某省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺——打造省、市級工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)生態(tài)體系
1.1.1 方案概述
今年,工信部印發(fā)組織開展2022年工業(yè)互聯(lián)網(wǎng)安全深度行活動,旨在全國范圍內(nèi)深入實施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理工作,要求各地工信廳、通信管理局聯(lián)合第三方專業(yè)機構(gòu)制定實施方案5月30日前報送工信部,并在11月底前開展本地深度行活動。
針對深度行活動提到的“分類分級管理”內(nèi)容,湖南省工信廳搭建了省級湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺,安恒全程主導(dǎo)并參與平臺建設(shè)。2022年5月20日,在湖南省工信廳和省通管局聯(lián)合舉辦“工業(yè)互聯(lián)網(wǎng)安全深度行活動”中平臺正式發(fā)布,預(yù)示整個湖南省的分類分級管理工作將在該平臺的支撐下進行深度推廣,為工業(yè)企業(yè)用戶提供服務(wù)。
1. 方案背景
(1)工業(yè)互聯(lián)網(wǎng)是數(shù)字經(jīng)濟高質(zhì)量發(fā)展的國家戰(zhàn)略
工業(yè)互聯(lián)網(wǎng)以數(shù)字化、網(wǎng)絡(luò)化、智能化為本質(zhì)特征的第四次工業(yè)革命正在興起。作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,通過對人、機、物的全面互聯(lián),構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價值鏈全面連接的新型生產(chǎn)制造的新型生產(chǎn)制造和服務(wù)體系,是數(shù)字化轉(zhuǎn)型的實現(xiàn)路徑,是實現(xiàn)新舊動能轉(zhuǎn)換的關(guān)鍵力量。為搶抓新一輪科技革命和產(chǎn)業(yè)變革的重大歷史機遇,世界主要國家和地區(qū)加強制造業(yè)數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)戰(zhàn)略布局,全球領(lǐng)先企業(yè)積極行動,產(chǎn)業(yè)發(fā)展新格局正孕育形成。
2019年10月18日,習(xí)近平總書記向“2019工業(yè)互聯(lián)網(wǎng)全球峰會”發(fā)來賀信。習(xí)近平指出,“當(dāng)前,全球新一輪科技革命和產(chǎn)業(yè)革命加速發(fā)展,工業(yè)互聯(lián)網(wǎng)技術(shù)不斷突破,為各國經(jīng)濟創(chuàng)新發(fā)展注入了新動能,也為促進全球產(chǎn)業(yè)融合發(fā)展提供了新機遇。中國高度重視工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展,愿同國際社會一道,持續(xù)提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新能力,推動工業(yè)化與信息化在更廣范圍、更深程度、更高水平上實現(xiàn)融合發(fā)展”。 同時,習(xí)近平強調(diào),“深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略,系統(tǒng)推進工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和數(shù)據(jù)資源管理體系建設(shè),發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用,加快形成以創(chuàng)新為主要引領(lǐng)和支撐的數(shù)字經(jīng)濟”。習(xí)近平關(guān)于工業(yè)互聯(lián)網(wǎng)的系列指示體現(xiàn)了對工業(yè)互聯(lián)網(wǎng)發(fā)展的高度重視,彰顯了推進工業(yè)互聯(lián)網(wǎng)發(fā)展的緊迫性和重要性。
(2)工業(yè)互聯(lián)網(wǎng)安全是其發(fā)展的重要保障
工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡(luò)、平臺、安全三大體系。其中,網(wǎng)絡(luò)體系是基礎(chǔ),工業(yè)互聯(lián)網(wǎng)將連接對象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價值鏈,可實現(xiàn)人、物品、機器、車間、企業(yè)等全要素,以及設(shè)計、研發(fā)、生產(chǎn)、管理、服務(wù)等各環(huán)節(jié)的泛在深度互聯(lián)。平臺體系是核心,工業(yè)互聯(lián)網(wǎng)平臺作為工業(yè)智能化發(fā)展的核心載體,實現(xiàn)海量異構(gòu)數(shù)據(jù)匯聚與建模分析、工業(yè)制造能力標準化與服務(wù)化、工業(yè)經(jīng)驗知識軟件化與模塊化,以及各類創(chuàng)新應(yīng)用開發(fā)與運行,支撐生產(chǎn)智能決策、業(yè)務(wù)模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培訓(xùn)。安全體系是保障,建設(shè)滿足工業(yè)需求的安全技術(shù)體系和管理體系,增強設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)的安全保障能力,識別和抵御安全威脅,化解各種安全風(fēng)險,構(gòu)建工業(yè)智能化發(fā)展的安全可信環(huán)境。
(3)工業(yè)互聯(lián)網(wǎng)安全在轉(zhuǎn)型過程中面臨的挑戰(zhàn)
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,IT與OT不斷融合,使原有的工廠內(nèi)外網(wǎng)絡(luò)邊界變的模糊,由于產(chǎn)業(yè)模式的創(chuàng)新發(fā)展,工廠內(nèi)外的信息傳遞更加頻繁,這將使黑客更容易入侵到工廠內(nèi)網(wǎng)絡(luò),攻陷生產(chǎn)設(shè)備和系統(tǒng),對生產(chǎn)造成巨大損失。工業(yè)控制系統(tǒng)信息安全目前面臨著信息安全與工控系統(tǒng)自身安全融合的要求。目前工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品還處于產(chǎn)品階段的 1.0 版本的時代,與目前 IT 信息安全和 IT 系統(tǒng)的適配程度相比還有比較大的差距。工業(yè)控制系統(tǒng)安全產(chǎn)品是與業(yè)務(wù)應(yīng)用相關(guān)度比較高的產(chǎn)品。目前的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品體現(xiàn)在與業(yè)務(wù)的融合度不夠,在深度檢測與業(yè)務(wù)相關(guān)的攻擊行為的時候往往乏力,缺乏創(chuàng)新性的安全檢測思路,防護思路往往缺乏真正有效的方法。另一方面,隨著工業(yè)領(lǐng)域中的一些新的應(yīng)用,如工業(yè)云、工業(yè)大數(shù)據(jù)等的普及,工業(yè)控制的業(yè)態(tài)也必將發(fā)生一些變化。而信息安全技術(shù)與新的業(yè)態(tài)融合時,必然需要與業(yè)務(wù)進行融合。而目前工控信息安全技術(shù)的融合還沒有完全展開,需要在技術(shù)方向和應(yīng)用上有所突破。
2. 方案簡介
政策驅(qū)動需求:政策文件的下發(fā),為各地方區(qū)域級工業(yè)信息安全監(jiān)管部門具有明確的監(jiān)管工作指導(dǎo)意義,分別從如何對企業(yè)分類分級,如何做好分類分級的安全防護,以及如何做好相關(guān)安全監(jiān)測預(yù)警工作給出了較為明確的工作行動目標。
業(yè)務(wù)驅(qū)動需求:形成監(jiān)測預(yù)警、信息通報、協(xié)同應(yīng)急處置的閉環(huán)管理機制;形成工業(yè)企業(yè)分類分級安全監(jiān)管閉環(huán)管理機制;形成面向工業(yè)企業(yè)提供安全服務(wù)的生態(tài)體系。
(2)解決方案
方案將工業(yè)互聯(lián)網(wǎng)安全“監(jiān)測預(yù)警與協(xié)同應(yīng)急管理”、“工業(yè)互聯(lián)網(wǎng)企業(yè)安全合規(guī)管理”和“工業(yè)互聯(lián)網(wǎng)安全支撐綜合服務(wù)”三大業(yè)務(wù)應(yīng)用融為一體,以“工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)”為核心能力,為工業(yè)互聯(lián)網(wǎng)安全監(jiān)管部門和工業(yè)企業(yè)提供“雙向賦能”。打造省、市工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)生態(tài)體系,逐步形成集約化工業(yè)互聯(lián)網(wǎng)安全運營服務(wù)中心。
圖8-1 集約化工業(yè)互聯(lián)網(wǎng)安全運營服務(wù)中心
3. 方案目標
(1)提升、完善全省工業(yè)互聯(lián)網(wǎng)威脅感知能力
工業(yè)互聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型過程中,業(yè)務(wù)應(yīng)用場景也越來越多,因此相應(yīng)的網(wǎng)絡(luò)安全監(jiān)測手段也需要進行補充和技術(shù)提升。本次建設(shè)需要提升全省工業(yè)互聯(lián)網(wǎng)企業(yè)安全整體態(tài)勢感知、分析能力,實時掌握更多、更全面的各類工業(yè)互聯(lián)網(wǎng)場景下的安全動態(tài),在發(fā)生工業(yè)互聯(lián)網(wǎng)安全事件時,也無法進行精準預(yù)警。為實時掌握全省工業(yè)互聯(lián)網(wǎng)安全情況及動態(tài),在發(fā)生安全隱患時可以進行快速、精準預(yù)警,需依托大數(shù)據(jù)技術(shù)建立全省工業(yè)互聯(lián)網(wǎng)安全感知分析能力,實現(xiàn)精準匹配、重點分析,并提供多個維度可視化的大數(shù)據(jù)分析結(jié)果,為研判、決策工業(yè)互聯(lián)網(wǎng)安全保障工作提供有效支撐,提升對關(guān)鍵目標的管控、風(fēng)險識別的水平。
(2)建立省級工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)協(xié)同指揮體系
根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》的相關(guān)要求,為積極落實責(zé)任要求,形成安全事件閉環(huán)管理機制,加快建立省工業(yè)互聯(lián)網(wǎng)安全協(xié)同協(xié)作機制,需要結(jié)合實際需要對全省工業(yè)企業(yè)建立監(jiān)測、預(yù)警、防范協(xié)同管理機制,建立相應(yīng)的技術(shù)平臺,實現(xiàn)省工信廳、地市工信局、工業(yè)企業(yè)、技術(shù)支撐單位級其他監(jiān)管單位等在工業(yè)互聯(lián)網(wǎng)安全安全層面上的協(xié)作、互通,進一步完善監(jiān)測預(yù)警、信息通報、應(yīng)急處置等相關(guān)機制的建設(shè)。
(3)建立工業(yè)領(lǐng)域網(wǎng)絡(luò)安全分類分級合規(guī)管理機制
以《網(wǎng)絡(luò)安全分類分級》為依據(jù),完善工業(yè)企業(yè)網(wǎng)絡(luò)安全合規(guī)管理機制,打造精細化、差異化的科學(xué)管理方式。形成面向工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標識解析企業(yè)等三類工業(yè)互聯(lián)網(wǎng)企業(yè)開展網(wǎng)絡(luò)安全分類分級管理工作,參照行業(yè)重要性、企業(yè)規(guī)模、安全風(fēng)險程度等因素,將企業(yè)網(wǎng)絡(luò)安全等級由高到低劃分為三級、二級、一級,并針對不同類型、不同級別的企業(yè)提出差異化安全防護要求。
組建工業(yè)互聯(lián)安全評測機構(gòu)和專家隊伍,提供專業(yè)化工業(yè)互聯(lián)網(wǎng)安全風(fēng)險評估工具,開展對工業(yè)企業(yè)的現(xiàn)場安全檢查和信息調(diào)查。針對工業(yè)企業(yè)進行定期及不定期的巡視檢查,通過建立全省工業(yè)互聯(lián)網(wǎng)安全檢查機制,借助線上監(jiān)測加線下檢查形成監(jiān)管合力,摸底全省工業(yè)互聯(lián)網(wǎng)安全狀況。
