国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　背景

在信息化高速發(fā)展的今天，網(wǎng)絡(luò)安全正面臨著全新的挑戰(zhàn)。近年來(lái)以工業(yè)環(huán)境為目標(biāo)的惡意攻擊出現(xiàn)顯著增長(zhǎng)。供應(yīng)鏈和業(yè)務(wù)中斷的風(fēng)險(xiǎn)在過(guò)去三年里一直高居全球企業(yè)風(fēng)險(xiǎn)的榜首，而面向生產(chǎn)的網(wǎng)絡(luò)安全成為能源、制造工業(yè)企業(yè)首要新興問(wèn)題。對(duì)于運(yùn)營(yíng)關(guān)鍵基礎(chǔ)設(shè)施的企業(yè)，風(fēng)險(xiǎn)日益壯大。

與此同時(shí)，工業(yè)網(wǎng)絡(luò)威脅越來(lái)越嚴(yán)重，各類安全攻擊手段層出不窮，新型威脅發(fā)現(xiàn)和處理時(shí)間長(zhǎng)，缺少梳理工控網(wǎng)內(nèi)的各類設(shè)備和節(jié)點(diǎn)，以及集中維護(hù)工控網(wǎng)絡(luò)基本信息、信息安全的解決方案。如何處理各自隔離的工業(yè)日志、工業(yè)網(wǎng)絡(luò)流量和業(yè)務(wù)流程數(shù)據(jù)，如何直觀感受安全態(tài)勢(shì)，如何解決安全事件響應(yīng)慢，建立生產(chǎn)業(yè)務(wù)相關(guān)聯(lián)的生產(chǎn)監(jiān)控網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，成為企業(yè)面向智能制造考慮的現(xiàn)實(shí)需求。

2　概述

工業(yè)安全影響遠(yuǎn)超過(guò)商業(yè)和名譽(yù)保護(hù)，在多數(shù)情況下，當(dāng)涉及到工業(yè)系統(tǒng)威脅、攻擊、破壞時(shí)，往往首要考慮生態(tài)、社會(huì)和宏觀經(jīng)濟(jì)因素。因此，工業(yè)系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的關(guān)鍵節(jié)點(diǎn)和網(wǎng)絡(luò)保護(hù)需要足夠高的防護(hù)等級(jí)才能對(duì)抗日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅。同時(shí)，工業(yè)環(huán)境需要一套綜合的解決方案通過(guò)安全預(yù)警響應(yīng)的策略提升技術(shù)流程的可用性。

網(wǎng)絡(luò)安全供應(yīng)商只有先了解工業(yè)系統(tǒng)于普通的IT業(yè)務(wù)導(dǎo)向型系統(tǒng)的區(qū)別，才能為客戶提供滿足工業(yè)控制系統(tǒng)和工業(yè)基礎(chǔ)設(shè)施獨(dú)特需求的解決方案?；趪?guó)家對(duì)工控安全的頂層規(guī)劃設(shè)計(jì)，實(shí)現(xiàn)測(cè)評(píng)、管理、組織、運(yùn)行、技術(shù)全流程把控。

工業(yè)制造能力開(kāi)放是企業(yè)創(chuàng)新的引擎，連接是行業(yè)數(shù)字化與智能制造的關(guān)鍵因數(shù)，能夠大幅提升生產(chǎn)效率，降低能耗，未來(lái)， IT場(chǎng)景與工控場(chǎng)景將越加融合，安全成為IT與生產(chǎn)環(huán)境融合的現(xiàn)實(shí)需求，成為企業(yè)面向智能制造考慮的關(guān)鍵因素之一，因此需要整合IT安全和工控安全，從設(shè)備安全、網(wǎng)絡(luò)安全、控制安全、應(yīng)用安全、數(shù)據(jù)安全五大安全重點(diǎn)全覆蓋，綜合構(gòu)建防護(hù)安全技術(shù)體系框架。由業(yè)務(wù)場(chǎng)景的融合，基于工業(yè)網(wǎng)絡(luò)安全方針，以情報(bào)驅(qū)動(dòng)，建立一套工業(yè)網(wǎng)絡(luò)安全預(yù)警響應(yīng)防護(hù)方案，可準(zhǔn)確、高效地感知整個(gè)工業(yè)系統(tǒng)網(wǎng)絡(luò)的安全狀態(tài)以及變化趨勢(shì)，從而對(duì)外部的攻擊與危害行為及時(shí)發(fā)現(xiàn)，并采取相應(yīng)的措施，保障工業(yè)系統(tǒng)網(wǎng)絡(luò)安全。

