基于《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》精神，南京中新賽克科技有限責任公司聚焦工業(yè)網(wǎng)絡(luò )安全產(chǎn)品，通過(guò)標準化產(chǎn)品和行業(yè)定制化開(kāi)發(fā)相結合的模式，開(kāi)發(fā)推出具有自主產(chǎn)權的基于人工智能和大數據分析技術(shù)的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，利用大數據分析技術(shù)，將主動(dòng)威脅檢測與被動(dòng)流量分析相結合，實(shí)現對工業(yè)互聯(lián)網(wǎng)安全事件的實(shí)時(shí)監測與預警。

1 項目概況

通信管理局擔負協(xié)調管理省內通信網(wǎng)、互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )信息安全的重要職責。為進(jìn)一步規劃統籌省內工業(yè)企業(yè)網(wǎng)絡(luò )安全建設，推進(jìn)“兩化融合”進(jìn)程，實(shí)現工業(yè)網(wǎng)絡(luò )向數字化、網(wǎng)絡(luò )化、智能化轉變，某省通信管理局與中新賽克獨家合作，通過(guò)在監管側部署工業(yè)互聯(lián)網(wǎng)安全監測與態(tài)勢感知平臺，實(shí)現對設備和控制的安全防護、對工業(yè)網(wǎng)絡(luò )進(jìn)行風(fēng)險評估、態(tài)勢感知、監測預警及應急處置。

1.1 項目背景

近年來(lái)，我國從法律法規、戰略規劃、標準規范等多個(gè)層面對工業(yè)互聯(lián)網(wǎng)安全做出了一系列工作部署，提出了一系列工作要求。某通信管理局在對管局側信安系統“專(zhuān)線(xiàn)資源”進(jìn)行審核時(shí)發(fā)現，省內企業(yè)基數大、工業(yè)資產(chǎn)類(lèi)型繁雜難以實(shí)現有效地統一監管，主要存在以下幾種典型的安全問(wèn)題：

·部分基礎企業(yè)對互聯(lián)網(wǎng)專(zhuān)線(xiàn)信息存在漏報、誤報等問(wèn)題，導致管局對專(zhuān)線(xiàn)數據監管不全，且缺少核驗機制；

·對于專(zhuān)線(xiàn)的使用僅僅存在于數據統計，缺乏數據資源獲取手段和對專(zhuān)線(xiàn)數據進(jìn)行深入挖掘分析的技術(shù)手段，無(wú)法發(fā)現數據的潛在價(jià)值；

·缺少對工業(yè)互聯(lián)網(wǎng)協(xié)議與設備的識別能力、缺少對專(zhuān)線(xiàn)中存在的工業(yè)互聯(lián)網(wǎng)安全事件的監測預警、處置溯源能力、安全態(tài)勢分析能力；

·針對專(zhuān)線(xiàn)接入的重點(diǎn)用戶(hù)、關(guān)鍵基礎設施缺少安全監管和保障手段。

因此，為規范對專(zhuān)線(xiàn)監管的內容和范圍，省通信管理局希望通過(guò)部署工業(yè)互聯(lián)網(wǎng)安全監測與態(tài)勢感知平臺，實(shí)現對違法開(kāi)辦互聯(lián)網(wǎng)信息服務(wù)進(jìn)行管控、黑灰產(chǎn)業(yè)鏈監測預警、防范互聯(lián)網(wǎng)詐騙、為工業(yè)互聯(lián)網(wǎng)安全等工作打下基礎。

1.2 項目簡(jiǎn)介

本項目提出的工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案以工業(yè)網(wǎng)絡(luò )安全數據、關(guān)鍵基礎設施行業(yè)數據為基礎，以包含工控設備資產(chǎn)指紋、漏洞信息、安全設備信息、物聯(lián)網(wǎng)傳感數據及工業(yè)網(wǎng)絡(luò )模型等海量數據的資源池為支撐，運用自主知識產(chǎn)權的云計算、大數據及人工智能安全感知技術(shù)，精準定位暴露在網(wǎng)上的工業(yè)系統、工業(yè)云平臺以及工業(yè)設備，進(jìn)行全面的漏洞掃描，并通過(guò)AI分析網(wǎng)絡(luò )安全威脅態(tài)勢、流量分析關(guān)聯(lián)技術(shù)實(shí)現完整的網(wǎng)絡(luò )攻擊溯源取證，并具有高度可視化的界面，幫助相關(guān)主管部門(mén)對關(guān)鍵基礎設施進(jìn)行設備和控制的安全防護、對工業(yè)網(wǎng)絡(luò )進(jìn)行風(fēng)險評估、態(tài)勢感知、監測預警及應急處置。