(4)建立工業(yè)企業(yè)與省平臺監(jiān)測數(shù)據(jù)安全共享能力
依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南》要求,三級工業(yè)企業(yè)需要在企業(yè)建設(shè)安全監(jiān)測分析平臺,并將在企業(yè)內(nèi)監(jiān)測的數(shù)據(jù)信息上報給省級平臺。因此,需要實現(xiàn)工業(yè)企業(yè)安全監(jiān)測分析平臺與省湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺的安全認證與數(shù)據(jù)傳輸共享服務(wù),以保證兩平臺間數(shù)據(jù)傳輸共享的安全性。
(5)建立工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力
一是加強對省工業(yè)信息安全公共服務(wù)能力,通過對工業(yè)企業(yè)資產(chǎn)梳理、安全隱患監(jiān)測、安全事件分析研判、應(yīng)急響應(yīng)支持、安全態(tài)勢感知服務(wù)、安全運營服務(wù)等,提高全省工業(yè)企業(yè)提供網(wǎng)絡(luò)安全公共服務(wù)的能力。
二是針對信息安全意識、安全技能、熱點安全事件定期組織安全培訓(xùn),輻射全省,對各級工信單位、重點工業(yè)企業(yè)進行網(wǎng)絡(luò)安全業(yè)務(wù)培訓(xùn),形成常態(tài)化工控信息安全人才隊伍建設(shè)與培養(yǎng)機制,增強各級各部門網(wǎng)絡(luò)安全意識和防護水平。
目前省工信廳、通管局等相關(guān)單位均對各自負責(zé)監(jiān)管領(lǐng)域建設(shè)監(jiān)測、存儲系統(tǒng),同時工信部已建設(shè)國家級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺,但尚未建設(shè)各級信息互通、共享的數(shù)據(jù)交換平臺,數(shù)據(jù)無法連通,工作難以互動。為解決這一問題,需建立共享數(shù)據(jù)機制,互通有無,信息共享,同時保證數(shù)據(jù)的安全性。
1.1.2 方案實施概況
1.總體設(shè)計原則和策略
厲行節(jié)約原則:在平臺建設(shè)過程中,要盡量利用現(xiàn)有的信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全監(jiān)控數(shù)據(jù)等,綜合考慮對已有資源的共享和利用,避免重復(fù)建設(shè)和浪費。
標準規(guī)劃原則:在方案設(shè)計和設(shè)備選型方面遵循國家以及行業(yè)內(nèi)的相關(guān)標準,嚴格按照有關(guān)程序組織方案建設(shè),并且建設(shè)標準符合國家及行業(yè)提出的接口規(guī)范和技術(shù)架構(gòu)。
重點保護原則:根據(jù)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的重要程度、業(yè)務(wù)特點,實現(xiàn)不同強度的安全保護,集中資源優(yōu)先保護重點工業(yè)控制系統(tǒng)。
技術(shù)先進原則:平臺設(shè)計立足先進技術(shù),采用先進的系統(tǒng)結(jié)構(gòu)、開放的體系架構(gòu),使系統(tǒng)在一個周期內(nèi)保持技術(shù)領(lǐng)先水平,具備長足的發(fā)展能力,以適應(yīng)未來網(wǎng)絡(luò)技術(shù)和安全技術(shù)的發(fā)展和系統(tǒng)使用的科學(xué)性。
平臺建設(shè)堅持三個策略:
“全”。即全源化采集,在現(xiàn)有數(shù)據(jù)采集來源的基礎(chǔ)上擴大數(shù)據(jù)采集范圍和采集數(shù)據(jù)類型,確保平臺數(shù)據(jù)來源的全面性。
“優(yōu)”。即整合優(yōu)勢產(chǎn)品,平臺選用的產(chǎn)品是從眾多安全廠商中優(yōu)中選優(yōu),確保平臺的先進性,并整合各安全設(shè)備管理能力,如等流量監(jiān)測引擎、威脅感知引擎、工具箱等設(shè)備可實現(xiàn)與平臺業(yè)務(wù)系統(tǒng)的無縫對接。
“實”。即實戰(zhàn)化應(yīng)用,平臺設(shè)計涵蓋監(jiān)測、態(tài)勢、通報、處置、情報、應(yīng)急指揮、攻防演練等功能,最大程度實現(xiàn)工作業(yè)務(wù)需求,形成工控安全態(tài)勢監(jiān)管業(yè)務(wù)閉環(huán),最大限度服務(wù)于實戰(zhàn)。
湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺是為省監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、實時監(jiān)測、通報預(yù)警、響應(yīng)處置、應(yīng)急指揮等,以及提供工業(yè)企業(yè)分類分級管理和綜合安全服務(wù)一體化的服務(wù)平臺。
平臺總體架構(gòu)設(shè)計遵照“分層解耦、異構(gòu)兼容”的原則,分為安全引擎層、安全中臺層和安全應(yīng)用層三個層次,各層級以及模塊之間的功能設(shè)計具有相對的獨立性,從而使得整個系統(tǒng)具有較高的擴展性。安全引擎層作為平臺的基礎(chǔ)能力層,安全中臺實現(xiàn)數(shù)據(jù)的采集處理、挖掘分析和提供統(tǒng)一的數(shù)據(jù)服務(wù),構(gòu)建數(shù)據(jù)驅(qū)動業(yè)務(wù)體系。安全應(yīng)用層通過建設(shè)滿足用戶的各類業(yè)務(wù)應(yīng)用,協(xié)助監(jiān)管部門開展工業(yè)互聯(lián)網(wǎng)安全的保衛(wèi)工作。
平臺總體架構(gòu)如下圖所示:
圖8-2 湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺架構(gòu)設(shè)計
平臺為監(jiān)管人員、企業(yè)人員和安全支撐機構(gòu)人員提供不同崗位視角的可視化安全態(tài)勢感知大屏,滿足不同角色需求,提供綜合態(tài)勢、預(yù)警態(tài)勢、隱患態(tài)勢、事件態(tài)勢、分類分級態(tài)勢、攻擊者溯源態(tài)勢、資產(chǎn)威脅溯源態(tài)勢和網(wǎng)絡(luò)星空態(tài)勢。
平臺基于微服務(wù)架構(gòu),結(jié)合用戶實際需求,分別為各級用戶實現(xiàn)各類應(yīng)用服務(wù)能力,平臺由可視化安全態(tài)勢感知、監(jiān)測預(yù)警與協(xié)同應(yīng)急、安全合規(guī)管理和綜合安全服務(wù),打造完整生態(tài),將各級監(jiān)管部門、安全支撐機構(gòu)、安全專家等人員聯(lián)合起來,一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。
安全中臺層包括安全數(shù)據(jù)中臺、安全業(yè)務(wù)中臺和安全能力中臺組成,為上層業(yè)務(wù)應(yīng)用提供安全數(shù)據(jù)服務(wù)、業(yè)務(wù)流程管理和安全能力服務(wù)。
(4)安全引擎層
基礎(chǔ)安全能力層為平臺運行和其他單位提供必要的基礎(chǔ)安全能力和數(shù)據(jù)來源,包括網(wǎng)絡(luò)資產(chǎn)測繪引擎、威脅檢測識別引擎、網(wǎng)絡(luò)攻擊誘捕引擎、網(wǎng)絡(luò)防御引擎、威脅情報管理引擎、云端安全監(jiān)測引擎、網(wǎng)站安全監(jiān)測引擎和安全檢查引擎等。
3.平臺技術(shù)路線
(1)分布式存儲技術(shù)
分布式存儲技術(shù)作為態(tài)勢感知系統(tǒng)最為重要與基礎(chǔ)的支撐技術(shù)。分布式存儲技術(shù)能夠?qū)崿F(xiàn)結(jié)構(gòu)化及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一存儲,兼容傳統(tǒng)的關(guān)系型數(shù)據(jù)庫以及SQL訪問模型,同時支持對海量數(shù)據(jù)的在線實時流式處理框架和離線分布式計算框架。分布式數(shù)據(jù)庫面向時序數(shù)據(jù)和小文件數(shù)據(jù)存儲進行深度優(yōu)化,支持第三方存儲引擎和傳統(tǒng)關(guān)系型數(shù)據(jù)庫的無縫接入;支持海量混合數(shù)據(jù)的統(tǒng)一存儲管理和在線離線一體化查詢;支持可插拔安全算法模塊和主流分布式計算框架;支持跨庫、跨源、異構(gòu)數(shù)據(jù)庫之間的跨庫訪問和關(guān)聯(lián)查詢,解決了多系統(tǒng)交互時對海量混合數(shù)據(jù)統(tǒng)一管控的問題;支持多源異構(gòu)混搭數(shù)據(jù)間基于規(guī)則導(dǎo)向的高可靠近實時數(shù)據(jù)同步。主要功能包括:
l 大數(shù)據(jù)采集存儲和分析處理。滿足采集海量數(shù)據(jù)儲存需要,如流量信息、設(shè)備狀態(tài)、鏈路狀態(tài)等,滿足大規(guī)模結(jié)構(gòu)化流式數(shù)據(jù)的并發(fā)能力、吞吐量、低時延的高要求。
l 分層架構(gòu)、模塊化設(shè)計、多場景支持。采用模塊化的設(shè)計思路,在數(shù)據(jù)訪問層、數(shù)據(jù)路由層和數(shù)據(jù)存儲層都提供多種高內(nèi)聚、低耦合的模塊,通過這些模塊的靈活搭配,分布式數(shù)據(jù)庫表現(xiàn)出不同的技術(shù)特征,從而能夠適應(yīng)不同的業(yè)務(wù)場景。
l 在線檢索和離線分析一體化。通過配置,分布式數(shù)據(jù)庫可同時支持高速數(shù)據(jù)寫入,在線交互訪問、實時查詢以及高并發(fā)大數(shù)據(jù)集查詢在內(nèi)的各種訪問方式,適應(yīng)在線檢索和離線分析等不同業(yè)務(wù)場景。
l 混合數(shù)據(jù)支持。分布式數(shù)據(jù)庫支持與傳統(tǒng)關(guān)系型數(shù)據(jù)庫Oracle、MySQL等聯(lián)合訪問。業(yè)務(wù)系統(tǒng)可以把部分表建在Oracle或MySQL上,把部分表建在分布式數(shù)據(jù)庫上,然后透明地訪問這些表,包括在這些表之間進行join、union等操作。
l 跨域、多數(shù)據(jù)中心支持。分布式數(shù)據(jù)庫在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集群之間近實時的跨域數(shù)據(jù)同步復(fù)制,實現(xiàn)系統(tǒng)的跨域多中心部署模式。總體處理性能,數(shù)據(jù)讀寫、掃描等,隨集群規(guī)模擴展線性增長。
l 分布式存儲形式主要基于通用/定制化的X86服務(wù)器提供存儲,可提供對象、文件和塊存儲,具備低成本、靈活擴容、高并發(fā)訪問等優(yōu)勢,通過軟件保障性能和可靠性。可作為資源池的分級存儲手段,滿足中低端存儲、數(shù)據(jù)歸檔備份、大數(shù)據(jù)存儲等需求。采用X86服務(wù)器和分布式塊存儲軟件技術(shù)的Server-SAN在I/O能力、部署速度和擴展性方面已驗證優(yōu)于傳統(tǒng)塊存儲技術(shù)(例如FC-SAN/IP-SAN)。
分布式存儲技術(shù)用于系統(tǒng)架構(gòu)的大數(shù)據(jù)組件當(dāng)中,使系統(tǒng)能夠?qū)崿F(xiàn)高效的數(shù)據(jù)采集和檢索能力。
(2)多源異構(gòu)數(shù)據(jù)融合技術(shù)
大數(shù)據(jù)分析的根本是數(shù)據(jù),針對高價值數(shù)據(jù)的分析往往事半功倍。然而測評領(lǐng)域大數(shù)據(jù)分析在數(shù)據(jù)方面所面對的現(xiàn)實問題總結(jié)下來主要分為以下三種形態(tài):
來源多:包含服務(wù)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)資源、數(shù)據(jù)交換獲得的私有數(shù)據(jù)資源、以及互聯(lián)網(wǎng)采集的數(shù)據(jù)資源,這些數(shù)據(jù)隨著業(yè)務(wù)的變化而變化。
組成亂:數(shù)據(jù)資源包含結(jié)構(gòu)化數(shù)據(jù),如MySQL、Oracle等等;半結(jié)構(gòu)化數(shù)據(jù):XML、CSV等等;以及非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)結(jié)構(gòu)亂、形式不一。
