今日頭條
官方微信
官方抖音
案例頻道★首鋼京唐鋼鐵聯(lián)合有限責(zé)任公司
1 方案目標(biāo)和概述
隨著國家“智能制造”、“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”戰(zhàn)略的持續(xù)推進,冶金行業(yè)迎來了新一輪發(fā)展機遇,融合數(shù)字化、網(wǎng)絡(luò)化、智能化的先進生產(chǎn)系統(tǒng),使原本相對獨立的DCS、PLC、儀器儀表等控制系統(tǒng)通過網(wǎng)絡(luò)連為一體,實現(xiàn)對工業(yè)生產(chǎn)、能源管理、業(yè)務(wù)調(diào)度的扁平一體化管理。
但由于大量信息系統(tǒng)和新興技術(shù)的應(yīng)用,也使工業(yè)行業(yè)面臨著普遍歷史性和新興技術(shù)帶來的雙重安全風(fēng)險威脅。工業(yè)行業(yè)普遍存在歷史性、系統(tǒng)性存量網(wǎng)絡(luò)安全問題與5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應(yīng)用帶來的新風(fēng)險新問題的疊加,形成更為復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實威脅。
本方案針對工業(yè)控制網(wǎng)絡(luò)面臨的安全問題,采用了工業(yè)自適應(yīng)綜合防護技術(shù)形成縱深防御體系,以加強和提升工業(yè)控制網(wǎng)絡(luò)的安全防護能力。具體目前如下:(1)通過執(zhí)行單元組件,對工業(yè)控制系統(tǒng)中訪問控制、協(xié)議指令、勒索病毒、未知病毒、進程安全、流量異常等威脅進行安全防護與行為監(jiān)測。
(2)通過工業(yè)自適應(yīng)綜合防護技術(shù),對工業(yè)控制系統(tǒng)全網(wǎng)資產(chǎn)資源、安全資源、數(shù)據(jù)資源進行整合,有效聯(lián)動,結(jié)合威脅情報各安全資源進行智能持續(xù)分析決策,預(yù)判系統(tǒng)薄弱點與被攻擊方向,實現(xiàn)全局性質(zhì)的安全監(jiān)測預(yù)警和動態(tài)防護。
(3)通過基于工業(yè)安全自適應(yīng)綜合防護技術(shù)平臺的建設(shè),針對目前網(wǎng)絡(luò)中存在的已知威脅進行檢測分析,對未知威脅進行監(jiān)測和智能分析,通過全天全方位監(jiān)測與分析工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)與主機安全,實現(xiàn)防護、監(jiān)測、響應(yīng)為一體的三層閉環(huán)防護體系,建設(shè)工業(yè)網(wǎng)絡(luò)的“大腦”,為工業(yè)網(wǎng)絡(luò)安全保駕護航。
2 方案介紹
本方案通過網(wǎng)絡(luò)執(zhí)行單元、流量執(zhí)行單元、主機執(zhí)行單元對整個工業(yè)自動化控制網(wǎng)絡(luò)中的行為與流量進行防護、監(jiān)控、采集、傳輸。結(jié)合自適應(yīng)平臺對采集到的數(shù)據(jù)進行整合、分析。形成警告快速處理、快速配置和工業(yè)網(wǎng)絡(luò)安全全局可視化的管理界面,最終構(gòu)建一個可感知、易運營的分布式多元安全組件的自適應(yīng)平臺。實現(xiàn)預(yù)判攻擊、事件防御、實時監(jiān)測、快速響應(yīng)的自適應(yīng)安全技術(shù)方案。
圖1 方案架構(gòu)圖
2.1 執(zhí)行單元
2.1.1 網(wǎng)絡(luò)執(zhí)行單元網(wǎng)絡(luò)執(zhí)行單元支持工業(yè)協(xié)議的深度解析功能。可廣泛應(yīng)用于工控網(wǎng)絡(luò)邊界防護、區(qū)域防護、重要監(jiān)控系統(tǒng)、控制設(shè)備防護等場景,有效解決工業(yè)企業(yè)工控系統(tǒng)組網(wǎng)安全、信息孤島、控制指令不可信、網(wǎng)絡(luò)數(shù)據(jù)不安全、網(wǎng)絡(luò)數(shù)據(jù)采集以及合規(guī)性等問題,為工業(yè)安全智能綜合防護平臺提供高性能的網(wǎng)絡(luò)防護。支持ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等多種工業(yè)協(xié)議。
