工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)系統(tǒng)——打造工業(yè)互聯(lián)網(wǎng)企業(yè)全流程、全領(lǐng)域的綜合安全保障體系
方案概述
本方案方案應(yīng)用于國(guó)內(nèi)一家大型化工集團(tuán)央企,總部位于上海,但是集團(tuán)和各分廠、廠區(qū)遍布全國(guó)(18個(gè)省、直轄市),核心需求是實(shí)現(xiàn)集團(tuán)與各分廠的安全風(fēng)險(xiǎn)和威脅實(shí)時(shí)檢測(cè),掌握總體安全態(tài)勢(shì),支撐安全決策和規(guī)劃,同時(shí)滿足工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級(jí)工作的管理需要。
1.方案背景
為深入貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2017〕50號(hào)〉,2022年3月31日工網(wǎng)安函【2022】235號(hào)關(guān)于征求開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)意見(jiàn)建議的函,2022年5月《工業(yè)和信息化部辦公廳關(guān)于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)的通知》工信廳網(wǎng)安函【2022】97號(hào)推動(dòng)在全國(guó)范圍內(nèi)深入實(shí)施工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級(jí)管理的要求。
本方案實(shí)施在某大型化工集團(tuán)企業(yè),廠區(qū)和分公司遍布全國(guó),實(shí)現(xiàn)企業(yè)(包括各分廠)安全風(fēng)險(xiǎn)和威脅檢測(cè),掌握總體安全態(tài)勢(shì),支撐安全決策和規(guī)劃。通過(guò)方案方案實(shí)施為化工企業(yè)提供分類分級(jí)全生命周期安全服務(wù),包括工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級(jí)綜合管理、企業(yè)安全防護(hù)能力建設(shè)、企業(yè)態(tài)勢(shì)感知呈現(xiàn),對(duì)接省工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái),實(shí)現(xiàn)IT與OT的融合分析,提供安全監(jiān)測(cè)和預(yù)警通報(bào)、威脅溯源、公共安全服務(wù)技術(shù)手段,實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全態(tài)勢(shì)可感、可知、可監(jiān)管,為工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護(hù)航。
2.方案簡(jiǎn)介
方案目前已經(jīng)驗(yàn)收并在企業(yè)實(shí)際工作中產(chǎn)生了效益,解決企業(yè):
(1)各地域設(shè)備和系統(tǒng)的數(shù)據(jù)孤島問(wèn)題嚴(yán)重
在分廠與總部、廠區(qū)內(nèi)各設(shè)備和系統(tǒng)的安全數(shù)據(jù)沒(méi)有統(tǒng)一匯聚和分析,安全數(shù)據(jù)和分析結(jié)果沒(méi)有打通和共享,各自為戰(zhàn)。
(2)工控威脅和異常行為檢測(cè)能力缺失
生產(chǎn)網(wǎng)(OT域)缺少安全檢測(cè)手段和能力,生產(chǎn)網(wǎng)絡(luò)的安全狀態(tài)不可知。
(3)威脅溯源分析無(wú)從下手
缺少安全數(shù)據(jù)關(guān)聯(lián)分析和威脅溯源的技術(shù)手段,針對(duì)發(fā)現(xiàn)的攻擊和威脅不能進(jìn)行行為回溯和威脅畫像,以及快速定位和確定所有被攻擊資產(chǎn)和影響范圍,并對(duì)威脅處置進(jìn)行有效支撐。
(4)威脅處置無(wú)法聚焦,效率低
集團(tuán)總部和各廠區(qū)每天產(chǎn)生的安全時(shí)間數(shù)量平均達(dá)10萬(wàn)多條,安全管理和運(yùn)營(yíng)人員完全無(wú)法有效分析和處理海量的安全事件和報(bào)警。
(5)安全態(tài)勢(shì)不可視
集團(tuán)和各廠區(qū)的安全態(tài)勢(shì)做不到可知可控,不清楚安全風(fēng)險(xiǎn)和威脅的當(dāng)前狀態(tài)、影響范圍和發(fā)展趨勢(shì),威脅信息也無(wú)法共享。
(6)不能滿足工信部分類分級(jí)省企對(duì)接合規(guī)要求
作為三級(jí)聯(lián)網(wǎng)企業(yè),未按照分類分級(jí)管理要求與省級(jí)安全監(jiān)管平臺(tái)對(duì)接,也不清楚如何實(shí)現(xiàn)對(duì)接。