質(zhì)量碎:數(shù)據(jù)往往以孤島或碎片化的形式存在、缺少關(guān)聯(lián)、語義不明確甚至缺失。
面對上述問題,就需要一種能夠處理、整合多源異構(gòu)等復(fù)雜形態(tài)的數(shù)據(jù)歸一化模型,將不同形態(tài)、雜亂無章的數(shù)據(jù)整合成統(tǒng)一的樣式形態(tài)。同時,能夠基于該數(shù)據(jù)整合模型,以“人”、“事”、“物”等數(shù)據(jù)分析為主體、實現(xiàn)數(shù)據(jù)的大串聯(lián)、大融合,將原來孤立的“點”數(shù)據(jù)、“面”數(shù)據(jù)、“條”數(shù)據(jù)融合成為一定空間、時間范圍內(nèi)的“塊”數(shù)據(jù),做到價值的萃取,形成業(yè)務(wù)可用的大數(shù)據(jù)。
多源異構(gòu)的數(shù)據(jù)融合技術(shù)運用在系統(tǒng)的數(shù)據(jù)治理融合層,通過體系化的數(shù)據(jù)治理方法論結(jié)合基于模型驅(qū)動的數(shù)據(jù)治理技術(shù)用以提升數(shù)據(jù)質(zhì)量,便于數(shù)據(jù)分析建模的建立。
全文檢索技術(shù)是態(tài)勢感知系統(tǒng)的核心基礎(chǔ)功能,其基礎(chǔ)要求是根據(jù)搜索條件快速、準確的匹配命中數(shù)據(jù)對象,為安全分析人員提供高效準確的分析工具,以便能更加快速的發(fā)現(xiàn)安全風(fēng)險。因為大數(shù)據(jù)系統(tǒng)往往采用分布式存儲技術(shù),所以全文檢索技術(shù)的選擇必須能夠支持主流的分布式存儲系統(tǒng)。同時,分布式并行計算系統(tǒng)的支持也是在技術(shù)路線選擇中必須考慮的因素,需能夠做到對并行計算框架的無縫對接。由于測評系統(tǒng)的大數(shù)據(jù)分析功能對數(shù)據(jù)搜索準度、實時性與多樣性的要求,這就要求檢索技術(shù)需支持基于關(guān)鍵詞,數(shù)值范圍,日期范圍等各種復(fù)雜的搜索功能。
全文檢索技術(shù)采用倒排索引的結(jié)構(gòu)達到快速全文檢索的目的,倒排檢索是實現(xiàn)“單詞”-“文檔矩陣”的一種具體存儲形式,通過倒排索引可以更加快速的獲取包含這個單詞的文檔列表,倒排索引主要由兩個部分組成“單詞詞典”和“倒排文件”,具體結(jié)構(gòu)如下圖:
圖8-3 全文檢索技術(shù)架構(gòu)圖
全文檢索技術(shù)運用在安全監(jiān)測中,主要用于對監(jiān)測數(shù)據(jù)的檢索查詢,通過查詢安全分析人員能夠?qū)崿F(xiàn)對安全事件的細致分析,并將有效數(shù)據(jù)運用于模型建立當(dāng)中。
數(shù)據(jù)關(guān)聯(lián)分析即線索擴線,是一個從有限的數(shù)據(jù)線索向未知數(shù)據(jù)進行挖掘探索的過程。選用關(guān)聯(lián)分析可視化技術(shù)主要因為是:數(shù)據(jù)分析人員需要在各類數(shù)據(jù)庫中反復(fù)比對、查詢、線索串聯(lián)。運用可視化關(guān)聯(lián)分析技術(shù)能夠以圖形化界面、流暢交互操作等形式將枯燥的數(shù)據(jù)分析變得生動,能夠在很大程度上提高數(shù)據(jù)分析員的工作效率。在可視化技術(shù)選擇上,能夠突出數(shù)據(jù)關(guān)聯(lián)關(guān)系的特征,便于分析人員理解。同時,數(shù)據(jù)統(tǒng)計等可視化輔助功能能夠幫助分析員理解數(shù)據(jù)含義,提高工作效率。
通過數(shù)據(jù)清洗、要素提取融合,系統(tǒng)實現(xiàn)多要素多維度的關(guān)聯(lián)分析,從工控異常行為、工控惡意操作、僵尸網(wǎng)絡(luò)、木馬、蠕蟲、勒索軟件、漏洞攻擊、WEB攻擊、DDOS攻擊、惡意通聯(lián)關(guān)系、惡意樣本、惡意通信、惡意郵件、惡意域名、APT攻擊等安全事件入手,運用關(guān)聯(lián)分析技術(shù)完成態(tài)勢可視化展現(xiàn),構(gòu)建由微觀到宏觀的態(tài)勢分析,形成安全攻擊態(tài)勢變化的能力。
關(guān)聯(lián)分析可視化技術(shù)用于系統(tǒng)的數(shù)據(jù)分析層,主要作用是將多源異構(gòu)數(shù)據(jù)通過關(guān)聯(lián)分析模型串聯(lián)起來,找到各類數(shù)據(jù)源之間的關(guān)系,并通過可視化技術(shù)進行最終呈現(xiàn)。
在處理和分析互聯(lián)網(wǎng)事件時往往需要從海量的數(shù)據(jù)里查找有用的線索,這不但是存儲、索引、計算技術(shù)的挑戰(zhàn),具體分析工作也面臨著困難:呈現(xiàn)在列表式表格中的大量數(shù)據(jù),難以發(fā)現(xiàn)數(shù)據(jù)的模式、趨勢和關(guān)聯(lián)關(guān)系等分析重要要點。可視化就是用來解決這些問題的最佳方案。
目前已知的對人類認知最有效的方式就是通過視覺感知,相比其他的交流呈現(xiàn)方式,使用數(shù)據(jù)可視化來交流具有很多的優(yōu)勢,包括:
數(shù)據(jù)可視化能快速的進行復(fù)雜信息的交流:可視化在最小化數(shù)據(jù)細節(jié)特征損耗的同時,可以在數(shù)秒鐘快速呈現(xiàn)上百萬個點信息,非常適合與統(tǒng)計信息呈現(xiàn)。具體到本方案,對本地威脅態(tài)勢全局信息的展示就非常適合采用可視化的方法,可以快速的掌握趨勢、熱點等重要信息,對從全局把握網(wǎng)絡(luò)安全態(tài)勢有著不可替代的作用。
數(shù)據(jù)可視化能識別潛在模式:一些模式特征通過統(tǒng)計學(xué)方法或者掃描數(shù)據(jù)的方式難以發(fā)現(xiàn),卻可能通過可視化方法被揭示出來。而當(dāng)在可視化展示數(shù)據(jù)的時候,存在于單個變量中的模式或者多個變量之間的關(guān)聯(lián)關(guān)系就可以呈現(xiàn)出來。數(shù)據(jù)可視化的這個特點特別有利于在網(wǎng)絡(luò)事件調(diào)查過程中使用,通過一點線索,利用可視化分析方法,可以發(fā)現(xiàn)、呈現(xiàn)出更多和它有關(guān)聯(lián)的其它信息點,達到拓線,進而溯源事件的目的。
溯源分析可視化技術(shù)用于數(shù)據(jù)分析層,是態(tài)勢感知系統(tǒng)的一類重要分析技術(shù),主要用于對安全事件的追溯,通過溯源可視化分析方法幫助管理人員準確發(fā)現(xiàn)攻擊背后的真正意圖。
威脅情報的生成是一個復(fù)雜的過程,需要具備多種能力才有可能完成,一般可以分為如下圖這樣的八步:
圖8-4 威脅情況流程圖
? 數(shù)據(jù)收集:這是關(guān)鍵的一步,決定了產(chǎn)生的情報是否能最全面的覆蓋威脅,因此往往需要聚集多種不同來源的情報數(shù)據(jù)(包括但不限于樣本數(shù)據(jù)、黑客團伙相關(guān)數(shù)據(jù)、DNS相關(guān)數(shù)據(jù)、WHOIS相關(guān)數(shù)據(jù)、僵尸網(wǎng)絡(luò)相關(guān)數(shù)據(jù)等),以保證情報質(zhì)量。
? 數(shù)據(jù)清洗:將以上數(shù)據(jù)根據(jù)后續(xù)加工的需要進行整理、去除不可信數(shù)據(jù)、將關(guān)鍵數(shù)據(jù)結(jié)構(gòu)化等過程。
? 數(shù)據(jù)關(guān)聯(lián):數(shù)據(jù)關(guān)聯(lián)是數(shù)據(jù)驗證的前提條件,通過數(shù)據(jù)關(guān)聯(lián)梳理不同類型數(shù)據(jù)間的關(guān)系,如樣本、樣本不同方式的檢測分析結(jié)果、樣本的網(wǎng)絡(luò)行為、域名注冊者、域名指向的IP、IP上面的其它域名等。
? 驗證:通過建立了關(guān)聯(lián)關(guān)系的數(shù)據(jù),再利用機器學(xué)習(xí)的方式(有可能結(jié)合部分的人工分析)對情報的準確性進行驗證,并賦予相應(yīng)的可信度指標。這也是決定情報質(zhì)量關(guān)鍵的一步。
? 上下文:包括如攻擊類型、樣本家族、攻擊團伙、攻擊目地、傳播渠道、具體危害等報警響應(yīng)需要的內(nèi)容。
? 優(yōu)先級:根據(jù)攻擊目的、具體危害等信息,確定報警優(yōu)先等級信息;
? 格式化:根據(jù)分發(fā)的要求,將情報以特定的格式輸出,如:STIX、openIOC、JSON、xml等,非MRTI類型的情報還可能以PDF、word等類型提供。
? 情報分發(fā):根據(jù)不同類型情報的用途,可以推送給安全產(chǎn)品、打包供下載、或者郵件發(fā)送。
威脅情報生成技術(shù)使用在數(shù)據(jù)治理融合層和數(shù)據(jù)分析層,在數(shù)據(jù)治理融合層主要解決情報信息的收集、格式化、清洗及情報分發(fā)等問題,在數(shù)據(jù)分析層實現(xiàn)情報信息的驗證和關(guān)聯(lián)分析。
平臺數(shù)據(jù)庫設(shè)計基于海量數(shù)據(jù)采集、處理、存儲及分析挖掘需要,主要包括原始庫、主題庫、資源庫、知識庫和業(yè)務(wù)庫等。
原始庫數(shù)據(jù)為前端部署的威脅檢測識別引擎采集的流量數(shù)據(jù),數(shù)據(jù)結(jié)構(gòu)分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)類型主要包括應(yīng)用會話識別數(shù)據(jù)、應(yīng)用會話流量數(shù)據(jù)、網(wǎng)絡(luò)傳輸流量數(shù)據(jù)、應(yīng)用層流量數(shù)據(jù)、用戶登陸行為數(shù)據(jù)、流量審計數(shù)據(jù)和風(fēng)險告警數(shù)據(jù)等。
主題庫是融合各類原始數(shù)據(jù)、資源數(shù)據(jù)長期積累形成的多維數(shù)據(jù)的公共集合,具有數(shù)據(jù)規(guī)模量大,且頻繁更新等特點。支持通過實時計算和離線分析計算對數(shù)據(jù)執(zhí)行查詢、分析、映射、檢索等操作,支持實現(xiàn)海量數(shù)據(jù)規(guī)模下檢索的秒級響應(yīng)。數(shù)據(jù)類型主要包括單位畫像數(shù)據(jù)、系統(tǒng)畫像數(shù)據(jù)、IP畫像數(shù)據(jù)、失陷主機數(shù)據(jù)、黑客組織數(shù)據(jù)、重大漏洞數(shù)據(jù)、僵尸網(wǎng)站數(shù)據(jù)和非常規(guī)端口開放數(shù)據(jù)等。
資源庫是存儲各類數(shù)據(jù)資源建立的關(guān)鍵要素以及要素之間關(guān)聯(lián)關(guān)系的公共數(shù)據(jù)集合,包括單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、流量日志數(shù)據(jù)、隱患數(shù)據(jù)、告警數(shù)據(jù)、安全事件數(shù)據(jù)和其他外部數(shù)據(jù)等。
知識庫是指信息安全專業(yè)領(lǐng)域或與信息安全專業(yè)領(lǐng)域相關(guān)的特征知識數(shù)據(jù)和規(guī)則方法集合。一般通過管理手段、工作積累、第三方提供、機器學(xué)習(xí)等方式獲取。數(shù)據(jù)類型包括惡意IP數(shù)據(jù)、惡意域名數(shù)據(jù)、告警規(guī)則數(shù)據(jù)、重大漏洞等。
業(yè)務(wù)庫記錄業(yè)務(wù)過程,為上層業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐。數(shù)據(jù)為結(jié)構(gòu)化類型且數(shù)據(jù)規(guī)模不大,常用的應(yīng)用場景是查詢和關(guān)聯(lián)。主要包括通報預(yù)警業(yè)務(wù)數(shù)據(jù)、應(yīng)急指揮業(yè)務(wù)數(shù)據(jù)和管理評價業(yè)務(wù)數(shù)據(jù)等。
平臺縱向?qū)崿F(xiàn)與工業(yè)企業(yè)、國家平臺的數(shù)據(jù)貫通和業(yè)務(wù)協(xié)同,橫向?qū)崿F(xiàn)與各行業(yè)主管部門以及社會上從事網(wǎng)絡(luò)安全工作的企業(yè)單位的數(shù)據(jù)的數(shù)據(jù)共享交換和工作業(yè)務(wù)協(xié)同,并借助安全廠家的威脅情報數(shù)據(jù)能力,提升全省網(wǎng)絡(luò)安全監(jiān)管能力。為此需要提供自動化的數(shù)據(jù)接口、制定相關(guān)數(shù)據(jù)和接口標準規(guī)范,以實現(xiàn)數(shù)據(jù)的傳輸交換。
傳輸?shù)臄?shù)據(jù)類型主要包括:
