1　背景

在信息化高速發(fā)展的今天，網(wǎng)絡(luò )安全正面臨著(zhù)全新的挑戰。近年來(lái)以工業(yè)環(huán)境為目標的惡意攻擊出現顯著(zhù)增長(cháng)。供應鏈和業(yè)務(wù)中斷的風(fēng)險在過(guò)去三年里一直高居全球企業(yè)風(fēng)險的榜首，而面向生產(chǎn)的網(wǎng)絡(luò )安全成為能源、制造工業(yè)企業(yè)首要新興問(wèn)題。對于運營(yíng)關(guān)鍵基礎設施的企業(yè)，風(fēng)險日益壯大。

與此同時(shí)，工業(yè)網(wǎng)絡(luò )威脅越來(lái)越嚴重，各類(lèi)安全攻擊手段層出不窮，新型威脅發(fā)現和處理時(shí)間長(cháng)，缺少梳理工控網(wǎng)內的各類(lèi)設備和節點(diǎn)，以及集中維護工控網(wǎng)絡(luò )基本信息、信息安全的解決方案。如何處理各自隔離的工業(yè)日志、工業(yè)網(wǎng)絡(luò )流量和業(yè)務(wù)流程數據，如何直觀(guān)感受安全態(tài)勢，如何解決安全事件響應慢，建立生產(chǎn)業(yè)務(wù)相關(guān)聯(lián)的生產(chǎn)監控網(wǎng)絡(luò )安全應急響應體系，成為企業(yè)面向智能制造考慮的現實(shí)需求。

2　概述

工業(yè)安全影響遠超過(guò)商業(yè)和名譽(yù)保護，在多數情況下，當涉及到工業(yè)系統威脅、攻擊、破壞時(shí)，往往首要考慮生態(tài)、社會(huì )和宏觀(guān)經(jīng)濟因素。因此，工業(yè)系統等關(guān)鍵基礎設施的關(guān)鍵節點(diǎn)和網(wǎng)絡(luò )保護需要足夠高的防護等級才能對抗日益增長(cháng)的網(wǎng)絡(luò )安全威脅。同時(shí)，工業(yè)環(huán)境需要一套綜合的解決方案通過(guò)安全預警響應的策略提升技術(shù)流程的可用性。

網(wǎng)絡(luò )安全供應商只有先了解工業(yè)系統于普通的IT業(yè)務(wù)導向型系統的區別，才能為客戶(hù)提供滿(mǎn)足工業(yè)控制系統和工業(yè)基礎設施獨特需求的解決方案?；趪覍た匕踩捻攲右巹澰O計，實(shí)現測評、管理、組織、運行、技術(shù)全流程把控。

工業(yè)制造能力開(kāi)放是企業(yè)創(chuàng )新的引擎，連接是行業(yè)數字化與智能制造的關(guān)鍵因數，能夠大幅提升生產(chǎn)效率，降低能耗，未來(lái)， IT場(chǎng)景與工控場(chǎng)景將越加融合，安全成為IT與生產(chǎn)環(huán)境融合的現實(shí)需求，成為企業(yè)面向智能制造考慮的關(guān)鍵因素之一，因此需要整合IT安全和工控安全，從設備安全、網(wǎng)絡(luò )安全、控制安全、應用安全、數據安全五大安全重點(diǎn)全覆蓋，綜合構建防護安全技術(shù)體系框架。由業(yè)務(wù)場(chǎng)景的融合，基于工業(yè)網(wǎng)絡(luò )安全方針，以情報驅動(dòng)，建立一套工業(yè)網(wǎng)絡(luò )安全預警響應防護方案，可準確、高效地感知整個(gè)工業(yè)系統網(wǎng)絡(luò )的安全狀態(tài)以及變化趨勢，從而對外部的攻擊與危害行為及時(shí)發(fā)現，并采取相應的措施，保障工業(yè)系統網(wǎng)絡(luò )安全。

