今日頭條
官方微信
官方抖音
案例頻道1 實(shí)驗(yàn)平臺目標(biāo)和概述
1.1 主要目標(biāo)
“智能制造安全監(jiān)測與運(yùn)營管理平臺”主要實(shí)現(xiàn)對智能制造企業(yè)工控系統(tǒng)通信數(shù)據(jù)和安全日志進(jìn)行快速、自動化的關(guān)聯(lián)分析,及時發(fā)現(xiàn)智能制造行業(yè)工控系統(tǒng)異常和針對工控系統(tǒng)的威脅,通過可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢展現(xiàn)給用戶,通過對告警和響應(yīng)的自動化發(fā)布、跟蹤、管理實(shí)現(xiàn)安全風(fēng)險的閉環(huán)管理。
通過建設(shè)智能制造安全監(jiān)測與運(yùn)營管理平臺,實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)IT和OT安全的統(tǒng)一管理,企業(yè)內(nèi)部通過全網(wǎng)流量監(jiān)測,提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅,降低智能制造企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型過程中的安全門檻,促進(jìn)智能制造相關(guān)產(chǎn)業(yè)高速發(fā)展。
1.2 總體概述
智能制造監(jiān)測與運(yùn)營管理平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺4個硬件模塊。如下圖所示:
平臺組成架構(gòu)
(1)流量傳感器
流量傳感器的功能主要是采集工控網(wǎng)絡(luò)中的工業(yè)協(xié)議流量數(shù)據(jù),將原始的工控網(wǎng)絡(luò)全流量轉(zhuǎn)化為按session方式記錄的格式化流量日志,全流量日志會加密傳輸給分析平臺存儲用于后期的審計和分析。
(2)日志采集探針
日志采集器的主要功能是對工控網(wǎng)絡(luò)內(nèi)工控設(shè)備(PLC/DCS/RTU/HMI等)、安全設(shè)備、工業(yè)以太網(wǎng)、上位機(jī)、服務(wù)器等設(shè)備通過主動采集或被動接收等方式對日志進(jìn)行采集并進(jìn)行歸一化預(yù)處理,方便數(shù)據(jù)流后面的關(guān)聯(lián)規(guī)則和數(shù)據(jù)分析能夠快速使用。同時日志采集器還負(fù)責(zé)對內(nèi)網(wǎng)資產(chǎn)進(jìn)行掃描識別,收集資產(chǎn)數(shù)據(jù)。
(3)關(guān)聯(lián)規(guī)則引擎
關(guān)聯(lián)規(guī)則引擎主要負(fù)責(zé)對來自日志采集器的大量日志信息進(jìn)行實(shí)時流解析,并匹配關(guān)聯(lián)規(guī)則,對異常行為產(chǎn)生關(guān)聯(lián)告警。
(4)分析平臺
分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設(shè)備日志和系統(tǒng)日志,并同時提供應(yīng)用交互界面。分析平臺底層的數(shù)據(jù)檢索模塊采用了分布式計算和搜索引擎技術(shù)對所有數(shù)據(jù)進(jìn)行處理,可通過多臺設(shè)備建立集群以保證存儲空間和計算能力的供應(yīng)。
2 應(yīng)用場景介紹
本平臺主要面向智能制造領(lǐng)域,對中小企業(yè)建設(shè)具有監(jiān)測、預(yù)警的管理平臺,利用平臺的實(shí)時監(jiān)測能力,有效加強(qiáng)企業(yè)的工業(yè)互聯(lián)網(wǎng)安全水平。
