工業互聯網企業安全綜合防護系統——打造工業互聯網企業全流程、全領域的綜合安全保障體系
方案概述
本方案方案應用于國內一家大型化工集團央企,總部位于上海,但是集團和各分廠、廠區遍布全國(18個省、直轄市),核心需求是實現集團與各分廠的安全風險和威脅實時檢測,掌握總體安全態勢,支撐安全決策和規劃,同時滿足工業互聯網企業安全分類分級工作的管理需要。
1.方案背景
為深入貫徹落實《國務院關于深化“互聯網+先進制造業”發展工業聯網的指導意見》(國發〔2017〕50號〉,2022年3月31日工網安函【2022】235號關于征求開展工業互聯網安全深度行活動意見建議的函,2022年5月《工業和信息化部辦公廳關于開展工業互聯網安全深度行活動的通知》工信廳網安函【2022】97號推動在全國范圍內深入實施工業互聯網企業安全分類分級管理的要求。
本方案實施在某大型化工集團企業,廠區和分公司遍布全國,實現企業(包括各分廠)安全風險和威脅檢測,掌握總體安全態勢,支撐安全決策和規劃。通過方案方案實施為化工企業提供分類分級全生命周期安全服務,包括工業互聯網企業分類分級綜合管理、企業安全防護能力建設、企業態勢感知呈現,對接省工業互聯網安全監測與態勢感知平臺,實現IT與OT的融合分析,提供安全監測和預警通報、威脅溯源、公共安全服務技術手段,實現工業互聯網相關企業安全態勢可感、可知、可監管,為工業互聯網發展保駕護航。
2.方案簡介
方案目前已經驗收并在企業實際工作中產生了效益,解決企業:
(1)各地域設備和系統的數據孤島問題嚴重
在分廠與總部、廠區內各設備和系統的安全數據沒有統一匯聚和分析,安全數據和分析結果沒有打通和共享,各自為戰。
(2)工控威脅和異常行為檢測能力缺失
生產網(OT域)缺少安全檢測手段和能力,生產網絡的安全狀態不可知。
(3)威脅溯源分析無從下手
缺少安全數據關聯分析和威脅溯源的技術手段,針對發現的攻擊和威脅不能進行行為回溯和威脅畫像,以及快速定位和確定所有被攻擊資產和影響范圍,并對威脅處置進行有效支撐。
(4)威脅處置無法聚焦,效率低
集團總部和各廠區每天產生的安全時間數量平均達10萬多條,安全管理和運營人員完全無法有效分析和處理海量的安全事件和報警。
(5)安全態勢不可視
集團和各廠區的安全態勢做不到可知可控,不清楚安全風險和威脅的當前狀態、影響范圍和發展趨勢,威脅信息也無法共享。
(6)不能滿足工信部分類分級省企對接合規要求
作為三級聯網企業,未按照分類分級管理要求與省級安全監管平臺對接,也不清楚如何實現對接。
通過本方案建設工業互聯網企業安全綜合防護系統,為該化工行業企業提供工業網絡安全綜合防護平臺能力和與省/市工業互聯網安全態勢感知平臺對接等安全服務,形成了企業安全監測、預警通報、威脅溯源、安全服務能力,實現了工業互聯網相關企業安全態勢可感、可知、可監管,為工業互聯網發展保駕護航。
3.方案目標
本次方案重點方向為搭建工業互聯網企業網絡安全綜合防護平臺,圍繞工業控制系統安全、工業生產網絡與管理網絡安全、工業數據安全等,建設工業互聯網企業安全綜合防護系統,構建包括資產管理、漏洞檢測、配置核查、邊界防護、入侵檢測、態勢感知、病毒防范、安全審計、數據保護等的一體化動態綜合防御體系,形成工業互聯網企業安全綜合防護能力,全天候全方位監控關鍵生產設備及重要業務系統安全狀況,及時發現、處置、阻斷各類網絡安全隱患風險,并支撐溯源取證,為中化總部和21個分廠提供安全保障和滿足分類分級管理需求。
方案實施概況