本項目將公司的工業(yè)互聯(lián)網(wǎng)探針系統與大數據安全態(tài)勢感知系統聯(lián)動(dòng)，工業(yè)互聯(lián)網(wǎng)流量的接入側部署工業(yè)互聯(lián)網(wǎng)探針設備，部署方式可串接部署也可以旁路部署。工業(yè)互聯(lián)網(wǎng)探針支持多達30多種工業(yè)協(xié)議識別，支持用戶(hù)自定義協(xié)議識別和元數據提取，支持協(xié)議特征庫在線(xiàn)升級，支持實(shí)時(shí)生成工控設備流量日志，工控設備終端設備應用、行為日志，以及工控設備網(wǎng)關(guān)或后臺管理中心日志/操作系統日志/數據庫等日志。工業(yè)互聯(lián)網(wǎng)流量在經(jīng)過(guò)工業(yè)互聯(lián)網(wǎng)探針后，工業(yè)互聯(lián)網(wǎng)探針將生成的日志送到安全態(tài)勢感知系統進(jìn)行數據的分析挖掘與融合，這樣可以大大減輕安全態(tài)勢感知系統的處理壓力，提高安全態(tài)勢感知系統的性能。

1.3 項目目標

本項目以進(jìn)一步做好省內基礎通信企業(yè)專(zhuān)線(xiàn)業(yè)務(wù)管理，強化屬地網(wǎng)絡(luò )信息安全技術(shù)監管，根據前期企業(yè)調研情況結合工作實(shí)際，擴大相關(guān)企業(yè)專(zhuān)線(xiàn)技術(shù)手段建設范圍，有效完善體系化的技術(shù)保障能力為總體目標。

·全量：全量端口全量數據，實(shí)現對省內基礎運營(yíng)商的數據專(zhuān)線(xiàn)類(lèi)型的全量端口、全量數據全覆蓋；

·準確：準確的技術(shù)核驗手段，實(shí)現對省內專(zhuān)線(xiàn)流量和企業(yè)上報數據的準確的技術(shù)核驗手段，有效防止企業(yè)漏報、錯報；

·多維：多維度的數據分析，實(shí)現對省內專(zhuān)線(xiàn)流量多維度的數據分析，形成統一資源池；

·開(kāi)放：開(kāi)放的能力平臺，實(shí)現省通管局統一能力平臺的建設，開(kāi)放端口，能夠為其他業(yè)務(wù)部門(mén)提供相應的業(yè)務(wù)數據支撐；

·安全：安全保障重點(diǎn)用戶(hù)，對省內政府、化工、能源、工控等關(guān)鍵行業(yè)網(wǎng)站的域名、IP、APP、資產(chǎn)信息進(jìn)行重點(diǎn)保障。

2 項目實(shí)施

本項目方案提供工業(yè)互聯(lián)網(wǎng)流量采集、流量清洗、大數據分析與挖掘、工業(yè)設備和工業(yè)系統資產(chǎn)暴露情況監測、工業(yè)互聯(lián)網(wǎng)安全漏洞掃描、異常流量分析、木馬病毒等網(wǎng)絡(luò )攻擊檢測與溯源等一站式的解決方案，使工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統更專(zhuān)業(yè)、更高效、更系統。

2.1 項目總體架構和主要內容

（1）總體技術(shù)架構

圖1 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統總體技術(shù)架構

·數據源：通過(guò)大范圍、深層次的數據采集，以及異構數據的協(xié)議轉換與邊緣處理，構建工業(yè)互聯(lián)網(wǎng)平臺的數據基礎；

·IaaS：IaaS層提供數據導入/導出管理、數據存儲、數據標準、元數據管理、血緣分析、數據質(zhì)量管理等服務(wù)；

·PaaS：PaaS層提供資產(chǎn)指紋庫、漏洞資源庫、研判資源庫、安全知識庫、業(yè)務(wù)數據庫、專(zhuān)題數據庫、以及原始數據庫，為DaaS層的數據分析提供數據庫；

·DaaS：DaaS層引入人工智能、機器學(xué)習以及神經(jīng)網(wǎng)絡(luò )等先進(jìn)大數據分析技術(shù)對數據進(jìn)行分析；

·SaaS：工業(yè)互聯(lián)網(wǎng)對外開(kāi)放的接口，通過(guò)SaaS層對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò )安全態(tài)勢進(jìn)行安全監測、安全態(tài)勢分析以及預警處置。

