智能制造安全監(jiān)測與運營管理平臺
360企業(yè)安全技術(北京)集團有限公司是360公司繼個人安全市場后專注于為政府、軍隊、企業(yè),教育、金融等機構和組織提供企業(yè)級網絡安全技術、產品和服務的網絡安全公司,法定代表人為齊向東,注冊資本1.33億人民幣,總部設立在北京市朝陽區(qū)酒仙橋路6號院2號樓(電子城.國際電子總部),同時公司在上海、成都、廣州、大連等地設有分支機構。公司擁有4000余名網絡安全技術、產品和服務人員。截止目前已經為90%部委、72%央企、100%大型銀行以及上百萬中小企業(yè)提供了網絡安全產品和服務。
本項目采用物聯(lián)網、大數據、云計算、人工智能等工業(yè)互聯(lián)網先進技術,在實現(xiàn)供水設備智能互聯(lián)的基礎上,通過對采集數據的實時分析、深度學習和數據挖掘,整合供水設備從設計、生產、安裝、運營、維保、報廢到優(yōu)化的全生命周期八大環(huán)節(jié)的數據,開發(fā)基于目標用戶的設備個性化需求系統(tǒng)、設備標準化設計系統(tǒng)、設備最優(yōu)化智能生產系統(tǒng)、移動施工管理系統(tǒng)、設備遠程監(jiān)管系統(tǒng)、設備故障預警系統(tǒng)、故障專家自診斷系統(tǒng)、維保快速響應系統(tǒng)等服務應用,并通過APP、Web等人機交互工具為不同用戶提供多層次、多元化的用戶界面,構建供水設備全生命周期的一體化管理平臺。
一、關鍵詞
安全監(jiān)測、運營管理
二、發(fā)起公司和主要聯(lián)系人聯(lián)系方式
發(fā)起單位:360企業(yè)安全技術(北京)集團有限公司
主要聯(lián)系人:崔君榮 cuijunrong@360.net 陶耀東 taoyaodong@360.net
三、合作公司
上海威派格智慧水務股份有限公司
四、測試床項目目標和概述
? 主要目標
“智能制造安全監(jiān)測與運營管理平臺”主要實現(xiàn)對智能制造企業(yè)工控系統(tǒng)通信數據和安全日志進行快速、自動化的關聯(lián)分析,及時發(fā)現(xiàn)智能制造行業(yè)工控系統(tǒng)異常和針對工控系統(tǒng)的威脅,通過可視化的技術將這些威脅和異常的總體安全態(tài)勢展現(xiàn)給用戶,通過對告警和響應的自動化發(fā)布、跟蹤、管理實現(xiàn)安全風險的閉環(huán)管理。
通過建設智能制造安全監(jiān)測與運營管理平臺,實現(xiàn)企業(yè)內網IT和OT安全的統(tǒng)一管理,企業(yè)內部通過全網流量監(jiān)測,提前洞悉企業(yè)內部各種工業(yè)安全威脅,降低智能制造企業(yè)在進行工業(yè)互聯(lián)網轉型過程中的安全門檻,促進智能制造相關產業(yè)高速發(fā)展。
? 總體概述
智能制造安全監(jiān)測與運營管理平臺主要包括流量傳感器、日志采集探針、關聯(lián)規(guī)則引擎和分析平臺4個硬件模塊。如下圖所示:
平臺組成架構
1) 流量傳感器
流量傳感器的功能主要是采集工控網絡中的工業(yè)協(xié)議流量數據,將原始的工控網絡全流量轉化為按session方式記錄的格式化流量日志,全流量日志會加密傳輸給分析平臺存儲用于后期的審計和分析。
2) 日志采集探針
日志采集器的主要功能是對工控網絡內工控設備(PLC/DCS/RTU/HMI等)、安全設備、工業(yè)以太網、上位機、服務器等設備通過主動采集或被動接收等方式對日志進行采集并進行歸一化預處理,方便數據流后面的關聯(lián)規(guī)則和數據分析能夠快速使用。同時日志采集器還負責對內網資產進行掃描識別,收集資產數據。
3) 關聯(lián)規(guī)則引擎
