今日頭條
官方微信
官方抖音
案例頻道★北京雙湃智安科技有限公司
1 項目概況
1.1 項目背景
目前紫光UNIPower工業(yè)互聯(lián)網平臺已經發(fā)布百余種工業(yè)應用服務和多個行業(yè)解決方案,齊聚超過200家生態(tài)合作伙伴,為TCL集團、新華三集團、人本集團、華亞智能科技等企業(yè)提供工業(yè)云服務和智能化改造的解決方案。
紫光UNIPower工業(yè)互聯(lián)網平臺服務特點包括以下幾個方面:一是全面的設備連接與數(shù)據(jù)整合能力;二是強大的數(shù)據(jù)分析和工業(yè)算法模型構建;三是提供PaaS層四庫四池,為企業(yè)和開發(fā)者提供工業(yè)應用開發(fā)所需的豐富資源服務;四是建設以“工業(yè)為基礎、數(shù)據(jù)為核心、云平臺為支撐”的安全能力,建立一個智能分析、協(xié)同防護、安全可控的工業(yè)互聯(lián)網安全平臺,做到事前預警、事中監(jiān)控、事后分析響應,全面提升工業(yè)互聯(lián)網平臺安全管理與防護水平。
1.2 項目簡介
項目歷時6個月,按照統(tǒng)籌規(guī)劃、務求實效、立足創(chuàng)新、方便擴展的建設原則,以IITM(工業(yè)互聯(lián)網威脅檢測平臺)和ISOC(工業(yè)安全運營中心)為基礎建設成符合紫光云引擎業(yè)務需求,并且與工業(yè)互聯(lián)網平臺相融合的工業(yè)互聯(lián)網綜合防護平臺。
同時,通過部署探針類設備ITD(工業(yè)威脅探測器)和現(xiàn)有的工業(yè)安全系統(tǒng)搭建起完整的三級聯(lián)動安全防護體系構架,提升內部工業(yè)安全防護能力的同時也讓紫光工業(yè)互聯(lián)網平臺具備了對外提供工業(yè)網絡安全業(yè)務的能力。
1.3項目目標
1.3.1 行業(yè)所面臨的挑戰(zhàn)
(1)工業(yè)互聯(lián)網安全管理體系不健全
評估發(fā)現(xiàn),大多數(shù)企業(yè)尚未結合生產應用場景建立適應工業(yè)互聯(lián)網發(fā)展需求的網絡安全管理制度,缺少針對工業(yè)互聯(lián)網安全考核機制,安全責權不清,人員和經費投入有限,缺乏有效的督促和激勵制度;缺少工業(yè)互聯(lián)網安全評估制度,多數(shù)企業(yè)對工業(yè)互聯(lián)網改造后需要保護的網絡、設備、數(shù)據(jù)等保護對象及其應達到的安全要求掌握分析不足,對網絡中已存在的漏洞、病毒不掌握;網絡安全應急保障不完善,絕大多數(shù)企業(yè)沒有針對自身工業(yè)互聯(lián)網情況明確網絡安全應急預案并開展演練。
(2)缺乏工業(yè)互聯(lián)網安全保障技術體系
目前,多數(shù)企業(yè)工業(yè)互聯(lián)網處于試點或改造階段,未完全實現(xiàn)從傳統(tǒng)單點、隔離工業(yè)控制系統(tǒng)到工業(yè)互聯(lián)網的轉變,更注重工業(yè)互聯(lián)網場景可用性,未做到網絡安全三同步要求;對網絡區(qū)域打通后的網絡隔離、安全監(jiān)控、數(shù)據(jù)保護等安全問題考慮欠缺,工業(yè)互聯(lián)網安全態(tài)勢感知能力不足,缺乏專業(yè)安全防護設備與技術支持,缺乏工業(yè)互聯(lián)網網絡安全保障技術體系。
(3)工業(yè)數(shù)據(jù)安全保護措施不足
工業(yè)互聯(lián)網企業(yè)普遍對工業(yè)數(shù)據(jù)保護缺乏有效管控防護措施。多數(shù)平臺企業(yè)對數(shù)據(jù)安全的保護措施較欠缺,未對重要工業(yè)數(shù)據(jù)進行識別、分類分級;未采取加密存儲和傳輸、定期備份等防護措施;未對存儲、處理關鍵工業(yè)數(shù)據(jù)的設備的漏洞及時跟蹤處理,許多設備存在如弱口令、命令注入、遠程代碼執(zhí)行等常見漏洞,工業(yè)數(shù)據(jù)遭竊取、破壞的風險較高;70%以上工業(yè)互聯(lián)網平臺企業(yè)對云服務外包缺乏安全管控,缺少云端業(yè)務數(shù)據(jù)防護舉措。