具備工控協(xié)議指令級“4S”深度防護專利技術(shù),支持多種訪問控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計等安全防護功能,且具備Dos、ARP攻擊防護和自身訪問控制功能,可有效保障自身和工控網(wǎng)絡(luò)的雙重安全。
針對首鋼京唐現(xiàn)如今網(wǎng)絡(luò)情況,本方案利用網(wǎng)絡(luò)執(zhí)行單元如下技術(shù)對首鋼京唐網(wǎng)絡(luò)進行了全面的網(wǎng)絡(luò)安全防護:
(1)“4S”深度防護技術(shù)針對首鋼京唐一二級工業(yè)網(wǎng)絡(luò)協(xié)議的類型及分布特點,通過廣泛的協(xié)議收集和逆向分析,形成了基于白名單的工業(yè)指令級“4S”深度防護技術(shù)。
此技術(shù)從工業(yè)協(xié)議的“規(guī)約符合度即完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”等維度,逐步深入對工業(yè)協(xié)議應(yīng)用層全字段進行解析和過濾,可有效阻斷病毒、木馬等惡意軟件攻擊與傳播,無需借助病毒庫、漏洞庫、入侵庫,無誤殺誤報,真正適用于一線工業(yè)生產(chǎn)網(wǎng)絡(luò)。
圖2 4S深度防護技術(shù)原理圖
(2)工業(yè)協(xié)議自定義技術(shù)
由于歷史原因和控制系統(tǒng)廠商限制,一二級工業(yè)網(wǎng)絡(luò)內(nèi)存在大量私有協(xié)議和非公開協(xié)議,綜合項目進度和成本等因素?zé)o法實現(xiàn)對所有協(xié)議的全部內(nèi)置。本項目首創(chuàng)工業(yè)協(xié)議自定義技術(shù)方法,針對私有協(xié)議和系統(tǒng)沒有內(nèi)置的工業(yè)協(xié)議可進行快速自定義添加,從而保障系統(tǒng)的廣泛適應(yīng)性。
工業(yè)協(xié)議自定義技術(shù)分為工業(yè)協(xié)議特征識別和工業(yè)協(xié)議指令級深度防護兩類場景。
(3)OPCNAT轉(zhuǎn)換技術(shù)
OPC協(xié)議基于微軟的OLE、COM和DCOM等技術(shù),在通訊過程中通過傳統(tǒng)NAT僅替換IP數(shù)據(jù)包的IP地址及端口,不能實現(xiàn)業(yè)務(wù)通訊,因為OPC協(xié)議的連接信息在OPC協(xié)議應(yīng)用數(shù)據(jù)中,必須將應(yīng)用數(shù)據(jù)中的相關(guān)信息也進行類似的NAT轉(zhuǎn)換,才能實現(xiàn)OPC應(yīng)用的正常工作。
本項目在工業(yè)協(xié)議深度解析的基礎(chǔ)上,可對OPC協(xié)議的通訊和連接過程進行持續(xù)監(jiān)視,通過對OPC客戶端與服務(wù)器遠程調(diào)用過程的持續(xù)解析,實現(xiàn)OPC端口的動態(tài)開放,保證OPC通訊端口打開數(shù)量的最小化,解決傳統(tǒng)防火墻無法對OPC協(xié)議進行有效防護的問題。
與此同時,系統(tǒng)深度分析OPC協(xié)議的應(yīng)用層數(shù)據(jù),根據(jù)配置將OPC協(xié)議應(yīng)用中的連接信息進行替換,實現(xiàn):拆包-替換-封包的功能,達到OPC應(yīng)用NAT的功能,可以有效的隱藏真正的服務(wù)器信息,有效解決當(dāng)前一二級網(wǎng)絡(luò)OPC數(shù)據(jù)采集與同網(wǎng)段地址沖突等組網(wǎng)問題。
2.1.2 主機執(zhí)行單元
主機執(zhí)行單元自動適配所有版本的windows、Linux系統(tǒng)物理機、虛擬機。運行穩(wěn)定、消耗低。從而實現(xiàn)對主機異常的采集、分析、存儲并由平臺進行告警、防護、學(xué)習(xí)等響應(yīng)實施動作,執(zhí)行其下發(fā)的任務(wù),主動發(fā)現(xiàn)主機問題,實現(xiàn)工業(yè)部分主機系統(tǒng)過于老舊無法防護與數(shù)采問題。