關聯(lián)規(guī)則引擎主要負責對來自日志采集器的大量日志信息進行實時流解析,并匹配關聯(lián)規(guī)則,對異常行為產生關聯(lián)告警。
4) 分析平臺
分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設備日志和系統(tǒng)日志,并同時提供應用交互界面。分析平臺底層的數據檢索模塊采用了分布式計算和搜索引擎技術對所有數據進行處理,可通過多臺設備建立集群以保證存儲空間和計算能力的供應。
五、測試床解決方案架構
(一) 測試床應用場景
本平臺主要面向智能制造領域,對中小企業(yè)建設具有監(jiān)測、預警的管理平臺,利用平臺的實時監(jiān)測能力,有效加強企業(yè)的工業(yè)互聯(lián)網安全水平。
水務是一個涉及到國計民生的行業(yè),近年來中國水務向數字化、自動化、智慧化的方向發(fā)展。為保證供水生產設備的安全運行、預防系統(tǒng)突發(fā)性重大事故的發(fā)生,并在事故發(fā)生后迅速有效地控制和處理,最大限度地減少事故損失和相關系統(tǒng)的影響,在企業(yè)內部建立安全運營管理平臺,以數據為驅動,以安全分析為工作重點,立足于安全策略防護,充分利用大數據平臺的數據收集、查詢能力進行持續(xù)的監(jiān)控與分析;在持續(xù)監(jiān)控的基礎上,實現(xiàn)安全管理體系、預警監(jiān)測體系、安全服務體系、縱深安全防護之間的有效協(xié)同和共同作用,最終形成可以有效落實的體系化安全解決方案。
(二) 測試床重點技術
該平臺數據采集部分,除了對智能制造行業(yè)傳統(tǒng)的Syslog、Flow、各種系統(tǒng)日志和安全設備日志以外還突破性的針對原始流量日志(依賴于流量傳感器或360下一代防火墻)和終端日志(依賴于天擎EDR模塊)進行采集。依賴于更加原始的日志信息,平臺可以發(fā)現(xiàn)隱藏更深的各種威脅,同時能夠提供完整的事件回溯分析能力。
平臺在數據的存儲和分析中大量使用大數據相關技術,在標準化組件中可以依賴于分布式全文檢索技術提供接近PB級日志量的存儲和快速計算,同時能夠提供良好的可靠性保證,以解決意外斷電、磁盤故障可能對系統(tǒng)帶來的可靠性問題。
平臺使用多種分析引擎針對不同的管理目標提供相應支撐,關聯(lián)分析、統(tǒng)計分析、快速搜索等功能相較于傳統(tǒng)產品具有明顯的性能優(yōu)勢。
平臺最外層提供友好、高效的交互管理頁面,既滿足了使用需求,又能夠提升工作效率。再結合威脅情報、安全服務等來自于360特有的安全知識輸入,該平臺可以極大的提升本地安全運營的效率。
(三) 技術創(chuàng)新性及先進性
通過全網流量監(jiān)測,發(fā)現(xiàn)工業(yè)網絡中的各類威脅和高級威脅,并進行情報挖掘與云端關聯(lián)分析,提前洞悉企業(yè)內部各種工業(yè)安全威脅,并將威脅情報以可機讀格式推送到本地系統(tǒng),供本地威脅檢測和分析時使用。
(四) 測試床解決方案架構
該平臺將建設成一個以多種安全問題管理為目標、以智能制造工業(yè)數據為核心、威脅情報為特色、打通安全運營中的檢測、響應、預警、防御多個領域環(huán)節(jié)的完整安全體系,能夠覆蓋安全管理與運營的各個環(huán)節(jié),功能架構圖如下:
平臺功能架構
六、預期成果
(一) 測試床的預期測試結果,針對測試項(重點)
工控系統(tǒng)關鍵資產管理
該平臺能夠提供對企業(yè)內網資產的掃描發(fā)現(xiàn)、手工管理、資產變更比對、資產信息整合展示等基本功能。同時,提供長期的服務、流量、威脅相關的監(jiān)控,所有資產相關的監(jiān)控數據均可在資產詳情頁查看。
工控系統(tǒng)操作行為監(jiān)測
