引言:
天融信科技集團創始于1995年(簡稱天融信),自1996年推出填補國內空白的首臺自主知識產權防火墻起,如今已成長為中國領先的網絡安全、大數據與云服務提供商。天融信自成立至今為工業企業提供了大量優質的解決方案,覆蓋電力、軌道交通、航空航天、軍工、能源、石油化工、機械制造、國防工業、汽車、電子等行業領域。目前獲得包括CCID、工業互聯網產業聯盟等頒發的優秀解決方案、優秀應用案例等多個獎項。天融信始終以捍衛國家網絡空間安全為己任,創新超越,致力于成為民族安全產業的領導者、領先安全技術的創造者和數字時代安全的賦能者。
工業互聯網概念的提出和近年來的快速發展滿足了“管控一體化”、工業智能化等工業企業發展需要,是工業企業提升信息化技術、創新應用的必然趨勢,在現階段和未來工業互聯網行業蓬勃發展的背景環境下,如何構建全方位的、融合傳統IT網絡安全技術與工業OT網絡安全技術的綜合技術保障體系是工業互聯網企業共同面對的技術難題。
現階段對于某省區域的工業互聯網企業的安全狀態,目前缺乏必要的監管技術措施,難以從全局角度洞悉該區域的工業互聯網企業的網絡安全態勢,對于各工業互聯網企業的相關安全信息,也無法進行有效的整合和利用,及時發現潛在的安全威脅。
面向省級的工業互聯網安全監測與態勢感知系統是構建全方位的工業互聯網安全綜合保障網絡體系的重要基礎。通過打造企業內部工業互聯網態勢感知系統,完成態勢的細粒度分析,并將態勢感知系統與省級工業互聯網安全監測與態勢感知系統聯動,實現省級工業互聯網安全全面及實時的監測。
一、項目概況
本案例是在某省區域建設企業級態勢分析系統和省級工業互聯網安全態勢感知平臺,實現省級工業互聯網安全全面及實時的監測,并與國家平臺實現數據共享與交換。通過項目的實施,有助于推動互聯網與該省工業深度融合,優化產業結構,提升產業競爭力,打造經濟發展新動能,打造工業互聯網產業新生態。
1. 項目背景
工業互聯網推進工業生產過程不斷靈活化、柔性化,企業、用戶、產品之間將高度協同、開放、共享,工業互聯網安全邊界越發模糊,攻擊面不斷擴大,未來安全將向設備、網絡、控制、數據、應用全方面滲透。安全是保障工業互聯網發展的重要前提,亟需從技術、管理、服務等多角度協同構建工業互聯網安全發展環境。
我國也高度關注工業互聯網安全的新形勢。中央領導從總體國家安全觀的高度指出,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。這個論述,把安全提到了一個前所未有的新高度。在工業互聯網時代,網絡安全至關重要,企業必須高度重視網絡和大數據安全問題,否則后果將是災難性的。
2017年11月國務院推出《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》該意見提出以“強化安全保障”為指導思想、“安全可靠”為基本原則,明確“建立工業互聯網安全保障體系、提升安全保障能力”的發展目標,部署“強化安全保障”的主要任務,為工業互聯網安全保障工作制定了時間表和路線圖。意見提出以來,國內工業互聯網建設的頂層設計逐步加強,相關工作有序推動,國家和地方政府密集出臺了一系列的相關政策來推動工業互聯網的落地實施。為貫徹落實國務院《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》,前瞻布局工業互聯網,全面支撐制造強國和網絡強國建設,工業和信息化部、財政部決定聯合開展2018年工業互聯網創新發展工程項目工作。我司為了響應國家的工業互聯網建設需求,申報了2018年工業互聯網創新發展工程。
2. 項目簡介
本案例是在某省區域建設企業級態勢分析系統和省級工業互聯網安全態勢感知平臺。通過建設企業級態勢分析系統,向省級工業互聯網安全監測與態勢感知平臺提供監測數據;通過構建省級工業互聯網安全監測與態勢感知平臺,實現數據共享與交換,通過接口向國家工業互聯網網絡安全監測與態勢感知技術平臺提供監測數據。通過該項目的實施,有助于推動互聯網與該省工業深度融合,優化產業結構,提升產業競爭力,打造經濟發展新動能,打造工業互聯網產業新生態。
