今日頭條
官方微信
官方抖音
資訊頻道1、方案背景與目標
1.1當前工業互聯網領域的安全問題日趨嚴重
工業互聯網涉及到很多與人民群眾生活息息相關的重要基礎設施,例如電力能源、軌道交通、石油化工、鋼鐵、有色、建材、新材料、民爆、礦業、工業母機和機器人等生產制造的關鍵環節和場景,關系到國計民生。隨著以互聯網+、物聯網、云計算、大數據、人工智能等為代表的新一代信息技術與傳統工業生產系統的加速融合,工業互聯網在提升工業生產效率、加速向智能制造轉型的同時,也打破了傳統工業相對封閉可信的環境,導致病毒、木馬和網絡攻擊等安全風險對工業生產和關鍵基礎設施的威脅日益加劇,一旦受到安全攻擊,不僅會造成巨大的經濟損失,甚至會危及公眾生活和國家安全。
因此保障工業互聯網的安全可控是確保智能制造在生產領域實施的必要前提。工業互聯網的信息安全問題已引起國家和社會各界的高度重視。
工業互聯網安全是全局的、多層次、多維度的系統性安全。從分層結構的角度,安全威脅可分為設備層安全威脅、控制層安全威脅、車間層安全威脅、企業層安全威脅和協同層安全威脅;從體系架構的角度,安全威脅可分為設備層安全威脅、網絡層安全威脅、應用層安全威脅、數據層安全威脅、控制層安全威脅、人員管理威脅和高級持續性威脅。當前工業互聯網安全形勢復雜,針對工業互聯網的攻擊仍處于高發態勢,涉及到國家級網絡公共基礎設施和國計民生的重要信息系統,涵蓋了病毒、木馬、漏洞、流量攻擊等多種類型,攻擊門檻不斷降低,攻擊對象更加廣泛,攻擊手段復雜多樣,攻擊范圍跨洲跨國,攻擊目的利益驅動。當前信息安全威脅已經成為我國工業互聯網產業發展的一個顯著制約因素。較低的信息安全防護水平以及安全生產的重大責任使得數量眾多的工業企業在互聯互通、業務創新上非常謹慎,甚至有些企業談“網”色變,可以說信息安全已經成為我國進行工業產業升級的實際阻礙。據國家工業信息安全發展研究中心監測顯示,截至2022年底,我國各類低防護聯網設備總數再創新高。其中,物聯網、工業控制系統大量暴露,且極易遭受攻擊利用,可能造成設備宕機、停產停工等嚴重后果,存在較大安全隱患。2022年公開披露的工業領域勒索事件共89起,較2021年增長78%。從受影響的行業來看,制造業首當其沖。具體而言,電子制造行業遭勒索攻擊最多,占全部勒索事件的23.3%。工業和信息化部工業控制產品安全漏洞專業庫統計發現,2022年工控漏洞數量再度攀升,共涉及緩沖區錯誤、代碼問題、權限許可和訪問控制問題等多種類型風險。
1.2智能工廠工業網絡安全一體化防護能力嚴重不足
雖然我國在工業互聯網的頂層設計,包括政策實施、標準制定等方面跟進較快,但由于我國工業互聯網安全技術的研究起步較晚,與國外先進水平相比仍有較大差距。在工業互聯網安全防護技術方面,我國除依托傳統網絡安全技術進行安全技術產品功能的拓展外,著重基于新興互聯網技術,開展新一代網絡安全技術產品的研發創新。相關研究主要有:工業互聯網邊緣端點的防護技術、工業防火墻技術、工業互聯網漏洞挖掘技術、滲透測試技術、安全態勢感知技術等,多為針對某一種技術的分析及應用研究。
在工業互聯網安全企業應用推廣方面,企業基于安全認識和意識、安全成本預算等方面的考慮,主要采取分步建設的思路,缺哪補哪的外掛式建設思路,導致產品之間的融合和協同能力差,表現在如下幾個方面:
· 網絡安全流量、日志、漏洞、設備終端等安全數據采集不足,風險資產底數不清晰;
· 采集的網絡安全數據割裂,存在“安全數據孤島”現場,無法實現工業網絡安全數據集中管理和關聯分析;