根據經信委專家評審建議,結合工信部方案的管理要求,方案在2021年以公開招標的方式完成工業互聯網企業網絡安全綜合防護平臺方案的采購工作,目前方案已完成實施并取得很好的應用效果,實現了總部和分廠多源異構全安全數據接入,構建工控網絡威脅檢測能力和安全事件回溯能力。通過安全告警解決海量安全事件處理失焦問題,同時構建企業全領域態勢感知能力,并按照工信部分類分級管理要求,實現了省企對接,滿足分類分級合規要求。
1. 方案總體架構和主要內容
(1)方案總體架構
圖3-1 方案總體架構
平臺的建設是整個方案的主要部分,主要包括如下內容:
數據采集接入:
實現對企業內外部多源異構數據的接入及匯聚,形成統一標準格式化數據。
數據處理及分析:
調用數據采集接入層形成的標準化數據進行分析及存儲。通過IT+OT域研判結果匯聚、研判模型構建、事件智能研判及人工核驗,梳理形成工業安全態勢感知平臺基礎資源信息、聯網設備及系統資產信息,形成基礎信息庫,安全技術庫、知識庫和規則庫,為網絡側的安全監測分析提供數據支撐。
應用服務展示:
企業安全態勢感知呈現,深度分析,日志檢索,威脅溯源,資產管理,報表及策略管理,形成工業互聯網企業安全綜合防護能力,全天候全方位監控關鍵生產設備及重要業務系統安全狀況,及時發現、處置、阻斷各類網絡安全隱患風險,并支撐溯源取證。
同時,平臺與省級工業互聯網平臺對接,滿足分類分級合規要求及數據共享,形成工業互聯網網絡安全的完整閉環。
(2)方案技術方案
資產畫像:
通過主動探測、被動探測和靜態導入等多種方式,全面探測全域資產,并通過自學習功能,收集業務訪問日志,建立資產業務訪問關系模型,實現精準的資產畫像。
圖3-2 資產畫像
多源異構數據靈活自動化配置接入:
通過人性化的設計和界面,為安全人員提供便捷的可視化安全策略配置功能,實現多源異構數據的快速靈活接入。
圖3-3 多源異構數據自動化配置接入
告警規則配置與運營:
依托
海量現網安全
數據匯聚和專家分析,積累網絡安全告警規則并內置到系統,幫助客戶快速建立安全能力。提供圖形化、人性化的規則配置框架,通過時間段、威脅類型、發生頻次等多維度,以及歸并、去重等邏輯匹配規則的靈活配
置,幫助安全運營人員根據實際場景和階段性關注重點,快速建立安全策略,提升安全運營效率。
全流程安全分析:
針對企業遭受的網絡攻擊進行實時監測,包括:密碼暴力破解、拒絕服務攻擊、勒索病毒、挖礦木馬等。
圖3-4 全流程安全分析
安全深度分析:
根據企業客戶業務需求,以及生產制造等領域的實際使用場景,挑選了
10
種工業協議,實現了這些工業協議的
100
多個字段深度解析,包括精準提取指令碼、功能碼、錯誤碼等,工業協議的深度解析為工控通信異常,工控行為異常等工業威脅檢測提供了基礎和有力支撐。
圖3-5 安全深度分析-攻擊路徑還原
圖3-6 安全深度分析-風險主機畫像
(2)方案主要功能
策略配置
策略配置包括區域配置、數據來源、范化策略和關聯規則等功能模塊,其功能是是實現多源異構數據的統一接入,以及安全分析規則配置和運營,為安全告警,深度分析和攻擊行為回溯等功能提供支持。
數據接入策略
工業互聯網企業中可能存在的大量不同類型,不同廠商的設備,例如網絡設備,包括交換機、路由器等;安全設備,如堡壘機、防火墻、web應用安全網關、入侵防御系統等;以及工業控制設備和系統等。這些設備和系統,都可以作為數據來源,態感平臺通過范化策略模塊,將不同的設備的數據進行歸一化處理,統一接入到態感平臺中。
安全告警規則