針對首鋼京唐現(xiàn)如今網(wǎng)絡(luò)情況,本方案利用主機執(zhí)行單元如下技術(shù)對首鋼京唐網(wǎng)絡(luò)進行了全面的網(wǎng)絡(luò)安全防護:
(1)智能化補丁與軟件更新技術(shù)
白名單生成:通過一鍵固化,自動掃描功能,建立白名單
白名單導(dǎo)入導(dǎo)出:提供白名單的導(dǎo)入導(dǎo)出功能
白名單的手動更新:支持告警程序的一鍵加白;支持基于目錄的程序掃描追加;
手動軟件更新:支持本地手動安裝軟件,并追加更新的程序到白名單庫中;
軟件智能更新:支持基于軟件更新平臺的自動化軟件更新和基于信任軟件庫的軟件更新場景下的更新程序自動追蹤,并添加到白名單中,不影響更新后軟件的使用;
補丁智能更新:支持操作系統(tǒng)的補丁更新,系統(tǒng)后臺智能跟蹤更新過程,并將更新文件追加到白名單庫中。
白名單技術(shù)是一種相對于黑名單的安全技術(shù),借助可信機制將“白”程序、“白”網(wǎng)絡(luò)、“白”外設(shè)等通過算法生成白名單庫,只有在“白”庫內(nèi)的應(yīng)用或流量才可運行或通過。隨著首鋼京唐生產(chǎn)業(yè)務(wù)的持續(xù)發(fā)展,一二級主機存在系統(tǒng)和工業(yè)控制軟件更新等場景,本項目通過智能化補丁與軟件更新技術(shù),可對系統(tǒng)更新和軟件更新安裝過程進行智能化追蹤與捕捉,從而實現(xiàn)白名單庫的動態(tài)、自動化更新管理。
(2)輕量化資源需求與廣泛的系統(tǒng)支持技術(shù)
設(shè)備管理:設(shè)置硬件USBKey設(shè)備的用戶名稱,安全事件追蹤到指定責(zé)任人。
口令重置:在硬件USBKey設(shè)備因口令錯誤鎖定后,進行口令重置等操作后恢復(fù)使用。
用戶綁定:將硬件USBKey設(shè)備與操作系統(tǒng)內(nèi)的用戶關(guān)聯(lián),一個設(shè)備僅能關(guān)聯(lián)一個用戶,且只有關(guān)聯(lián)的用戶才允許登錄。
登錄增強:操作系統(tǒng)用戶在登錄系統(tǒng)、解鎖系統(tǒng)、切換用戶等操作時,必須驗證USBKey設(shè)備口令通過后,才能進行密碼驗證,實現(xiàn)登錄等功能。
(3)已知與未知威脅主動防御技術(shù)
①阻止已知病毒及其變種
系統(tǒng)針對工控網(wǎng)絡(luò)中的主機(操作員站、工程師站、服務(wù)器各類終端),提供貼合一二級生產(chǎn)主機特殊需求的安全防護,不影響原有業(yè)務(wù)的運行;為保障關(guān)鍵業(yè)務(wù)的運行,可建立穩(wěn)定的運行環(huán)境,同時有效遏止至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運行。
②防范未知的威脅,不需要額外的成本
主機執(zhí)行單元通過建立穩(wěn)定的計算環(huán)境,能對未知的病毒“免疫”。無論是黑客通過社會工程學(xué)的方式,還是利用零日漏洞的高級可持續(xù)性威脅攻擊,都無法侵入可信的計算環(huán)境。主機執(zhí)行單元不需要做任何更新就能抵御不明的攻擊行為,沒有軟件更新和維護成本。
傳統(tǒng)防病毒方案以“病毒庫”為核心,需保障及時的庫更新才能有效發(fā)揮殺毒作用,更新周期需保持為小時、天級,但由于“病毒庫”技術(shù)是一項滯后于病毒發(fā)現(xiàn)的技術(shù)(即在發(fā)現(xiàn)某類病毒并分析完成后,才可對其進行防護與查殺),導(dǎo)致無法對未知或在野病毒進行有效防護,本項目采用“白名單+可信機制”進行主機防護。
2.1.3 流量執(zhí)行單元