3. 項目目標
通過建設工業互聯網省級安全監管平臺,可以從監管層面全局洞悉工業互聯網企業的網絡安全態勢,解決工業互聯網關鍵基礎設施制造行業面臨的網絡安全保障問題。圍繞關鍵信息基礎設施的工業互聯網監測,企業級態勢感知系統,構建省級安全監測與態勢感知平臺。一方面通過采用主動探測的方式,發現互聯網中工業相關安全信息,形成互聯網工業網絡安全底圖,另一方面通過打造企業內部工業互聯網態勢感知系統,實現對網絡安全的態勢覺察、跟蹤、預測和預警,并將態勢感知系統與平臺聯動,實現省級工業互聯網安全全面及實時的監測。平臺能夠匯聚安全感知各維度信息,實時感知生產系統和設備的運行狀況、風險隱患及企業管理運行情況等信息,實現對監測信息的分類匯聚、精準研判,及時對潛在的網絡安全威脅和風險進行預警,不斷的提升智能制造系統的網絡安全的防護水平。
二、項目實施概況
通過建設分布式工業互聯網數據采集系統、數據處理及存儲系統等子系統,構建省級工業互聯網安全監測與態勢感知平臺和企業級態勢分析系統,從監管層面實現省級工業互聯網安全全面及實時的監測。
1. 項目總體架構和主要內容
圖1項目總體結構
該項目通過打造企業內部工業互聯網態勢感知系統,實現對網絡安全的態勢覺察、跟蹤、預測和預警,同時向省級工業互聯網安全監測與態勢感知平臺提供監測數據。工業互聯網企業級態勢分析系統針對工業互聯網設計,可以提供安全監測、威脅情報、安全審計、資產管理、安全處置等功能,通過對工業互聯網流量的采集、分析、監測,結合特定的安全策略,快速有效識別出工業互聯網中存在的網絡異常事件和網絡攻擊行為并進行實時告警。
省級工業互聯網安全監測與態勢感知平臺的核心系統包括工業互聯網數據采集子系統、數據處理及存儲子系統、實時數據分析子系統、離線數據分析子系統和工業互聯網態勢應用子系統等。其中,工業互聯網數據采集子系統主要實現對工業互聯網資產、安全漏洞、安全事件以及流量等數據的采集;工業互聯網數據處理及存儲子系統主要實現接收并處理工業互聯網數據采集系統采集的網絡數據,存儲在數據倉庫和分布式文件系統中;數據分析子系統實現對數據的建模和分析;工業互聯網態勢應用子系統主要實現對數據的不同維度的展示。
通過省級工業互聯網安全監測與態勢感知平臺的設計,實現省級工業互聯網安全全面及實時的監測,并向國家工業互聯網安全監測與態勢感知技術平臺提供監測數據,實現監測數據的共享與交換。
該平臺的建設通過主動探測、流量監測、企業側采集等技術手段,打造了態勢感知、安全檢測、安全預警、快速處置、追蹤溯源等功能于一體的態勢感知系統,構建“國家-省-企業”立體全方位的安全保障管理體系,實現對該省工業互聯網業務發展及網絡安全的態勢研判。
圖2 系統總體技術架構
系統的設計思想是通過一套完整的面向海量數據應用(網絡監測數據、專項數據、安全數據等)的數據管理平臺框架,從“數據收集、數據匯總、數據分析、數據展示”全過程對網絡安全態勢進行分析和展現,平臺以各類組件庫及組件為基礎,遵循體系化、層次化、迭代過程的設計,融入具體業務應用特性,實現對多類異構數據的集中統一處理,展現有價值的數據信息視圖。
網絡安全態勢感知系統包括三個層次:業務系統層、數據存儲中心層、數據采集層:
(1)業務系統層:通過安全監測、安全預警、快速處置、追蹤溯源等業務功能,提供多維度態勢統計分析與展示,不但支持全網態勢、工控態勢、威脅態勢、安全底圖態勢、安全處置態勢等,而且還包括針對客戶關注的專享態勢,如資產態勢、脆弱性態勢、攻擊態勢、僵木蠕態勢、網站監測態勢等展示。
(2)數據存儲與分析層:提供數據的轉換、存儲、分析功能。數據轉換支持的數據類型包括結構化、半結構化、非結構化的數據,提供清洗、歸一化、過濾、歸并、打標簽等數據轉換方式;數據存儲提供分布式文件存儲、數據倉庫、NoSQL數據庫、關系型數據庫等存儲方式,實現對事實數據、結果數據、知識數據的存儲;數據分析提供分析引擎、分析組件、分析模型等。