為保證智能制造設(shè)備的安全運(yùn)行、預(yù)防系統(tǒng)突發(fā)性重大事故的發(fā)生,并在事故發(fā)生后迅速有效地控制和處理,最大限度地減少事故損失和相關(guān)系統(tǒng)的影響,在企業(yè)內(nèi)部建立安全運(yùn)營管理平臺,以數(shù)據(jù)為驅(qū)動,以安全分析為工作重點(diǎn),立足于安全策略防護(hù),充分利用大數(shù)據(jù)平臺的數(shù)據(jù)收集、查詢能力進(jìn)行持續(xù)的監(jiān)控與分析;在持續(xù)監(jiān)控的基礎(chǔ)上,實(shí)現(xiàn)安全管理體系、預(yù)警監(jiān)測體系、安全服務(wù)體系、縱深安全防護(hù)之間的有效協(xié)同和共同作用,最終形成可以有效落實(shí)的體系化安全解決方案。
2.1 預(yù)期成果
(1)工控系統(tǒng)關(guān)鍵資產(chǎn)管理
該平臺能夠提供對企業(yè)內(nèi)網(wǎng)資產(chǎn)的被動發(fā)現(xiàn)、手工管理、資產(chǎn)變更比對、資產(chǎn)信息整合展示等基本功能。同時,提供長期的服務(wù)、流量、威脅相關(guān)的監(jiān)控,所有資產(chǎn)相關(guān)的監(jiān)控數(shù)據(jù)均可在資產(chǎn)詳情頁查看。
(2)工控系統(tǒng)操作行為監(jiān)測
該平臺能夠?qū)崟r監(jiān)測工控系統(tǒng)控制器下裝、上傳、啟動、停止等關(guān)鍵操作行為,包括智能制造行業(yè)常用西門子S7-300、施耐德昆騰、羅克韋爾Control Logix等系列工控系統(tǒng)。
(3)提升威脅發(fā)現(xiàn)能力
利用多種新型威脅監(jiān)測手段,再結(jié)合威脅情報的使用,該平臺能夠更快地發(fā)現(xiàn)隱藏在各類日志中的安全問題。更早地發(fā)現(xiàn)威脅,一方面可以幫助企業(yè)或單位在安全管理上更為從容,無需面臨可能被通報追查的窘境,另一方面可以留下更多挽回?fù)p失的機(jī)會,為快速地彌補(bǔ)安全問題提供寶貴的時間窗口。
(4)安全運(yùn)營
該平臺可以在多種安全功能基礎(chǔ)之上提供安全運(yùn)營,幫助用戶快速、宏觀地了解整個企業(yè)的安全情況。對各種威脅采取措施的控制指令下發(fā)至控制系統(tǒng),形成監(jiān)控、分析、控制的閉環(huán)。
2.2 技術(shù)的示范效應(yīng)
通過全網(wǎng)流量監(jiān)測,發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的各類威脅,并進(jìn)行情報挖掘與云端關(guān)聯(lián)分析,提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅,并將威脅情報以可機(jī)讀格式推送到本地系統(tǒng),供本地威脅檢測和分析時使用。
2.3 商業(yè)價值
傳統(tǒng)工業(yè)領(lǐng)域安全防護(hù)常用的分層分域的隔離與邊界防護(hù)思路以及傳統(tǒng)的IT安全手段已不能有效識別和抵御所有可能的攻擊。安全監(jiān)測與運(yùn)營管理平臺為智能制造中小企業(yè)的工業(yè)控制系統(tǒng)信息安全保障提供了一種有效解決方案。通過該平臺的部署,可以實(shí)時監(jiān)控企業(yè)內(nèi)網(wǎng)的流量,及時發(fā)現(xiàn)智能制造網(wǎng)絡(luò)空間的可疑行為和風(fēng)險,大大提高了整個工業(yè)控制過程自動化領(lǐng)域的信息安全保障水平,同時提高用戶對自己使用的工業(yè)控制系統(tǒng)信息安全的自主把控能力。本平臺作為智能制造行業(yè)工業(yè)互聯(lián)網(wǎng)建設(shè)和正常運(yùn)行的重要支撐和保護(hù),其建設(shè)具有良好的經(jīng)濟(jì)效益。
2.4 社會價值