該平臺能夠實時監(jiān)測工控系統(tǒng)控制器下裝、上傳、啟動、停止等關鍵操作行為,包括智能制造行業(yè)常用西門子S7-300、施耐德昆騰、羅克韋爾Control Logix等系列工控系統(tǒng)。
3、 威脅發(fā)現(xiàn)及時性提升
利用多種新型威脅監(jiān)測手段,再結合威脅情報的使用,該平臺能夠更快的發(fā)現(xiàn)隱藏在各類日志中的安全問題。更早的發(fā)現(xiàn)威脅,一方面可以幫助企業(yè)或單位在安全管理上更為從容,無需面臨可能被通報追查的窘境,另一方面可以留下更多挽回損失的機會,為快速的彌補安全問題提供寶貴的時間窗口。
4、 安全運營
該平臺可以在多種安全功能基礎之上提供安全運營,幫助用戶快速的、宏觀的了解整個企業(yè)的安全情況。對各種威脅采取措施控制指令下發(fā)至控制系統(tǒng),形成監(jiān)控、分析、控制的閉環(huán)。
(二) 商業(yè)價值
傳統(tǒng)工業(yè)領域安全防護常用的分層分域的隔離與邊界防護思路以及傳統(tǒng)的IT安全手段已不能有效識別和抵御所有可能的攻擊。安全監(jiān)測與運營管理平臺為智能制造中小企業(yè)的工業(yè)控制系統(tǒng)信息安全保障提供了一種有效解決方案。
(三) 經濟效益
通過該平臺的部署,可以實時監(jiān)控企業(yè)內網的流量,及時發(fā)現(xiàn)智能制造網絡空間的可疑行為和風險,大大提高了整個工業(yè)控制過程自動化領域的信息安全保障水平,同時提高用戶對自己使用的工業(yè)控制系統(tǒng)信息安全的自主把控能力。本平臺作為智能制造行業(yè)工業(yè)互聯(lián)網建設和正常運行的重要支撐和保護,其建設具有良好的經濟效益。
(四) 社會價值
智能制造行業(yè)工業(yè)控制系統(tǒng)在我國經濟生產生活中起著舉足輕重的作用,如果工業(yè)控制的信息被竊取或者被修改,可能造成人身傷亡、財產損失等嚴重后果,更嚴重的甚至會影響到國家安全。本平臺建成后,將快速面向智能制造中小企業(yè),形成良好的工業(yè)互聯(lián)網和網絡安全產業(yè)生態(tài),加快工業(yè)物聯(lián)網在工業(yè)信息化產業(yè)中的布局,降低企業(yè)工業(yè)控制信息化的復雜度,從而讓工業(yè)充分享受信息化產業(yè)帶來的便利,社會效益十分顯著。
七、測試床技術可行性
(一) 物理平臺
平臺主要包括流量傳感器、日志采集探針、關聯(lián)規(guī)則引擎和分析平臺4個硬件模塊。主要部署在網絡出口交換機旁,或者其他需要監(jiān)聽流量的網絡節(jié)點旁,接收鏡像流量,極大的避免了硬件接入至企業(yè)廠區(qū)內部對生產本身的影響。
(二) 軟件平臺
所用設備操作系統(tǒng)為linux。
八、和AII技術的關系
(一) 與AII總體架構的關系
安全監(jiān)測和運營管理平臺在工業(yè)互聯(lián)網體系架構中提供安全服務,網絡邊緣側接入的終端類型廣泛,數量巨大,承載的業(yè)務繁雜,被動的安全防御往往不能起到良好的效果。因此,需要采用更加積極主動的安全防御手段,包括基于大數據的態(tài)勢感知和高級威脅檢測,以及統(tǒng)一的全網安全策略執(zhí)行和主動防護,從而更加快速響應和防護。再結合完善的運維監(jiān)控和應急響應機制,則能夠最大限度保障系統(tǒng)的安全、可用、可信。
(二) AII安全(可選)
智能制造安全監(jiān)測與運營管理平臺是安全產品,能夠連接工控防火墻、工業(yè)安全審計、工業(yè)主機防病毒軟件、工控交換機等設備,統(tǒng)一管理安全事件。
同時,該平臺在出廠時已經通過公司內部安全審查和評估。
(三) 詳細清單(可選)
配置和控制接口
模塊 | 接口 |
流量傳感器 | 2×1GE管理口(電),2×1GE監(jiān)聽口(電),2×1GE監(jiān)聽口(光口,可插千兆光模塊) |