3　平臺(tái)介紹

3.1　Gartner對(duì)未來(lái)安全管理平臺(tái)的理解

智能是下一代安全管理平臺(tái)的核心特征，它能夠具備自動(dòng)防御、檢測(cè)、響應(yīng)和預(yù)測(cè)自適應(yīng)的體系架構(gòu)，更能高效地基于特殊的情境上下文和外部情報(bào)，協(xié)助安全專家發(fā)現(xiàn)安全問(wèn)題，并通過(guò)運(yùn)維手段實(shí)現(xiàn)閉環(huán)管理。

3.2　系統(tǒng)架構(gòu)

工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)（Industrial NetworkSecurity Monitoring and Warning Platform）是對(duì)工業(yè)網(wǎng)絡(luò)中資產(chǎn)的日志和網(wǎng)絡(luò)攻擊流量數(shù)據(jù)進(jìn)行采集和分析、計(jì)算，通過(guò)數(shù)據(jù)聚合、去重、標(biāo)準(zhǔn)化、建模、索引和關(guān)聯(lián)，通過(guò)數(shù)據(jù)可視化的方式將分析和計(jì)算結(jié)果進(jìn)行展示，建立和完善工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)全面監(jiān)控、安全威脅實(shí)時(shí)預(yù)警、安全事故緊急響應(yīng)的能力，利用情報(bào)和智能分析成果，實(shí)現(xiàn)企業(yè)發(fā)布早期預(yù)警信息，評(píng)估工業(yè)企業(yè)內(nèi)部可能受影響的設(shè)備或資產(chǎn)，避免核心業(yè)務(wù)系統(tǒng)遭受的攻擊和預(yù)防潛在的安全隱患的專用軟件安全產(chǎn)品。

工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)主要由數(shù)據(jù)采集層、數(shù)據(jù)分析層、系統(tǒng)功能層、可視化展示層共四個(gè)部分組成，可以在各種不同場(chǎng)景的工業(yè)網(wǎng)絡(luò)環(huán)境中進(jìn)行靈活的部署和管理。

（1）數(shù)據(jù)采集層3.5　一站式綜合管理

提供多種數(shù)據(jù)格式的接口，如syslog、snmp等協(xié)議格式，收集工業(yè)網(wǎng)絡(luò)中各類上位機(jī)服務(wù)器、工控終端、網(wǎng)絡(luò)交換設(shè)備、工控安全設(shè)備的日志信息和配置信息。

（2）數(shù)據(jù)分析層

對(duì)采集后，來(lái)自不同類型設(shè)備的日志、事件、配置信息進(jìn)行集中分析和處理。

（3）系統(tǒng)功能層

在該層實(shí)現(xiàn)系統(tǒng)的應(yīng)用功能的實(shí)現(xiàn)。包括基于工控網(wǎng)絡(luò)拓?fù)涞木C合態(tài)勢(shì)管理和業(yè)務(wù)行為基線的風(fēng)險(xiǎn)預(yù)警管理、基于工控事件庫(kù)和處置預(yù)案庫(kù)的工控知識(shí)庫(kù)以及其他核心功能模塊。

（4）可視化展示層

在該層實(shí)現(xiàn)可視化的交互展示，包括工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)全景視圖、資產(chǎn)運(yùn)維監(jiān)視視圖、工控拓?fù)鋱D、風(fēng)險(xiǎn)儀表盤(pán)等可視化模塊。