通過(guò)本方案建設(shè)工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)系統(tǒng),為該化工行業(yè)企業(yè)提供工業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺(tái)能力和與省/市工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)對(duì)接等安全服務(wù),形成了企業(yè)安全監(jiān)測(cè)、預(yù)警通報(bào)、威脅溯源、安全服務(wù)能力,實(shí)現(xiàn)了工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全態(tài)勢(shì)可感、可知、可監(jiān)管,為工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護(hù)航。
3.方案目標(biāo)
本次方案重點(diǎn)方向?yàn)榇罱?/span>工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺(tái),圍繞工業(yè)控制系統(tǒng)安全、工業(yè)生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)安全、工業(yè)數(shù)據(jù)安全等,建設(shè)工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)系統(tǒng),構(gòu)建包括資產(chǎn)管理、漏洞檢測(cè)、配置核查、邊界防護(hù)、入侵檢測(cè)、態(tài)勢(shì)感知、病毒防范、安全審計(jì)、數(shù)據(jù)保護(hù)等的一體化動(dòng)態(tài)綜合防御體系,形成工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)能力,全天候全方位監(jiān)控關(guān)鍵生產(chǎn)設(shè)備及重要業(yè)務(wù)系統(tǒng)安全狀況,及時(shí)發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡(luò)安全隱患風(fēng)險(xiǎn),并支撐溯源取證,為中化總部和21個(gè)分廠提供安全保障和滿足分類分級(jí)管理需求。
方案實(shí)施概況
根據(jù)經(jīng)信委專家評(píng)審建議,結(jié)合工信部方案的管理要求,方案在2021年以公開招標(biāo)的方式完成工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺(tái)方案的采購(gòu)工作,目前方案已完成實(shí)施并取得很好的應(yīng)用效果,實(shí)現(xiàn)了總部和分廠多源異構(gòu)全安全數(shù)據(jù)接入,構(gòu)建工控網(wǎng)絡(luò)威脅檢測(cè)能力和安全事件回溯能力。通過(guò)安全告警解決海量安全事件處理失焦問(wèn)題,同時(shí)構(gòu)建企業(yè)全領(lǐng)域態(tài)勢(shì)感知能力,并按照工信部分類分級(jí)管理要求,實(shí)現(xiàn)了省企對(duì)接,滿足分類分級(jí)合規(guī)要求。
1. 方案總體架構(gòu)和主要內(nèi)容
(1)方案總體架構(gòu)
圖3-1 方案總體架構(gòu)
平臺(tái)的建設(shè)是整個(gè)方案的主要部分,主要包括如下內(nèi)容:
數(shù)據(jù)采集接入:
實(shí)現(xiàn)對(duì)企業(yè)內(nèi)外部多源異構(gòu)數(shù)據(jù)的接入及匯聚,形成統(tǒng)一標(biāo)準(zhǔn)格式化數(shù)據(jù)。
數(shù)據(jù)處理及分析:
調(diào)用數(shù)據(jù)采集接入層形成的標(biāo)準(zhǔn)化數(shù)據(jù)進(jìn)行分析及存儲(chǔ)。通過(guò)IT+OT域研判結(jié)果匯聚、研判模型構(gòu)建、事件智能研判及人工核驗(yàn),梳理形成工業(yè)安全態(tài)勢(shì)感知平臺(tái)基礎(chǔ)資源信息、聯(lián)網(wǎng)設(shè)備及系統(tǒng)資產(chǎn)信息,形成基礎(chǔ)信息庫(kù),安全技術(shù)庫(kù)、知識(shí)庫(kù)和規(guī)則庫(kù),為網(wǎng)絡(luò)側(cè)的安全監(jiān)測(cè)分析提供數(shù)據(jù)支撐。
應(yīng)用服務(wù)展示:
企業(yè)安全態(tài)勢(shì)感知呈現(xiàn),深度分析,日志檢索,威脅溯源,資產(chǎn)管理,報(bào)表及策略管理,形成工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)能力,全天候全方位監(jiān)控關(guān)鍵生產(chǎn)設(shè)備及重要業(yè)務(wù)系統(tǒng)安全狀況,及時(shí)發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡(luò)安全隱患風(fēng)險(xiǎn),并支撐溯源取證。
同時(shí),平臺(tái)與省級(jí)工業(yè)互聯(lián)網(wǎng)平臺(tái)對(duì)接,滿足分類分級(jí)合規(guī)要求及數(shù)據(jù)共享,形成工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的完整閉環(huán)。
(2)方案技術(shù)方案
資產(chǎn)畫像:
通過(guò)主動(dòng)探測(cè)、被動(dòng)探測(cè)和靜態(tài)導(dǎo)入等多種方式,全面探測(cè)全域資產(chǎn),并通過(guò)自學(xué)習(xí)功能,收集業(yè)務(wù)訪問(wèn)日志,建立資產(chǎn)業(yè)務(wù)訪問(wèn)關(guān)系模型,實(shí)現(xiàn)精準(zhǔn)的資產(chǎn)畫像。
