1 實(shí)驗平臺目標和概述

1.1 主要目標

“智能制造安全監測與運營(yíng)管理平臺”主要實(shí)現對智能制造企業(yè)工控系統通信數據和安全日志進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析，及時(shí)發(fā)現智能制造行業(yè)工控系統異常和針對工控系統的威脅，通過(guò)可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢展現給用戶(hù)，通過(guò)對告警和響應的自動(dòng)化發(fā)布、跟蹤、管理實(shí)現安全風(fēng)險的閉環(huán)管理。

通過(guò)建設智能制造安全監測與運營(yíng)管理平臺，實(shí)現企業(yè)內網(wǎng)IT和OT安全的統一管理，企業(yè)內部通過(guò)全網(wǎng)流量監測，提前洞悉企業(yè)內部各種工業(yè)安全威脅，降低智能制造企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)轉型過(guò)程中的安全門(mén)檻，促進(jìn)智能制造相關(guān)產(chǎn)業(yè)高速發(fā)展。

1.2 總體概述

智能制造監測與運營(yíng)管理平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規則引擎和分析平臺4個(gè)硬件模塊。如下圖所示：

平臺組成架構

（1）流量傳感器

流量傳感器的功能主要是采集工控網(wǎng)絡(luò )中的工業(yè)協(xié)議流量數據，將原始的工控網(wǎng)絡(luò )全流量轉化為按session方式記錄的格式化流量日志，全流量日志會(huì )加密傳輸給分析平臺存儲用于后期的審計和分析。

（2）日志采集探針

日志采集器的主要功能是對工控網(wǎng)絡(luò )內工控設備（PLC/DCS/RTU/HMI等）、安全設備、工業(yè)以太網(wǎng)、上位機、服務(wù)器等設備通過(guò)主動(dòng)采集或被動(dòng)接收等方式對日志進(jìn)行采集并進(jìn)行歸一化預處理，方便數據流后面的關(guān)聯(lián)規則和數據分析能夠快速使用。同時(shí)日志采集器還負責對內網(wǎng)資產(chǎn)進(jìn)行掃描識別，收集資產(chǎn)數據。

（3）關(guān)聯(lián)規則引擎

關(guān)聯(lián)規則引擎主要負責對來(lái)自日志采集器的大量日志信息進(jìn)行實(shí)時(shí)流解析，并匹配關(guān)聯(lián)規則，對異常行為產(chǎn)生關(guān)聯(lián)告警。

（4）分析平臺

分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設備日志和系統日志，并同時(shí)提供應用交互界面。分析平臺底層的數據檢索模塊采用了分布式計算和搜索引擎技術(shù)對所有數據進(jìn)行處理，可通過(guò)多臺設備建立集群以保證存儲空間和計算能力的供應。

2 應用場(chǎng)景介紹

本平臺主要面向智能制造領(lǐng)域，對中小企業(yè)建設具有監測、預警的管理平臺，利用平臺的實(shí)時(shí)監測能力，有效加強企業(yè)的工業(yè)互聯(lián)網(wǎng)安全水平。

為保證智能制造設備的安全運行、預防系統突發(fā)性重大事故的發(fā)生，并在事故發(fā)生后迅速有效地控制和處理，最大限度地減少事故損失和相關(guān)系統的影響，在企業(yè)內部建立安全運營(yíng)管理平臺，以數據為驅動(dòng)，以安全分析為工作重點(diǎn)，立足于安全策略防護，充分利用大數據平臺的數據收集、查詢(xún)能力進(jìn)行持續的監控與分析；在持續監控的基礎上，實(shí)現安全管理體系、預警監測體系、安全服務(wù)體系、縱深安全防護之間的有效協(xié)同和共同作用，最終形成可以有效落實(shí)的體系化安全解決方案。

2.1 預期成果

（1）工控系統關(guān)鍵資產(chǎn)管理

該平臺能夠提供對企業(yè)內網(wǎng)資產(chǎn)的被動(dòng)發(fā)現、手工管理、資產(chǎn)變更比對、資產(chǎn)信息整合展示等基本功能。同時(shí)，提供長(cháng)期的服務(wù)、流量、威脅相關(guān)的監控，所有資產(chǎn)相關(guān)的監控數據均可在資產(chǎn)詳情頁(yè)查看。

（2）工控系統操作行為監測

該平臺能夠實(shí)時(shí)監測工控系統控制器下裝、上傳、啟動(dòng)、停止等關(guān)鍵操作行為，包括智能制造行業(yè)常用西門(mén)子S7-300、施耐德昆騰、羅克韋爾Control Logix等系列工控系統。

（3）提升威脅發(fā)現能力

利用多種新型威脅監測手段，再結合威脅情報的使用，該平臺能夠更快地發(fā)現隱藏在各類(lèi)日志中的安全問(wèn)題。更早地發(fā)現威脅，一方面可以幫助企業(yè)或單位在安全管理上更為從容，無(wú)需面臨可能被通報追查的窘境，另一方面可以留下更多挽回損失的機會(huì )，為快速地彌補安全問(wèn)題提供寶貴的時(shí)間窗口。