ü 安全事件類數(shù)據(jù);
ü 安全隱患類數(shù)據(jù);
ü 網(wǎng)絡(luò)資產(chǎn)類數(shù)據(jù);
ü 業(yè)務(wù)處理類數(shù)據(jù)。
查詢及業(yè)務(wù)類的數(shù)據(jù)支持HTTP協(xié)議傳輸;
原始數(shù)據(jù)的交換共享支持kafka和syslog等方式進行大流量網(wǎng)絡(luò)傳輸;
若有特定的傳輸需求,支持通過協(xié)商的方式進行其他協(xié)議或組件進行數(shù)據(jù)傳輸。
平臺縱向?qū)崿F(xiàn)與工業(yè)企業(yè)和國家平臺的數(shù)據(jù)共享,橫向?qū)崿F(xiàn)與行業(yè)主管單位的數(shù)據(jù)共享,并通過全面采集接入全省網(wǎng)絡(luò)安全監(jiān)管數(shù)據(jù)和第三方安全廠商威脅情報數(shù)據(jù),形成平臺數(shù)據(jù)存儲中心。
圖8-5 數(shù)據(jù)共享交換圖
4.平臺建設(shè)內(nèi)容
湖南省工業(yè)信息安全公共服務(wù)平臺是為湖南省工信廳工業(yè)信息安全監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、安全監(jiān)測、通報預(yù)警、響應(yīng)處置、應(yīng)急指揮等,以及提供工業(yè)企業(yè)安全合規(guī)管理和綜合安全支撐服務(wù)一體化的服務(wù)平臺。
? 工業(yè)企業(yè)數(shù)據(jù)采集
多源異構(gòu)日志數(shù)據(jù)采集
對主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和虛擬化系統(tǒng)等設(shè)備異構(gòu)日志進行全面采集,實現(xiàn)資產(chǎn)日志數(shù)據(jù)統(tǒng)一管理。同時為滿足日志數(shù)據(jù)共享需求,提供收集日志轉(zhuǎn)發(fā),當(dāng)原始日志設(shè)備無法設(shè)置多個日志服務(wù)器時,可通過本系統(tǒng)進行日志轉(zhuǎn)發(fā)將日志轉(zhuǎn)發(fā)到其他日志存儲設(shè)備。
異構(gòu)日志數(shù)據(jù)采集覆蓋Syslog、SNMP、OPSec、XML、FTP及本地文件等多種協(xié)議,對安全對象屬性、運行狀態(tài)、安全事件、評估與檢測等異構(gòu)數(shù)據(jù)進行采集,針對不同類型數(shù)據(jù)能夠自動適配協(xié)議。同時為提升采集性能,降低數(shù)據(jù)冗余噪音,可自定義配置日志過濾功能,對采集的重復(fù)日志進行自動聚合歸并,減少日志量。
全流量數(shù)據(jù)采集
對網(wǎng)絡(luò)流量數(shù)據(jù)進行采集,并將捕獲的通信數(shù)據(jù)轉(zhuǎn)換為數(shù)據(jù)分組報文格式遞交給上層組件,作為上層特征檢測引擎分析處理的原始數(shù)據(jù)。通過雙向流量檢測對網(wǎng)絡(luò)流量行為進行判定(例如數(shù)據(jù)報文惡意特征匹配、資源使用情況、使用者的訪問行為等),識別病毒、木馬、敏感信息等異常行為。
? 威脅情報數(shù)據(jù)采集
提供云端采集、接口采集、本地累計以及本地導(dǎo)入共4種方式進行威脅情報采集和累計。
云端采集
提供針對外界的威脅情報采集、展示和利用功能。
接口同步
支持動態(tài)采集開源威脅情報,也可以采集第三方商用威脅情報,至少提供一家商業(yè)威脅情報廠家接口;
提供豐富的云端采集更新接口,支持安恒自身威脅情報庫、第三方商用威脅情報庫以及開源的威脅情報庫,網(wǎng)絡(luò)威脅情報包含惡意IP、URL、Domain、Email等。
本地威脅情報積累設(shè)計
支持將本地發(fā)現(xiàn)的安全事件和惡意IP、域名、文件、釣魚網(wǎng)站、E-MAIL等事件轉(zhuǎn)化為威脅情報。
本地導(dǎo)入
支持通過本地離線包導(dǎo)入情報,支持通過使用離線威脅情報數(shù)據(jù)包更新情報數(shù)據(jù)。
? 網(wǎng)絡(luò)空間掃描探測數(shù)據(jù)采集
采用云端網(wǎng)絡(luò)空間資產(chǎn)探測雷達對全省網(wǎng)絡(luò)資產(chǎn)進行偵測以及漏洞掃描和分析趨勢分析,快速識別全省以公網(wǎng)IP接入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備、工控設(shè)備、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的存活情況、開放端口、組件等信息。通過對互聯(lián)網(wǎng)資產(chǎn)、郵箱資產(chǎn)、監(jiān)控設(shè)備資產(chǎn)、工控設(shè)備資產(chǎn)等各類資產(chǎn)進行探測,識別其指紋信息、漏洞信息以及可能受攻擊情況,摸清全省資產(chǎn)底數(shù),為監(jiān)測、預(yù)警、溯源等提供基礎(chǔ)數(shù)據(jù)支撐。
? 現(xiàn)場檢查數(shù)據(jù)采集
現(xiàn)場檢查數(shù)據(jù)是通過工業(yè)控制系統(tǒng)安全檢查工具箱對企業(yè)進行安全檢查過程中所采集的數(shù)據(jù),主要包括企業(yè)安全合規(guī)自查數(shù)據(jù)、資產(chǎn)漏洞、流量分析、配置核查、惡意代碼等檢查數(shù)據(jù)。
采用離線采集方式,將工業(yè)控制系統(tǒng)安全檢查工具箱的檢查數(shù)據(jù)導(dǎo)出后,再通過工業(yè)企業(yè)分類分級模塊的進行數(shù)據(jù)導(dǎo)入,以完成采集動作。
? 第三方平臺數(shù)據(jù)采集
鑒于本地監(jiān)測存在單點監(jiān)測的局限性和高級威脅監(jiān)測的不足,平臺將接入第三方威脅情報數(shù)據(jù),按一定的時間規(guī)則推送到本地平臺大數(shù)據(jù)中心,并利用大數(shù)據(jù)平臺機器學(xué)習(xí)能力,結(jié)合互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為進行實時追蹤分析以及事前預(yù)測。
? 數(shù)據(jù)采集管理
采集部署
數(shù)據(jù)采集引擎實現(xiàn)個性化數(shù)據(jù)采集,支持配置不同采集策略,如動態(tài)配置采集周期,清洗過濾策略等。采集部署支持如下功能:
? 支持分布式多節(jié)點部署;
? 支持多采集節(jié)點存活、健康狀態(tài)監(jiān)控,發(fā)現(xiàn)節(jié)點異常后,及時告警;
? 支持對采集節(jié)點進行性能監(jiān)控,保證采集性能與數(shù)據(jù)量匹配,防止數(shù)據(jù)丟失;
? 支持對采集策略進行管理,包括采集頻率、采集協(xié)議、采集目標、過濾策略等;
? 支持流量數(shù)據(jù)鏡像采集,支持在多個機房交換機上復(fù)制鏡像,分布式部署分光器和DPI進行采集,并將多余接口關(guān)閉;
? 支持主機終端數(shù)據(jù)采集,支持數(shù)據(jù)庫審計分析數(shù)據(jù)采集;
? 支持數(shù)據(jù)匯聚,綜合考慮專網(wǎng)傳輸性能的基礎(chǔ)上,滿足將多個機房采集到的數(shù)據(jù)傳輸匯聚。
采集協(xié)議和頻率管理
適配各種采集數(shù)據(jù)源,需要支持多種采集協(xié)議,以實現(xiàn)對各類數(shù)據(jù)的采集,包括不限于安全對象屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)。為實現(xiàn)對包括安全對象的屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)的采集,針對不同類型的數(shù)據(jù)以及對應(yīng)的適配協(xié)議
(2)平臺安全中臺建設(shè)方案
安全中臺層包括安全數(shù)據(jù)中臺、安全能力中臺和安全業(yè)務(wù)中臺。
? 安全數(shù)據(jù)中臺設(shè)計
安全數(shù)據(jù)中臺實現(xiàn)對所有監(jiān)管數(shù)據(jù)、威脅情報庫數(shù)據(jù)的整合、歸檔、應(yīng)用以及對上層提供數(shù)據(jù)服務(wù)能力;包括安全大數(shù)據(jù)中心和安全大數(shù)據(jù)分析引擎兩部分。其中,安全大數(shù)據(jù)中心主要提供數(shù)據(jù)集成、數(shù)據(jù)管理、數(shù)據(jù)目錄等功能,通過統(tǒng)一的數(shù)據(jù)接口為上層提供數(shù)據(jù)服務(wù)。安全大數(shù)據(jù)分析包括實時分析、離線分析,為上層提供統(tǒng)一的安全大數(shù)據(jù)分析能力。
架構(gòu)設(shè)計
安全數(shù)據(jù)中臺的總體目標是建設(shè)一個完善的信息資源共享服務(wù)技術(shù)體系,建立信息共享的標準和規(guī)范,為平臺上層業(yè)務(wù)應(yīng)用提供統(tǒng)一、開放、標準、完整的信息資源服務(wù);全面開展內(nèi)外部數(shù)據(jù)歸集、整合、重新組織、共享等工作,建立完整的信息共享資源目錄和信息資源服務(wù)能力;提供統(tǒng)一的大數(shù)據(jù)處理服務(wù)能力,提升信息資源服務(wù)能力,解決平臺對海量數(shù)據(jù)的深度挖掘、分析、應(yīng)用的迫切需求。大數(shù)據(jù)服務(wù)平臺是基于平臺建設(shè),以服務(wù)應(yīng)用為根本目標,建立信息資源服務(wù)能力和大數(shù)據(jù)處理能力,實現(xiàn)數(shù)據(jù)集成、數(shù)據(jù)整理、數(shù)據(jù)共享、數(shù)據(jù)分析等數(shù)據(jù)處理及服務(wù)能力。
功能架構(gòu)
安全數(shù)據(jù)中臺遵從數(shù)據(jù)安全和數(shù)據(jù)標準的規(guī)范,并按照數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)治理、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)服務(wù)和數(shù)據(jù)運維幾個方面進行有機結(jié)合。全方位打造集“采集”、“融合”、“服務(wù)”于一體的數(shù)據(jù)服務(wù)平臺。
圖8-6 安全數(shù)據(jù)中臺功能架構(gòu)圖
技術(shù)架構(gòu)
大數(shù)據(jù)中心是大數(shù)據(jù)存儲和計算的基礎(chǔ),對外提供統(tǒng)一的各類型數(shù)據(jù)存儲、計算、分析等能力,可滿足多源異構(gòu)海量數(shù)據(jù)存儲、查詢、計算。
數(shù)據(jù)采集包括實時采集、自定義接口采集和離線采集,支持各類數(shù)據(jù)源數(shù)據(jù)
接入,如日志數(shù)據(jù)、流量還原數(shù)據(jù)、syslog數(shù)據(jù)及用戶自定義數(shù)據(jù)等。
數(shù)據(jù)預(yù)處理實現(xiàn)數(shù)據(jù)消息緩存和ETL。
數(shù)據(jù)存儲實現(xiàn)外部數(shù)據(jù)保存至大數(shù)據(jù)服務(wù)平臺。數(shù)據(jù)存儲需支持結(jié)構(gòu)化數(shù)據(jù)、
半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)等多種數(shù)據(jù)類型。數(shù)據(jù)存儲中包含兩大主要部分,非結(jié)構(gòu)化存儲系統(tǒng)、半/結(jié)構(gòu)化存儲系統(tǒng)。
安全大數(shù)據(jù)分析引擎實現(xiàn)安全數(shù)據(jù)中臺的計算功能。數(shù)據(jù)計算能夠?qū)λ幸驯4娴臄?shù)據(jù)進行計算,并且提供相應(yīng)的計算調(diào)用接口,能夠滿足外部分析系統(tǒng)的調(diào)用。數(shù)據(jù)計算中包含實時流分析和離線分析兩部分。
運維管理包括大數(shù)據(jù)管理系統(tǒng)和大數(shù)據(jù)交互系統(tǒng),支持數(shù)據(jù)平臺的所有組件集中安裝、部署。支持對數(shù)據(jù)平臺各個組件的配置管理、動態(tài)調(diào)整配置實時生效。
圖8-7 安全數(shù)據(jù)中臺技術(shù)架構(gòu)圖
? 安全業(yè)務(wù)中臺設(shè)計
構(gòu)建工作流引擎,快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務(wù)流程:一是可以通過引擎完成業(yè)務(wù)流程的節(jié)點編排,支持用戶完成通報、預(yù)警、通知、檢查等業(yè)務(wù)流程的構(gòu)建;二是通過引擎對參與到業(yè)務(wù)流程的用戶權(quán)限進行合理的配置,包括審核權(quán)、回退權(quán)、處置權(quán)、辦結(jié)權(quán)等,需能通過引擎合理的進行賦權(quán),且支持用戶級的權(quán)限變更和刪除;三是通過引擎將流程與資源庫、業(yè)務(wù)庫中的相關(guān)表單進行關(guān)聯(lián),并通過引擎支撐業(yè)務(wù)流程中掛載業(yè)務(wù)、處置表單的自定義,完成業(yè)務(wù)數(shù)據(jù)和流程的動態(tài)結(jié)合,真正將流程與業(yè)務(wù)緊密捆綁。