(4)工業(yè)互聯(lián)網軟硬件安全檢測不足
工業(yè)互聯(lián)網應用推廣過程中,涉及傳統(tǒng)工業(yè)控制系統(tǒng)與產品、工業(yè)互聯(lián)網網關、工業(yè)App等,但相關軟硬件產品安全檢測不足,引入了安全風險。如許多工業(yè)App產品存在反編譯和硬編碼等安全漏洞,能夠通過一些App直接調用生產系統(tǒng)控制功能,攻擊者可通過篡改控制指令引發(fā)重大生產事故和財產損失。對部分企業(yè)工業(yè)App檢測發(fā)現(xiàn),App信息交互過程中存在數(shù)據(jù)明文傳輸、訪問控制不受限等風險,可以通過App獲取生產控制指令和工業(yè)生產參數(shù),可能造成工藝生產流程泄露。
當前,工業(yè)互聯(lián)網企業(yè)面臨著安全風險,工業(yè)互聯(lián)網安全防護技術手段尚需健全。為有效提升工業(yè)互聯(lián)網服務商及其服務企業(yè)的網絡安全防范水平,適應新技術潮流下安全治理的新挑戰(zhàn),需開展工業(yè)互聯(lián)網平臺安全監(jiān)測與防護系統(tǒng)建設,依托自有網絡資源和系統(tǒng),圍繞工業(yè)互聯(lián)網服務商及其服務企業(yè)的安全需求,利用大數(shù)據(jù)、人工智能等技術手段,為工業(yè)企業(yè)等提供網絡安全服務,實現(xiàn)本網絡內的威脅溯源定位、安全防護、入侵防御、安全監(jiān)測、風險診斷與研判、應急處置等服務,最大程度降低企業(yè)系統(tǒng)遭受網絡攻擊的風險。
1.3.2 項目建設目標
(1)形成邊界安全、業(yè)務和應用安全、數(shù)據(jù)安全的工業(yè)互聯(lián)網平臺安全縱深防御解決方案,具備防攻擊、防病毒、防入侵、防盜竊、防控制等安全防護能力。應用10類以上工業(yè)互聯(lián)網平臺安全防護核心技術及產品,實現(xiàn)抗DDoS、虛擬機逃逸、鏡像篡改、數(shù)據(jù)竊取與篡改等安全能力。
(2)建設工業(yè)互聯(lián)網平臺安全綜合防護系統(tǒng),實現(xiàn)對平臺接入終端、云基礎設施、工業(yè)微服務、工業(yè)APP和防護設備的安全數(shù)據(jù)匯聚并進行綜合分析,實現(xiàn)對接入設備、防護設備、應用服務和日志數(shù)據(jù)的統(tǒng)一管理。同時具備應用發(fā)布安全感知、攻擊源畫像威脅展示及設備應用連通監(jiān)測的功能。
(3)建設紫光工業(yè)互聯(lián)網設備安全接入系統(tǒng),對設備接入平臺進行統(tǒng)一認證。
(4)對平臺安全綜合防護系統(tǒng)進行實際應用評價,對各項指標進行數(shù)據(jù)采集,對標準的合理性和科學性進行反向驗證,產生平臺安全綜合防護系統(tǒng)的測試用例,并利用市場渠道進行對外服務和宣傳推廣,推動平臺功能不斷完善,加快平臺在廣大制造業(yè)企業(yè)的落地應用與實踐。
2 項目實施
2.1 系統(tǒng)架構和主要內容
建設工業(yè)互聯(lián)網平臺安全綜合防護平臺,系統(tǒng)架構如圖1所示。該平臺是針對工業(yè)互聯(lián)網企業(yè)的一個開放互聯(lián)的平臺,可匯總多站點工業(yè)安全設備上報的威脅數(shù)據(jù)以及資產數(shù)據(jù),以數(shù)據(jù)可視化為核心,為資產及其脆弱性、告警事件、處置情況和網絡訪問情況提供集中視圖,為安全運營提供跨地域的即時可見性。在此基礎上,增加工業(yè)設備與工業(yè)安全設備日志收集與分析、策略管控、數(shù)據(jù)上報等數(shù)據(jù)及產品管控功能,依托大數(shù)據(jù)分析,最終實現(xiàn)場景化運營。該平臺有效提升工控網絡在線安全監(jiān)測能力,全面提高工業(yè)企業(yè)的風險預警能力,整體提升工業(yè)企業(yè)的安全運營能力和安全防護水平。
圖1 系統(tǒng)架構