(3)數據采集層:通過部署分布式的采集探針實現對安全數據、威脅監測數據、網絡監測數據等數據等的采集,安全數據經過數據匯入后存儲到存儲計算引擎中。
2. 網絡、平臺或安全互聯架構
圖3 項目建設示意圖
本項目主要是在互聯網側、省級平臺和企業側實施的部署:在互聯網區(運營商)部署漏掃產品,通過網絡隔離設備導入內網FTP服務器,再接入省級平臺,向省級平臺傳輸監測數據,部署DPI流量分析設備,可為工控入侵檢測提供原始工控流量,為僵木蠕提供全網抽樣流量;省級的態勢感知平臺部署在核心區,通過對接收的企業側和互聯網側的檢測數據進行綜合分析,實現省級工業互聯網安全全面及實時的監測;在某省企業區域部署企業級的態勢分析系統及僵木蠕、工控審計等探針,向省級態勢感知平臺提供監測數據。
本項目在某省區域建成面向關鍵基礎設施的省級工業互聯網安全監測與態勢感知平臺1套,實現了分布式工業互聯網數據采集、大容量分布式工業互聯網數據處理及存儲、在線實時數據分析、離線批量數據分析及網絡安全態勢感知應用,并且向國家工業互聯網安全態勢感知與風險預警平臺上報有關數據,建設內容包含省級面向關鍵基礎設施的工業互聯網安全監測與態勢感知系統1套和企業級態勢分析系統,目前系統接入了工業企業互聯網專線流量110G,監測了30000+個工業IP、3200個域名和83家工業互聯網云服務平臺。
3. 具體應用場景和應用模式
基于數據分析、數據存儲、數據處理等技術,構建工業互聯網安全態勢感知體系,實現工業互聯網企業的全面及實時的監測,可用于多種安全應用場景:
企業工控網監測場景
基于工控安全探針設備,采集工控網的數據,對工控協議進行深度解析,對企業工控網的通訊內容進行完整性、功能碼、地址范圍、值范圍多維度的檢測和審計,及時發現違規操作、異常指令等安全威脅,并進行及時告警。
企業IT網監測場景
基于IT安全探針設備,采集并分析企業IT系統數據,實現惡意程序檢測、APT檢測、WEB安全檢測等多種攻擊監測,并進行報警,實現對企業IT網的安全防護。
企業級態勢分析
構建企業級態勢分析系統,圍繞企業內部工業網絡數據,構建態勢應用包括態勢感知數據交互式檢索、工控數據實時監測、態勢分析模型、安全風險快速處置、工業安全問題追蹤溯源等功能。
集團級/省級態勢分析
構建集團級/省級安全監測與態勢感知分析系統,從多個維度分析并可以可視化/集團/全省安全態勢,根據集團/全省工業互聯網安全狀態,針對不同的安全問題,進行針對性的安全預警。
4. 安全及可靠性
本項目的工業互聯網安全監測與態勢感知分析系統,具有自主知識產權,符合國家法律政策及相關部委監管法規的要求。根據項目的建設需求,完成產品在互聯網側、企業側、省級的安全應用,涉及網絡安全、數據安全、主機安全、控制安全、應用安全等多方面的安全防護應用,已形成立體的工業互聯網安全防護與分析體系,一方面通過采用主動探測的方式,發現互聯網中工業相關安全信息,形成互聯網工業網絡安全底圖,另一方面通過打造企業內部工業互聯網態勢感知系統,實現對網絡安全的態勢覺察、跟蹤、預測和預警,并將態勢感知系統與平臺聯動,實現省級工業互聯網安全全面及實時的監測,滿足工業互聯網企業的安全建設需求,提升工業互聯網安全運營水平。。
5. 其他亮點
采用了工業互聯網安全人工智能分析技術
利用人工智能算法實現對各種工業控制網絡的自動學習、自動適應和自動規則生成。通過人工智能的數據分析構建工業場景的行為模型,實現對通用的工業控制協議和安全大數據的有效建模,有效得利用了機器學習、模式識別、數據挖掘、高性能算法設計。
采用了可擴展數據建模技術
平臺的多維數據分析功能都是基于多維分析技術來實現,提供可擴展的數據建模框架,利用豐富的過程組件,實現可視化的數據建模定義。
三、下一步實施計劃
就本項目而言,目前錄入到該省級平臺里的工業企業信息描述較少,難以對規模以上的重點企業進行標注,所以下一步計劃在省內繼續推廣該項目,使更多的企業信息可以錄入到省級平臺,使省級平臺更有效地實現對省工業互聯網業務發展及網絡安全態勢研判,有效提升該省工業互聯網的綜合管理和安全保障能力,加速推動互聯網與該省工業深度融合,優化產業結構,打造經濟發展新動能,打造工業互聯網產業新生態,推進該省工業企業進入新的發展階段。