圖3-2 資產(chǎn)畫像
多源異構(gòu)數(shù)據(jù)靈活自動(dòng)化配置接入:
通過(guò)人性化的設(shè)計(jì)和界面,為安全人員提供便捷的可視化安全策略配置功能,實(shí)現(xiàn)多源異構(gòu)數(shù)據(jù)的快速靈活接入。
圖3-3 多源異構(gòu)數(shù)據(jù)自動(dòng)化配置接入
告警規(guī)則配置與運(yùn)營(yíng):
依托
海量現(xiàn)網(wǎng)安全
數(shù)據(jù)匯聚和專家分析,積累網(wǎng)絡(luò)安全告警規(guī)則并內(nèi)置到系統(tǒng),幫助客戶快速建立安全能力。提供圖形化、人性化的規(guī)則配置框架,通過(guò)時(shí)間段、威脅類型、發(fā)生頻次等多維度,以及歸并、去重等邏輯匹配規(guī)則的靈活配
置,幫助安全運(yùn)營(yíng)人員根據(jù)實(shí)際場(chǎng)景和階段性關(guān)注重點(diǎn),快速建立安全策略,提升安全運(yùn)營(yíng)效率。
全流程安全分析:
針對(duì)企業(yè)遭受的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè),包括:密碼暴力破解、拒絕服務(wù)攻擊、勒索病毒、挖礦木馬等。
圖3-4 全流程安全分析
安全深度分析:
根據(jù)企業(yè)客戶業(yè)務(wù)需求,以及生產(chǎn)制造等領(lǐng)域的實(shí)際使用場(chǎng)景,挑選了
10
種工業(yè)協(xié)議,實(shí)現(xiàn)了這些工業(yè)協(xié)議的
100
多個(gè)字段深度解析,包括精準(zhǔn)提取指令碼、功能碼、錯(cuò)誤碼等,工業(yè)協(xié)議的深度解析為工控通信異常,工控行為異常等工業(yè)威脅檢測(cè)提供了基礎(chǔ)和有力支撐。
圖3-5 安全深度分析-攻擊路徑還原
圖3-6 安全深度分析-風(fēng)險(xiǎn)主機(jī)畫像
(2)方案主要功能
策略配置
策略配置包括區(qū)域配置、數(shù)據(jù)來(lái)源、范化策略和關(guān)聯(lián)規(guī)則等功能模塊,其功能是是實(shí)現(xiàn)多源異構(gòu)數(shù)據(jù)的統(tǒng)一接入,以及安全分析規(guī)則配置和運(yùn)營(yíng),為安全告警,深度分析和攻擊行為回溯等功能提供支持。
數(shù)據(jù)接入策略
工業(yè)互聯(lián)網(wǎng)企業(yè)中可能存在的大量不同類型,不同廠商的設(shè)備,例如網(wǎng)絡(luò)設(shè)備,包括交換機(jī)、路由器等;安全設(shè)備,如堡壘機(jī)、防火墻、web應(yīng)用安全網(wǎng)關(guān)、入侵防御系統(tǒng)等;以及工業(yè)控制設(shè)備和系統(tǒng)等。這些設(shè)備和系統(tǒng),都可以作為數(shù)據(jù)來(lái)源,態(tài)感平臺(tái)通過(guò)范化策略模塊,將不同的設(shè)備的數(shù)據(jù)進(jìn)行歸一化處理,統(tǒng)一接入到態(tài)感平臺(tái)中。
安全告警規(guī)則
關(guān)聯(lián)規(guī)則模塊是安全分析知識(shí)庫(kù)和規(guī)則庫(kù),通過(guò)規(guī)則的配置和運(yùn)營(yíng),針對(duì)接入的多源異構(gòu)數(shù)據(jù)進(jìn)行多維度關(guān)聯(lián)分析,產(chǎn)生安全告警和深度分析結(jié)果。在多源異構(gòu)數(shù)據(jù)統(tǒng)一接入的基礎(chǔ)之上,態(tài)感平臺(tái)提供靈活、人性化的配置框架,幫忙用戶進(jìn)行規(guī)則配置和運(yùn)營(yíng)。
日志檢索
提供接入的原始數(shù)據(jù)查詢和檢索功能。同時(shí),通過(guò)對(duì)原始數(shù)據(jù)的統(tǒng)計(jì)和分析,向用戶展示威脅事件分布,歸屬區(qū)域,攻擊趨勢(shì),威脅等級(jí),失陷主機(jī)等維度的分析結(jié)果。
深度分析
基于ATT&CK安全分析模型,對(duì)威脅事件和攻擊行為進(jìn)行攻擊鏈溯源和取證,如下圖所示,通過(guò)對(duì)各類威脅事件基于攻防視角等多維度歸類,依托安全分析模型和各攻擊階段的攻擊路徑和手法進(jìn)行關(guān)聯(lián)分析,為用戶還原完整的攻擊過(guò)程和攻擊影響范圍,并針對(duì)攻擊者和被攻擊者進(jìn)行行為回溯和畫像。
告警管理
平臺(tái)基于接入的多源異構(gòu)數(shù)據(jù)和告警規(guī)則產(chǎn)生安全告警,從攻擊方向(由外向內(nèi),內(nèi)部橫向和由內(nèi)向外等)以及主機(jī)狀態(tài)等多個(gè)維度,向客戶展示資產(chǎn)的安全風(fēng)險(xiǎn)和面臨的威脅狀態(tài),并進(jìn)行預(yù)警。
資產(chǎn)管理
平臺(tái)的支持下列3種資產(chǎn)數(shù)據(jù)接入方式:
一是與客戶已有的資產(chǎn)管理平臺(tái)對(duì)接,接入資產(chǎn)數(shù)據(jù)。
二是與第三方資產(chǎn)掃描系統(tǒng)對(duì)接,接入資產(chǎn)探測(cè)結(jié)果。
三是手動(dòng)錄入,提供資產(chǎn)錄入模板,實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)的一鍵導(dǎo)入。