流量執(zhí)行單元,是一款專門針對于工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)安全產(chǎn)品。以工控協(xié)議指令級“4S”深度檢測技術(shù)為技術(shù)核心,支持多種工控協(xié)議(ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等)的深度報文解析,通過建立工控網(wǎng)絡(luò)安全通信矩陣,實時發(fā)現(xiàn)惡意指令、破壞行為、違規(guī)使用等安全事件,能夠持續(xù)收集并通過固定端口向Sever端上傳的所有日志。從而實現(xiàn)平臺對工控網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、存儲并由平臺進行告警、防護、學(xué)習(xí)等響應(yīng)實施動作。
流量執(zhí)行單元的功能如下:
(1)流量異常檢測
(2)實時流量審計
(3)實時網(wǎng)絡(luò)連接審計
(4)實時主機數(shù)量審計
(5)基于業(yè)務(wù)的安全審計
(6)協(xié)議內(nèi)容審計及工業(yè)協(xié)議深度解析
(7)日志審計
(8)通信管理
2.2 工業(yè)自適應(yīng)平臺
作為核心平臺的信息處理中樞,支持橫向擴展分布式部署,能夠持續(xù)分析檢測從各個執(zhí)行單元上接收到的信息和行為并進行保存,可從各個維度的信息中發(fā)現(xiàn)漏洞、弱密碼、工業(yè)網(wǎng)絡(luò)薄弱點等安全風(fēng)險和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用行為、工業(yè)協(xié)議篡改、入侵攻擊等異常行為,從而實現(xiàn)對入侵行為實時預(yù)警與防護。
圖3 工業(yè)自適應(yīng)平臺
在工業(yè)網(wǎng)絡(luò)生產(chǎn)管理層或過程監(jiān)控層部署工業(yè)自適應(yīng)平臺,對全網(wǎng)各節(jié)點安全檢測執(zhí)行單元的數(shù)據(jù)進行收集,采用分布式計算和搜索引擎技術(shù)對所有數(shù)據(jù)進行處理,能夠支撐大并發(fā)量計算及查詢的業(yè)務(wù)需求,并通過可視化的形式為用戶呈現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)資產(chǎn)及針對網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅。
根據(jù)工業(yè)安全態(tài)勢感知平臺功能特點,本方案將安全分析引擎與平臺方案劃分為多元數(shù)據(jù)采集、信息理解分析、態(tài)勢可視化呈現(xiàn)三個過程單元。
2.2.1 多元數(shù)據(jù)采集
工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)通過部署在各廠區(qū)的網(wǎng)絡(luò)執(zhí)行單元、流量執(zhí)行單元、主機執(zhí)行單元進行采集、初步分析和上傳,平臺以資產(chǎn)為核心進行數(shù)據(jù)收集、存儲、分類,以備進一步安全分析與應(yīng)用。
通過對工業(yè)網(wǎng)相關(guān)數(shù)據(jù)進行采集,形成統(tǒng)一的數(shù)據(jù)池,為后續(xù)的安全分析和態(tài)勢感知提供基礎(chǔ)支撐,由于數(shù)據(jù)采集方式的不同,以及相關(guān)設(shè)備的部署位置區(qū)別,將數(shù)據(jù)采集分為如下幾個方面:日志數(shù)據(jù)采集、流量信息采集、其他系統(tǒng)數(shù)據(jù)采集。安全數(shù)據(jù)通過各類分布式執(zhí)行單元采集完成后,采用加密的方式傳輸至自適應(yīng)平臺系統(tǒng)。
2.2.2 信息理解分析
理解分析過程包含數(shù)據(jù)標(biāo)準(zhǔn)化處理、數(shù)據(jù)存儲、數(shù)據(jù)安全分析三部分。
(1)數(shù)據(jù)標(biāo)準(zhǔn)化處理在海量的原始數(shù)據(jù)中存在著大量的不完整(有缺失值)、不一致、有異常的數(shù)據(jù),嚴(yán)重影響到數(shù)據(jù)挖掘建模的執(zhí)行效率,甚至可能導(dǎo)致挖掘結(jié)果的偏差,所以進行數(shù)據(jù)清洗顯得尤為重要,數(shù)據(jù)清洗完成后接著進行或者同時進行數(shù)據(jù)歸一化、集成、變換等一系列的處理,該過程就是數(shù)據(jù)標(biāo)準(zhǔn)化處理。