（4）安全運營(yíng)

該平臺可以在多種安全功能基礎之上提供安全運營(yíng)，幫助用戶(hù)快速、宏觀(guān)地了解整個(gè)企業(yè)的安全情況。對各種威脅采取措施的控制指令下發(fā)至控制系統，形成監控、分析、控制的閉環(huán)。

2.2 技術(shù)的示范效應

通過(guò)全網(wǎng)流量監測，發(fā)現工業(yè)網(wǎng)絡(luò )中的各類(lèi)威脅，并進(jìn)行情報挖掘與云端關(guān)聯(lián)分析，提前洞悉企業(yè)內部各種工業(yè)安全威脅，并將威脅情報以可機讀格式推送到本地系統，供本地威脅檢測和分析時(shí)使用。

2.3 商業(yè)價(jià)值

傳統工業(yè)領(lǐng)域安全防護常用的分層分域的隔離與邊界防護思路以及傳統的IT安全手段已不能有效識別和抵御所有可能的攻擊。安全監測與運營(yíng)管理平臺為智能制造中小企業(yè)的工業(yè)控制系統信息安全保障提供了一種有效解決方案。通過(guò)該平臺的部署，可以實(shí)時(shí)監控企業(yè)內網(wǎng)的流量，及時(shí)發(fā)現智能制造網(wǎng)絡(luò )空間的可疑行為和風(fēng)險，大大提高了整個(gè)工業(yè)控制過(guò)程自動(dòng)化領(lǐng)域的信息安全保障水平，同時(shí)提高用戶(hù)對自己使用的工業(yè)控制系統信息安全的自主把控能力。本平臺作為智能制造行業(yè)工業(yè)互聯(lián)網(wǎng)建設和正常運行的重要支撐和保護，其建設具有良好的經(jīng)濟效益。

2.4 社會(huì )價(jià)值

智能制造行業(yè)工業(yè)控制系統在我國經(jīng)濟生產(chǎn)生活中起著(zhù)舉足輕重的作用，如果工業(yè)控制的信息被竊取或者被修改，可能造成人身傷亡、財產(chǎn)損失等嚴重后果，更嚴重的甚至會(huì )影響到國家安全。本平臺建成后，將快速面向智能制造中小企業(yè)，形成良好的工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò )安全產(chǎn)業(yè)生態(tài)，加快工業(yè)物聯(lián)網(wǎng)在工業(yè)信息化產(chǎn)業(yè)中的布局，降低企業(yè)工業(yè)控制信息化的復雜度，從而讓工業(yè)充分享受信息化產(chǎn)業(yè)帶來(lái)的便利，社會(huì )效益十分顯著(zhù)。

3 實(shí)驗平臺技術(shù)可行性

該平臺將建設成一個(gè)以多種安全問(wèn)題管理為目標、以智能制造工業(yè)數據為核心、威脅情報為特色、打通安全運營(yíng)中的檢測、響應、預警、防御多個(gè)領(lǐng)域環(huán)節的完整安全體系，能夠覆蓋安全管理與運營(yíng)的各個(gè)環(huán)節，功能架構圖如下：

平臺功能架構

該平臺數據采集部分，除了對智能制造行業(yè)傳統的Syslog、Flow、各種系統日志和安全設備日志以外還突破性地針對原始流量日志（依賴(lài)于流量傳感器或360下一代防火墻）和終端日志（依賴(lài)于天擎EDR模塊）進(jìn)行采集。依賴(lài)于更加原始的日志信息，平臺可以發(fā)現隱藏更深的各種威脅，同時(shí)能夠提供完整的事件回溯分析能力。
平臺在數據的存儲和分析中大量使用大數據相關(guān)技術(shù)，在標準化組件中可以依賴(lài)于分布式全文檢索技術(shù)提供接近PB級日志量的存儲和快速計算，同時(shí)能夠提供良好的可靠性保證，以解決意外斷電、磁盤(pán)故障可能對系統帶來(lái)的可靠性問(wèn)題。

平臺使用多種分析引擎針對不同的管理目標提供相應支撐，關(guān)聯(lián)分析、統計分析、快速搜索等功能相較于傳統產(chǎn)品具有明顯的性能優(yōu)勢。

平臺最外層提供友好、高效的交互管理頁(yè)面，既滿(mǎn)足了使用需求，又能夠提升工作效率。再結合威脅情報、安全服務(wù)等來(lái)自于360特有的安全知識輸入，該平臺可以極大地提升本地安全運營(yíng)的效率。