3　平臺介紹

3.1　Gartner對未來(lái)安全管理平臺的理解

智能是下一代安全管理平臺的核心特征，它能夠具備自動(dòng)防御、檢測、響應和預測自適應的體系架構，更能高效地基于特殊的情境上下文和外部情報，協(xié)助安全專(zhuān)家發(fā)現安全問(wèn)題，并通過(guò)運維手段實(shí)現閉環(huán)管理。

3.2　系統架構

工業(yè)網(wǎng)絡(luò )安全監測預警平臺（Industrial NetworkSecurity Monitoring and Warning Platform）是對工業(yè)網(wǎng)絡(luò )中資產(chǎn)的日志和網(wǎng)絡(luò )攻擊流量數據進(jìn)行采集和分析、計算，通過(guò)數據聚合、去重、標準化、建模、索引和關(guān)聯(lián)，通過(guò)數據可視化的方式將分析和計算結果進(jìn)行展示，建立和完善工業(yè)網(wǎng)絡(luò )安全態(tài)勢全面監控、安全威脅實(shí)時(shí)預警、安全事故緊急響應的能力，利用情報和智能分析成果，實(shí)現企業(yè)發(fā)布早期預警信息，評估工業(yè)企業(yè)內部可能受影響的設備或資產(chǎn)，避免核心業(yè)務(wù)系統遭受的攻擊和預防潛在的安全隱患的專(zhuān)用軟件安全產(chǎn)品。

工業(yè)網(wǎng)絡(luò )安全監測預警平臺主要由數據采集層、數據分析層、系統功能層、可視化展示層共四個(gè)部分組成，可以在各種不同場(chǎng)景的工業(yè)網(wǎng)絡(luò )環(huán)境中進(jìn)行靈活的部署和管理。

（1）數據采集層3.5　一站式綜合管理

提供多種數據格式的接口，如syslog、snmp等協(xié)議格式，收集工業(yè)網(wǎng)絡(luò )中各類(lèi)上位機服務(wù)器、工控終端、網(wǎng)絡(luò )交換設備、工控安全設備的日志信息和配置信息。

（2）數據分析層

對采集后，來(lái)自不同類(lèi)型設備的日志、事件、配置信息進(jìn)行集中分析和處理。

（3）系統功能層

在該層實(shí)現系統的應用功能的實(shí)現。包括基于工控網(wǎng)絡(luò )拓撲的綜合態(tài)勢管理和業(yè)務(wù)行為基線(xiàn)的風(fēng)險預警管理、基于工控事件庫和處置預案庫的工控知識庫以及其他核心功能模塊。

（4）可視化展示層

在該層實(shí)現可視化的交互展示，包括工業(yè)網(wǎng)絡(luò )風(fēng)險全景視圖、資產(chǎn)運維監視視圖、工控拓撲圖、風(fēng)險儀表盤(pán)等可視化模塊。

3.3　集中管理

事件（日志、網(wǎng)絡(luò )流）統一管理，提供安全事件的監控、分析、處置和風(fēng)險評估的統一平臺?；诖髷祿蚣?，通過(guò)主/被動(dòng)結合的獲取手段，實(shí)時(shí)地采集用戶(hù)工業(yè)網(wǎng)絡(luò )中各種不同廠(chǎng)商的工控安全設備、工業(yè)網(wǎng)絡(luò )設備、工業(yè)上位機、操作系統，以及各種應用系統產(chǎn)生的日志信息，并將這些信息匯集到中心平臺，進(jìn)行集中化的存儲、備份、查詢(xún)、審計、告警和分析，并出具相應的日志報告，實(shí)現日志的全生命周期管理，如圖1所示。

圖1 事件統一管理

3.4　工業(yè)網(wǎng)絡(luò )資產(chǎn)生命周期管理

基于工業(yè)網(wǎng)絡(luò )安全監測預警平臺（如圖2所示）可建立企業(yè)內網(wǎng)的資產(chǎn)基線(xiàn)，通過(guò)持續監控的手段，了解工業(yè)內網(wǎng)資產(chǎn)變化情況，對合法資產(chǎn)和非法資產(chǎn)進(jìn)行有效稽查。