智能制造行業(yè)工業(yè)控制系統(tǒng)在我國經(jīng)濟(jì)生產(chǎn)生活中起著舉足輕重的作用,如果工業(yè)控制的信息被竊取或者被修改,可能造成人身傷亡、財產(chǎn)損失等嚴(yán)重后果,更嚴(yán)重的甚至?xí)绊懙絿野踩1酒脚_建成后,將快速面向智能制造中小企業(yè),形成良好的工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài),加快工業(yè)物聯(lián)網(wǎng)在工業(yè)信息化產(chǎn)業(yè)中的布局,降低企業(yè)工業(yè)控制信息化的復(fù)雜度,從而讓工業(yè)充分享受信息化產(chǎn)業(yè)帶來的便利,社會效益十分顯著。
3 實(shí)驗(yàn)平臺技術(shù)可行性
該平臺將建設(shè)成一個以多種安全問題管理為目標(biāo)、以智能制造工業(yè)數(shù)據(jù)為核心、威脅情報為特色、打通安全運(yùn)營中的檢測、響應(yīng)、預(yù)警、防御多個領(lǐng)域環(huán)節(jié)的完整安全體系,能夠覆蓋安全管理與運(yùn)營的各個環(huán)節(jié),功能架構(gòu)圖如下:
平臺功能架構(gòu)
該平臺數(shù)據(jù)采集部分,除了對智能制造行業(yè)傳統(tǒng)的Syslog、Flow、各種系統(tǒng)日志和安全設(shè)備日志以外還突破性地針對原始流量日志(依賴于流量傳感器或360下一代防火墻)和終端日志(依賴于天擎EDR模塊)進(jìn)行采集。依賴于更加原始的日志信息,平臺可以發(fā)現(xiàn)隱藏更深的各種威脅,同時能夠提供完整的事件回溯分析能力。
平臺在數(shù)據(jù)的存儲和分析中大量使用大數(shù)據(jù)相關(guān)技術(shù),在標(biāo)準(zhǔn)化組件中可以依賴于分布式全文檢索技術(shù)提供接近PB級日志量的存儲和快速計算,同時能夠提供良好的可靠性保證,以解決意外斷電、磁盤故障可能對系統(tǒng)帶來的可靠性問題。
平臺使用多種分析引擎針對不同的管理目標(biāo)提供相應(yīng)支撐,關(guān)聯(lián)分析、統(tǒng)計分析、快速搜索等功能相較于傳統(tǒng)產(chǎn)品具有明顯的性能優(yōu)勢。
平臺最外層提供友好、高效的交互管理頁面,既滿足了使用需求,又能夠提升工作效率。再結(jié)合威脅情報、安全服務(wù)等來自于360特有的安全知識輸入,該平臺可以極大地提升本地安全運(yùn)營的效率。
3.1 物理平臺
平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺4個硬件模塊。通常部署在網(wǎng)絡(luò)出口交換機(jī)旁,或者其他需要監(jiān)聽流量的網(wǎng)絡(luò)節(jié)點(diǎn)旁,接收鏡像流量,不會對企業(yè)廠區(qū)內(nèi)部生產(chǎn)本身造成影響。
3.2 軟件平臺
所用設(shè)備操作系統(tǒng)為linux。
3.3 配置和控制接口
3.4 數(shù)據(jù)通訊接口
工控通信協(xié)議Modbus/TCP、OPC DA、S7等。
3.5 安全措施
智能制造安全監(jiān)測與運(yùn)營管理平臺是安全產(chǎn)品,能夠連接工控防火墻、工業(yè)安全審計、工業(yè)主機(jī)防病毒軟件、工控交換機(jī)等設(shè)備,統(tǒng)一管理安全事件。
同時,該平臺在出廠時已經(jīng)通過公司內(nèi)部安全審查和評估。
3.6 軟件開發(fā)和模擬環(huán)境
開發(fā)環(huán)境為python環(huán)境和C環(huán)境
4 和ECC技術(shù)及測試臺的關(guān)系
4.1 ECC總體架構(gòu)
邊緣計算參考架構(gòu)2.0