3.3　集中管理

事件（日志、網(wǎng)絡(luò)流）統(tǒng)一管理，提供安全事件的監(jiān)控、分析、處置和風(fēng)險(xiǎn)評(píng)估的統(tǒng)一平臺(tái)。基于大數(shù)據(jù)框架，通過(guò)主/被動(dòng)結(jié)合的獲取手段，實(shí)時(shí)地采集用戶工業(yè)網(wǎng)絡(luò)中各種不同廠商的工控安全設(shè)備、工業(yè)網(wǎng)絡(luò)設(shè)備、工業(yè)上位機(jī)、操作系統(tǒng)，以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志信息，并將這些信息匯集到中心平臺(tái)，進(jìn)行集中化的存儲(chǔ)、備份、查詢、審計(jì)、告警和分析，并出具相應(yīng)的日志報(bào)告，實(shí)現(xiàn)日志的全生命周期管理，如圖1所示。

圖1 事件統(tǒng)一管理

3.4　工業(yè)網(wǎng)絡(luò)資產(chǎn)生命周期管理

基于工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)（如圖2所示）可建立企業(yè)內(nèi)網(wǎng)的資產(chǎn)基線，通過(guò)持續(xù)監(jiān)控的手段，了解工業(yè)內(nèi)網(wǎng)資產(chǎn)變化情況，對(duì)合法資產(chǎn)和非法資產(chǎn)進(jìn)行有效稽查。

圖2 工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)

提供并支持包括Syslog協(xié)議等8種數(shù)據(jù)協(xié)議類型數(shù)據(jù)采集能力，具備包含深度流檢測(cè)探針在內(nèi)的多種安全采集工具。如圖3所示。

圖3 一站式綜合管理

3.6　數(shù)據(jù)采集能力

工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)支持多源異構(gòu)數(shù)據(jù)接入，并支持包括Syslog協(xié)議等8種數(shù)據(jù)協(xié)議類型數(shù)據(jù)采集能力，具備包含深度流檢測(cè)探針在內(nèi)的多種安全采集工具，為平臺(tái)的上層分析研判業(yè)務(wù)提供有力的支撐，如圖4所示。各項(xiàng)性能指標(biāo)如下：

（1）各類日志采集性能，4萬(wàn)/秒；

（2）原始數(shù)據(jù)包采集性能，7萬(wàn)/秒；

（3）網(wǎng)絡(luò)流量數(shù)據(jù)采集性能，15萬(wàn)/秒。

圖4 數(shù)據(jù)采集

3.7　迅捷的預(yù)警通報(bào)能力

利用事件理解模型實(shí)現(xiàn)多元數(shù)據(jù)關(guān)聯(lián)分析，基于攻擊模型實(shí)現(xiàn)事件的正反向推理，結(jié)合威脅情報(bào)模型實(shí)現(xiàn)威脅驗(yàn)證和預(yù)警，最終借助風(fēng)險(xiǎn)評(píng)估模型為工業(yè)網(wǎng)絡(luò)安全防護(hù)決策提供有力支撐。站在威脅視角，以網(wǎng)絡(luò)入侵切入點(diǎn)，做到知己知彼。站在脆弱性視角，以工業(yè)系統(tǒng)漏洞和系統(tǒng)安全態(tài)勢(shì)為切入點(diǎn)，做到知己，提供全方位的工業(yè)網(wǎng)絡(luò)態(tài)勢(shì)感知能力。