數(shù)據(jù)標(biāo)準(zhǔn)化處理將傳輸至平臺的安全數(shù)據(jù)按統(tǒng)一標(biāo)準(zhǔn)進行數(shù)據(jù)清洗、數(shù)據(jù)歸約、歸一化和富化后進行存儲和分析。
(3)數(shù)據(jù)安全存儲
工業(yè)自適應(yīng)平臺采用大數(shù)據(jù)架構(gòu),而數(shù)據(jù)存儲是大數(shù)據(jù)的核心,針對結(jié)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)據(jù)實現(xiàn)數(shù)據(jù)集中存儲、管理與維護,能夠支持?jǐn)?shù)據(jù)緩存、數(shù)據(jù)存儲、數(shù)據(jù)索引、數(shù)據(jù)分析等。數(shù)據(jù)存儲支持分布式存儲系統(tǒng),為采集到的企業(yè)網(wǎng)各類數(shù)據(jù)提供各種存儲接口實現(xiàn)對數(shù)據(jù)的快速寫入、讀取等。分布式存儲要實現(xiàn)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)的存儲,同時要保證數(shù)據(jù)存儲的可靠性,保證數(shù)據(jù)高效可靠存儲。
工業(yè)自適應(yīng)平臺可對多源異構(gòu)的海量數(shù)據(jù)進行存儲,支持對原始數(shù)據(jù)文件的分布式存儲,支持文本、鍵值對、對象等多種數(shù)據(jù)特征的存儲,最終滿足業(yè)務(wù)系統(tǒng)復(fù)雜數(shù)據(jù)源類型的存儲需求。平臺支持對結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的存儲,支持可伸縮的分布式數(shù)據(jù)存儲架構(gòu),滿足數(shù)據(jù)量持續(xù)增長需求,支持集群的計算資源管理。
(3)數(shù)據(jù)安全分析
數(shù)據(jù)安全分析是工業(yè)自適應(yīng)平臺的核心部分,數(shù)據(jù)安全分析通過關(guān)聯(lián)分析、場景分析、數(shù)據(jù)統(tǒng)計分析、機器學(xué)習(xí)等分析引擎發(fā)現(xiàn)安全事件。發(fā)現(xiàn)的安全事件將通過安全事件檢測、安全事件響應(yīng)機制反饋到業(yè)務(wù)層中相關(guān)應(yīng)用進行人機交互。
①關(guān)聯(lián)分析引擎
關(guān)聯(lián)分析是數(shù)據(jù)挖掘中一項基礎(chǔ)又重要的技術(shù),是一種在大型數(shù)據(jù)集合中發(fā)現(xiàn)變量之間復(fù)雜關(guān)系的方法。關(guān)聯(lián)規(guī)則其實是兩個項集之間的蘊涵表達式。如果我們有兩個不相交的項集X和Y,就可以有規(guī)則X→Y。項集和項集之間組合可以產(chǎn)生很多規(guī)則,但不是每個規(guī)則都是有用的,關(guān)聯(lián)分析可在一些限定條件來幫助我們找到強度高的規(guī)則。
工業(yè)自適應(yīng)平臺關(guān)聯(lián)分析引擎能夠在大數(shù)據(jù)量級下,對數(shù)據(jù)進行實時關(guān)聯(lián)分析。支持接入各種類型和維度的數(shù)據(jù),并支持對輸出結(jié)果進行回注分析。關(guān)聯(lián)分析引擎提供如下計算單元:日志過濾、日志連接、聚類統(tǒng)計、閾值比較和序列分析,可通過組合計算單元來實現(xiàn)自定義威脅事件發(fā)現(xiàn)規(guī)則。提供豐富的語義,包含統(tǒng)計、基線、關(guān)聯(lián)和序列等,以覆蓋各類安全場景的威脅建模和發(fā)現(xiàn)。
②場景分析引擎場景是指在特定的主題下,通過引擎的一系列圖、表等可視化手段,依據(jù)攻防等經(jīng)驗構(gòu)造的數(shù)據(jù)展示形式。旨在提供多維視角來查看相關(guān)數(shù)據(jù),為發(fā)現(xiàn)、判斷網(wǎng)絡(luò)安全問題提供幫助。解決了規(guī)則判定時,無法確定具體閾值的問題,可根據(jù)自己網(wǎng)絡(luò)特點和經(jīng)驗進行判斷。
