢(shì),對(duì)攻擊者留下的任意線索進(jìn)行多維拓展,使用大數(shù)據(jù)可視化手段,從不同視角、維度(如3D圖、雷達(dá)圖、拓?fù)鋱D、熱度圖等)繪制出完整的知識(shí)鏈條,呈現(xiàn)攻擊的完整過(guò)程,覆蓋攻擊的源頭、手段、目標(biāo)、范圍等關(guān)鍵信息。
(2)指令級(jí)工業(yè)協(xié)議深度解析技術(shù)
本項(xiàng)目深度解析分析引擎能夠?qū)Ω黝?lèi)數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲與深度解析。對(duì)不同行業(yè)的工業(yè)系統(tǒng),可以采取相應(yīng)針對(duì)性的數(shù)據(jù)包探測(cè)機(jī)制和解析策略。在遵循工業(yè)系統(tǒng)可用性與完整性的基礎(chǔ)上,能夠檢測(cè)出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息,對(duì)傳輸?shù)墓た貐f(xié)議指令請(qǐng)求進(jìn)行實(shí)時(shí)安全檢測(cè),對(duì)于不符合安全要求的操作指令及時(shí)進(jìn)行攔截和報(bào)警,同時(shí)針對(duì)企業(yè)內(nèi)部的私有協(xié)議提供定制化的功能支持,全面滿(mǎn)足各行業(yè)內(nèi)部工業(yè)系統(tǒng)的兼容性要求。
(3)工業(yè)通信行為智能分析技術(shù)
本項(xiàng)目基于工業(yè)通信協(xié)議深度解析,自學(xué)習(xí)工業(yè)網(wǎng)絡(luò)通信關(guān)系、操作功能碼和參數(shù)等,對(duì)正常通信行為建模,根據(jù)模型特定目標(biāo)和標(biāo)準(zhǔn),對(duì)通信關(guān)系,操作功能碼以及定義的行為特征進(jìn)行關(guān)聯(lián)分析,自學(xué)習(xí)形成白名單規(guī)則庫(kù),通過(guò)對(duì)工控協(xié)議的深度解析識(shí)別,只允許匹配工業(yè)協(xié)議規(guī)則白名單的業(yè)務(wù)流量通過(guò),阻斷未知流量,可有效控制工控系統(tǒng)通信安全。
(4)網(wǎng)端協(xié)同一體化聯(lián)動(dòng)技術(shù)
研究通過(guò)建立知識(shí)庫(kù)進(jìn)行策略管理,快速生成應(yīng)急響應(yīng)預(yù)案,實(shí)現(xiàn)安全事件的預(yù)警、響應(yīng)和處置,研究網(wǎng)端檢測(cè),形成網(wǎng)端協(xié)同的主動(dòng)防御體系,實(shí)現(xiàn)控制閉環(huán)反饋。研究網(wǎng)端協(xié)同聯(lián)動(dòng),根據(jù)實(shí)時(shí)場(chǎng)景自適應(yīng)決策響應(yīng),全網(wǎng)關(guān)鍵設(shè)備被推送安全策略。
(5)基于大模型的智能安全運(yùn)營(yíng)技術(shù)
使用安全數(shù)據(jù)并運(yùn)用遷移學(xué)習(xí)或微調(diào)技術(shù),將大模型學(xué)到的知識(shí)應(yīng)用到安全領(lǐng)域,提高模型在安全領(lǐng)域的性能。訓(xùn)練復(fù)雜深度學(xué)習(xí)模型,訓(xùn)練安全分析引擎實(shí)現(xiàn)安全事件輔助判斷、安全處置建議自動(dòng)生成、安全報(bào)告自動(dòng)生成等功能,提升安全運(yùn)營(yíng)效率。
2.3 產(chǎn)品研發(fā)
2.3.1 工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知產(chǎn)品
工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知產(chǎn)品通過(guò)采集全網(wǎng)原始流量數(shù)據(jù),結(jié)合云端的威脅情報(bào),對(duì)海量安全數(shù)據(jù)進(jìn)行挖掘和關(guān)聯(lián)分析,對(duì)攻擊、威脅、脆弱性、流量和行為等五大態(tài)勢(shì)進(jìn)行感知,生成全方位的安全全景視圖。