四、項目創新點和實施效果
1. 項目先進性及創新點
項目先進性
基于大數據/機器學習/深度學習技術的網絡安全態勢感知系統是當前國際網絡安全研究和開發的熱點,我們開發的面向關鍵信息基礎設施的工業互聯網網絡態勢感知系統,將把互聯網網絡安全研究的最新成果與工業互聯網關鍵基礎設施的具體情況結合起來,將會為工業互聯網關鍵基礎設施制造領域提供安全上的保障,可以支持超過1000個點的數據采集能力,每秒最大可入庫20000條各類安全數據,系統數據存儲能力可達到100T,建成了大容量分布式工業互聯網數據處理及存儲系統,實現了工業互聯網資產、安全漏洞、安全事件以及流量等數據的預處理、分析和存儲。
項目創新點
基于圖計算的關聯分析技術
將來自多個數據源的安全信息表示為一系列動態變化的圖,通過圖計算的方式,識別出網絡行為模式的變化,識別出網絡潛在的安全風險以及主要的風險源。
基于時間窗置信區間的檢測模型技術
平臺采用了基于時間窗置信區間的檢測模型和方法,可以在運行中自適應實際環境,自動剔除歷史時間窗內的異常歷史數據,實現歷史時間窗數據與網絡實際正常流量行為特征的高度吻合,提高對異常行為報警的準確性。
先進的事件歸并技術
平臺的事件歸并技術可以根據用戶指定要歸并的信息的特征、字段等信息進行歸并,只有具有該特征、字段的信息才可以被歸并,即當多個信息的指定特征、字段的內容一致時,產生一個歸并信息。同時,用戶可以自己指定是否丟棄原始信息。
2. 實施效果
通過構建企業的工業互聯網安全態勢感知系統,可以使企業全局洞悉工業互聯網的網絡安全態勢,并結合工業互聯網威脅情報中心與響應中心的情報,及時發現可能面臨的安全威脅和風險,采取及時的響應,通過監管與運營的結合,有效指導了工業企業在網絡安全建設過程中存在的不足,優化企業網絡安全建設思路,進而強化企業網絡安全建設效果,降低因網絡安全造成的非計劃停機比例,增大攻擊成本從而降低企業遭受攻擊頻率,間接降低了企業因事故造成的財產損失,并且可以向省級工業互聯網安全監測與態勢感知平臺提供監測數據。
通過構建省級安全監測與態勢感知平臺,可以實現省級平臺與國家平臺的數據共享與交換,并且可以從工控資產態勢、工業產業態勢、全網態勢、威脅態勢等多個維度查看分析工業企業和工業互聯網平臺企業網絡的安全態勢,可以有效提升某省工業互聯網的綜合管理和安全保障能力,通過與國家級安全態勢感知平臺對接,形成上下聯動、政企協同的某省工業互聯網監測體系。該項目適用于工業企業對自身生產業務有安全狀態監測需求、省級單位對下屬工業企業的安全狀態監測需求等應用場景。
本項目成果擁有自主知識產權,符合國家法律政策及相關部委監管法規的要求,滿足該省工業互聯網信息安全建設需求,可提高省級的工業互聯網信息安全管理水平。本項目的成功實施,將作為后續該省制造業數字化轉型的重要參考,快速推動該省制造業深化改革節奏,具備很深遠的市場推廣和示范型意義,為后續全國其他省份工業互聯網平臺建設起到示范性效應,具有廣闊的應用前景和推廣價值:
項目提供了結合企業、區域監管、國家監管的多級監管運營結構實踐場景,對建設單位后續區域安全運營進行了理論基礎支撐,根據本項目實踐場景,建設單位后續可以推出一系列如安全公共服務平臺、區域安全運營平臺等;
該項目有效促進建設單位對于國家工業互聯網安全發展思路的理解,對后續有效支撐國家在工業互聯網安全領域的產業發展與建設提供了理論基礎支撐,并對企業后續參與其他省份省級監管平臺設計與建設提供了實踐依據,促進建設單位在相關領域的能力發展;
從分析展示層面,省級可以集中監管各企業單位業務板塊工控系統網絡安全實時狀態,能有效的降低信息安全人力需求;
加強頂層設計,有效提升用戶單位生產控制系統網絡應對網絡攻擊風險的能力;
有利于優化產業結構,提升產業競爭力;
有利于提高用戶工控系統信息化建設水平;
有利于國家相關部門對工控系統信息安全態勢的管控。