今日頭條
官方微信
官方抖音
資訊頻道1 背景
在信息化高速發(fā)展的今天,網(wǎng)絡安全正面臨著全新的挑戰(zhàn)。近年來以工業(yè)環(huán)境為目標的惡意攻擊出現(xiàn)顯著增長。供應鏈和業(yè)務中斷的風險在過去三年里一直高居全球企業(yè)風險的榜首,而面向生產(chǎn)的網(wǎng)絡安全成為能源、制造工業(yè)企業(yè)首要新興問題。對于運營關(guān)鍵基礎(chǔ)設施的企業(yè),風險日益壯大。
與此同時,工業(yè)網(wǎng)絡威脅越來越嚴重,各類安全攻擊手段層出不窮,新型威脅發(fā)現(xiàn)和處理時間長,缺少梳理工控網(wǎng)內(nèi)的各類設備和節(jié)點,以及集中維護工控網(wǎng)絡基本信息、信息安全的解決方案。如何處理各自隔離的工業(yè)日志、工業(yè)網(wǎng)絡流量和業(yè)務流程數(shù)據(jù),如何直觀感受安全態(tài)勢,如何解決安全事件響應慢,建立生產(chǎn)業(yè)務相關(guān)聯(lián)的生產(chǎn)監(jiān)控網(wǎng)絡安全應急響應體系,成為企業(yè)面向智能制造考慮的現(xiàn)實需求。
2 概述
工業(yè)安全影響遠超過商業(yè)和名譽保護,在多數(shù)情況下,當涉及到工業(yè)系統(tǒng)威脅、攻擊、破壞時,往往首要考慮生態(tài)、社會和宏觀經(jīng)濟因素。因此,工業(yè)系統(tǒng)等關(guān)鍵基礎(chǔ)設施的關(guān)鍵節(jié)點和網(wǎng)絡保護需要足夠高的防護等級才能對抗日益增長的網(wǎng)絡安全威脅。同時,工業(yè)環(huán)境需要一套綜合的解決方案通過安全預警響應的策略提升技術(shù)流程的可用性。
網(wǎng)絡安全供應商只有先了解工業(yè)系統(tǒng)于普通的IT業(yè)務導向型系統(tǒng)的區(qū)別,才能為客戶提供滿足工業(yè)控制系統(tǒng)和工業(yè)基礎(chǔ)設施獨特需求的解決方案。基于國家對工控安全的頂層規(guī)劃設計,實現(xiàn)測評、管理、組織、運行、技術(shù)全流程把控。
工業(yè)制造能力開放是企業(yè)創(chuàng)新的引擎,連接是行業(yè)數(shù)字化與智能制造的關(guān)鍵因數(shù),能夠大幅提升生產(chǎn)效率,降低能耗,未來, IT場景與工控場景將越加融合,安全成為IT與生產(chǎn)環(huán)境融合的現(xiàn)實需求,成為企業(yè)面向智能制造考慮的關(guān)鍵因素之一,因此需要整合IT安全和工控安全,從設備安全、網(wǎng)絡安全、控制安全、應用安全、數(shù)據(jù)安全五大安全重點全覆蓋,綜合構(gòu)建防護安全技術(shù)體系框架。由業(yè)務場景的融合,基于工業(yè)網(wǎng)絡安全方針,以情報驅(qū)動,建立一套工業(yè)網(wǎng)絡安全預警響應防護方案,可準確、高效地感知整個工業(yè)系統(tǒng)網(wǎng)絡的安全狀態(tài)以及變化趨勢,從而對外部的攻擊與危害行為及時發(fā)現(xiàn),并采取相應的措施,保障工業(yè)系統(tǒng)網(wǎng)絡安全。
3 平臺介紹
3.1 Gartner對未來安全管理平臺的理解
智能是下一代安全管理平臺的核心特征,它能夠具備自動防御、檢測、響應和預測自適應的體系架構(gòu),更能高效地基于特殊的情境上下文和外部情報,協(xié)助安全專家發(fā)現(xiàn)安全問題,并通過運維手段實現(xiàn)閉環(huán)管理。