隨著工信安全業(yè)務(wù)的快速發(fā)展,通報、預(yù)警、檢查等業(yè)務(wù)流程越來越精細化、人性化,其相關(guān)的流程、表單也不斷在進行迭代優(yōu)化,因此在這種快速發(fā)展的環(huán)境下,需要有一套工作流引擎高效、人性化地支撐變化的業(yè)務(wù)。
需要構(gòu)建工作流引擎,快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務(wù)流程,滿足以下三方面:一是可以通過引擎完成業(yè)務(wù)流程的節(jié)點編排,支持用戶完成通報、預(yù)警、通知、檢查等業(yè)務(wù)流程的構(gòu)建;二是通過引擎對參與到業(yè)務(wù)流程的用戶權(quán)限進行合理的配置,包括審核權(quán)、回退權(quán)、處置權(quán)、辦結(jié)權(quán)等,需能通過引擎合理的進行賦權(quán),且支持用戶級的權(quán)限變更和刪除;三是通過引擎將流程與資源庫、業(yè)務(wù)庫中的相關(guān)表單進行關(guān)聯(lián),并通過引擎支撐業(yè)務(wù)流程中掛載業(yè)務(wù)、處置表單的自定義,完成業(yè)務(wù)數(shù)據(jù)和流程的動態(tài)結(jié)合,真正將流程與業(yè)務(wù)緊密捆綁實現(xiàn)用戶的管理需求。
自動化辦公引擎
工信安全管理業(yè)務(wù)中涉及到安全專家、安全管理員、安全審核員、安全聯(lián)絡(luò)員等眾多角色和人員,這些角色需要參與到不同流程的不同環(huán)節(jié)中,為了提升業(yè)務(wù)流程的處置時效性,需要實現(xiàn)業(yè)務(wù)的多端發(fā)起、多端觸達和匯聚呈現(xiàn),需求通過相應(yīng)引擎使得業(yè)務(wù)多端自動流轉(zhuǎn)貫通。
需要構(gòu)建自動化辦公引擎,實現(xiàn)業(yè)務(wù)的多端通信、匯聚,滿足以下兩方面:一是通過引擎將PC端和移動端發(fā)起的業(yè)務(wù)自動的向另一端實時同步,滿足用戶隨時通過移動端發(fā)起、辦理相應(yīng)業(yè)務(wù)的需求;二是需求通過引擎從平臺所有業(yè)務(wù)模塊中獲取當(dāng)前用戶待辦事宜,提供給PC端或者移動端的門戶頁面,支持客戶在一個頁面中就能完整的了解當(dāng)前待辦事務(wù),提升處置效率。
工信在應(yīng)急活動保障期間和重大事件應(yīng)急處置中需要快速的傳達信息到相應(yīng)的值班專家、安全管理員處,因此需要制定相應(yīng)的值班排班表,并根據(jù)排班表進行高效的人員調(diào)度。
需要構(gòu)建值班排班調(diào)度引擎,實現(xiàn)以下功能:一是通過引擎,支持用戶在相應(yīng)重保活動或應(yīng)急處置保障期間,對安全專家等角色的值班工作進行排班,且自動化的通知到相關(guān)人員;二是通過引擎,自動向相應(yīng)業(yè)務(wù)流程發(fā)布排班信息,使得值班期間相應(yīng)業(yè)務(wù)可自動派單值值班人員;三是支持通過引擎調(diào)度短信網(wǎng)關(guān)、移動端應(yīng)用通知等通知通道,將值班安排、業(yè)務(wù)流程等第一時間送達相應(yīng)的用戶處;四是支持引擎將平臺用戶登錄、操作情況與值班表自動進行匹配、關(guān)聯(lián),定期生成值班分析報告,供用戶進行后續(xù)工作考評和優(yōu)化。
工信安管工作由眾多角色、廠商參與支撐,旨在推進了轄區(qū)內(nèi)被監(jiān)管單位提升網(wǎng)絡(luò)安全工作質(zhì)量。為了對平臺人員/廠商的支撐績效進行科學(xué)合理的評價,同時也對轄區(qū)內(nèi)被監(jiān)管單位的網(wǎng)絡(luò)安全工作效果進行評估,需要績效管理引擎進行自動化的初始績效輸出。
績效管理引擎需要實現(xiàn)以下功能:一是通過引擎,可以對平臺內(nèi)已有的資源庫、業(yè)務(wù)庫中的相應(yīng)指標項進行提取,支持用戶結(jié)合實際績效考核方案對指標進行自由的遴選、組合,進而生成符合工作實際場景的績效評價表和評價方案;二是確定評價表和評價方案后,通過引擎周期性或按指令對全平臺相應(yīng)數(shù)據(jù)進行采集、統(tǒng)計、核算,并自動統(tǒng)分,輸出相應(yīng)的績效報告;三是支持客戶對平臺外的數(shù)據(jù)進行錄入后作為績效考核項,進而更加全面、科學(xué)的給出績效報告。
? 安全能力中臺設(shè)計
安全能力中臺包括安全能力中心和安全能力管理,可將各種安全能力服務(wù)化,形成安全服務(wù)目錄,實現(xiàn)安全資源的靈活調(diào)度,從而對基礎(chǔ)安全能力進行統(tǒng)一管理。安全能力中心約定系統(tǒng)建設(shè)的安全能力目錄,包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。安全能力管理約定系統(tǒng)建設(shè)的安全能力調(diào)度和實用能力,例如能力編排、能力調(diào)度、策略管理以及場景管理功能。
架構(gòu)設(shè)計
安全能力中心約定本次建設(shè)的安全能力目錄,包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。
安全能力管理約定了建設(shè)的安全能力調(diào)度和實用能力,包括能力編排、能力調(diào)度、策略管理以及場景管理功能。
圖8-8 安全能力中臺功能架構(gòu)圖
安全檢測能力
安全檢測能力主要包括基礎(chǔ)安全能力中的威脅識別能力、關(guān)聯(lián)檢測能力接入和統(tǒng)一管理。主要依賴安全基礎(chǔ)安全能力中的資產(chǎn)發(fā)現(xiàn)識別、漏洞掃描和深度流量威脅檢測等產(chǎn)品來實現(xiàn)多維安全檢測能力。
通過對各種安全基礎(chǔ)安全能力的封裝和編排,終端、邊界等實體防護對象提供安全檢測服務(wù),快速發(fā)現(xiàn)已知和未知的安全威脅。安全檢測能力能夠通過安全能力管理對安全檢測能力管理、數(shù)據(jù)分析、規(guī)則管理、安全基礎(chǔ)資源管理實現(xiàn)自動化編排和協(xié)同聯(lián)動。
安全檢測能力結(jié)合大數(shù)據(jù)相關(guān)技術(shù)和智能算法,從資產(chǎn)角度出發(fā),重點關(guān)注資產(chǎn)管理,提供基線核查配置,并結(jié)合多種角度維度分析攻擊,全局化地安全態(tài)勢感知能力,智能感知攻擊中的安全事件,為用戶信息系統(tǒng)安全識別、威脅檢測和安全業(yè)務(wù)管理提數(shù)據(jù)支撐。
智能安全分析能力
智能安全分析能力主要包括流量關(guān)聯(lián)分析、情報碰撞分析、攻擊畫像和原始日志檢索。
態(tài)勢感知能力
態(tài)勢感知能力主要在全局監(jiān)測數(shù)據(jù)、檢測數(shù)據(jù)、智能分析數(shù)據(jù)等多維數(shù)據(jù)的綜合態(tài)勢分析之上,形成綜合態(tài)勢、攻擊態(tài)勢、威脅態(tài)勢、預(yù)警態(tài)勢等多種態(tài)勢感知能力。
風(fēng)險隱患調(diào)查能力
隱患調(diào)查功能是安全監(jiān)測的核心功能,實現(xiàn)獨立的安全事件采集、分析和集中管理功能。主要提供如下功能:
安全設(shè)備告警事件管理。為用戶提供集中的安全設(shè)備告警事件管理功能,支持事件分析和處置及誤報標記;
風(fēng)險隱患統(tǒng)計。提供以資產(chǎn)維度和攻擊鏈維度的安全事件統(tǒng)計功能,支持根據(jù)資產(chǎn)和攻擊鏈進行事件檢索和攻擊影響范圍分析;
風(fēng)險隱患溯源。提供安全事件一鍵溯源和關(guān)聯(lián)攻擊鏈功能,可關(guān)聯(lián)威脅情報、安全告警、安全原始數(shù)據(jù)上下文等信息,極大的方便安全事件調(diào)查和分析;
資產(chǎn)管理調(diào)查。提供以資產(chǎn)為維度的安全威脅調(diào)查,以攻擊鏈的方式展示資產(chǎn)受攻擊的過程和正處于的被攻擊狀態(tài);提供的調(diào)查維度包括資產(chǎn)間訪問關(guān)系、行為畫像、服務(wù)/請求的端口以及弱點等信息;
攻擊知識圖譜調(diào)查。提供通過全流量數(shù)據(jù)生產(chǎn)的企業(yè)網(wǎng)絡(luò)安全攻擊知識圖譜,為用戶提供單個資產(chǎn)為視角出發(fā)的攻擊知識圖譜和全網(wǎng)絡(luò)的攻擊圖譜,支持圖譜的向下鉆取和關(guān)系擴展, 圖譜信息包括攻擊鏈階段、協(xié)議、端口等信息。
安全能力管理
基于構(gòu)建的能力體系,通過劇本編排,對分析、響應(yīng)處置過程中各種復(fù)雜的分析流程和處理平臺進行整合,形成自動化的能力集成,實現(xiàn)從靜態(tài)事件響應(yīng)到動態(tài)工作流跟蹤的轉(zhuǎn)變,提升整體的協(xié)調(diào)及決策能力。
劇本以原始數(shù)據(jù)或安全事件作為輸入,結(jié)合統(tǒng)計分析以及統(tǒng)計模型、情報模型、關(guān)聯(lián)模型進行分析,并實現(xiàn)追蹤溯源、聯(lián)動阻斷等響應(yīng)動作,最終上報監(jiān)控單位并通知管理員。具體流程如下圖所示:
圖7 能力編排流程圖
(3)平臺業(yè)務(wù)應(yīng)用建設(shè)方案
平臺基于微服務(wù)架構(gòu),結(jié)合用戶實際需求,分別為各級用戶實現(xiàn)各類應(yīng)用服務(wù)能力,平臺由于三個業(yè)務(wù)應(yīng)用模塊構(gòu)成,分別是工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預(yù)警與協(xié)同應(yīng)急業(yè)務(wù)應(yīng)用、安全支撐綜合服務(wù)業(yè)務(wù)應(yīng)用和企業(yè)合規(guī)管理業(yè)務(wù)應(yīng)用,打造完整生態(tài),將企業(yè)、安全廠商、監(jiān)管機構(gòu)聯(lián)合起來,一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。
? 監(jiān)測預(yù)警與協(xié)同應(yīng)急
監(jiān)測預(yù)警與協(xié)同應(yīng)急為工業(yè)互聯(lián)網(wǎng)企業(yè)監(jiān)管部門提供一套具備工業(yè)互聯(lián)網(wǎng)企業(yè)安全數(shù)據(jù)采集、數(shù)據(jù)處理、存儲、分析,以及對安全事件實時監(jiān)測、通報、預(yù)警、處置的一體化解決方案。主要業(yè)務(wù)應(yīng)用包括實時監(jiān)測、態(tài)勢感知、分析研判、通報預(yù)警、威脅情報、應(yīng)急指揮等,全面提高工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測、預(yù)警與應(yīng)急響應(yīng)水平。
實時監(jiān)測
實時監(jiān)測針對工控系統(tǒng)、工控設(shè)備、服務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、終端、物聯(lián)網(wǎng)設(shè)備等在線網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進行掃描探測和統(tǒng)一管理,摸清區(qū)域資產(chǎn)底數(shù)。及時發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊、風(fēng)險隱患、安全事件以及網(wǎng)絡(luò)資產(chǎn)。實時臨測主要包括驗證中心、成果中心、搜索中心和監(jiān)測任務(wù)中心。
圖8-9 實時監(jiān)測界面
分析研判
分析研判利用大數(shù)據(jù)關(guān)聯(lián)分析技術(shù),結(jié)合機器學(xué)習(xí)算法,自動對流量、情報、攻擊等數(shù)據(jù)進行分析;分析研判提供對平臺匯總的各類監(jiān)測服務(wù)威脅信息的專家核驗功能。并為威脅分析人員提供包括情報關(guān)聯(lián)分析和模型算法分析功能。為平臺業(yè)務(wù)人員提供各類統(tǒng)計分析能力和模型,可實現(xiàn)基于平臺威脅告警信息和統(tǒng)計分析模型生成的預(yù)警信息,為湖南省網(wǎng)絡(luò)安全預(yù)警業(yè)務(wù)提供基礎(chǔ)能力,主要包括模型中心、追蹤溯源、可視化中心、報告中心和知識庫。