同時(shí)也接入資產(chǎn)的漏洞數(shù)據(jù),并針對(duì)漏洞,從漏洞類型、危害級(jí)別、區(qū)域分布等多個(gè)維度,將資產(chǎn)與漏洞進(jìn)行關(guān)聯(lián)分析,對(duì)高風(fēng)險(xiǎn)資產(chǎn)向客戶進(jìn)行預(yù)警。
自動(dòng)化報(bào)表中心
形成企業(yè)安全自動(dòng)化報(bào)表生成,提供安全報(bào)告生成和導(dǎo)出功能,為企業(yè)安全預(yù)警及安全決策支撐提供幫助。
企業(yè)安全態(tài)勢(shì)感知
通過(guò)實(shí)時(shí)安全事件監(jiān)測(cè),結(jié)合威脅情報(bào)和豐富的知識(shí)庫(kù)進(jìn)行分析和研判,幫助企業(yè)全面掌握安全狀態(tài)和發(fā)展趨勢(shì)。態(tài)勢(shì)感知模塊從監(jiān)測(cè)對(duì)象,攻擊方向,威脅類型等維度提供企業(yè)安全綜合態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)及威脅事件態(tài)勢(shì)大屏呈現(xiàn)。
系統(tǒng)管理
平臺(tái)系統(tǒng)存儲(chǔ)策略管理,操作日志及登錄日志管理,保障系統(tǒng)安全及分權(quán)分域管理。
2. 網(wǎng)絡(luò)、平臺(tái)或安全互聯(lián)架構(gòu)
(1)系統(tǒng)部署全圖示意
圖3-7 系統(tǒng)部署全圖示意
通過(guò)在車間,工廠部署相應(yīng)安全防護(hù)設(shè)備,實(shí)現(xiàn)對(duì)多源異構(gòu)數(shù)據(jù)的采集分析,建設(shè)化工集團(tuán)企業(yè)工業(yè)安全態(tài)勢(shì)感知平臺(tái),同時(shí)通過(guò)企業(yè)安全協(xié)同聯(lián)動(dòng)一體機(jī),實(shí)現(xiàn)與省級(jí)平臺(tái)的數(shù)據(jù)對(duì)接及共享,滿足分類分級(jí)要求。
(2)網(wǎng)絡(luò)架構(gòu)示意
圖3-8 系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖
在化工集團(tuán)車間及工廠部署主動(dòng)探測(cè)及網(wǎng)絡(luò)安全探針,以及對(duì)企業(yè)各類系統(tǒng)及日志的數(shù)據(jù)采集。整體平臺(tái)構(gòu)建統(tǒng)一大數(shù)據(jù),實(shí)現(xiàn)對(duì)標(biāo)準(zhǔn)化數(shù)據(jù)的分析及處理、存儲(chǔ)、分析呈現(xiàn)。
3. 具體應(yīng)用場(chǎng)景和安全應(yīng)用模式
(1)安全應(yīng)用場(chǎng)景
方案方案后續(xù)對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)各行各業(yè)均適用。
本次方案實(shí)用于工業(yè)企業(yè)的資產(chǎn)整體測(cè)繪、安全監(jiān)測(cè)、威脅識(shí)別及溯源、態(tài)勢(shì)感知呈現(xiàn)及省企對(duì)接服務(wù)。
(2)安全應(yīng)用模式
方案的建成,極具推廣價(jià)值,這個(gè)方案的安全應(yīng)用模式,主要體現(xiàn)在以下幾個(gè)方面發(fā)揮效果:
能夠快速實(shí)施部署并達(dá)到既定效果,發(fā)揮試點(diǎn)區(qū)域先行示范的良好作用,為后續(xù)向全國(guó)
工業(yè)互聯(lián)網(wǎng)企業(yè)建設(shè)積累足夠的建設(shè)經(jīng)驗(yàn),發(fā)揮試點(diǎn)區(qū)域現(xiàn)行示范的良好作用。
解決工業(yè)互聯(lián)網(wǎng)企業(yè)痛點(diǎn)需求,如對(duì)監(jiān)管部門要求理解不透徹,對(duì)省企接口規(guī)范了解不深入,難以滿足監(jiān)管部門的合規(guī)要求。
針對(duì)不同企業(yè)提供分類、分級(jí)差異化安全解決方案,開拓工業(yè)互聯(lián)網(wǎng)服務(wù)客戶市場(chǎng),對(duì)分級(jí)分類工作提供全面保障,從企業(yè)安全全方位支撐工業(yè)互聯(lián)網(wǎng)企業(yè)分級(jí)分類保障工作,建立實(shí)戰(zhàn)化常態(tài)化安全技術(shù)手段,形成支持工業(yè)互聯(lián)網(wǎng)安全發(fā)展合力。
4. 安全及可靠性
本方案將通過(guò)構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)全周期生命安全體系,從工業(yè)互聯(lián)網(wǎng)企業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)底層設(shè)計(jì)出發(fā),采用多種先進(jìn)的安全技術(shù)手段,為我國(guó)工業(yè)互聯(lián)網(wǎng)的安全提供了有效的監(jiān)測(cè)、預(yù)警、通報(bào)、協(xié)助處置能力。
該方案的實(shí)施,將會(huì)為工業(yè)互聯(lián)網(wǎng)領(lǐng)域的發(fā)展提供有效的安全保障。具體包括:
(1)為工業(yè)互聯(lián)網(wǎng)行業(yè)健康發(fā)展提供有效保護(hù)