圖2 工業(yè)網(wǎng)絡(luò )安全監測預警平臺

提供并支持包括Syslog協(xié)議等8種數據協(xié)議類(lèi)型數據采集能力，具備包含深度流檢測探針在內的多種安全采集工具。如圖3所示。

圖3 一站式綜合管理

3.6　數據采集能力

工業(yè)網(wǎng)絡(luò )安全監測預警平臺支持多源異構數據接入，并支持包括Syslog協(xié)議等8種數據協(xié)議類(lèi)型數據采集能力，具備包含深度流檢測探針在內的多種安全采集工具，為平臺的上層分析研判業(yè)務(wù)提供有力的支撐，如圖4所示。各項性能指標如下：

（1）各類(lèi)日志采集性能，4萬(wàn)/秒；

（2）原始數據包采集性能，7萬(wàn)/秒；

（3）網(wǎng)絡(luò )流量數據采集性能，15萬(wàn)/秒。

圖4 數據采集

3.7　迅捷的預警通報能力

利用事件理解模型實(shí)現多元數據關(guān)聯(lián)分析，基于攻擊模型實(shí)現事件的正反向推理，結合威脅情報模型實(shí)現威脅驗證和預警，最終借助風(fēng)險評估模型為工業(yè)網(wǎng)絡(luò )安全防護決策提供有力支撐。站在威脅視角，以網(wǎng)絡(luò )入侵切入點(diǎn)，做到知己知彼。站在脆弱性視角，以工業(yè)系統漏洞和系統安全態(tài)勢為切入點(diǎn)，做到知己，提供全方位的工業(yè)網(wǎng)絡(luò )態(tài)勢感知能力。

3.8　高效的應急響應體系

應急響應體系以大數據框架為基礎，結合威脅情報系統，通過(guò)攻防場(chǎng)景模型的大數據分析及可視化展示等手段建立和完善工業(yè)網(wǎng)絡(luò )安全態(tài)勢全面監控、安全威脅實(shí)時(shí)預警、安全事故緊急響應的能力。通過(guò)獨有的自適應的體系架構，高效地結合情境上下文分析，協(xié)助安全專(zhuān)家快速發(fā)現和分析安全問(wèn)題，并能通過(guò)實(shí)際的運維手段實(shí)現安全閉環(huán)管理，同時(shí)弱化工業(yè)信息孤島導致不能關(guān)聯(lián)分析的問(wèn)題。利用情報和智能分析成果，對企業(yè)發(fā)布早期預警信息，評估工業(yè)企業(yè)內部可能受影響的設備或資產(chǎn)，避免核心業(yè)務(wù)系統遭受的攻擊和預防潛在的安全隱患。

4　創(chuàng )新與優(yōu)勢

4.1　創(chuàng )新

（1）PB級的日志處理能力

平臺使用Spark技術(shù)，在并發(fā)內存內處理機制方面能夠帶來(lái)數倍于其它采用磁盤(pán)訪(fǎng)問(wèn)方式的解決方案，借助離線(xiàn)計算引擎在小時(shí)級別內，即可完成對PB數量級的數據挖掘?？梢詾榇笠幠?、超大規模網(wǎng)絡(luò )提供高性能的日志采集，存儲和審計功能。例如：6個(gè)月內的安全事件之間的相關(guān)性，安全事件之間的影響程度，安全事件之間的規律性等并以報表形式進(jìn)行輸出。

（2）獨家數據強化技術(shù)

根據綠盟科技對攻防研究的長(cháng)期積累，提供一套簡(jiǎn)潔有效的日志統一分類(lèi)，使用獨有的技術(shù)將日志快速標準化，并基于安全分析需要進(jìn)行數據的過(guò)濾和強化，丟棄無(wú)法用的噪音信息，提升日志查詢(xún)和分析效率。

（3）強大的分析引擎

平臺中預制關(guān)聯(lián)分析引擎，預制引擎構成分析平臺的核心功能并且對專(zhuān)項分析提供基礎能力，如風(fēng)險分析、脆弱性分析、態(tài)勢分析、資產(chǎn)分析、攻擊分析等。