圖8-10 分析研判界面
威脅情報
威脅情報是一種基于證據(jù)的知識,包含了上下文、機制、指示標記、啟示和可行的建議。威脅情報描述了現(xiàn)存的或者是即將出現(xiàn)針對網(wǎng)絡(luò)資產(chǎn)的威脅,并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。高級威脅尤其APT攻擊手法隱蔽,危害巨大,主要針對掌握有重要數(shù)據(jù)和信息的特定人群,攻擊一經(jīng)發(fā)生就會導(dǎo)致國家重要價值資產(chǎn)的泄密流失,而且后續(xù)定位、追查、定性都會遇到技術(shù)難度。高級威脅情報可以對APT攻擊事件的定位、發(fā)現(xiàn)、定性、溯源提供良好的支撐,可以強化安全保障部門對各個重點保護企業(yè)的監(jiān)控力度和防護強度。
圖8-11 威脅情報界面
通報預(yù)警
通報預(yù)警提供對安全事件、風(fēng)險進行及時預(yù)警、通報和處置的功能。當(dāng)監(jiān)測到工業(yè)控制系統(tǒng)存在重大風(fēng)險隱患,或產(chǎn)生重大安全事件時,通過平臺進行通報,被通報的工業(yè)企業(yè)按期反饋處置結(jié)果。平臺需具備多種通報方式,包括釘釘、短信和郵件等。在發(fā)生嚴重情況時,可立即通過短信、釘釘?shù)确绞竭M行通報;當(dāng)系統(tǒng)監(jiān)測到輕微安全隱患時,可進行預(yù)警提醒或限期整改,被通報單位須及時反饋處置結(jié)果。
圖8-12 通報預(yù)警界面
應(yīng)急指揮基于掛圖作戰(zhàn)理念,基于GIS系統(tǒng)的可視化特性,同業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)對接,通過直觀圖形化點擊拖拽等方式支撐各級單位、人員的活動監(jiān)控和應(yīng)急指揮兩個應(yīng)用場景。其中活動監(jiān)控是通過可視化技術(shù)直觀展示活動的實時情況,包含:當(dāng)前活動的進度,活動的資源、活動的威脅情況、活動的值守情況、活動的各項業(yè)務(wù)開展情況等信息。應(yīng)急指揮將活動要素在地圖上展示,在發(fā)生突發(fā)事件時,支持指揮中心“掛圖作戰(zhàn)”,依據(jù)地圖展示的資源來對事件的處置。
圖8-13 應(yīng)急指揮界面
態(tài)勢感知
態(tài)勢感知中心提供網(wǎng)絡(luò)安全威脅可視化的入口,基于平臺獲取的各類監(jiān)測數(shù)據(jù)及日常業(yè)務(wù)流轉(zhuǎn)產(chǎn)生的業(yè)務(wù)數(shù)據(jù),以網(wǎng)絡(luò)安全事件與威脅風(fēng)險監(jiān)測為驅(qū)動,對網(wǎng)絡(luò)空間安全相關(guān)信息進行匯聚融合,從不同視角感知網(wǎng)絡(luò)安全態(tài)勢。
態(tài)勢感知系統(tǒng)以單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全事件與威脅風(fēng)險監(jiān)測為驅(qū)動,基于多維態(tài)勢可視化技術(shù),對網(wǎng)絡(luò)空間安全相關(guān)信息進行匯聚融合,從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢。
圖8-14 態(tài)勢感知界面
? 工業(yè)企業(yè)安全合規(guī)管理
工業(yè)企業(yè)安全合規(guī)管理,首先可以服務(wù)于參與分類分級工作的主管部門、工業(yè)互聯(lián)網(wǎng)企業(yè)和工業(yè)互聯(lián)網(wǎng)安全評估機構(gòu)等用戶,功能覆蓋工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級工作的全部環(huán)節(jié),提供企業(yè)定級管理、合規(guī)自查、風(fēng)險評估、安全整改和檔案管理等相關(guān)功能。其次可滿足工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級工作信息化管理要求,將各參與方的工作納入規(guī)范流程中,并做到工作留痕,推進相關(guān)工作的規(guī)范化、常態(tài)化、便捷化。
定級管理
根據(jù)《管理指南》要求,工業(yè)互聯(lián)網(wǎng)企業(yè)需要開展自主定級工作,主管部門需要定期對工業(yè)互聯(lián)網(wǎng)企業(yè)開展抽查,指導(dǎo)企業(yè)準確定級,為主管部門更好指導(dǎo)企業(yè)準確定級,分類分級業(yè)務(wù)應(yīng)用提供定級核查功能,主管部門可對工業(yè)互聯(lián)網(wǎng)企業(yè)提交的自主定級信息進核查,并將核查情況反饋給工業(yè)互聯(lián)網(wǎng)企業(yè)。同時,針對已定級的企業(yè)提供定級清單管理及統(tǒng)計分析功能,主管部門可掌握管轄范圍內(nèi)工業(yè)互聯(lián)網(wǎng)企業(yè)定級情況。
圖8-15 定級管理概況界面
安全合規(guī)自查
監(jiān)管部門定期對企業(yè)開展合規(guī)自查工作,便于落實與自身安全級別相適應(yīng)的防護措施。提供符合性管理和企業(yè)安全自評估功能。
圖8-16 企業(yè)合規(guī)自查界面
符合性評估任務(wù)管理
符合性評估任務(wù)管理為監(jiān)管部門提供對工業(yè)企業(yè)的在線評估工作,評估內(nèi)容主要依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護規(guī)范》、《工業(yè)互聯(lián)網(wǎng)平臺企業(yè)安全防護規(guī)范》和《工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)安全防護規(guī)范》開展對企業(yè)的符合性評估工作。
監(jiān)管部門通過從基礎(chǔ)庫調(diào)用符合性評估模板建立評估任務(wù),可從企業(yè)定級清單中先擇要評估的對象,根據(jù)不同的企業(yè)類型和級別對企業(yè)進行在線下發(fā)評估任務(wù),可選擇評估任務(wù)的跟蹤人,包括監(jiān)管部門、安全支撐單位;能夠?qū)υu估任務(wù)的保存、下發(fā)和刪除,以及任務(wù)的狀態(tài)跟蹤;能夠?qū)Ψ赖娜蝿?wù)設(shè)置限時完成評估的時間;能夠?qū)ζ髽I(yè)名稱、任務(wù)跟蹤人等進行查詢。
企業(yè)用戶接收到任評任務(wù)后,按時間要求進行評估,評估后可自動生成評估報告并提供下載功能,該報告也同時會展示給監(jiān)管部門提供查看與下載。
安全自評估
安全自評估是提供給企業(yè)進行自我評估的方法,自我評估的結(jié)果不會上傳給監(jiān)管部門用戶,目的是讓企業(yè)能夠通過自評估發(fā)現(xiàn)自身存在的問題,做好提前整改的工作。
安全自評估為企業(yè)提供自評估模板,企業(yè)可根據(jù)自身企業(yè)類型和等級選擇評估模板進行自查,同時提供自評估的進度狀態(tài)、結(jié)果和報告查看與下載功能。
圖8-17 安全自評估界面
風(fēng)險評估
工業(yè)企業(yè)應(yīng)基于工業(yè)互聯(lián)網(wǎng)安全相關(guān)標準,定期開展評估評測工作,便于落實與自身安全級別相適應(yīng)的防護措施。分類分級業(yè)務(wù)應(yīng)用提供對企業(yè)的安全估計管理,安全評估用于監(jiān)管部門開展對企業(yè)的風(fēng)險評估與情況上報上給主管部門。
監(jiān)管部門通過下發(fā)安全評估任務(wù),實現(xiàn)對各企業(yè)的安全評估工作,安全評估是通過評估對使用的安全評估工具開展對企業(yè)的評估工作,當(dāng)完成評估工作后,可將評估數(shù)據(jù)上傳至平臺,監(jiān)管部門查看報告,如果報告查看不滿足安全要求,則要求企業(yè)限期整改,同時支持對企業(yè)整改工作的跟蹤工作。
圖8-18 風(fēng)險評估界面
安全整改
工業(yè)企業(yè)根據(jù)監(jiān)管部門安全檢查和評估工作過程中發(fā)現(xiàn)的重大安全隱患,開展網(wǎng)絡(luò)安全整改工作,并將安全整改情況報送給主管部門,安全整改報送內(nèi)容包括整改名稱、整改企業(yè)、整改依據(jù)、整改內(nèi)容、整改建議和限期整改信息。
主管部門查看各企業(yè)報送的網(wǎng)絡(luò)安全整改信息,了解存在網(wǎng)絡(luò)安全隱患的企業(yè)安全整改工作落實情況并及時跟蹤整改進度。
圖8-19 安全整改界面
檔案管理
企業(yè)檔案針對終端、監(jiān)控、工控、在線業(yè)務(wù)系統(tǒng)等在線網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進行統(tǒng)一管理,摸清企業(yè)資產(chǎn)底數(shù),形成統(tǒng)一的資產(chǎn)立體化監(jiān)管,形成更加細化的信息系統(tǒng)資產(chǎn)數(shù)據(jù):按所屬行業(yè)、機關(guān)橫向分類;按所屬地域、行政歸屬橫向分類;按工業(yè)互聯(lián)網(wǎng)企業(yè)類型、等級縱向分級;按信息系統(tǒng)重要、敏感程度縱向分級;按信息系統(tǒng)脆弱程度、可用程度縱向分級。
以資產(chǎn)管理為核心,以資產(chǎn)數(shù)據(jù)為基礎(chǔ),與隱患、事件、攻擊、情報、單位信息等數(shù)據(jù)進行深度分析,支撐考核評價、信息共享、安全專項、數(shù)據(jù)安全監(jiān)管、APP監(jiān)測等核心業(yè)務(wù),共同構(gòu)建指揮駕駛艙。
圖8-20 檔案管理界面
圖8-21 企業(yè)安全畫像界面
? 安全支撐綜合服務(wù)
安全支撐綜合服務(wù)是湖南省工業(yè)信息安全公共服務(wù)平臺的門戶,是為工業(yè)企業(yè)、監(jiān)管機構(gòu)、安全廠商提供統(tǒng)一安全服務(wù),主要包括培訓(xùn)服務(wù)、檢測服務(wù)、監(jiān)控服務(wù)、工業(yè)云安全服務(wù)、工業(yè)APP安全服務(wù)、安全運營服務(wù)、安全咨詢服務(wù)和安全保險服務(wù),同時將監(jiān)測與態(tài)勢感知各業(yè)應(yīng)模塊、工業(yè)企業(yè)分類分級各應(yīng)用模塊作為統(tǒng)一的服務(wù)入口,提升日常運營效率。
圖8-22 安全支撐綜合服務(wù)界面
5.配套管理機制
多級協(xié)同安全預(yù)警與應(yīng)急響應(yīng)管理機制是根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》的相關(guān)要求、流程進行設(shè)計。提供對安全事件、風(fēng)險進行及時預(yù)警、通報和應(yīng)急處置的功能。當(dāng)監(jiān)測到工業(yè)企業(yè)存在重大風(fēng)險隱患,或產(chǎn)生重大安全事件時,通過平臺進行通報,被通報的工業(yè)企業(yè)按期反饋處置結(jié)果。平臺需具備多種通報方式,包括釘釘、短信和郵件等。在發(fā)生嚴重情況時,可立即通過短信、釘釘?shù)确绞竭M行通報;當(dāng)系統(tǒng)監(jiān)測到輕微安全隱患時,可進行預(yù)警提醒或限期整改,被通報單位須及時反饋處置結(jié)果。
總體應(yīng)急處置流程為《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》中的“監(jiān)測預(yù)警和應(yīng)急處置流程圖”,具體流程詳見下圖所示:
圖8-23 監(jiān)測預(yù)警和應(yīng)急處置流程圖
同時,還根據(jù)總體流程,制定了監(jiān)測預(yù)警流程與應(yīng)急處置響應(yīng)流程。
如下圖所示:
圖8-24 監(jiān)測預(yù)警流程圖
圖8-25 應(yīng)急響應(yīng)處置流程圖
6.技術(shù)升級與動態(tài)更新方案
本方案充分考慮未來技術(shù)發(fā)展,整體平臺才有用分層解耦的方式設(shè)計,使用模塊化、集群化編程思想,整體平臺天然具備功能模塊擴展能力和系統(tǒng)架構(gòu)擴展能力,提供了完善的技術(shù)升級和動態(tài)更新解決方案。
采用Storm集群進行實時流數(shù)據(jù)分析計算,提供方便的可擴展處理能力;采用Spark進行高性能的離線處理,利用Spark的底層框架作為其執(zhí)行基礎(chǔ)。基于模塊動態(tài)擴展技術(shù),平臺將每個計算、分析功能作為一個功能模塊,可以實現(xiàn)模塊級別的擴展,比如需要增加一些新的安全分析檢測功能,只需將新開發(fā)功能按照一定規(guī)則和接口動態(tài)的納入到分析計算引擎中,就可以動態(tài)的實現(xiàn)分析功能的擴展。
? 實時分析插件模塊化技術(shù)