3.8　高效的應(yīng)急響應(yīng)體系

應(yīng)急響應(yīng)體系以大數(shù)據(jù)框架為基礎(chǔ)，結(jié)合威脅情報(bào)系統(tǒng)，通過(guò)攻防場(chǎng)景模型的大數(shù)據(jù)分析及可視化展示等手段建立和完善工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)全面監(jiān)控、安全威脅實(shí)時(shí)預(yù)警、安全事故緊急響應(yīng)的能力。通過(guò)獨(dú)有的自適應(yīng)的體系架構(gòu)，高效地結(jié)合情境上下文分析，協(xié)助安全專家快速發(fā)現(xiàn)和分析安全問(wèn)題，并能通過(guò)實(shí)際的運(yùn)維手段實(shí)現(xiàn)安全閉環(huán)管理，同時(shí)弱化工業(yè)信息孤島導(dǎo)致不能關(guān)聯(lián)分析的問(wèn)題。利用情報(bào)和智能分析成果，對(duì)企業(yè)發(fā)布早期預(yù)警信息，評(píng)估工業(yè)企業(yè)內(nèi)部可能受影響的設(shè)備或資產(chǎn)，避免核心業(yè)務(wù)系統(tǒng)遭受的攻擊和預(yù)防潛在的安全隱患。

4　創(chuàng)新與優(yōu)勢(shì)

4.1　創(chuàng)新

（1）PB級(jí)的日志處理能力

平臺(tái)使用Spark技術(shù)，在并發(fā)內(nèi)存內(nèi)處理機(jī)制方面能夠帶來(lái)數(shù)倍于其它采用磁盤(pán)訪問(wèn)方式的解決方案，借助離線計(jì)算引擎在小時(shí)級(jí)別內(nèi)，即可完成對(duì)PB數(shù)量級(jí)的數(shù)據(jù)挖掘。可以為大規(guī)模、超大規(guī)模網(wǎng)絡(luò)提供高性能的日志采集，存儲(chǔ)和審計(jì)功能。例如：6個(gè)月內(nèi)的安全事件之間的相關(guān)性，安全事件之間的影響程度，安全事件之間的規(guī)律性等并以報(bào)表形式進(jìn)行輸出。

（2）獨(dú)家數(shù)據(jù)強(qiáng)化技術(shù)

根據(jù)綠盟科技對(duì)攻防研究的長(zhǎng)期積累，提供一套簡(jiǎn)潔有效的日志統(tǒng)一分類，使用獨(dú)有的技術(shù)將日志快速標(biāo)準(zhǔn)化，并基于安全分析需要進(jìn)行數(shù)據(jù)的過(guò)濾和強(qiáng)化，丟棄無(wú)法用的噪音信息，提升日志查詢和分析效率。

（3）強(qiáng)大的分析引擎

平臺(tái)中預(yù)制關(guān)聯(lián)分析引擎，預(yù)制引擎構(gòu)成分析平臺(tái)的核心功能并且對(duì)專項(xiàng)分析提供基礎(chǔ)能力，如風(fēng)險(xiǎn)分析、脆弱性分析、態(tài)勢(shì)分析、資產(chǎn)分析、攻擊分析等。

分析引擎采用分布式設(shè)計(jì)能夠進(jìn)行橫向擴(kuò)展，面臨工業(yè)網(wǎng)絡(luò)數(shù)據(jù)量時(shí)能夠?qū)崿F(xiàn)按需擴(kuò)展，將分析引擎分散到其他更多的機(jī)器中，實(shí)現(xiàn)按需進(jìn)行計(jì)算資源擴(kuò)展。

（4）面向業(yè)務(wù)的插件化設(shè)計(jì)

采用全新大數(shù)據(jù)框架，將上層業(yè)務(wù)模塊插件化處理，使業(yè)務(wù)模塊與平臺(tái)功能進(jìn)行一對(duì)一設(shè)計(jì)，業(yè)務(wù)模塊的改善和增加就不會(huì)造成其他模塊或平臺(tái)功能的調(diào)整，也就是將業(yè)務(wù)模塊抽象并與平臺(tái)功能實(shí)現(xiàn)分離，從而提高研發(fā)效率，降低企業(yè)維護(hù)成本。