建設紫光工業(yè)互聯(lián)網平臺監(jiān)測服務系統(tǒng),如圖2所示,以資產探測和威脅發(fā)現(xiàn)為基礎,以威脅分析和安全保障為核心,以事前預防、事中控制和事后響應為目標,支撐監(jiān)管部門和安全服務運營商對工業(yè)互聯(lián)網網絡空間與工業(yè)互聯(lián)網企業(yè)提供資產探查、漏洞發(fā)現(xiàn)、風險評估、威脅推送、工業(yè)現(xiàn)場檢查、工業(yè)應急響應等安全服務,填補網絡安全監(jiān)管部門執(zhí)法監(jiān)督管理以及區(qū)域服務中心在線安全服務的空白,豐富安全監(jiān)管部門管理手段以及安全服務運營商的運營手段,幫助安全監(jiān)管部門和安全服務運營商構建全天候、全方位的安全監(jiān)測和威脅感知能力,強化通過自動化工具開展實時安全監(jiān)測、風險評估、威脅推送、預警通報等安全服務,提升安全監(jiān)管部門權威性、安全服務運營商安全建設與運營的規(guī)范化程度,提高工業(yè)互聯(lián)網企業(yè)的安全管理能力,降低工業(yè)互聯(lián)網企業(yè)因安全事件導致的資產和人員損失,保障工業(yè)互聯(lián)網企業(yè)安全生產。
圖2 紫光工業(yè)互聯(lián)網平臺監(jiān)測服務系統(tǒng)
2.2 技術方案
工業(yè)互聯(lián)網平臺安全綜合防護平臺由工業(yè)互聯(lián)網平臺安全綜合管理系統(tǒng)(DZ-SOCP)、工業(yè)安全運營中心系統(tǒng)(SP-ISOC)和工業(yè)互聯(lián)網數(shù)據(jù)模擬器系統(tǒng)(SP-DSS)組成。如圖3所示。
圖3 工業(yè)互聯(lián)網安全綜合防護典型部署
該平臺的威脅檢測分析系統(tǒng)和運營管理系統(tǒng),依托“九天”情報系統(tǒng)和“哈莫韋”工業(yè)網絡安全實驗室,針對工業(yè)互聯(lián)網行業(yè)特點,建立從基礎信息采集到數(shù)據(jù)分析的一體化威脅情報分析。通過搭建威脅監(jiān)測和分析管理平臺,將“九天”系統(tǒng)的威脅分析能力和“哈莫韋”工業(yè)網絡安全實驗室的研究成果,有效串聯(lián)至工業(yè)安全態(tài)勢感知平臺各業(yè)務環(huán)節(jié),為工業(yè)安全態(tài)勢感知平臺的安全穩(wěn)定運行提供堅強支撐。
圖4 工業(yè)互聯(lián)網平臺防護能力模型
2.3 應用場景分析
工業(yè)互聯(lián)網平臺安全綜合防護平臺是針對工業(yè)互聯(lián)網企業(yè)的一個開放互聯(lián)的平臺。該平臺可匯總多站點工業(yè)安全設備上報的威脅數(shù)據(jù)以及資產數(shù)據(jù),以數(shù)據(jù)可視化為核心,為資產及其脆弱性、告警事件、處置情況及網絡訪問情況提供集中視圖,為安全運營提供跨地域的即時可見性。
直觀地體現(xiàn)總體安全態(tài)勢和潛在風險,主要包括態(tài)勢分析、地圖呈現(xiàn)、下鉆、設置模式和統(tǒng)計信息。其中態(tài)勢分析內容包括風險等級資產分布、區(qū)域資產分布、行業(yè)資產分布、漏洞類型占比、行業(yè)風險排名、資產趨勢、風險趨勢、被篡改應用站點行業(yè)統(tǒng)計、應用站點漏洞行業(yè)分布、應用站點流行漏洞排名、問題站點區(qū)域分布、問題站點、RTSP弱口令攝像頭、資產趨勢、區(qū)域資產分布等以及利用地圖直觀展現(xiàn)轄區(qū)應用站點安全隱患的分布情況,并支持利用導航地圖技術結合站點地址經緯度數(shù)據(jù)定位。可視化包括視圖安全管控視圖和安全領導視圖:為安全運營和實驗室人員提供安全可視化視圖,支持安全事件調查、取證、溯源和處置等功能聯(lián)動;為管理層領導提供安全可視化視圖,支持安全建設成果可視化、安全威脅統(tǒng)計可視化等數(shù)據(jù),支持安全決策。
2.4 安全應用模式