日志采集探針 | 4×1GE電口 |
關聯(lián)規(guī)則引擎 | 4×1GE電口 |
分析平臺 | 4×1GE電口 |
數據通訊接口
工控通信協(xié)議MODBUS/TCP、OPC DA、S7等。
(四) 安全聯(lián)系人
孫樹海 sunshuhai@360.net
(五) 與已存在AII測試床的關系
參考工業(yè)互聯(lián)網產業(yè)聯(lián)盟成果發(fā)布——測試床,現(xiàn)有34個測試床,主要集中在智能服務平臺、通信設備制造、家電協(xié)同制造等方面。現(xiàn)有成果沒有從安全角度考慮建設測試床,因此,智能制造安全監(jiān)測與運營管理平臺的部署是非常有必要的,同時需要亟待落實。
九、交付件
智能制造安全監(jiān)測與運營管理平臺是一個總系統(tǒng),主要包括流量傳感器、日志采集探針、關聯(lián)規(guī)則引擎和分析平臺,部署在智能制造同一個網段中。
十、測試床使用者
智能制造安全監(jiān)測與運營管理平臺建設成功后,可應用于工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室進行展示,同時可用于威派格智慧水務生產設備系統(tǒng)的安全監(jiān)測、分析預警、安全態(tài)勢展現(xiàn)、威脅情報發(fā)布與使用。
十一、 知識產權說明
1.項目實施過程中所產生的知識產權,
①各方獨立完成的成果所有權歸各自所有;共同完成的成果所有權,按照參與方的貢獻大小進行分配。
②共同完成的項目成果轉讓,須經參與各方同意的前提下進行,任何一方不得私自開展。
2. 獨立完成的知識產權成果各方可獨立組織成果鑒定。
3. 共同完成的項目成果申報各級獎項,應根據各方貢獻大小排名。具體事宜另行商定。
十二、 部署,操作和訪問使用
流量傳感器通常部署在網絡出口交換機旁,或者其他需要監(jiān)聽流量的網絡節(jié)點旁,接收鏡像流量。關聯(lián)規(guī)則引擎、日志采集器和分析平臺部署在流量傳感器同一個網段即可。
十三、 資金
自籌
十四、 時間軸
項目建設周期為兩年。2018年完成流量傳感器、日志采集探針等技術的開發(fā),2019年實現(xiàn)新探針、新應用開發(fā)技術模式,2020年基本完成。
十五、 附加信息
該平臺通過以大數據和威脅情報為核心的智能制造安全監(jiān)測和運營管理平臺建設,實現(xiàn)威脅檢測、可視化展現(xiàn)、閉環(huán)響應的工業(yè)安全運營,推動水務設備制造及智能制造行業(yè)的發(fā)展。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯(lián)網產業(yè)聯(lián)盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯(lián)系本聯(lián)盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯(lián)盟將追究其相關法律責任。
工業(yè)互聯(lián)網產業(yè)聯(lián)盟
聯(lián)系電話:010-62305887
郵箱:aii@caict.ac.cn
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯(lián)網產業(yè)聯(lián)盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯(lián)系本聯(lián)盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯(lián)盟將追究其相關法律責任。
AII微信公眾號
AII頭條號