本項目充分利用中新賽克現有技術(shù)優(yōu)勢，創(chuàng )新性地將工業(yè)互聯(lián)網(wǎng)探針與智能大數據系統聯(lián)動(dòng)使用，開(kāi)發(fā)了工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案。其中工業(yè)互聯(lián)網(wǎng)探針部署在工業(yè)互聯(lián)網(wǎng)接入側，利用其高性能的接入和處理能力，靈活的日志和流量?jì)热葑R別能力，對工業(yè)互聯(lián)網(wǎng)流量進(jìn)行實(shí)時(shí)的清洗，分析與轉化，將生成的日志信息提供給后面的大數據分析系統，日志的輸出比大概為千分之五，即1T的工業(yè)互聯(lián)網(wǎng)數據流量，經(jīng)過(guò)第一級的工業(yè)互聯(lián)網(wǎng)探針處理后，只有5G的流量送給后面的智能大數據分析系統進(jìn)行網(wǎng)絡(luò )安全態(tài)勢的感知。此種方案解決了大數據系統普遍存在的接入能力差，處理性能較弱的問(wèn)題，此外由于流量已經(jīng)經(jīng)過(guò)清洗與轉換，大大提高了大數據分析系統的處理效率，從而提高了網(wǎng)絡(luò )安全態(tài)勢感知的實(shí)時(shí)性。

圖2 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺架構

（2）安全解決方案

中新賽克工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統總體技術(shù)方案目標是構建工業(yè)互聯(lián)網(wǎng)安全共同體，如圖3所示，以行業(yè)/區域監管部門(mén)(GOV)為中心，將企業(yè)側工控系統數據、暴露在公網(wǎng)的工業(yè)數據以及工業(yè)云平臺數據接入政府監管部門(mén)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺并建立工業(yè)安全漏洞數據庫，進(jìn)行實(shí)時(shí)分析和風(fēng)險預防，對相關(guān)的工業(yè)互聯(lián)網(wǎng)安全風(fēng)險及漏洞等及時(shí)通報給各企業(yè)和平臺，同時(shí)可以通過(guò)工業(yè)安全漏洞數據庫將最新的漏洞、安全風(fēng)險同步通知各企業(yè)、平臺做好安全防護工作，從而構建工業(yè)互聯(lián)網(wǎng)共同體。

·在運營(yíng)商核心路由器上做規則過(guò)濾，篩選出工業(yè)專(zhuān)線(xiàn)流量，并通過(guò)鏡像方式將流量接入到工業(yè)互聯(lián)網(wǎng)探針；

·工業(yè)互聯(lián)網(wǎng)探針支持工業(yè)協(xié)議的解析、工業(yè)設備指紋的提取等，對接入的流量進(jìn)行預處理生成全息日志；

·工業(yè)互聯(lián)網(wǎng)安全監測與態(tài)勢感知平臺對全息日志進(jìn)行數據治理、數據分析，并結合人工智能等技術(shù)進(jìn)行工業(yè)資產(chǎn)、工控漏洞、工業(yè)云平臺、安全事件的監測。

圖3 工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案網(wǎng)絡(luò )架構

2.2 安全及可靠性

（1）安全性

系統設計保障用戶(hù)、業(yè)務(wù)、數據解耦，確保原始數據安全，同時(shí)硬件配備高性能防火墻，身份證識別設備、指紋識別設備、殺毒軟件嚴格防護系統和網(wǎng)絡(luò )的安全。嚴格控制數據訪(fǎng)問(wèn)權限，做到“事前申請、事中監控、事后備案”。建立嚴格的安全授權管理機制。

（2）可靠性

系統設計選用工作性能穩定的軟、硬件。保證系統可靠連續7×24小時(shí)的無(wú)故障運行。數據備份存儲，且存儲系統布置容災系統，確保數據存儲可靠。

本系統可支持7×24小時(shí)穩定運行，軟件系統全年無(wú)故障率不低于99.999%。

3 未來(lái)實(shí)施規劃

該項目已在某省通信管理局進(jìn)行部署與實(shí)施，從實(shí)施效果來(lái)看，該項目經(jīng)受住了實(shí)戰考驗，且基本達到了預期設定的目標，得到了有關(guān)主管部門(mén)的高度認可，為工業(yè)互聯(lián)網(wǎng)的安全保障提供了有力的支撐。下一步建設的主要內容有：