3.2 系統(tǒng)架構(gòu)
工業(yè)網(wǎng)絡安全監(jiān)測預警平臺(Industrial NetworkSecurity Monitoring and Warning Platform)是對工業(yè)網(wǎng)絡中資產(chǎn)的日志和網(wǎng)絡攻擊流量數(shù)據(jù)進行采集和分析、計算,通過數(shù)據(jù)聚合、去重、標準化、建模、索引和關(guān)聯(lián),通過數(shù)據(jù)可視化的方式將分析和計算結(jié)果進行展示,建立和完善工業(yè)網(wǎng)絡安全態(tài)勢全面監(jiān)控、安全威脅實時預警、安全事故緊急響應的能力,利用情報和智能分析成果,實現(xiàn)企業(yè)發(fā)布早期預警信息,評估工業(yè)企業(yè)內(nèi)部可能受影響的設備或資產(chǎn),避免核心業(yè)務系統(tǒng)遭受的攻擊和預防潛在的安全隱患的專用軟件安全產(chǎn)品。
工業(yè)網(wǎng)絡安全監(jiān)測預警平臺主要由數(shù)據(jù)采集層、數(shù)據(jù)分析層、系統(tǒng)功能層、可視化展示層共四個部分組成,可以在各種不同場景的工業(yè)網(wǎng)絡環(huán)境中進行靈活的部署和管理。
(1)數(shù)據(jù)采集層3.5 一站式綜合管理
提供多種數(shù)據(jù)格式的接口,如syslog、snmp等協(xié)議格式,收集工業(yè)網(wǎng)絡中各類上位機服務器、工控終端、網(wǎng)絡交換設備、工控安全設備的日志信息和配置信息。
(2)數(shù)據(jù)分析層
對采集后,來自不同類型設備的日志、事件、配置信息進行集中分析和處理。
(3)系統(tǒng)功能層
在該層實現(xiàn)系統(tǒng)的應用功能的實現(xiàn)。包括基于工控網(wǎng)絡拓撲的綜合態(tài)勢管理和業(yè)務行為基線的風險預警管理、基于工控事件庫和處置預案庫的工控知識庫以及其他核心功能模塊。
(4)可視化展示層
在該層實現(xiàn)可視化的交互展示,包括工業(yè)網(wǎng)絡風險全景視圖、資產(chǎn)運維監(jiān)視視圖、工控拓撲圖、風險儀表盤等可視化模塊。
3.3 集中管理
事件(日志、網(wǎng)絡流)統(tǒng)一管理,提供安全事件的監(jiān)控、分析、處置和風險評估的統(tǒng)一平臺。基于大數(shù)據(jù)框架,通過主/被動結(jié)合的獲取手段,實時地采集用戶工業(yè)網(wǎng)絡中各種不同廠商的工控安全設備、工業(yè)網(wǎng)絡設備、工業(yè)上位機、操作系統(tǒng),以及各種應用系統(tǒng)產(chǎn)生的日志信息,并將這些信息匯集到中心平臺,進行集中化的存儲、備份、查詢、審計、告警和分析,并出具相應的日志報告,實現(xiàn)日志的全生命周期管理,如圖1所示。
圖1 事件統(tǒng)一管理
3.4 工業(yè)網(wǎng)絡資產(chǎn)生命周期管理
基于工業(yè)網(wǎng)絡安全監(jiān)測預警平臺(如圖2所示)可建立企業(yè)內(nèi)網(wǎng)的資產(chǎn)基線,通過持續(xù)監(jiān)控的手段,了解工業(yè)內(nèi)網(wǎng)資產(chǎn)變化情況,對合法資產(chǎn)和非法資產(chǎn)進行有效稽查。
圖2 工業(yè)網(wǎng)絡安全監(jiān)測預警平臺