目前主流的傳統(tǒng)大數(shù)據(jù)平臺提供Hadoop架構(gòu)對大規(guī)模數(shù)據(jù)的計算進行分解,然后交由眾多的計算節(jié)點分別完成,再統(tǒng)一匯總計算結(jié)果。Hadoop架構(gòu)通常的使用方式為批量收集輸入數(shù)據(jù),批量計算,然后批量吐出計算結(jié)果。然而在安全大數(shù)據(jù)分析的應(yīng)用場景下,通常對告警的實時性要求較高,需要對海量的原始數(shù)據(jù)進行實時流式處理和持續(xù)處理,Hadoop架構(gòu)難以處理實時性要求較高的業(yè)務(wù)。針對這一難題,安恒采用運行拓撲(topology)的strom架構(gòu),極大的降低了安全事件的告警延遲。
Storm集群提供控制節(jié)點(master node)和工作節(jié)點(worker node)。控制節(jié)點上面運行一個叫Nimbus后臺程序,負責(zé)在集群里面分發(fā)代碼,分配計算任務(wù)和監(jiān)控狀態(tài)。每一個工作節(jié)點上面運行一個Supervisor的進程,監(jiān)聽分配給它那臺機器的工作,根據(jù)需要啟動/關(guān)閉工作進程worker,多個工作進程worker組成拓撲(topology)。數(shù)據(jù)流交互如圖所示。
圖8-26 數(shù)據(jù)交互示意圖
工作進程worker中每一個spout/bolt(數(shù)據(jù)處理單元)的線程稱為一個task(任務(wù)),使用Spout/Bolt編程模型來對消息進行流式處理。Spout組件是消息生產(chǎn)者,支持從多種異構(gòu)數(shù)據(jù)源讀取數(shù)據(jù),并發(fā)射消息流,Bolt組件負責(zé)接收Spout組件發(fā)射的信息流,并完成具體的處理邏輯。在復(fù)雜的業(yè)務(wù)邏輯中可以串聯(lián)多個Bolt組件,在每個Bolt組件中編寫各自不同的功能,從而實現(xiàn)整體的處理邏輯,只需將不同的實時分析數(shù)據(jù)處理任務(wù)按照一定的規(guī)則和接口納入和封裝到Bolt組件中,就可以動態(tài)的實現(xiàn)實時分析功能的模塊擴展。
? 離線批處理分析模塊化技術(shù)
目前在離線數(shù)據(jù)批處理應(yīng)用中,主流使用的是基于Hadoop架構(gòu)的MapReduce分布式計算框架,在安全事件溯源分析應(yīng)用場景中,需要關(guān)聯(lián)多維、多源的數(shù)據(jù),如日志、流量、漏洞數(shù)據(jù)以及威脅情報,甚至其他檢測模型的分析結(jié)果等數(shù)據(jù),計算和處理邏輯比較復(fù)雜,MapReduce的copy階段要求每個計算節(jié)點從其它所有計算節(jié)點上抽取其所需的計算結(jié)果,copy操作需要占用大量的網(wǎng)絡(luò)帶寬,十分耗時,從而造成Reduce任務(wù)整體計算速度較慢。
在實踐過程中使用自主研發(fā)的任務(wù)調(diào)度系統(tǒng)取代MapReduce框架,使用ElasticSearch集群存儲需要進行離線分析的數(shù)據(jù),解決MapReduce的copy階段的占用大量的網(wǎng)絡(luò)資源的問題。如圖所示,每個Job中含有1個或多個Stage,Stage一般在獲取外部數(shù)據(jù)和shuffle之前產(chǎn)生),然后以Stage(或者稱為TaskSet)提交給Task Scheduler,Task Scheduler負責(zé)將Task分配到相應(yīng)的Worker,最后提交執(zhí)行,從而從而實現(xiàn)整體的處理邏輯。當(dāng)有新的離線分析和數(shù)據(jù)批處理的需求是時,只需將不同的離線批處理分析數(shù)據(jù)的任務(wù)按照一定的規(guī)則和接口納入和封裝到TaskSet中,然后就可以動態(tài)的實現(xiàn)批處理功能的模塊擴展。
圖8-27 任務(wù)調(diào)度系統(tǒng)架構(gòu)示意圖
系統(tǒng)間通訊的透明化。系統(tǒng)通過采用分布式系統(tǒng),利于系統(tǒng)的簡便易行的分布式部署,同時實現(xiàn)對開發(fā)人員的通訊透明,簡化了定制開發(fā)的難度,確保了系統(tǒng)的可擴展性。
? 系統(tǒng)間模塊的耦合性低
通過使用面向消息的中間件作為應(yīng)用架構(gòu)的主干有效降低系統(tǒng)間各模塊的耦合性,模塊直接的接口通用化,能方便的實現(xiàn)各模塊接口的重用,便于分塊開發(fā)、調(diào)試和除錯。
實現(xiàn)系統(tǒng)的熱部署能力。系統(tǒng)可以在運行狀態(tài)中加入新的組件或者卸除已有組件(非核心組件),整個過程都不影響系統(tǒng)的運行。系統(tǒng)的各重要模塊可以運行在不同的進程中,有效的隔離錯誤。
? 靈活的分布式部署
系統(tǒng)的各模塊不僅可以分布在不同的進程中,同時可以透明分布在不同的主機中,以通過分布式計算提供系統(tǒng)的處理能力。無需額外開發(fā),部署成本低。能適應(yīng)復(fù)雜環(huán)境下的部署。
當(dāng)服務(wù)器的某中狀態(tài)崩潰時,狀態(tài)能夠被透明的復(fù)制到其它服務(wù)器,并支持集成部署到其他的大數(shù)據(jù)平臺。
本系統(tǒng)支持模塊集群。橫向擴展的系統(tǒng)確保了系統(tǒng)運行的高效性。服務(wù)提供和調(diào)用的無關(guān)性,系統(tǒng)中關(guān)聯(lián)規(guī)則、過濾器等都可以資源方式被調(diào)用,極大提高的系統(tǒng)的分析能力和數(shù)據(jù)查詢展現(xiàn)效率。
1.1.3 下一步實施計劃
為落實工信部印發(fā)的《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南(試行)》要求,平臺以工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理為核心,平臺在完成建設(shè)后,需要湖南省內(nèi)各地市/州工信局,協(xié)同市/州網(wǎng)絡(luò)安全支撐單位,對工業(yè)企業(yè)開展工業(yè)企業(yè)分類分級活動,形成企業(yè)清單,以便開展精細化、差異化的安全管理,做到有目標、有計劃、有行動的目的,為更好地運用平臺,依據(jù)平臺提供的各類服務(wù)能力,安排了如下步驟。
1.平臺發(fā)布
完成平臺實施搭建,滿足三級等保要求;
完成平臺對外的域名申請和備案,可以通過互聯(lián)網(wǎng)側(cè)訪問平臺;
組織工業(yè)企業(yè)、各地市/州工信局和安全支撐單位進行平臺使用的培訓(xùn);
平臺試運行,組織試點企業(yè)、地市工信局和安全支撐單位進行小范圍試點;
對外發(fā)布通知,平臺正式發(fā)布。
2.企業(yè)分類分級
湖南省廳領(lǐng)域組織湖南省各地市/州工信局依托平臺公共服務(wù)能力,開始對外公外征集遴選工業(yè)企業(yè)參與分類分級活動,對參與活動的工業(yè)企業(yè)開展自主定級和定級審核活動,通過審核的企業(yè)最終形成定級清單。
3.企業(yè)自評估
根據(jù)企業(yè)定級清單,平臺為聯(lián)網(wǎng)企業(yè)、平臺企業(yè)和標識解析企業(yè)提供在線安全自評估,自評估內(nèi)容根據(jù)平臺的不同類和安全級別進行有針對性的評估,同時,平臺可委托安全支撐單位協(xié)助企業(yè)完成安全自評估,企業(yè)評估完成后,最終自動生成評估報告,讓湖南省廳領(lǐng)域及各地市/州工信局管理人員及時掌握當(dāng)前企業(yè)清單中的合規(guī)狀況。
4.應(yīng)急演練
根據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級安全管理指南(試行)》要求,三級企業(yè)每年必須完成一次應(yīng)急演練,及時上報預(yù)急預(yù)案。
省廳領(lǐng)導(dǎo)組織各地市州管理人員依托平臺SaaS化攻防演練平臺和協(xié)同應(yīng)急模塊,開展三級企業(yè)的應(yīng)急演練,及時匯總企業(yè)演練情況,總結(jié)演練結(jié)果,給出合理化的安全防護建議。
5.安全整改
工業(yè)企業(yè)在完成安全評估與應(yīng)急演練后,通過經(jīng)驗總結(jié),發(fā)現(xiàn)自身安全防護問題,企業(yè)結(jié)合自身安全現(xiàn)狀,輸出安全整改方案,并提交所屬轄區(qū)工信局進行審核,工信局可委托安全支撐機構(gòu)進行技術(shù)審核,以確定該整改方案的技術(shù)合理性,待審核通過后,企業(yè)可根據(jù)方案內(nèi)容開展整改建設(shè)工作。支持對整改建設(shè)企業(yè)的審核狀態(tài)進行統(tǒng)計分析。
6.驗收檢查
工業(yè)企業(yè)完成整改建設(shè)后,向所屬轄區(qū)工信局提交整改落實情況報告,工信局審核通過后提交省級監(jiān)管單位進行復(fù)審,省級監(jiān)管單位可依據(jù)實際情況委托安全專家對整改內(nèi)容進行技術(shù)復(fù)審,同時支持對驗收檢查審核狀態(tài)進行統(tǒng)計分析。
安全專家可通過工控安全檢查工具箱開展對企業(yè)的現(xiàn)場檢查,并輸出報告,同時可將安全檢查數(shù)據(jù)內(nèi)容作為輸入對企業(yè)進行專業(yè)化的風(fēng)險評估工作,以便掌握企業(yè)安全整改后的真實防護情況。在企業(yè)通過安全專家的復(fù)審后,省級監(jiān)管單位可發(fā)布驗收成果,對于整改效果好的企業(yè)進行鼓勵。
7.重點企業(yè)監(jiān)測
在完成以上六大步聚后,省廳及各地市州主管部門可清晰地掌握轄區(qū)范圍內(nèi)工業(yè)企業(yè)的類別、安全等級、合規(guī)現(xiàn)狀、整改情況,能夠有效針別哪些企業(yè)需要重點監(jiān)測。
對于要重點監(jiān)測的企業(yè),部署監(jiān)測設(shè)備,以便能夠?qū)崟r掌握安全現(xiàn)狀,及時協(xié)同地方工信局和安全支撐單位共同幫助企業(yè)完成安全監(jiān)測預(yù)警工作,形成閉環(huán)管理能力。
8.完善服務(wù)能力
依據(jù)湖南省內(nèi)當(dāng)前現(xiàn)狀,組建各地工信局管理人員和安全支撐機構(gòu),完善當(dāng)前平臺安全支撐服務(wù)資源,以便進一步提升省內(nèi)工業(yè)企業(yè)的安全監(jiān)測預(yù)警、安全防護與響應(yīng)處置能力。
本方案計劃今年要完成前六大步驟,形成全省范圍內(nèi)的定級清單,并針對這些企業(yè)開展安全評估、應(yīng)急演練、安全整改和驗收檢查等工作,掌握清單中工業(yè)企業(yè)的安全合規(guī)現(xiàn)狀,為開展后續(xù)對重點企業(yè)開展監(jiān)測預(yù)警與協(xié)同應(yīng)急奠定基礎(chǔ)。
1.1.4 方案創(chuàng)新點和實施效果
1.方案先進性及創(chuàng)新點
(1)集約化、數(shù)字化和服務(wù)化的公共服務(wù)技術(shù)創(chuàng)新
我國工業(yè)企業(yè)當(dāng)前產(chǎn)業(yè)規(guī)模,技術(shù)實力參差不齊,尤其是在面對中小工業(yè)企業(yè),這些企業(yè)的安全防護能力有限,有的在安全防護方面甚至處于“裸奔”狀態(tài),這些企業(yè)沒有能力,也沒有意識去解決其內(nèi)部的安全隱患與風(fēng)險問題。
建設(shè)省/市等區(qū)域級工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺,利用平臺的“雙向賦能”的服務(wù)特點,建立集約化安全支撐服務(wù)資源隊伍,同時面向監(jiān)管部門和企業(yè)用戶提供“一站式”SaaS化安全服務(wù),幫助監(jiān)管部門提高日常安全監(jiān)測預(yù)警、研判分析能力,以及響應(yīng)處置效率;幫助工業(yè)企業(yè)提高安全防護意識,顯著提高安全防護水平。間接降低轄區(qū)內(nèi)安全監(jiān)管部門的管理成本。同時,利用平臺制定對安全服務(wù)供應(yīng)商和工業(yè)企業(yè)的考核規(guī)則,通過定期考核,使兩者不斷優(yōu)化安全服務(wù)能力與安全防護能力,形成良好的生態(tài)體系。
圖8-28 省/市等區(qū)域級工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺“一站式”服務(wù)業(yè)務(wù)運行流程
(2)工業(yè)互聯(lián)網(wǎng)場景的安全數(shù)據(jù)采集與融合分析技術(shù)創(chuàng)新
工業(yè)互聯(lián)網(wǎng)場景具有網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、業(yè)務(wù)系統(tǒng)和設(shè)備類型多的特點,因此需要具備可更多應(yīng)用場景的安全數(shù)據(jù)采集能力,以及大數(shù)據(jù)智能分析能力。