工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知產(chǎn)品的具體能力包括:
· 支持勒索病毒等高級(jí)威脅分析;
· 支持網(wǎng)端一體化聯(lián)動(dòng)響應(yīng);
· 支持基于安全大模型的安全事件輔助判斷、安全處置建議自動(dòng)生成等智能化運(yùn)營(yíng)功能;
2.3.2 工控防火墻產(chǎn)品
工控防火墻是涵蓋傳統(tǒng)防火墻、工控網(wǎng)絡(luò)流量智能學(xué)習(xí)、工控協(xié)議數(shù)據(jù)包深度解析、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。工控防火墻具體能力包括:
· 支持涵蓋MODBUS/TCP,OPC Classic,OPC UA,OPC DA DNP3,S7,S7 plus,IEC104,EIP,Profinet等在內(nèi)的各類(lèi)主流工控網(wǎng)絡(luò)協(xié)議深度解析分析。
2.3.3 工控監(jiān)測(cè)審計(jì)產(chǎn)品
工控監(jiān)測(cè)與審計(jì)系統(tǒng)是一款專(zhuān)門(mén)針對(duì)工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的安全監(jiān)測(cè)、審計(jì)、告警和數(shù)據(jù)分析的軟硬件一體化產(chǎn)品。通過(guò)特定安全策略快速識(shí)別出生產(chǎn)控制系統(tǒng)中存在的非法操作、異常事件、外部攻擊行為并實(shí)時(shí)告警,并通過(guò)針對(duì)采集信息的統(tǒng)一存儲(chǔ)、統(tǒng)一管理與大數(shù)據(jù)分析,為滿(mǎn)足實(shí)時(shí)網(wǎng)絡(luò)監(jiān)測(cè)提供可靠數(shù)據(jù)支撐,幫助用戶(hù)感知準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢(shì)。
工控監(jiān)測(cè)與審計(jì)系統(tǒng)具體能力包括:
· 支持預(yù)置入侵檢測(cè)規(guī)則庫(kù),規(guī)則庫(kù)應(yīng)至少支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類(lèi);
· 支持通過(guò)對(duì)網(wǎng)絡(luò)流量的深度解析、特征匹配,實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)等關(guān)鍵事件進(jìn)行識(shí)別和告警;
2.3.4 工控主機(jī)安全衛(wèi)士產(chǎn)品
工控主機(jī)安全衛(wèi)士系統(tǒng)是一款針對(duì)工業(yè)控制系統(tǒng)工程師站、操作員站、服務(wù)器等主機(jī)系統(tǒng)進(jìn)行外設(shè)管理、應(yīng)用程序管理、注冊(cè)表防護(hù)、文件保護(hù)等功能的工控安全產(chǎn)品。通過(guò)掃描主機(jī)運(yùn)行進(jìn)程,建立應(yīng)用程序白名單基線,禁止非授權(quán)應(yīng)用的加載及執(zhí)行,保護(hù)關(guān)鍵目錄及注冊(cè)表,管理主機(jī)外設(shè)及移動(dòng)存儲(chǔ)權(quán)限,可對(duì)工控上位機(jī)及服務(wù)器實(shí)現(xiàn)全方位安全防護(hù),保障用戶(hù)業(yè)務(wù)連續(xù)穩(wěn)定運(yùn)行。
工控主機(jī)安全衛(wèi)士具體能力包括:
· 支持USB移動(dòng)存儲(chǔ)設(shè)備安全防護(hù);
· 支持阻斷白名單以外的非法進(jìn)程運(yùn)行,并產(chǎn)生安全事件通知,記錄非法進(jìn)程行為。
3、代表性及推廣價(jià)值
預(yù)期應(yīng)用成效
面向智能工廠工業(yè)解決方案大幅提升智能工廠的安全防護(hù)能力,取得以下應(yīng)用成效:
· 安全策略部署時(shí)間提升50%;
· 安全事件分析效率提升50%;
· 安全事件工單響應(yīng)時(shí)間小于10分鐘;
· 安全運(yùn)營(yíng)成本下降30%。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)