· 安全智能分析能力不足,對勒索攻擊、惡意程序等高級威脅攻擊形態缺乏感知分析能力;
· 安全協同響應能力不足,各設備之間缺乏聯動效應,應對威脅響應處置不及時。
據工業和信息化部等八部門對外公布了《“十四五”智能制造發展規劃》,未來15年將通過“兩步走”,加快推動生產方式變革:一是到2025年,規模以上制造業企業大部分實現數字化網絡化,重點行業骨干企業初步應用智能化;70%的規模以上制造業企業基本實現數字化網絡化,建成500個以上引領行業發展的智能制造示范工廠。二是到2035年,規模以上制造業企業全面普及數字化網絡化,重點行業骨干企業基本實現智能化。對國家《“十四五”智能制造發展規劃》規化要求,當前針對智能工廠安全防護解決方案及配套產品存在技術儲備不足、測試驗證不足、應用推廣不足等多方面的問題,迫切需要針對當前智能工廠的上述痛點問題,打造貫穿工業網絡安全防護的數據采集、監測、分析、預測到響應的全過程的安全能力,攻關工業網安全感知與智能分析、多攻擊面協同防御策略、入侵響應控制等技術,構建集工業網絡安全態勢感知、風險評估、威脅預警、攻擊阻斷、網端聯動、縱深防御于一體化的綜合安全解決方案,為制造業的轉型升級保駕護航。
2、方案詳細介紹
2.1 總體技術架構
本項目主要針對當前工業網絡安全數據采集不充分,分析不智能,響應不協同等痛點問題,研制面向智能工廠的網端聯動一體化安全防護解決方案及配套產品,通過打造貫穿工業網絡安全防護的數據采集、監測、分析、預測到響應的全過程的安全能力,攻關工業網安全感知與智能分析、多攻擊面協同防御策略、入侵響應控制等技術,構建集工業網絡安全態勢感知、風險評估、威脅預警、攻擊阻斷、網端聯動、縱深防御于一體化的綜合安全解決方案,并以此為基礎針對能源電力、軌道交通、石油化工、高端制造、汽車電子、生物制藥、新能源等國計民生的廣泛行業領域的網絡特點,構建重點行業應用解決方案,進行應用推廣。
智能制造工控安全整體解決方案以工業安全威脅發現與運營管理平臺為核心,配合工控防火墻、工控監測于審計、工控主機安全衛士等安全防護設備,實現工業安全一體化落地。
方案體系架構如下圖所示。
圖1 智能制造工控安全整體解決方案總體架構
圖2 智能制造工控安全態勢感知平臺效果圖
2.2關鍵技術
(1)多維度智能高級威脅分析技術
基于人工智能對安全大數據多維度關聯分析,不僅能夠有效定位攻擊行為的路徑,還能發現威脅并預判趨勢,對攻擊者留下的任意線索進行多維拓展,使用大數據可視化手段,從不同視角、維度(如3D圖、雷達圖、拓撲圖、熱度圖等)繪制出完整的知識鏈條,呈現攻擊的完整過程,覆蓋攻擊的源頭、手段、目標、范圍等關鍵信息。
(2)指令級工業協議深度解析技術
本項目深度解析分析引擎能夠對各類數據包進行快速有針對性的捕獲與深度解析。對不同行業的工業系統,可以采取相應針對性的數據包探測機制和解析策略。在遵循工業系統可用性與完整性的基礎上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,對傳輸的工控協議指令請求進行實時安全檢測,對于不符合安全要求的操作指令及時進行攔截和報警,同時針對企業內部的私有協議提供定制化的功能支持,全面滿足各行業內部工業系統的兼容性要求。
(3)工業通信行為智能分析技術