關聯規則模塊是安全分析知識庫和規則庫,通過規則的配置和運營,針對接入的多源異構數據進行多維度關聯分析,產生安全告警和深度分析結果。在多源異構數據統一接入的基礎之上,態感平臺提供靈活、人性化的配置框架,幫忙用戶進行規則配置和運營。
日志檢索
提供接入的原始數據查詢和檢索功能。同時,通過對原始數據的統計和分析,向用戶展示威脅事件分布,歸屬區域,攻擊趨勢,威脅等級,失陷主機等維度的分析結果。
深度分析
基于ATT&CK安全分析模型,對威脅事件和攻擊行為進行攻擊鏈溯源和取證,如下圖所示,通過對各類威脅事件基于攻防視角等多維度歸類,依托安全分析模型和各攻擊階段的攻擊路徑和手法進行關聯分析,為用戶還原完整的攻擊過程和攻擊影響范圍,并針對攻擊者和被攻擊者進行行為回溯和畫像。
告警管理
平臺基于接入的多源異構數據和告警規則產生安全告警,從攻擊方向(由外向內,內部橫向和由內向外等)以及主機狀態等多個維度,向客戶展示資產的安全風險和面臨的威脅狀態,并進行預警。
資產管理
平臺的支持下列3種資產數據接入方式:
一是與客戶已有的資產管理平臺對接,接入資產數據。
二是與第三方資產掃描系統對接,接入資產探測結果。
三是手動錄入,提供資產錄入模板,實現資產數據的一鍵導入。
同時也接入資產的漏洞數據,并針對漏洞,從漏洞類型、危害級別、區域分布等多個維度,將資產與漏洞進行關聯分析,對高風險資產向客戶進行預警。
自動化報表中心
形成企業安全自動化報表生成,提供安全報告生成和導出功能,為企業安全預警及安全決策支撐提供幫助。
企業安全態勢感知
通過實時安全事件監測,結合威脅情報和豐富的知識庫進行分析和研判,幫助企業全面掌握安全狀態和發展趨勢。態勢感知模塊從監測對象,攻擊方向,威脅類型等維度提供企業安全綜合態勢、資產態勢及威脅事件態勢大屏呈現。
系統管理
平臺系統存儲策略管理,操作日志及登錄日志管理,保障系統安全及分權分域管理。
2. 網絡、平臺或安全互聯架構
(1)系統部署全圖示意
圖3-7 系統部署全圖示意
通過在車間,工廠部署相應安全防護設備,實現對多源異構數據的采集分析,建設化工集團企業工業安全態勢感知平臺,同時通過企業安全協同聯動一體機,實現與省級平臺的數據對接及共享,滿足分類分級要求。
(2)網絡架構示意
圖3-8 系統網絡架構示意圖
在化工集團車間及工廠部署主動探測及網絡安全探針,以及對企業各類系統及日志的數據采集。整體平臺構建統一大數據,實現對標準化數據的分析及處理、存儲、分析呈現。
3. 具體應用場景和安全應用模式
(1)安全應用場景
方案方案后續對工業互聯網企業各行各業均適用。
本次方案實用于工業企業的資產整體測繪、安全監測、威脅識別及溯源、態勢感知呈現及省企對接服務。
(2)安全應用模式
方案的建成,極具推廣價值,這個方案的安全應用模式,主要體現在以下幾個方面發揮效果:
能夠快速實施部署并達到既定效果,發揮試點區域先行示范的良好作用,為后續向全國
工業互聯網企業建設積累足夠的建設經驗,發揮試點區域現行示范的良好作用。
解決工業互聯網企業痛點需求,如對監管部門要求理解不透徹,對省企接口規范了解不深入,難以滿足監管部門的合規要求。
針對不同企業提供分類、分級差異化安全解決方案,開拓工業互聯網服務客戶市場,對分級分類工作提供全面保障,從企業安全全方位支撐工業互聯網企業分級分類保障工作,建立實戰化常態化安全技術手段,形成支持工業互聯網安全發展合力。
4. 安全及可靠性
本方案將通過構建工業互聯網企業全周期生命安全體系,從工業互聯網企業互聯網網絡底層設計出發,采用多種先進的安全技術手段,為我國工業互聯網的安全提供了有效的監測、預警、通報、協助處置能力。