·完善工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案在項目實(shí)施過(guò)程中遇到的問(wèn)題，進(jìn)一步的優(yōu)化此防御體系；

·探索利用區塊鏈、物聯(lián)網(wǎng)等新技術(shù)在工業(yè)互聯(lián)網(wǎng)安全防護的創(chuàng )新應用，有效推動(dòng)解決設備、控制、網(wǎng)絡(luò )、平臺和數據等多層次安全問(wèn)題；

·進(jìn)一步優(yōu)化可視化界面，做到資產(chǎn)可視、威脅可視、攻擊可視、路徑可視。

4 項目創(chuàng )新點(diǎn)和實(shí)施效果

4.1 項目先進(jìn)性及創(chuàng )新點(diǎn)

（1）項目的先進(jìn)性

數據采集設備采用專(zhuān)用硬件，采用業(yè)界領(lǐng)先的硬件平臺架構，在硬件集成度、處理性能方面處于業(yè)界領(lǐng)先水平。

系統軟件設計采用當前最新的分布式并行技術(shù)，使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、Tensorflow等組件，代表了未來(lái)一段時(shí)期的技術(shù)和方案的發(fā)展趨勢。系統充分利用目前先進(jìn)的云計算和海量數據處理關(guān)鍵技術(shù)，保證系統技術(shù)的前瞻性和先進(jìn)性。

（2）項目的創(chuàng )新點(diǎn)

·通過(guò)建立被動(dòng)監測為主、主動(dòng)監測為輔的采集手段、數據核驗校正手段，提升省內工業(yè)資產(chǎn)數據的準確性、完整性，從而支撐省主管部門(mén)摸清家底，了解省內工業(yè)設備資產(chǎn)的真實(shí)情況；

·該系統行為分析建模能力支持50多種數據建模模型、20多種工業(yè)場(chǎng)景模型和機器學(xué)習自主建模，具備不依賴(lài)規則而檢測低概率威脅的能力，有效檢測APT攻擊和潛伏在網(wǎng)絡(luò )內部的未知威脅，提升整體網(wǎng)絡(luò )安全能力；

·海量的數據支撐：PB級海量數據，為各類(lèi)服務(wù)與分析提供了豐富的數據支持。

4.2 實(shí)施效果

（1）工業(yè)控制系統與設備暴露情況監測實(shí)施效果

本項目開(kāi)發(fā)的工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案通過(guò)全面采集和分析工控設備信息，對互聯(lián)網(wǎng)上的工業(yè)控制系統進(jìn)行掃描探測，定位工控設備位置，最小粒度可定位到某省份的具體某一企業(yè)/單位，并進(jìn)行高度可視化界面呈現，有利于主管部門(mén)摸清省內的資產(chǎn)家底。

（2）工業(yè)控制系統及設備漏洞態(tài)勢感知實(shí)施效果

省通信管理局通過(guò)部署該平臺，對全網(wǎng)的工業(yè)控制系統以及設備進(jìn)行全面的掃描，捕捉開(kāi)放的工控端口， PLC設備漏洞、上位機軟件漏洞與弱點(diǎn)、攝像頭漏洞、應用程序SQL漏洞、系統文件上傳漏洞，并將這些漏洞信息反饋給相關(guān)主管部門(mén)，再傳達到企業(yè)進(jìn)行漏洞的修復，部署之后，企業(yè)的網(wǎng)絡(luò )攻擊次數下降非常明顯，有效地保護了企業(yè)資產(chǎn)，也為相關(guān)主管部門(mén)做相關(guān)決策提供支撐。

（3）木馬病毒攻擊態(tài)勢感知與溯源分析實(shí)施效果

隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，暴露在公網(wǎng)上的工業(yè)設備以及控制系統會(huì )越來(lái)越多，這樣就給了一些不法分子通過(guò)植入病毒或者木馬入侵設備和控制系統的機會(huì )。該系統的部署成功攔截了多達幾十次的木馬與病毒入侵事件，并且威脅溯源分析模塊將終端與網(wǎng)關(guān)病毒信息日志進(jìn)行大數據關(guān)聯(lián)分析，進(jìn)行病毒源精確溯源定位，抓獲不法分子，從源頭上快速精準消除病毒隱患，大大提高了省內的安全保障能力。

（4）企業(yè)安全運維成本實(shí)施效果

企業(yè)可將暴露在公網(wǎng)上的外部網(wǎng)絡(luò )的安全維護工作交與本系統，不僅可以節約大量安全運維成本，且安全質(zhì)量有保障。

摘自《自動(dòng)化博覽》2020年2月刊