邊緣計算參考架構(gòu)在每層均提供了模型化的開放接口,實(shí)現(xiàn)了架構(gòu)的全層次開放;邊緣計算參考架構(gòu)通過縱向管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)、安全服務(wù),實(shí)現(xiàn)業(yè)務(wù)的全流程、全生命周期的智能服務(wù)。
安全監(jiān)測和運(yùn)營管理平臺在邊緣計算參考架構(gòu)中提供安全服務(wù),網(wǎng)絡(luò)邊緣側(cè)接入的終端類型廣泛,數(shù)量巨大,承載的業(yè)務(wù)繁雜,被動的安全防御往往不能起到良好的效果。因此,需要采用更加積極主動的安全防御手段,包括基于大數(shù)據(jù)的態(tài)勢感知和高級威脅檢測,以及統(tǒng)一的全網(wǎng)安全策略執(zhí)行和主動防護(hù),從而更加快速響應(yīng)和防護(hù)。再結(jié)合完善的運(yùn)維監(jiān)控和應(yīng)急響應(yīng)機(jī)制,則能夠最大限度保障邊緣計算系統(tǒng)的安全、可用、可信。
4.2 ECC實(shí)驗(yàn)平臺
參考邊緣計算產(chǎn)業(yè)聯(lián)盟已發(fā)布的17個測試床,主要集中在智能水務(wù)、智慧農(nóng)業(yè)、智慧物流、智能樓宇、照明物聯(lián)網(wǎng)、智能車輛等方面。現(xiàn)有成果沒有從安全角度考慮建設(shè)測試床,因此,智能制造安全監(jiān)測與運(yùn)營管理平臺的部署是非常有必要的,同時需要亟待落實(shí)。
智能制造安全監(jiān)測與運(yùn)營管理平臺架構(gòu)本身即為邊緣計算架構(gòu),平臺對接360云端威脅情報中心,可對海
量數(shù)據(jù)情報對各種告警中的IP、域名、文件MD5進(jìn)行進(jìn)一步分析和解釋,本地分析平臺對原始日志和流量信息進(jìn)行分析,實(shí)現(xiàn)本地處理,分析平臺本身可看作邊緣節(jié)點(diǎn)。
5 交付件
智能制造安全監(jiān)測與運(yùn)營管理平臺本身是一個系統(tǒng),提供流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺四個硬件設(shè)備。
6 實(shí)驗(yàn)平臺使用者
智能制造安全監(jiān)測與運(yùn)營管理平臺建設(shè)成功后,可用于工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實(shí)驗(yàn)室展示,同時用于威派格智慧水務(wù)系統(tǒng)的安全監(jiān)測、分析預(yù)警、安全態(tài)勢展現(xiàn)、威脅情報發(fā)布與使用。
7 知識產(chǎn)權(quán)說明
(1)項(xiàng)目實(shí)施過程中所產(chǎn)生的知識產(chǎn)權(quán):
·各方獨(dú)立完成的成果所有權(quán)歸各自所有;共同完成的成果所有權(quán),按照參與方的貢獻(xiàn)大小進(jìn)行分配。
·共同完成的項(xiàng)目成果轉(zhuǎn)讓,須經(jīng)參與各方同意的前提下進(jìn)行,任何一方不得私自開展。
(2)獨(dú)立完成的知識產(chǎn)權(quán)成果各方可獨(dú)立組織成果鑒定。
(3)共同完成的項(xiàng)目成果申報各級獎項(xiàng),應(yīng)根據(jù)各方貢獻(xiàn)大小排名。具體事宜另行商定。
8 部署、操作和訪問使用
流量傳感器通常部署在網(wǎng)絡(luò)出口交換機(jī)旁,或者其他需要監(jiān)聽流量的網(wǎng)絡(luò)節(jié)點(diǎn)旁,接收鏡像流量。關(guān)聯(lián)規(guī)則引擎、日志采集器和分析平臺部署在流量傳感器同一個網(wǎng)段即可,不會對企業(yè)廠區(qū)內(nèi)部生產(chǎn)造成影響。
摘自《自動化博覽》2018年增刊《邊緣計算2018專輯》
北京市公安局海淀分局備案號:11010802023656號