該方案的實施,將會為工業互聯網領域的發展提供有效的安全保障。具體包括:
(1)為工業互聯網行業健康發展提供有效保護
我國是制造業大國,加快建設和發展工業互聯網,推動互聯網、大數據、人工智能和實體經濟深度融合,發展先進制造業,支持傳統產業優化升級,具有重要意義。通過本方案的研發,建設工業互聯網安全態勢監測與感知技術手段,有效應對網絡安全攻擊,形成與工業互聯網發展相匹配的安全保障能力,為我國深化“互聯網+先進制造業”戰略的順利推進和推廣保駕護航。
(2)構建工業互聯網安全監管技術體系
工業互聯網作是產業互聯網新業態,建設企業級工業互聯網平臺,有利于增強企業安全防護能力,為行業主管部門的安全技術保障提供支撐,為行業主管部門政策制定、安全監管、事中處置、事后溯源提供強有力協同共榮。
5. 其他亮點
(1)靈活的接入安全設備
方案產品支持豐富的探針類型,包括工控漏掃、工控防火墻、工控網閘、工控入侵檢測、工控監測審計、工控主機衛士等,同時支持第三方設備接入,客戶可根據實際網絡、預算情況選擇安全探針進行部署,靈活組合不同類型的探針。
(2)領先的安全檢測能力
支持安全合規檢測、異常攻擊檢測、非法外聯檢測、設備運行狀態檢測、內網異常訪問檢測、非法程序啟動檢測、APT攻擊檢測、惡意加密流量檢測等。
(3)全面的安全分析技術
方案支持匯總各類安全數據,運用關聯分析、用戶畫像、模型分析、威脅情報等安全技術,有效發現各類安全事件與風險隱患,識別漏報及誤報行為,提升安全運維工作效率,形成實時監測、動態感知的整體安全分析能力。
(4)智能的識別工業資產
通過工業資產指紋識別技術,全面發現工業互聯網資產,從工業設備、主機、應用、業務等多個維度建立資產庫,對網內資產進行實時安全監控,呈現網絡安全風險、脆弱性等安全信息,為客戶提供強大的資產管理與安全監控手段
(5)完善的政企聯動體系
快速實現省企對接,實現企業安全信息上報和省級平臺威脅情報接收,并及時掌握對接效果,構建完善的省企聯動、聯防聯控的安全防御體系。
(6)多維度安全態勢感知
從資產的脆弱性、威脅和攻擊等多個視角全面分析工業網絡系統安全態勢。通過人工智能和大屏可視化技術,直觀呈現全網拓撲視圖、告警趨勢、實時告警等工業安全態勢。
下一步實施計劃
隨著5G+工業互聯網的發展,勢必帶來如下安全問題:
網絡安全邊界模糊
IT與OT技術的融合,從專有硬件設備變成了通用服務器和云;
專享組網模式將UPF和MEC從CT/IT信任域下沉到非信任域,業務通過切片進行邏輯隔離;
部分用戶數據仍會出公網,端到端安全邊界防護受限。
信令風暴風險
核心網下沉在企業后,信任域發生變化。 對UPF的N4接口以及BBU進行N1/N2接口的信令風暴監測,避免對云化核心網形成信令DDoS攻擊
物聯終端接入協議復雜
新型物聯網終端接入協議較為復雜,并且面臨著代碼漏洞,邏輯缺陷。攻擊者可利用木馬或者APT等方式入侵。
網絡安全風險
網絡仍會通過N6接口訪問互聯網,會收到來自互聯網的網絡安全攻擊來自于利用物聯終端漏洞的攻擊。
PLC工控數據傳輸安全
PLC通過5G將相關數據回傳至管理平臺,需要對PLC信令數據進行校驗,防篡改。
因此,后續我們將于接下來解決5G+工業互聯網安全問題,如下圖所示:
圖3-9 5G+工業互聯網安全
方案創新點和實施效果
1. 方案先進性及創新點
(1)方案創新性
企業安全能力建設