我國(guó)是制造業(yè)大國(guó),加快建設(shè)和發(fā)展工業(yè)互聯(lián)網(wǎng),推動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合,發(fā)展先進(jìn)制造業(yè),支持傳統(tǒng)產(chǎn)業(yè)優(yōu)化升級(jí),具有重要意義。通過(guò)本方案的研發(fā),建設(shè)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)監(jiān)測(cè)與感知技術(shù)手段,有效應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊,形成與工業(yè)互聯(lián)網(wǎng)發(fā)展相匹配的安全保障能力,為我國(guó)深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”戰(zhàn)略的順利推進(jìn)和推廣保駕護(hù)航。
(2)構(gòu)建工業(yè)互聯(lián)網(wǎng)安全監(jiān)管技術(shù)體系
工業(yè)互聯(lián)網(wǎng)作是產(chǎn)業(yè)互聯(lián)網(wǎng)新業(yè)態(tài),建設(shè)企業(yè)級(jí)工業(yè)互聯(lián)網(wǎng)平臺(tái),有利于增強(qiáng)企業(yè)安全防護(hù)能力,為行業(yè)主管部門的安全技術(shù)保障提供支撐,為行業(yè)主管部門政策制定、安全監(jiān)管、事中處置、事后溯源提供強(qiáng)有力協(xié)同共榮。
5. 其他亮點(diǎn)
(1)靈活的接入安全設(shè)備
方案產(chǎn)品支持豐富的探針類型,包括工控漏掃、工控防火墻、工控網(wǎng)閘、工控入侵檢測(cè)、工控監(jiān)測(cè)審計(jì)、工控主機(jī)衛(wèi)士等,同時(shí)支持第三方設(shè)備接入,客戶可根據(jù)實(shí)際網(wǎng)絡(luò)、預(yù)算情況選擇安全探針進(jìn)行部署,靈活組合不同類型的探針。
(2)領(lǐng)先的安全檢測(cè)能力
支持安全合規(guī)檢測(cè)、異常攻擊檢測(cè)、非法外聯(lián)檢測(cè)、設(shè)備運(yùn)行狀態(tài)檢測(cè)、內(nèi)網(wǎng)異常訪問(wèn)檢測(cè)、非法程序啟動(dòng)檢測(cè)、APT攻擊檢測(cè)、惡意加密流量檢測(cè)等。
(3)全面的安全分析技術(shù)
方案支持匯總各類安全數(shù)據(jù),運(yùn)用關(guān)聯(lián)分析、用戶畫像、模型分析、威脅情報(bào)等安全技術(shù),有效發(fā)現(xiàn)各類安全事件與風(fēng)險(xiǎn)隱患,識(shí)別漏報(bào)及誤報(bào)行為,提升安全運(yùn)維工作效率,形成實(shí)時(shí)監(jiān)測(cè)、動(dòng)態(tài)感知的整體安全分析能力。
(4)智能的識(shí)別工業(yè)資產(chǎn)
通過(guò)工業(yè)資產(chǎn)指紋識(shí)別技術(shù),全面發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn),從工業(yè)設(shè)備、主機(jī)、應(yīng)用、業(yè)務(wù)等多個(gè)維度建立資產(chǎn)庫(kù),對(duì)網(wǎng)內(nèi)資產(chǎn)進(jìn)行實(shí)時(shí)安全監(jiān)控,呈現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、脆弱性等安全信息,為客戶提供強(qiáng)大的資產(chǎn)管理與安全監(jiān)控手段
(5)完善的政企聯(lián)動(dòng)體系
快速實(shí)現(xiàn)省企對(duì)接,實(shí)現(xiàn)企業(yè)安全信息上報(bào)和省級(jí)平臺(tái)威脅情報(bào)接收,并及時(shí)掌握對(duì)接效果,構(gòu)建完善的省企聯(lián)動(dòng)、聯(lián)防聯(lián)控的安全防御體系。
(6)多維度安全態(tài)勢(shì)感知
從資產(chǎn)的脆弱性、威脅和攻擊等多個(gè)視角全面分析工業(yè)網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)。通過(guò)人工智能和大屏可視化技術(shù),直觀呈現(xiàn)全網(wǎng)拓?fù)湟晥D、告警趨勢(shì)、實(shí)時(shí)告警等工業(yè)安全態(tài)勢(shì)。
下一步實(shí)施計(jì)劃
隨著5G+工業(yè)互聯(lián)網(wǎng)的發(fā)展,勢(shì)必帶來(lái)如下安全問(wèn)題:
網(wǎng)絡(luò)安全邊界模糊
IT與OT技術(shù)的融合,從專有硬件設(shè)備變成了通用服務(wù)器和云;
專享組網(wǎng)模式將UPF和MEC從CT/IT信任域下沉到非信任域,業(yè)務(wù)通過(guò)切片進(jìn)行邏輯隔離;
部分用戶數(shù)據(jù)仍會(huì)出公網(wǎng),端到端安全邊界防護(hù)受限。
信令風(fēng)暴風(fēng)險(xiǎn)
核心網(wǎng)下沉在企業(yè)后,信任域發(fā)生變化。 對(duì)UPF的N4接口以及BBU進(jìn)行N1/N2接口的信令風(fēng)暴監(jiān)測(cè),避免對(duì)云化核心網(wǎng)形成信令DDoS攻擊
物聯(lián)終端接入?yún)f(xié)議復(fù)雜