3.1 物理平臺

平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規則引擎和分析平臺4個(gè)硬件模塊。通常部署在網(wǎng)絡(luò )出口交換機旁，或者其他需要監聽(tīng)流量的網(wǎng)絡(luò )節點(diǎn)旁，接收鏡像流量，不會(huì )對企業(yè)廠(chǎng)區內部生產(chǎn)本身造成影響。

3.2 軟件平臺

所用設備操作系統為linux。

3.3 配置和控制接口

3.4 數據通訊接口

工控通信協(xié)議Modbus/TCP、OPC DA、S7等。

3.5 安全措施

智能制造安全監測與運營(yíng)管理平臺是安全產(chǎn)品，能夠連接工控防火墻、工業(yè)安全審計、工業(yè)主機防病毒軟件、工控交換機等設備，統一管理安全事件。

同時(shí)，該平臺在出廠(chǎng)時(shí)已經(jīng)通過(guò)公司內部安全審查和評估。

3.6 軟件開(kāi)發(fā)和模擬環(huán)境

開(kāi)發(fā)環(huán)境為python環(huán)境和C環(huán)境

4 和ECC技術(shù)及測試臺的關(guān)系

4.1 ECC總體架構

邊緣計算參考架構2.0

邊緣計算參考架構在每層均提供了模型化的開(kāi)放接口，實(shí)現了架構的全層次開(kāi)放；邊緣計算參考架構通過(guò)縱向管理服務(wù)、數據全生命周期服務(wù)、安全服務(wù)，實(shí)現業(yè)務(wù)的全流程、全生命周期的智能服務(wù)。

安全監測和運營(yíng)管理平臺在邊緣計算參考架構中提供安全服務(wù)，網(wǎng)絡(luò )邊緣側接入的終端類(lèi)型廣泛，數量巨大，承載的業(yè)務(wù)繁雜，被動(dòng)的安全防御往往不能起到良好的效果。因此，需要采用更加積極主動(dòng)的安全防御手段，包括基于大數據的態(tài)勢感知和高級威脅檢測，以及統一的全網(wǎng)安全策略執行和主動(dòng)防護，從而更加快速響應和防護。再結合完善的運維監控和應急響應機制，則能夠最大限度保障邊緣計算系統的安全、可用、可信。

4.2 ECC實(shí)驗平臺

參考邊緣計算產(chǎn)業(yè)聯(lián)盟已發(fā)布的17個(gè)測試床，主要集中在智能水務(wù)、智慧農業(yè)、智慧物流、智能樓宇、照明物聯(lián)網(wǎng)、智能車(chē)輛等方面?，F有成果沒(méi)有從安全角度考慮建設測試床，因此，智能制造安全監測與運營(yíng)管理平臺的部署是非常有必要的，同時(shí)需要亟待落實(shí)。

智能制造安全監測與運營(yíng)管理平臺架構本身即為邊緣計算架構，平臺對接360云端威脅情報中心，可對海
量數據情報對各種告警中的IP、域名、文件MD5進(jìn)行進(jìn)一步分析和解釋?zhuān)镜胤治銎脚_對原始日志和流量信息進(jìn)行分析，實(shí)現本地處理，分析平臺本身可看作邊緣節點(diǎn)。

5 交付件

智能制造安全監測與運營(yíng)管理平臺本身是一個(gè)系統，提供流量傳感器、日志采集探針、關(guān)聯(lián)規則引擎和分析平臺四個(gè)硬件設備。

6 實(shí)驗平臺使用者

智能制造安全監測與運營(yíng)管理平臺建設成功后，可用于工業(yè)控制系統安全國家地方聯(lián)合工程實(shí)驗室展示，同時(shí)用于威派格智慧水務(wù)系統的安全監測、分析預警、安全態(tài)勢展現、威脅情報發(fā)布與使用。

7 知識產(chǎn)權說(shuō)明

（1）項目實(shí)施過(guò)程中所產(chǎn)生的知識產(chǎn)權：

·各方獨立完成的成果所有權歸各自所有；共同完成的成果所有權，按照參與方的貢獻大小進(jìn)行分配。

·共同完成的項目成果轉讓?zhuān)毥?jīng)參與各方同意的前提下進(jìn)行，任何一方不得私自開(kāi)展。

（2）獨立完成的知識產(chǎn)權成果各方可獨立組織成果鑒定。

（3）共同完成的項目成果申報各級獎項，應根據各方貢獻大小排名。具體事宜另行商定。

8 部署、操作和訪(fǎng)問(wèn)使用

流量傳感器通常部署在網(wǎng)絡(luò )出口交換機旁，或者其他需要監聽(tīng)流量的網(wǎng)絡(luò )節點(diǎn)旁，接收鏡像流量。關(guān)聯(lián)規則引擎、日志采集器和分析平臺部署在流量傳感器同一個(gè)網(wǎng)段即可，不會(huì )對企業(yè)廠(chǎng)區內部生產(chǎn)造成影響。

摘自《自動(dòng)化博覽》2018年增刊《邊緣計算2018專(zhuān)輯》