建設工業互聯網完整基礎資產庫:工業互聯網資產是其安全監測和預警的基礎。本方案通過備案數據、主動探測、流量分析、特征識別等多種機制,形成覆蓋全國各省的工業互聯網資產庫。
構建工業互聯網特色安全知識庫:構建最全面最權威的工業特征和安全知識庫,提升安全管理能力。基于工控專用協議的盲識別與逆向解析技術工控設備深度信息掃描技術:通過工控漏洞互聯網深度掃描技術,結合CNVD工控漏洞庫,對目標區域的工控接入互聯網設備進行深度掃描,從而實現攻擊威脅和風險隱患識別預警,有效提升工業互聯網資產發現能力。
大數據、云計算、人工智能關聯分析技術:關聯分析是對暗含攻擊行為的安全事件序列建立關聯規則。工業互聯網網絡安全公共服務平臺可對網絡攻擊事件等建立關聯。
建立多方聯動安全管理和預警機制
通過建立工信部、省、企業等多方聯動監測和預警機制,實現安全威脅數據共享、知識庫共享、應急能力共享的全方位聯動響應。
(2)方案先進性
貼近實戰為目標,服務企業工業互聯網安全
通過建設面向工業互聯網企業的企業安全綜合防護系統及態勢感知,打造完整生態,將工業互聯網企業、工業設備制造商、安全廠商、工創中心、監管機構聯合起來,一同治理工業互聯網安全問題。在技術層面重點突破工業互聯網安全診斷評估、安全預警、安全加固等相關核心技術。
政策優勢與整合能力相結合推動工業互聯網安全研究
圖3-10 分析研究過程
開展關鍵技術方案研究
安全規范的落地:根據工業互聯網信息安全分級規范、信息安全要求、安全實施規范和安全測評的規范,結合北京亞鴻世紀科技發展有限公司多年的安全行業經驗,形成工業行業安全管理規范知識庫進行落地,為工業互聯網企業提供技術標準、安全規劃、安全咨詢服務和安全培訓服務。
關鍵技術能力的提升:通過攻防演練與仿真技術、工業互聯網資產信息探測技術、工業互聯網未知威脅監測技術等技術提升工業互聯網企業行業風險預警、安全診斷平臺、安全加固的能力。
全閉環安全能力覆蓋為企業提供“云管邊端業”多維安全防護服務
工業互聯網進行全過程安全事件監測、事件溯源和處置,是保障工業互聯網安全穩定運行的關鍵。本方案以流量覆蓋檢測為基礎,數據安全能力相結合,從安全事件殺傷鏈的多個維度,實現安全串并分析能力建設,實現對工業互聯網的安全監測、事件的追溯定位,安全問題及風險的封堵處置全流程實現安全事件的閉環管理服務。
2. 實施效果
通過方案的實施,解決了工業互聯網企業防護手段集中于IT域,OT域檢測防護手段缺失的問題;利用未知威脅深度檢測分析技術解決了傳統安全基于規則,難以防御未知威脅的問題;利用自動化數據清洗及歸類模塊,解決了企業IT設備眾多,各自為政的數據孤島無法產生價值的問題;構建統一數據中心,解決工業互聯網企業海量數據研判分析效率低,響應時間長的問題,同時為態勢感知呈現提供數據支撐,解決企業安全現狀不可見,無法掌握全局安全態勢;與省平臺對接,滿足分類分級等合規要求。具體實施效果數據如下:
(1)通過多源異構數據匯聚技術和安全數據關聯分析體系,實現18個省,21個工廠,56類設備,累計匯聚2千萬條安全數據,實現安全數據的統一匯聚和關聯分析,以及各廠區安全威脅實時檢測。
(2)基于100+工業協議深度解析能力,通過在指定廠區部署工業安全監測與審計系統,接入和分析生產網的工業協議(S7,MODBUS等)流量,實現工業協議的深度解析和工控威脅檢測能力。在實際運行中,發現:工控異常報文、高危指令執行、非法設備訪問等工控威脅合計1600余次,幫助企業及時響應和處置生產網威脅,保障生產安全、業務連續性。