新型物聯(lián)網(wǎng)終端接入?yún)f(xié)議較為復(fù)雜,并且面臨著代碼漏洞,邏輯缺陷。攻擊者可利用木馬或者APT等方式入侵。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
網(wǎng)絡(luò)仍會(huì)通過(guò)N6接口訪問(wèn)互聯(lián)網(wǎng),會(huì)收到來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全攻擊來(lái)自于利用物聯(lián)終端漏洞的攻擊。
PLC工控?cái)?shù)據(jù)傳輸安全
PLC通過(guò)5G將相關(guān)數(shù)據(jù)回傳至管理平臺(tái),需要對(duì)PLC信令數(shù)據(jù)進(jìn)行校驗(yàn),防篡改。
因此,后續(xù)我們將于接下來(lái)解決5G+工業(yè)互聯(lián)網(wǎng)安全問(wèn)題,如下圖所示:
圖3-9 5G+工業(yè)互聯(lián)網(wǎng)安全
方案創(chuàng)新點(diǎn)和實(shí)施效果
1. 方案先進(jìn)性及創(chuàng)新點(diǎn)
(1)方案創(chuàng)新性
企業(yè)安全能力建設(shè)
建設(shè)工業(yè)互聯(lián)網(wǎng)完整基礎(chǔ)資產(chǎn)庫(kù):工業(yè)互聯(lián)網(wǎng)資產(chǎn)是其安全監(jiān)測(cè)和預(yù)警的基礎(chǔ)。本方案通過(guò)備案數(shù)據(jù)、主動(dòng)探測(cè)、流量分析、特征識(shí)別等多種機(jī)制,形成覆蓋全國(guó)各省的工業(yè)互聯(lián)網(wǎng)資產(chǎn)庫(kù)。
構(gòu)建工業(yè)互聯(lián)網(wǎng)特色安全知識(shí)庫(kù):構(gòu)建最全面最權(quán)威的工業(yè)特征和安全知識(shí)庫(kù),提升安全管理能力。基于工控專用協(xié)議的盲識(shí)別與逆向解析技術(shù)工控設(shè)備深度信息掃描技術(shù):通過(guò)工控漏洞互聯(lián)網(wǎng)深度掃描技術(shù),結(jié)合CNVD工控漏洞庫(kù),對(duì)目標(biāo)區(qū)域的工控接入互聯(lián)網(wǎng)設(shè)備進(jìn)行深度掃描,從而實(shí)現(xiàn)攻擊威脅和風(fēng)險(xiǎn)隱患識(shí)別預(yù)警,有效提升工業(yè)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)能力。
大數(shù)據(jù)、云計(jì)算、人工智能關(guān)聯(lián)分析技術(shù):關(guān)聯(lián)分析是對(duì)暗含攻擊行為的安全事件序列建立關(guān)聯(lián)規(guī)則。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全公共服務(wù)平臺(tái)可對(duì)網(wǎng)絡(luò)攻擊事件等建立關(guān)聯(lián)。
建立多方聯(lián)動(dòng)安全管理和預(yù)警機(jī)制
通過(guò)建立工信部、省、企業(yè)等多方聯(lián)動(dòng)監(jiān)測(cè)和預(yù)警機(jī)制,實(shí)現(xiàn)安全威脅數(shù)據(jù)共享、知識(shí)庫(kù)共享、應(yīng)急能力共享的全方位聯(lián)動(dòng)響應(yīng)。
(2)方案先進(jìn)性
貼近實(shí)戰(zhàn)為目標(biāo),服務(wù)企業(yè)工業(yè)互聯(lián)網(wǎng)安全
通過(guò)建設(shè)面向工業(yè)互聯(lián)網(wǎng)企業(yè)的企業(yè)安全綜合防護(hù)系統(tǒng)及態(tài)勢(shì)感知,打造完整生態(tài),將工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)設(shè)備制造商、安全廠商、工創(chuàng)中心、監(jiān)管機(jī)構(gòu)聯(lián)合起來(lái),一同治理工業(yè)互聯(lián)網(wǎng)安全問(wèn)題。在技術(shù)層面重點(diǎn)突破工業(yè)互聯(lián)網(wǎng)安全診斷評(píng)估、安全預(yù)警、安全加固等相關(guān)核心技術(shù)。
政策優(yōu)勢(shì)與整合能力相結(jié)合推動(dòng)工業(yè)互聯(lián)網(wǎng)安全研究
圖3-10 分析研究過(guò)程
開展關(guān)鍵技術(shù)方案研究
安全規(guī)范的落地:根據(jù)工業(yè)互聯(lián)網(wǎng)信息安全分級(jí)規(guī)范、信息安全要求、安全實(shí)施規(guī)范和安全測(cè)評(píng)的規(guī)范,結(jié)合北京亞鴻世紀(jì)科技發(fā)展有限公司多年的安全行業(yè)經(jīng)驗(yàn),形成工業(yè)行業(yè)安全管理規(guī)范知識(shí)庫(kù)進(jìn)行落地,為工業(yè)互聯(lián)網(wǎng)企業(yè)提供技術(shù)標(biāo)準(zhǔn)、安全規(guī)劃、安全咨詢服務(wù)和安全培訓(xùn)服務(wù)。