提供并支持包括Syslog協(xié)議等8種數(shù)據(jù)協(xié)議類型數(shù)據(jù)采集能力,具備包含深度流檢測探針在內(nèi)的多種安全采集工具。如圖3所示。
圖3 一站式綜合管理
3.6 數(shù)據(jù)采集能力
工業(yè)網(wǎng)絡安全監(jiān)測預警平臺支持多源異構(gòu)數(shù)據(jù)接入,并支持包括Syslog協(xié)議等8種數(shù)據(jù)協(xié)議類型數(shù)據(jù)采集能力,具備包含深度流檢測探針在內(nèi)的多種安全采集工具,為平臺的上層分析研判業(yè)務提供有力的支撐,如圖4所示。各項性能指標如下:
(1)各類日志采集性能,4萬/秒;
(2)原始數(shù)據(jù)包采集性能,7萬/秒;
(3)網(wǎng)絡流量數(shù)據(jù)采集性能,15萬/秒。
圖4 數(shù)據(jù)采集
3.7 迅捷的預警通報能力
利用事件理解模型實現(xiàn)多元數(shù)據(jù)關(guān)聯(lián)分析,基于攻擊模型實現(xiàn)事件的正反向推理,結(jié)合威脅情報模型實現(xiàn)威脅驗證和預警,最終借助風險評估模型為工業(yè)網(wǎng)絡安全防護決策提供有力支撐。站在威脅視角,以網(wǎng)絡入侵切入點,做到知己知彼。站在脆弱性視角,以工業(yè)系統(tǒng)漏洞和系統(tǒng)安全態(tài)勢為切入點,做到知己,提供全方位的工業(yè)網(wǎng)絡態(tài)勢感知能力。
3.8 高效的應急響應體系
應急響應體系以大數(shù)據(jù)框架為基礎(chǔ),結(jié)合威脅情報系統(tǒng),通過攻防場景模型的大數(shù)據(jù)分析及可視化展示等手段建立和完善工業(yè)網(wǎng)絡安全態(tài)勢全面監(jiān)控、安全威脅實時預警、安全事故緊急響應的能力。通過獨有的自適應的體系架構(gòu),高效地結(jié)合情境上下文分析,協(xié)助安全專家快速發(fā)現(xiàn)和分析安全問題,并能通過實際的運維手段實現(xiàn)安全閉環(huán)管理,同時弱化工業(yè)信息孤島導致不能關(guān)聯(lián)分析的問題。利用情報和智能分析成果,對企業(yè)發(fā)布早期預警信息,評估工業(yè)企業(yè)內(nèi)部可能受影響的設備或資產(chǎn),避免核心業(yè)務系統(tǒng)遭受的攻擊和預防潛在的安全隱患。
4 創(chuàng)新與優(yōu)勢
4.1 創(chuàng)新
(1)PB級的日志處理能力
平臺使用Spark技術(shù),在并發(fā)內(nèi)存內(nèi)處理機制方面能夠帶來數(shù)倍于其它采用磁盤訪問方式的解決方案,借助離線計算引擎在小時級別內(nèi),即可完成對PB數(shù)量級的數(shù)據(jù)挖掘。可以為大規(guī)模、超大規(guī)模網(wǎng)絡提供高性能的日志采集,存儲和審計功能。例如:6個月內(nèi)的安全事件之間的相關(guān)性,安全事件之間的影響程度,安全事件之間的規(guī)律性等并以報表形式進行輸出。
(2)獨家數(shù)據(jù)強化技術(shù)
根據(jù)綠盟科技對攻防研究的長期積累,提供一套簡潔有效的日志統(tǒng)一分類,使用獨有的技術(shù)將日志快速標準化,并基于安全分析需要進行數(shù)據(jù)的過濾和強化,丟棄無法用的噪音信息,提升日志查詢和分析效率。
(3)強大的分析引擎
平臺中預制關(guān)聯(lián)分析引擎,預制引擎構(gòu)成分析平臺的核心功能并且對專項分析提供基礎(chǔ)能力,如風險分析、脆弱性分析、態(tài)勢分析、資產(chǎn)分析、攻擊分析等。