(3)基于大數據分析引擎和安全知識庫,對接入的千萬級安全數據進行關聯分析,還原攻擊者的攻擊路徑和攻擊行為,關聯出受影響或被控制的主機,幫助客戶快速定位攻擊源。在實際運行中,發現某主機7天內,對內網47臺主機發起密碼暴力破解攻擊,達到14333次,通過進一步關聯分析和攻擊溯源,發現該主機遭受到外部攻擊者漏洞利用攻擊,可能已被控制,企業根據風險預警,對該主機進行了及時處置。
(4)幫助企業管理和運營人員,解決海量安全事件問題,基于已積累的300+條安全告警規則,達到業內領先水平。在系統實際運行中,安全管理和運營人員從每天面對10萬條安全事件,降維到只需要聚焦處理1000條左右的安全告警,極大提升了安全管理和處理效率,讓真正的安全威脅得到優先、及時和有效處理。
(5)從安全告警、資產漏洞、外部攻擊、風險外聯、橫向滲透等多個視角,全面分析和展示企業整體安全狀態,同時在實際運行中,通過分權分域管理和靈活的賬號配置,各分廠可掌握自己的安全態勢,而集團可掌握21個廠區安全態勢。
(6)通過工業互聯網協同聯動一體機,在10個工作日內完成省企對接,滿足分類分級合規要求。
單位基本信息
北京亞鴻世紀科技發展有限公司(簡稱“亞鴻世紀”)成立于2012年,2017年正式成為任子行網絡技術股份有限公司的全資子公司,是一家專注于互聯網空間數據治理、網絡與信息安全及數據增值解決方案及服務的高科技公司。公司在北京和武漢設有分公司及研發基地中心,能夠快速響應客戶安全需求。目前研發中心技術人員達到400多人,其中985、211高校畢業人數達到80%以上。
公司成立以來,協助工信部起草《IDC/ISP信息安全管理系統技術要求》、《IDC/ISP信息安全管理系統接口規范》、《域名信息安全管理系統技術要求及接口規范》、《數據核驗技術要求及接口規范》等多項技術規范。公司目前已經承建了工信部全國統一資源協作管理系統、工信部全國域名信息安全管理系統、工信部互聯網大數據管理子系統、設備運維子系統、全國25省通信管理局互聯網網絡與信息安全綜合管理平臺、19省移動IDC/ISP信息安全管理系統、17省聯通IDC/ISP信息安全管理系統、14省鐵通IDC/ISP信息安全管理系統、5省電信IDC/ISP信息安全管理系統。在IDC/ISP信息安全領域市場綜合占有率達80%以上,在互聯網反欺詐安全市場占50%以上。具備豐富的互聯網信息安全和網絡安全的實戰經驗以及相關安全能力。
圍繞5G+工業互聯網安全建設方面:
國家級
國家工業互聯網安全態勢感知與風險預警平臺:建立國家、省級、企業級聯動的工業互聯網安全監管體系,實現重點行業、重點對象、重點風險的實時監測、動態感知、及時預警,支撐政府監管、服務企業防護。
工業互聯網網絡安全分類分級管理平臺:自主定級、定級審核、現場評測、安全資源池建設,支撐分類分級政策落地。
工信部物聯網基礎安全接入監測平臺:物聯網資產摸底、宏觀監測、整體態勢分析。
省級
工業互聯網網絡安全省平臺:廣東、湖南、河南、安徽、湖北、遼寧、貴州、新疆、黑龍江、海南、河北、四川、云南、內蒙、甘肅、上海、西藏、山西等18個省級工業互聯網安全監測與態勢感知平臺。
工業互聯網數據安全省平臺:貴州、四川工業互聯網數據安全監管平臺試點。
工業互聯網企業
級
面向多個行業多個企業的MEC安全監測平臺、邊緣計算敏感數據保護技術系統、多業務場景數據脫敏技術工具、面向工業和通信業的網絡及數據安全風險監測發現與預警平臺、工業互聯網網絡安全公共服務平臺、工控安全防護系列產品、企業安全服務等。
AII微信公眾號
AII頭條號