（5）可靠性

采用大數(shù)據(jù)組件，對(duì)數(shù)據(jù)對(duì)象彈性分布存儲(chǔ)3個(gè)存儲(chǔ)節(jié)點(diǎn)中，并采用線程級(jí)監(jiān)控，一旦發(fā)現(xiàn)問(wèn)題，可迅速恢復(fù)并告警，同時(shí)3個(gè)節(jié)點(diǎn)備份可以提供完整的災(zāi)難恢復(fù)功能。

（6）多地部署

針對(duì)大型多組織的企業(yè)和機(jī)構(gòu)，采集器可以部署在異地站點(diǎn)或二級(jí)單位（保持網(wǎng)絡(luò)可達(dá)），分析中心部署在總部節(jié)點(diǎn)，異地站點(diǎn)將采集到的數(shù)據(jù)定時(shí)通過(guò)FTP或SFTP上傳到上級(jí)分析中心，供本地留存和查詢服務(wù)。

4.2　優(yōu)勢(shì)

（1）實(shí)現(xiàn)安全事件分析的統(tǒng)一化，集約化；

（2）能夠綜合多種數(shù)據(jù)來(lái)源進(jìn)行未知威脅分析；

（3）減少威脅發(fā)現(xiàn)和響應(yīng)時(shí)間；

（4）上至業(yè)務(wù)層網(wǎng)絡(luò)，下達(dá)生產(chǎn)現(xiàn)場(chǎng)，全局把控；

（5）能夠幫助安全人員簡(jiǎn)化工業(yè)網(wǎng)絡(luò)安全運(yùn)維難度；

（6）可以構(gòu)建企業(yè)整體安全態(tài)勢(shì)感知中心；

（7）能夠應(yīng)對(duì)多項(xiàng)監(jiān)管合規(guī)要求。

5　結(jié)語(yǔ)

由于工業(yè)控制系統(tǒng)所覆蓋的行業(yè)重要性，比如油化、電力、核電廠、水利、交通、市政、軍事、高端制造業(yè)等，其安全性問(wèn)題也越發(fā)重要，并牽涉到國(guó)計(jì)民生。對(duì)于這些關(guān)鍵信息基礎(chǔ)設(shè)施，如何進(jìn)行安全監(jiān)測(cè)及預(yù)警，如何及時(shí)有效地進(jìn)行事前防范，事中監(jiān)測(cè)以及事后追溯，正成為工控安全領(lǐng)域亟待解決的問(wèn)題。

基于全生命周期的工控系統(tǒng)安全綜合保障手段的建設(shè)，為傳統(tǒng)的單點(diǎn)安全防護(hù)提供了新的思路。將功能安全、信息安全進(jìn)行深度融合的工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)，連接了孤軍奮戰(zhàn)的單個(gè)結(jié)點(diǎn)，融入了故障診斷、異常告警、態(tài)勢(shì)感知、攻擊檢測(cè)等持續(xù)可運(yùn)營(yíng)的安全防護(hù)理念，最大限度地保障工業(yè)控制系統(tǒng)的穩(wěn)定、高效、安全運(yùn)行。

作者簡(jiǎn)介

楊　倫（1992-），男，貴州人，高級(jí)產(chǎn)品經(jīng)理，現(xiàn)就職于北京神州綠盟信息安全科技股份有限公司，主要研究方向?yàn)槊嫦駻PT（AdvancedPersistentThreat）的下一代威脅防御技術(shù)（NextGenerationThreatProtection），以及數(shù)據(jù)挖掘、數(shù)據(jù)分析、機(jī)器學(xué)習(xí)在工業(yè)控制信息安全的應(yīng)用。曾服務(wù)過(guò)公安部、國(guó)家電網(wǎng)國(guó)際發(fā)展公司、上汽通用、長(zhǎng)江電力、國(guó)家核安保、神華集團(tuán)、華潤(rùn)電力、IBM（國(guó)際商業(yè)機(jī)器公司）等單位、企業(yè)，長(zhǎng)期從事信息安全咨詢服務(wù)。

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ谖遢嫞?/span>