關(guān)鍵技術(shù)能力的提升:通過(guò)攻防演練與仿真技術(shù)、工業(yè)互聯(lián)網(wǎng)資產(chǎn)信息探測(cè)技術(shù)、工業(yè)互聯(lián)網(wǎng)未知威脅監(jiān)測(cè)技術(shù)等技術(shù)提升工業(yè)互聯(lián)網(wǎng)企業(yè)行業(yè)風(fēng)險(xiǎn)預(yù)警、安全診斷平臺(tái)、安全加固的能力。
全閉環(huán)安全能力覆蓋為企業(yè)提供“云管邊端業(yè)”多維安全防護(hù)服務(wù)
工業(yè)互聯(lián)網(wǎng)進(jìn)行全過(guò)程安全事件監(jiān)測(cè)、事件溯源和處置,是保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行的關(guān)鍵。本方案以流量覆蓋檢測(cè)為基礎(chǔ),數(shù)據(jù)安全能力相結(jié)合,從安全事件殺傷鏈的多個(gè)維度,實(shí)現(xiàn)安全串并分析能力建設(shè),實(shí)現(xiàn)對(duì)工業(yè)互聯(lián)網(wǎng)的安全監(jiān)測(cè)、事件的追溯定位,安全問(wèn)題及風(fēng)險(xiǎn)的封堵處置全流程實(shí)現(xiàn)安全事件的閉環(huán)管理服務(wù)。
2. 實(shí)施效果
通過(guò)方案的實(shí)施,解決了工業(yè)互聯(lián)網(wǎng)企業(yè)防護(hù)手段集中于IT域,OT域檢測(cè)防護(hù)手段缺失的問(wèn)題;利用未知威脅深度檢測(cè)分析技術(shù)解決了傳統(tǒng)安全基于規(guī)則,難以防御未知威脅的問(wèn)題;利用自動(dòng)化數(shù)據(jù)清洗及歸類模塊,解決了企業(yè)IT設(shè)備眾多,各自為政的數(shù)據(jù)孤島無(wú)法產(chǎn)生價(jià)值的問(wèn)題;構(gòu)建統(tǒng)一數(shù)據(jù)中心,解決工業(yè)互聯(lián)網(wǎng)企業(yè)海量數(shù)據(jù)研判分析效率低,響應(yīng)時(shí)間長(zhǎng)的問(wèn)題,同時(shí)為態(tài)勢(shì)感知呈現(xiàn)提供數(shù)據(jù)支撐,解決企業(yè)安全現(xiàn)狀不可見(jiàn),無(wú)法掌握全局安全態(tài)勢(shì);與省平臺(tái)對(duì)接,滿足分類分級(jí)等合規(guī)要求。具體實(shí)施效果數(shù)據(jù)如下:
(1)通過(guò)多源異構(gòu)數(shù)據(jù)匯聚技術(shù)和安全數(shù)據(jù)關(guān)聯(lián)分析體系,實(shí)現(xiàn)18個(gè)省,21個(gè)工廠,56類設(shè)備,累計(jì)匯聚2千萬(wàn)條安全數(shù)據(jù),實(shí)現(xiàn)安全數(shù)據(jù)的統(tǒng)一匯聚和關(guān)聯(lián)分析,以及各廠區(qū)安全威脅實(shí)時(shí)檢測(cè)。
(2)基于100+工業(yè)協(xié)議深度解析能力,通過(guò)在指定廠區(qū)部署工業(yè)安全監(jiān)測(cè)與審計(jì)系統(tǒng),接入和分析生產(chǎn)網(wǎng)的工業(yè)協(xié)議(S7,MODBUS等)流量,實(shí)現(xiàn)工業(yè)協(xié)議的深度解析和工控威脅檢測(cè)能力。在實(shí)際運(yùn)行中,發(fā)現(xiàn):工控異常報(bào)文、高危指令執(zhí)行、非法設(shè)備訪問(wèn)等工控威脅合計(jì)1600余次,幫助企業(yè)及時(shí)響應(yīng)和處置生產(chǎn)網(wǎng)威脅,保障生產(chǎn)安全、業(yè)務(wù)連續(xù)性。
(3)基于大數(shù)據(jù)分析引擎和安全知識(shí)庫(kù),對(duì)接入的千萬(wàn)級(jí)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,還原攻擊者的攻擊路徑和攻擊行為,關(guān)聯(lián)出受影響或被控制的主機(jī),幫助客戶快速定位攻擊源。在實(shí)際運(yùn)行中,發(fā)現(xiàn)某主機(jī)7天內(nèi),對(duì)內(nèi)網(wǎng)47臺(tái)主機(jī)發(fā)起密碼暴力破解攻擊,達(dá)到14333次,通過(guò)進(jìn)一步關(guān)聯(lián)分析和攻擊溯源,發(fā)現(xiàn)該主機(jī)遭受到外部攻擊者漏洞利用攻擊,可能已被控制,企業(yè)根據(jù)風(fēng)險(xiǎn)預(yù)警,對(duì)該主機(jī)進(jìn)行了及時(shí)處置。
(4)幫助企業(yè)管理和運(yùn)營(yíng)人員,解決海量安全事件問(wèn)題,基于已積累的300+條安全告警規(guī)則,達(dá)到業(yè)內(nèi)領(lǐng)先水平。在系統(tǒng)實(shí)際運(yùn)行中,安全管理和運(yùn)營(yíng)人員從每天面對(duì)10萬(wàn)條安全事件,降維到只需要聚焦處理1000條左右的安全告警,極大提升了安全管理和處理效率,讓真正的安全威脅得到優(yōu)先、及時(shí)和有效處理。
(5)從安全告警、資產(chǎn)漏洞、外部攻擊、風(fēng)險(xiǎn)外聯(lián)、橫向滲透等多個(gè)視角,全面分析和展示企業(yè)整體安全狀態(tài),同時(shí)在實(shí)際運(yùn)行中,通過(guò)分權(quán)分域管理和靈活的賬號(hào)配置,各分廠可掌握自己的安全態(tài)勢(shì),而集團(tuán)可掌握21個(gè)廠區(qū)安全態(tài)勢(shì)。