場景化分析采用插件式架構(gòu),分為輸入插件、場景分析插件、輸出插件三種插件。
輸入插件:為場景化分析提供數(shù)據(jù)源,根據(jù)英賽克大數(shù)據(jù)平臺中數(shù)據(jù)存儲模塊的設(shè)計,數(shù)據(jù)將存儲于數(shù)據(jù)平臺中,各個場景化可通過配置一個輸入插件獲取數(shù)據(jù)源,各輸入插件相互獨立。
場景分析插件:各場景化分析核心邏輯,它們根據(jù)輸入插件而獲取的數(shù)據(jù)源進行分析,并根據(jù)輸出插件,輸出結(jié)果并保存,中間結(jié)果(如緩存內(nèi)容)由場景分析提供接口。
輸出插件:用于保存場景分析插件分析而得到的最終結(jié)果。
③機器學(xué)習(xí)引擎
機器學(xué)習(xí)可以概括為“使用正確的特征來構(gòu)建正確的模型,以完成既定的任務(wù)”。特征(feature)是一種對問題域中相關(guān)對象的描述,一旦獲得對問題域中對象的某種恰當(dāng)?shù)奶卣鞅硎荆覀儽悴槐卦偃リP(guān)注這些對象本身。任務(wù)(task)是對我們所期望解決的、與問題域?qū)ο笥嘘P(guān)問題的一種抽象表示(例如兩類或多類分類問題)。許多任務(wù)都可以抽象為一個從數(shù)據(jù)點到輸出的映射,我們將這種映射稱為模型(model),而這種映射或模型本身又是應(yīng)用于訓(xùn)練數(shù)據(jù)的某個機器學(xué)習(xí)算法的輸出。
④數(shù)據(jù)統(tǒng)計引擎
日常的安全分析中經(jīng)常會使用各種統(tǒng)計手段,傳統(tǒng)系統(tǒng)中經(jīng)常使用簡單的SQL語句來完成相關(guān)數(shù)據(jù)庫日志的處理。但是在海量數(shù)據(jù)情況下,利用SQL已經(jīng)不再可能,而大數(shù)據(jù)平臺所提供的批處理手段雖然能夠?qū)崿F(xiàn)數(shù)據(jù)統(tǒng)計,但往往需要等待很長時間,無法滿足實時安全分析與響應(yīng)的需要。
工業(yè)安全態(tài)勢感知平臺基于搜索基礎(chǔ)之上開發(fā)了實時的統(tǒng)計分析功能,該功能可以針對日志的某一字段進行數(shù)據(jù)歸并,并在以此數(shù)據(jù)為主鍵的前提下對其他字段進行包括計數(shù)、排序、累加等相關(guān)操作。保證了在相對較小數(shù)據(jù)量的情況下可以快速反饋相關(guān)結(jié)果,為儀表板、調(diào)查分析等上層安全應(yīng)用功能的使用提供了強有力的幫助。
同時為了應(yīng)對大時間范圍數(shù)據(jù)的統(tǒng)計需要,工業(yè)安全態(tài)勢感知平臺也支持批量定時的統(tǒng)計任務(wù),相關(guān)功能被報表應(yīng)用使用的最為廣泛。
系統(tǒng)支持對資產(chǎn)、漏洞、告警自定義各種維度的可視化統(tǒng)計分析,這些維度包括資產(chǎn)組、資產(chǎn)操作系統(tǒng)類型、資產(chǎn)責(zé)任人、資產(chǎn)廠家、IP地址、漏洞編號、告警類型、告警狀態(tài)等,可以進行兩個維度的對比使用,統(tǒng)計出所關(guān)注的各種維度的數(shù)量等信息。可以生成各種所需維度的視圖并進行展示,展示方式包括統(tǒng)計視圖,視圖種類包括柱狀圖、折線圖、條形圖、面積圖、餅圖、詞云圖、玫瑰圖、表格等。同時自定義的可視化視圖可以被儀表板及報表系統(tǒng)調(diào)用。針對告警用戶可以指定告警加白策略,指定哪些條件下的告警內(nèi)容不進行告警展示。
2.2.3 自適應(yīng)安全評估
(1)威脅評估