在眾多的用戶需求中,安全保障的基本需求是用戶最根本的利益所在。雙湃智安通過安全運營平臺,圍繞資產、脆弱性、威脅和事件四個要素為客戶提供一系列安全服務,幫助用戶構筑遠程(24×7小時)對客戶側安全事件和相關數(shù)據(jù)源安全監(jiān)控和威脅檢測、漏洞(弱點)評估與管理、IT安全設備和工具管理、安全事件響應等能力。
圖5 紫光工業(yè)互聯(lián)網平臺綜合防護整體架構
2.5 實際應用效果
(1)系統(tǒng)監(jiān)測和防護
實現(xiàn)1000個工業(yè)互聯(lián)網業(yè)務與基礎信息系統(tǒng)的監(jiān)測和防護。
(2)設備采集
實現(xiàn)100萬臺以上工業(yè)聯(lián)網設備采集入庫。
(3)漏洞監(jiān)測
累計完成100萬次以上工業(yè)聯(lián)網設備和系統(tǒng)漏洞檢測。
(4)為企業(yè)用戶提供安全防護
服務對500家企業(yè)用戶網站、系統(tǒng)、設備進行安全監(jiān)測。
(5)開發(fā)環(huán)境安全系統(tǒng)
防止源代碼泄密,防范勒索病毒,滿足開發(fā)環(huán)境和生產環(huán)境30臺服務器防護要求。
3 案例亮點及創(chuàng)新性
(1)構建在線監(jiān)測網絡,直觀掌控安全態(tài)勢
基于多源數(shù)據(jù)支持安全威脅監(jiān)測以及安全威脅突出情況的分析展示。利用大數(shù)據(jù)技術進行分析挖掘,實時掌握網絡攻擊對手情況、攻擊手段、攻擊目標、攻擊結果以及網絡自身存在的隱患、問題、風險等情況,對比歷史數(shù)據(jù),形成趨勢性、合理性判斷,為通報預警提供重要支撐。該模塊支持對網絡空間安全態(tài)勢進行全方位、多層次、多角度和細粒度感知,包括但不限于對工業(yè)互聯(lián)網平臺、重點行業(yè)、重點單位、重點網站,重要信息系統(tǒng)、網絡基礎設施等保護對象的態(tài)勢進行感知。該模塊主要包括態(tài)勢分析和態(tài)勢呈現(xiàn)。
(2)實現(xiàn)多維風險監(jiān)測,增強威脅發(fā)現(xiàn)能力
匯聚網絡側和企業(yè)側安全監(jiān)測和態(tài)勢感知平臺的共享信息,結合國家態(tài)勢感知平臺的共享信息,構建基礎資源庫、知識庫和威脅信息庫等信息資源;結合專業(yè)機構的認定結果和處置建議,有針對性地開展日常信息運營,包括威脅分析和資產審核,提升安全威脅信息共享能力,實現(xiàn)工業(yè)互聯(lián)網綜合態(tài)勢可視化,完成與國家平臺信息共享和聯(lián)動。
(3)建立協(xié)同聯(lián)動體系,提高事件處置效率
以安全數(shù)據(jù)共享、安全監(jiān)測業(yè)務協(xié)同、安全處置協(xié)同聯(lián)動為核心,基于工業(yè)互聯(lián)網安全監(jiān)管機構、工業(yè)互聯(lián)網企業(yè)、運營商與工業(yè)企業(yè),構建以工信部、省級監(jiān)管機構、工業(yè)企業(yè)、運營商為主的協(xié)同監(jiān)測和多級聯(lián)動管理架構,實現(xiàn)工業(yè)互聯(lián)網安全監(jiān)測、預警通報、應急處置、處置溯源和信息共享,形成上下聯(lián)動、政企協(xié)同的工業(yè)互聯(lián)網安全管理系統(tǒng)
(4)基于業(yè)務的工業(yè)安全運營
實現(xiàn)被動到主動的轉變:根據(jù)本地數(shù)據(jù)結合云端大數(shù)據(jù)及威脅情報,結合服務過程中發(fā)現(xiàn)的工業(yè)安全事件,針對可能發(fā)生的攻擊行為提前做好響應對策,并通過專業(yè)化的保障服務,使監(jiān)管具備處理突發(fā)事件的技術實力,提高安全事件響應與處理能力。
安全運營團隊圍繞態(tài)勢感知平臺系統(tǒng),通過資產梳理、安全事件監(jiān)測、流量深度分析、事件通報、應急處置、重要時期安全保障等一系列安全措施,協(xié)助省監(jiān)管部門更全面、更準確、更高效地行使工業(yè)安全監(jiān)管職能。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號