本項目基于工業通信協議深度解析,自學習工業網絡通信關系、操作功能碼和參數等,對正常通信行為建模,根據模型特定目標和標準,對通信關系,操作功能碼以及定義的行為特征進行關聯分析,自學習形成白名單規則庫,通過對工控協議的深度解析識別,只允許匹配工業協議規則白名單的業務流量通過,阻斷未知流量,可有效控制工控系統通信安全。
(4)網端協同一體化聯動技術
研究通過建立知識庫進行策略管理,快速生成應急響應預案,實現安全事件的預警、響應和處置,研究網端檢測,形成網端協同的主動防御體系,實現控制閉環反饋。研究網端協同聯動,根據實時場景自適應決策響應,全網關鍵設備被推送安全策略。
(5)基于大模型的智能安全運營技術
使用安全數據并運用遷移學習或微調技術,將大模型學到的知識應用到安全領域,提高模型在安全領域的性能。訓練復雜深度學習模型,訓練安全分析引擎實現安全事件輔助判斷、安全處置建議自動生成、安全報告自動生成等功能,提升安全運營效率。
2.3 產品研發
2.3.1 工業互聯網態勢感知產品
工業互聯網態勢感知產品通過采集全網原始流量數據,結合云端的威脅情報,對海量安全數據進行挖掘和關聯分析,對攻擊、威脅、脆弱性、流量和行為等五大態勢進行感知,生成全方位的安全全景視圖。
工業互聯網態勢感知產品的具體能力包括:
· 支持勒索病毒等高級威脅分析;
· 支持網端一體化聯動響應;
· 支持基于安全大模型的安全事件輔助判斷、安全處置建議自動生成等智能化運營功能;
2.3.2 工控防火墻產品
工控防火墻是涵蓋傳統防火墻、工控網絡流量智能學習、工控協議數據包深度解析、工控協議指令控制等功能在內的工控網絡安全防護產品。工控防火墻具體能力包括:
· 支持涵蓋MODBUS/TCP,OPC Classic,OPC UA,OPC DA DNP3,S7,S7 plus,IEC104,EIP,Profinet等在內的各類主流工控網絡協議深度解析分析。
2.3.3 工控監測審計產品
工控監測與審計系統是一款專門針對工業控制網絡設計的安全監測、審計、告警和數據分析的軟硬件一體化產品。通過特定安全策略快速識別出生產控制系統中存在的非法操作、異常事件、外部攻擊行為并實時告警,并通過針對采集信息的統一存儲、統一管理與大數據分析,為滿足實時網絡監測提供可靠數據支撐,幫助用戶感知準確的網絡安全態勢。
工控監測與審計系統具體能力包括:
· 支持預置入侵檢測規則庫,規則庫應至少支持windows系統漏洞、Linux系統漏洞、Unix系統漏洞、Web漏洞、工控系統漏洞、工控協議漏洞等規則分類;
· 支持通過對網絡流量的深度解析、特征匹配,實現對工控網絡等關鍵事件進行識別和告警;
2.3.4 工控主機安全衛士產品
工控主機安全衛士系統是一款針對工業控制系統工程師站、操作員站、服務器等主機系統進行外設管理、應用程序管理、注冊表防護、文件保護等功能的工控安全產品。通過掃描主機運行進程,建立應用程序白名單基線,禁止非授權應用的加載及執行,保護關鍵目錄及注冊表,管理主機外設及移動存儲權限,可對工控上位機及服務器實現全方位安全防護,保障用戶業務連續穩定運行。
工控主機安全衛士具體能力包括:
· 支持USB移動存儲設備安全防護;
· 支持阻斷白名單以外的非法進程運行,并產生安全事件通知,記錄非法進程行為。
3、代表性及推廣價值
預期應用成效
面向智能工廠工業解決方案大幅提升智能工廠的安全防護能力,取得以下應用成效:
· 安全策略部署時間提升50%;
· 安全事件分析效率提升50%;
· 安全事件工單響應時間小于10分鐘;
· 安全運營成本下降30%。
北京市公安局海淀分局備案號:11010802023656號