結(jié)合聚類分析、關(guān)聯(lián)分析和序列模式分析等大數(shù)據(jù)分析方法對發(fā)現(xiàn)的惡意代碼、流量信息等威脅項進行跟蹤分析。利用相關(guān)圖等相關(guān)性的方法檢測并擴建威脅列表,對網(wǎng)絡(luò)異常流量、網(wǎng)絡(luò)異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊、APT攻擊等多種類型的地鐵網(wǎng)絡(luò)安全威脅數(shù)據(jù)進行統(tǒng)計建模與評估。只有通過安全威脅評估,才能完成從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報的完整轉(zhuǎn)化過程,才能做到對攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等狀況的及時發(fā)現(xiàn)與檢測預(yù)測,實現(xiàn)全貌還原攻擊過程、攻擊者意圖目的,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索支撐。
(2)自適應(yīng)評估
以工業(yè)網(wǎng)絡(luò)安全事件監(jiān)測為驅(qū)動,以安全威脅線索為牽引,對安全相關(guān)信息進行匯聚融合,將多個安全事件聯(lián)系在一起進行綜合評估與決策支撐,實現(xiàn)對整體網(wǎng)絡(luò)安全狀況的判定。
對安全事件尤其是對工業(yè)網(wǎng)絡(luò)空間安全相關(guān)信息進行匯聚融合后所形成針對人、物、地、事和關(guān)系的多維安全事件知識圖譜,是安全自適應(yīng)分析的關(guān)鍵。工控安全自適應(yīng)與決策支撐技術(shù)從“人”的角度評估攻擊者的身份、團伙關(guān)系、行為和動機意圖;從“物”的角度評估其工具手段、網(wǎng)絡(luò)要素、虛擬資產(chǎn)和保護目標(biāo);從“地”的角度評估其地域、關(guān)鍵部位、活動場所和途徑軌跡;從“事”的角度評估攻擊事件的相似關(guān)系、同源關(guān)系。
(3)自適應(yīng)防護通過結(jié)合工業(yè)協(xié)議分析、威脅評估、自適應(yīng)評估等所有安全分析與評估結(jié)果,對工控網(wǎng)絡(luò)進行綜合評估,并對其網(wǎng)絡(luò)薄弱點、事件發(fā)生、疑似威脅點采取對應(yīng)的防護措施,下發(fā)任務(wù)給執(zhí)行單元,并作出相對應(yīng)的告警通知。
3 代表性及推廣價值
該項目實施前,工控系統(tǒng)網(wǎng)絡(luò)安全防護采用傳動模式,即工程師站、操作員站、HMI服務(wù)器、數(shù)據(jù)服務(wù)器、工藝服務(wù)器、模型服務(wù)器等安裝賽門鐵克、諾頓等主流通用型殺毒軟件,按授權(quán)時間費用不等,軟件授權(quán)到期后更新授權(quán)、更新病毒庫需再次發(fā)生費用。項目實施后,主要經(jīng)濟效益包括兩部分:
目前公司工控系統(tǒng)主機配置共1478臺/套,基本處于無防護狀態(tài),若按集團系統(tǒng)優(yōu)化部要求配備賽門鐵克殺毒軟件(系統(tǒng)中賽門鐵克端點安全12.1版、50用戶、3年升級服務(wù)價格為21800元),年均節(jié)約費用為:1478×21800/50/3=21.48萬元
項目實施后完成了公司工控系統(tǒng)主機防護和關(guān)鍵網(wǎng)絡(luò)隔離,能夠保障公司各產(chǎn)線生產(chǎn)運行穩(wěn)定,有效抵御病毒攻擊造成的生產(chǎn)停機。從統(tǒng)計數(shù)據(jù)分析,平均事故處理時間為15.1小時,結(jié)合近兩年煉鋼鑄機中毒、冷軋表檢儀服務(wù)器中毒、中厚板4300剪切線中毒、鋼軋藍屏4起問題,按照每年抵御2次網(wǎng)絡(luò)病毒攻擊,有效減少停機30.2小時,以煉鋼廠工序為標(biāo)準(zhǔn),按停機損失進行效益評估,煉鋼部年損失合計為1067.92萬元。
綜上,項目總年效益預(yù)計為1089.4萬元。
此方案結(jié)合自適應(yīng)技術(shù),形成的一套涵括工業(yè)互聯(lián)網(wǎng)云、管、邊、端各層面安全需求的整體解決方案。該解決方案可廣泛應(yīng)用與冶金、水處理、電力、煤炭、石油石化、港口、軌道交通、煙草、汽車等多個行業(yè)企業(yè),切實為客戶解決工業(yè)互聯(lián)網(wǎng)安全威脅。
摘自《自動化博覽》2023年4月刊
北京市公安局海淀分局備案號:11010802023656號