數(shù)據(jù)采集能力:實現(xiàn)工業(yè)互聯(lián)網(wǎng)全場景的數(shù)據(jù)采集能力,通過在設(shè)備、控制、網(wǎng)絡(luò)、數(shù)據(jù)、平臺、應(yīng)用的安全數(shù)據(jù)采集,覆蓋聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)和標識解析企業(yè)在5G、標識、平臺、物聯(lián)網(wǎng)、工控網(wǎng)、信息網(wǎng)、工業(yè)云、邊緣計算等全場景應(yīng)用。
大數(shù)據(jù)智能分析能力:將工業(yè)互聯(lián)網(wǎng)場景下的IT、OT、CT和DT數(shù)據(jù)進行集中采集,對這些場景下的用戶、系統(tǒng)、設(shè)備、網(wǎng)絡(luò)和操作行為融合在一起進行分析,將各場景可能發(fā)生的安全現(xiàn)象進行總結(jié)分析,形成工業(yè)互聯(lián)網(wǎng)專有的威脅分析模型,同時可根據(jù)用戶實際業(yè)務(wù)場景自定義模型,更貼合用戶業(yè)務(wù),為安全生產(chǎn)提供穩(wěn)定、可靠的威脅發(fā)現(xiàn)與分析能力。滿足工業(yè)互聯(lián)網(wǎng)安全在各場景的安全分析與追蹤溯源能力。
(3)基于閉環(huán)安全管理機制的多級協(xié)同響應(yīng)處置技術(shù)創(chuàng)新
近兩年,工業(yè)和信息化部相繼發(fā)布了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃2021-2023》以及《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南(試行)》,均強調(diào)了要建立健全工業(yè)互聯(lián)網(wǎng)監(jiān)測預(yù)警的閉環(huán)管理機制。
首先,當(dāng)前工業(yè)信息安全監(jiān)測預(yù)警技術(shù)體系并不完善,絕大部分只包含了安全監(jiān)測和安全預(yù)警的能力,并沒有包含通過研判分析進行調(diào)查取證,無法有效核實監(jiān)測的安全事件或風(fēng)險隱患的真實性,直接或間接造成在進行安全預(yù)警和信息通報的誤報率。其次,當(dāng)轄區(qū)內(nèi)發(fā)生不同安全級別的事件后,監(jiān)管部門也不能通過技術(shù)手段,開展省、市和企業(yè)級的應(yīng)急響應(yīng)與協(xié)同處置能力,導(dǎo)致相關(guān)信息不能同步,或延遲同步,提高了應(yīng)急過程中最初的關(guān)鍵時間。最后,大部分監(jiān)測預(yù)警技術(shù)體系并沒有實現(xiàn)完善的閉環(huán)管理機制,并沒有形成數(shù)字化安全閉環(huán)管理模式,發(fā)現(xiàn)相關(guān)事件或問題由誰負責(zé),誰來跟蹤,誰來決定該事件是否需要關(guān)閉,以及全部過程是否有操作行業(yè)記錄進行跟蹤。
基于以上的難點與問題,湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺的監(jiān)測預(yù)警與協(xié)同響應(yīng)業(yè)務(wù)應(yīng)用以數(shù)字化安全服務(wù)底座為基礎(chǔ),具備了安全事件和風(fēng)險隱患的實時發(fā)現(xiàn)能力,并提供了多種元數(shù)據(jù)的安全研判分析工具,為安全分析人員提供詳細的調(diào)查取證工具,從而進行高效、精準備的安全預(yù)警與信息通報。當(dāng)發(fā)現(xiàn)不同安全級別的事件或風(fēng)險隱患時,可啟動不同的響應(yīng)流程,將省、市、工業(yè)企業(yè)和安全支撐機構(gòu)開展聯(lián)合協(xié)同響應(yīng),有效提高了應(yīng)急響應(yīng)與處置效率。
圖8-29 多級協(xié)同響應(yīng)處置技術(shù)業(yè)務(wù)邏輯圖
同時,應(yīng)用中的協(xié)同指揮工具實現(xiàn)“掛圖作戰(zhàn)”的多級協(xié)同應(yīng)急能力,可在重大安全事件或安全活動保障過程中組織省、市、工業(yè)企業(yè)和安全支撐機構(gòu)的工作協(xié)同,也可以通過該應(yīng)用組織各級單位進行安全應(yīng)急演練,提升各級的協(xié)同作戰(zhàn)能力,一旦發(fā)現(xiàn)相關(guān)事件,可立即采集相關(guān)行動,達到快速響應(yīng)處置的目的。
圖8-30 協(xié)同指揮作戰(zhàn)圖
(4)數(shù)字化工業(yè)企業(yè)安全合規(guī)管理技術(shù)創(chuàng)新
2020年12月,工業(yè)和信息化部印發(fā)了《關(guān)于工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理試點工作的通知》(以下簡稱《通知》),省/市等區(qū)域級是15個省級部門開展分類分級的管理試點工作的其中之一,《通知》中要求省/市等區(qū)域級的16個工業(yè)企業(yè)單位參與本次管理試點工作。
省/市等區(qū)域級廳面臨的主要問題是,沒有形成體系化、流程化、數(shù)字化的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級的技術(shù)實現(xiàn)工具,雖然本次試點單位不多,但面對未來大量的工業(yè)企業(yè)將接入其中,將給監(jiān)管部門用戶帶來更多的安全合規(guī)管理工作事項。
基于以上的難點與問題,湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺的工業(yè)企業(yè)安全合規(guī)管理業(yè)務(wù)應(yīng)用,結(jié)合安全監(jiān)管主管部門、工業(yè)企業(yè)主管部門和安全支撐機構(gòu)三大用戶角色,以及“定級管理、合規(guī)自查、風(fēng)險評估、安全整改和檔案管理”五大流程化管理應(yīng)用,幫助監(jiān)管部門實現(xiàn)了工業(yè)企業(yè)數(shù)字化、流程化的安全合規(guī)閉環(huán)管理機制,形成了對工業(yè)企業(yè)的精細化和差異化的安全合規(guī)管理模式。
2.實施效果
根據(jù)“下一步實施計劃”章節(jié),當(dāng)前平臺已完成前兩個步聚,實施效果如下:
平臺完成實施,確保達到等保三級防護水平,并發(fā)通知組織平臺的試運行,見下圖所示:
圖8-31 平臺試運行通知
湖南省電子信息產(chǎn)業(yè)研究院作為省級安全技術(shù)單位,組織開展平臺使用的培訓(xùn)工作,見下圖:
圖8-32 組織召開平臺培訓(xùn)通知
經(jīng)過對試點企業(yè)的測試,以及完成平臺的培訓(xùn)工作后,由湖南省工信廳和省通管局聯(lián)合舉辦的湖南工業(yè)互聯(lián)網(wǎng)安全深度行活動中,正式發(fā)布了平臺,見下圖:
圖8-33 湖南省工業(yè)互聯(lián)網(wǎng)安全深度行-平臺發(fā)布現(xiàn)場圖
在本次深度行活動中,為省內(nèi)優(yōu)秀工業(yè)領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全支撐機構(gòu)頒發(fā)證書,如下圖所示:
圖8-34 辦法工業(yè)領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全支撐機構(gòu)證書
湖南省工信廳在官網(wǎng)發(fā)布開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理工作的通知,征集省內(nèi)各地方工業(yè)企業(yè)開展相關(guān)工作,見下圖:
圖8-35 湖南省工信廳開展分類分解管理工作的通知
平臺于2022年10月22日完成省內(nèi)工業(yè)企業(yè)的定級工作,并對外公布,目前正處于安全自評估階段,見下圖:
形成工業(yè)企業(yè)定級清單,是對不同類型和安全級別的工業(yè)企業(yè)開展“精細化、差異化”安全管理措施。
平臺可為各工業(yè)企業(yè)提供在線安全自評估服務(wù),評估內(nèi)容以《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級防護系列規(guī)范》和《湖南省工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理評估指標體系》為依據(jù),為了保障企業(yè)能夠順利完成評估,平臺提供委托安全支撐機構(gòu)提供遠程或現(xiàn)場評估服務(wù),下圖為在線安全評估圖:
圖8-36 在線安全評估圖
當(dāng)完成在線安全評估,為了進一步掌握工業(yè)企業(yè)安全現(xiàn)狀,現(xiàn)委托安全支撐機構(gòu)技術(shù)人員對工業(yè)企業(yè)進行現(xiàn)場檢查,通過工控安全檢查工具箱,識別企業(yè)風(fēng)險隱患,并生成安全檢查分析報告上傳至平臺,地方主管部門根據(jù)情況對部分存在安全風(fēng)險的企業(yè)開展安全整改工作,并督導(dǎo)其在限期時間內(nèi)完成整改。安全整改提供流程化管理方式,如下圖:
圖8-37 安全整改圖
平臺可對重點工業(yè)企業(yè)開展安全監(jiān)測,實時掌握企業(yè)安全現(xiàn)狀,提供一系列閉環(huán)管理工具,當(dāng)發(fā)現(xiàn)相關(guān)問題時,需要實時發(fā)現(xiàn)問題-安全驗證-通報預(yù)警,才可對相關(guān)事件進行發(fā)布,所有動作均提供流程化處理方式,全程留痕,實時如下圖所示:
圖8-38 實時監(jiān)測界面
圖8-39 分析研判界面
圖8-40 通報預(yù)警界面
當(dāng)發(fā)生重大安全事件時,根據(jù)湖南省應(yīng)急要求,需要由省級應(yīng)急辦協(xié)同地方人員一起進行響應(yīng)急,需要組織事件發(fā)生地應(yīng)急相關(guān)人員、安全支撐機構(gòu)人員和行業(yè)領(lǐng)域安全專家共同解決問題,如下圖所示:
圖8-41 協(xié)同應(yīng)急指揮界面
平臺為各級部門主管人員提供工業(yè)企業(yè)全息數(shù)字檔案,將企業(yè)基本信息、資產(chǎn)信息、定級信息、安全評估信息、安全整改信息、風(fēng)險隱患信息和安全事件等數(shù)據(jù)進行有效整理,以安全監(jiān)管者為視角,提供卡片式,報告式的界面,讓安全監(jiān)管人員通過一張卡片,一頁報告掌握工業(yè)企業(yè)的全面現(xiàn)狀,為安全趨勢預(yù)判提供有效數(shù)據(jù)支撐。下圖為企業(yè)數(shù)字檔案界面:
圖8-42 企業(yè)數(shù)字檔案界面
1.1.5 單位基本信息
1.牽頭單位基本信息
本次方案申報的牽頭單位是中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院(簡稱中國聯(lián)通研究院)。
中國聯(lián)通研究院作為聯(lián)通集團科技創(chuàng)新的主體,立足國家戰(zhàn)略、公司戰(zhàn)略和產(chǎn)業(yè)服務(wù),成為公司戰(zhàn)略決策的參謀者、公司技術(shù)發(fā)展的引領(lǐng)者、產(chǎn)業(yè)發(fā)展的助推者。內(nèi)設(shè)一個綜合支撐板塊和智庫研究、網(wǎng)絡(luò)研究、應(yīng)用技術(shù)研究三個技術(shù)研究板塊,具備智庫的專業(yè)咨詢能力、網(wǎng)絡(luò)技術(shù)的自主核心能力、前瞻技術(shù)的研究能力、技術(shù)與業(yè)務(wù)融合的應(yīng)用能力。現(xiàn)有員工近700多人,平均年齡36歲,享受國務(wù)院政府特殊津貼專家10名、教授級高工26名、博士后9名、博士62名、碩士占比75%以上。
2.參與單位基本信息
本次方案申報的參與單位是杭州安恒信息技術(shù)股份有限公司(簡稱安恒信息)。
安恒信息主營業(yè)務(wù)為網(wǎng)絡(luò)信息安全產(chǎn)品的研發(fā)、生產(chǎn)及銷售,并為客戶提供專業(yè)的網(wǎng)絡(luò)信息安全服務(wù),制定了云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、智慧城市安全、工業(yè)控制系統(tǒng)安全及工業(yè)互聯(lián)網(wǎng)安全五大市場戰(zhàn)略。安恒信息憑借強大的研發(fā)實力和持續(xù)的產(chǎn)品創(chuàng)新,入選Gartner 《2020年中國ICT技術(shù)成熟度曲線》,成為中國云安全“標桿供應(yīng)商”;AiLPHA大數(shù)據(jù)智能安全平臺榮獲2019“世界人工智能產(chǎn)業(yè)安全十大創(chuàng)新實踐”;榮獲首個全球工業(yè)互聯(lián)網(wǎng)大獎——“湛盧獎”等。
AII微信公眾號
AII頭條號