(6)通過(guò)工業(yè)互聯(lián)網(wǎng)協(xié)同聯(lián)動(dòng)一體機(jī),在10個(gè)工作日內(nèi)完成省企對(duì)接,滿足分類分級(jí)合規(guī)要求。
單位基本信息
北京亞鴻世紀(jì)科技發(fā)展有限公司(簡(jiǎn)稱“亞鴻世紀(jì)”)成立于2012年,2017年正式成為任子行網(wǎng)絡(luò)技術(shù)股份有限公司的全資子公司,是一家專注于互聯(lián)網(wǎng)空間數(shù)據(jù)治理、網(wǎng)絡(luò)與信息安全及數(shù)據(jù)增值解決方案及服務(wù)的高科技公司。公司在北京和武漢設(shè)有分公司及研發(fā)基地中心,能夠快速響應(yīng)客戶安全需求。目前研發(fā)中心技術(shù)人員達(dá)到400多人,其中985、211高校畢業(yè)人數(shù)達(dá)到80%以上。
公司成立以來(lái),協(xié)助工信部起草《IDC/ISP信息安全管理系統(tǒng)技術(shù)要求》、《IDC/ISP信息安全管理系統(tǒng)接口規(guī)范》、《域名信息安全管理系統(tǒng)技術(shù)要求及接口規(guī)范》、《數(shù)據(jù)核驗(yàn)技術(shù)要求及接口規(guī)范》等多項(xiàng)技術(shù)規(guī)范。公司目前已經(jīng)承建了工信部全國(guó)統(tǒng)一資源協(xié)作管理系統(tǒng)、工信部全國(guó)域名信息安全管理系統(tǒng)、工信部互聯(lián)網(wǎng)大數(shù)據(jù)管理子系統(tǒng)、設(shè)備運(yùn)維子系統(tǒng)、全國(guó)25省通信管理局互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全綜合管理平臺(tái)、19省移動(dòng)IDC/ISP信息安全管理系統(tǒng)、17省聯(lián)通IDC/ISP信息安全管理系統(tǒng)、14省鐵通IDC/ISP信息安全管理系統(tǒng)、5省電信IDC/ISP信息安全管理系統(tǒng)。在IDC/ISP信息安全領(lǐng)域市場(chǎng)綜合占有率達(dá)80%以上,在互聯(lián)網(wǎng)反欺詐安全市場(chǎng)占50%以上。具備豐富的互聯(lián)網(wǎng)信息安全和網(wǎng)絡(luò)安全的實(shí)戰(zhàn)經(jīng)驗(yàn)以及相關(guān)安全能力。
圍繞5G+工業(yè)互聯(lián)網(wǎng)安全建設(shè)方面:
國(guó)家級(jí)
國(guó)家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知與風(fēng)險(xiǎn)預(yù)警平臺(tái):建立國(guó)家、省級(jí)、企業(yè)級(jí)聯(lián)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全監(jiān)管體系,實(shí)現(xiàn)重點(diǎn)行業(yè)、重點(diǎn)對(duì)象、重點(diǎn)風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)測(cè)、動(dòng)態(tài)感知、及時(shí)預(yù)警,支撐政府監(jiān)管、服務(wù)企業(yè)防護(hù)。
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全分類分級(jí)管理平臺(tái):自主定級(jí)、定級(jí)審核、現(xiàn)場(chǎng)評(píng)測(cè)、安全資源池建設(shè),支撐分類分級(jí)政策落地。
工信部物聯(lián)網(wǎng)基礎(chǔ)安全接入監(jiān)測(cè)平臺(tái):物聯(lián)網(wǎng)資產(chǎn)摸底、宏觀監(jiān)測(cè)、整體態(tài)勢(shì)分析。
省級(jí)
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全省平臺(tái):廣東、湖南、河南、安徽、湖北、遼寧、貴州、新疆、黑龍江、海南、河北、四川、云南、內(nèi)蒙、甘肅、上海、西藏、山西等18個(gè)省級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)。
工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全省平臺(tái):貴州、四川工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管平臺(tái)試點(diǎn)。
工業(yè)互聯(lián)網(wǎng)企業(yè)
級(jí)
面向多個(gè)行業(yè)多個(gè)企業(yè)的MEC安全監(jiān)測(cè)平臺(tái)、邊緣計(jì)算敏感數(shù)據(jù)保護(hù)技術(shù)系統(tǒng)、多業(yè)務(wù)場(chǎng)景數(shù)據(jù)脫敏技術(shù)工具、面向工業(yè)和通信業(yè)的網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)發(fā)現(xiàn)與預(yù)警平臺(tái)、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全公共服務(wù)平臺(tái)、工控安全防護(hù)系列產(chǎn)品、企業(yè)安全服務(wù)等。
AII微信公眾號(hào)
AII頭條號(hào)