分析引擎采用分布式設計能夠進行橫向擴展,面臨工業(yè)網(wǎng)絡數(shù)據(jù)量時能夠?qū)崿F(xiàn)按需擴展,將分析引擎分散到其他更多的機器中,實現(xiàn)按需進行計算資源擴展。
(4)面向業(yè)務的插件化設計
采用全新大數(shù)據(jù)框架,將上層業(yè)務模塊插件化處理,使業(yè)務模塊與平臺功能進行一對一設計,業(yè)務模塊的改善和增加就不會造成其他模塊或平臺功能的調(diào)整,也就是將業(yè)務模塊抽象并與平臺功能實現(xiàn)分離,從而提高研發(fā)效率,降低企業(yè)維護成本。
(5)可靠性
采用大數(shù)據(jù)組件,對數(shù)據(jù)對象彈性分布存儲3個存儲節(jié)點中,并采用線程級監(jiān)控,一旦發(fā)現(xiàn)問題,可迅速恢復并告警,同時3個節(jié)點備份可以提供完整的災難恢復功能。
(6)多地部署
針對大型多組織的企業(yè)和機構(gòu),采集器可以部署在異地站點或二級單位(保持網(wǎng)絡可達),分析中心部署在總部節(jié)點,異地站點將采集到的數(shù)據(jù)定時通過FTP或SFTP上傳到上級分析中心,供本地留存和查詢服務。
4.2 優(yōu)勢
(1)實現(xiàn)安全事件分析的統(tǒng)一化,集約化;
(2)能夠綜合多種數(shù)據(jù)來源進行未知威脅分析;
(3)減少威脅發(fā)現(xiàn)和響應時間;
(4)上至業(yè)務層網(wǎng)絡,下達生產(chǎn)現(xiàn)場,全局把控;
(5)能夠幫助安全人員簡化工業(yè)網(wǎng)絡安全運維難度;
(6)可以構(gòu)建企業(yè)整體安全態(tài)勢感知中心;
(7)能夠應對多項監(jiān)管合規(guī)要求。
5 結(jié)語
由于工業(yè)控制系統(tǒng)所覆蓋的行業(yè)重要性,比如油化、電力、核電廠、水利、交通、市政、軍事、高端制造業(yè)等,其安全性問題也越發(fā)重要,并牽涉到國計民生。對于這些關(guān)鍵信息基礎(chǔ)設施,如何進行安全監(jiān)測及預警,如何及時有效地進行事前防范,事中監(jiān)測以及事后追溯,正成為工控安全領(lǐng)域亟待解決的問題。
基于全生命周期的工控系統(tǒng)安全綜合保障手段的建設,為傳統(tǒng)的單點安全防護提供了新的思路。將功能安全、信息安全進行深度融合的工業(yè)網(wǎng)絡安全監(jiān)測預警平臺,連接了孤軍奮戰(zhàn)的單個結(jié)點,融入了故障診斷、異常告警、態(tài)勢感知、攻擊檢測等持續(xù)可運營的安全防護理念,最大限度地保障工業(yè)控制系統(tǒng)的穩(wěn)定、高效、安全運行。
作者簡介
楊 倫(1992-),男,貴州人,高級產(chǎn)品經(jīng)理,現(xiàn)就職于北京神州綠盟信息安全科技股份有限公司,主要研究方向為面向APT(AdvancedPersistentThreat)的下一代威脅防御技術(shù)(NextGenerationThreatProtection),以及數(shù)據(jù)挖掘、數(shù)據(jù)分析、機器學習在工業(yè)控制信息安全的應用。曾服務過公安部、國家電網(wǎng)國際發(fā)展公司、上汽通用、長江電力、國家核安保、神華集團、華潤電力、IBM(國際商業(yè)機器公司)等單位、企業(yè),長期從事信息安全咨詢服務。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號