分析引擎采用分布式設計能夠進(jìn)行橫向擴展，面臨工業(yè)網(wǎng)絡(luò )數據量時(shí)能夠實(shí)現按需擴展，將分析引擎分散到其他更多的機器中，實(shí)現按需進(jìn)行計算資源擴展。

（4）面向業(yè)務(wù)的插件化設計

采用全新大數據框架，將上層業(yè)務(wù)模塊插件化處理，使業(yè)務(wù)模塊與平臺功能進(jìn)行一對一設計，業(yè)務(wù)模塊的改善和增加就不會(huì )造成其他模塊或平臺功能的調整，也就是將業(yè)務(wù)模塊抽象并與平臺功能實(shí)現分離，從而提高研發(fā)效率，降低企業(yè)維護成本。

（5）可靠性

采用大數據組件，對數據對象彈性分布存儲3個(gè)存儲節點(diǎn)中，并采用線(xiàn)程級監控，一旦發(fā)現問(wèn)題，可迅速恢復并告警，同時(shí)3個(gè)節點(diǎn)備份可以提供完整的災難恢復功能。

（6）多地部署

針對大型多組織的企業(yè)和機構，采集器可以部署在異地站點(diǎn)或二級單位（保持網(wǎng)絡(luò )可達），分析中心部署在總部節點(diǎn)，異地站點(diǎn)將采集到的數據定時(shí)通過(guò)FTP或SFTP上傳到上級分析中心，供本地留存和查詢(xún)服務(wù)。

4.2　優(yōu)勢

（1）實(shí)現安全事件分析的統一化，集約化；

（2）能夠綜合多種數據來(lái)源進(jìn)行未知威脅分析；

（3）減少威脅發(fā)現和響應時(shí)間；

（4）上至業(yè)務(wù)層網(wǎng)絡(luò )，下達生產(chǎn)現場(chǎng)，全局把控；

（5）能夠幫助安全人員簡(jiǎn)化工業(yè)網(wǎng)絡(luò )安全運維難度；

（6）可以構建企業(yè)整體安全態(tài)勢感知中心；

（7）能夠應對多項監管合規要求。

5　結語(yǔ)

由于工業(yè)控制系統所覆蓋的行業(yè)重要性，比如油化、電力、核電廠(chǎng)、水利、交通、市政、軍事、高端制造業(yè)等，其安全性問(wèn)題也越發(fā)重要，并牽涉到國計民生。對于這些關(guān)鍵信息基礎設施，如何進(jìn)行安全監測及預警，如何及時(shí)有效地進(jìn)行事前防范，事中監測以及事后追溯，正成為工控安全領(lǐng)域亟待解決的問(wèn)題。

基于全生命周期的工控系統安全綜合保障手段的建設，為傳統的單點(diǎn)安全防護提供了新的思路。將功能安全、信息安全進(jìn)行深度融合的工業(yè)網(wǎng)絡(luò )安全監測預警平臺，連接了孤軍奮戰的單個(gè)結點(diǎn)，融入了故障診斷、異常告警、態(tài)勢感知、攻擊檢測等持續可運營(yíng)的安全防護理念，最大限度地保障工業(yè)控制系統的穩定、高效、安全運行。

作者簡(jiǎn)介

楊　倫（1992-），男，貴州人，高級產(chǎn)品經(jīng)理，現就職于北京神州綠盟信息安全科技股份有限公司，主要研究方向為面向APT（AdvancedPersistentThreat）的下一代威脅防御技術(shù)（NextGenerationThreatProtection），以及數據挖掘、數據分析、機器學(xué)習在工業(yè)控制信息安全的應用。曾服務(wù)過(guò)公安部、國家電網(wǎng)國際發(fā)展公司、上汽通用、長(cháng)江電力、國家核安保、神華集團、華潤電力、IBM（國際商業(yè)機器公司）等單位、企業(yè)，長(cháng)期從事信息安全咨詢(xún)服務(wù)。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》