智能油庫工業控制系統網絡安全建設——護航產業數字化變革,提升智能油庫安全能力
1.1.1 方案概述
本方案的是結合智能油庫的網絡安全現狀,確定油庫企業的安全建設需求,按照《網絡安全等級保護基本要求》(GB/T22239-2019)和中石化318號文等政策要求,加強“監測預警系統”、“終端安全查殺能力”、“應急響應手段”、“大數據安全平臺”、“信息系統等級保護建設”的推進工作,全面提升油氣集輸行業的網絡安全保護及整網安全能力,并建立一個完善的信息安全預防、監測、防御和響應的縱深防御的安全體系。
1.方案背景
工業控制系統是支撐國民經濟的重要設施,是工業領域的神經中樞。目前工業控制系統已廣泛應用于電力、軌道交通、石油化工、高新電子和航空航天等領域,這些領域中涉及國計民生的關鍵基礎設施超過80%都需要依靠工業控制系統來實現自動化作業,由此可見工業控制系統已經成為國家關鍵基礎設施的重要組成部分。
隨著我國工業由傳統產業向網絡化、數字化和智能化的逐步轉型升級以及工業互聯網平臺的建成,網絡安全威脅日益向工業領域蔓延。與此同時,我國工業領域還存在信息安全防護水平偏低、管理力度稍顯不足、防護措施不到位、從業人員安全意識不強和安全技術人才匱乏等問題。
為了保障網絡安全,國家頒布了《中華人民共和國網絡安全法》,將網絡安全上升到了法律的層面。國標《網絡安全等級保護基本要求》(GB/T22239-2019)暨等級保護2.0標準增加了工業控制系統擴展要求。在等級保護的基礎上又頒布了關鍵基礎設施保護條例,對關鍵基礎設施的保護力度大大加強。工信部發布了《工業控制系統信息安全防護指南》從管理、技術兩方面明確了工業企業工控安全防護要求,《“工業互聯網+安全生產”行動計劃(2021-2023)年》提出堅持工業互聯網與安全生產同規劃、同部署、同發展,構建基于工業互聯網的安全感知、監測、預警、處置及評估體系。我國針對工業控制系統信息安全頒布實施的一系列標準、政策、法規,表明了我國在保護工業控制系統安全方面的決心和力度。集團公司依據國家有關政策法規、工信部相關系列標準發布了《關于加強工業控制系統安全防護的指導意見》、《中國石化工業儀表控制系統安全防護實施規定》以及《關于推進工控系統安全防護治理工作的通知》,對企業提升工業控制系統的安全防護能力提供了指南和依據,通知要求工控系統管理部門和信息管理部門組建安全防護治理工作小組,對照實施規定及時整改網絡架構,開展工控系統邊界隔離防護和內外部安全加固,提高工控網絡態勢感知和事件追溯能力。
2.方案簡介
成品油油庫是銷售公司石油供應鏈中至關重要的一個環節,而工控系統作為油庫的核心系統,其安全與生產安全直接關聯。隨著油庫的信息化建設和改造,工業化與信息化的結合日益緊密,油庫工控系統安全環境也從單機走向互聯,從封閉走向開放,從物理隔離的工業以太網走向開放的工業互聯網。油庫工控系統正面臨著嚴峻的信息安全威脅,其尚未完善的網絡安防體系給油庫的工控系統運行環境帶來了巨大的安全隱患,因此急需設計一套集安全防護、安全運營、安全集成與一體的綜合性全生命周期的解決方案、加強油庫工控系統安全建設,為油庫的安全生產提供網絡安全基礎。
工控系統的安全方案設計應考慮物理安全、網絡安全、應用安全和數據安全等多方面安全因素,任何一個方面的安全隱患都會給整個工業控制系統帶來安全事故。目前國家網信辦、工信部及公安部先后出臺的網絡安全和工控安全相關法律條例中對信息安全技術和工控系統信息安全等方面做出了指導與要求。2021 年,集團公司下發了工控系統安全防護治理工作的通知,要求開展工控系統邊界隔離防護和內外部安全加固工作,提高工程網絡態勢感知和事件追溯能力,銷售公司也對油庫智能化建設標準提出了要求,對油庫下一步信息化建設提出了指導意見和具體措施。在工業控制系統的安全防護建設中,需嚴格遵循國家和行業有關標準,并遵照中國石化相關安全管理規定,結合生產企業具體情況和需求進行規劃與建設。
3.方案目標
目前銷售企業油庫整體智能化水平較低,大多數油庫僅具備基本的信息安全防護條件,仍難以滿足油庫信息化建設對工控系統安全的要求,主要存在以下的問題:
(1)安全區域不清晰,缺少邊界防護措施
油庫缺失分區分域安全隔離,油庫生產網與管理網混用,傳統的IT 網絡威脅向生產網蔓延,工控網通訊協議較多,單一的隔離設備無法滿足多樣的網絡通訊及安全隔離要求,難以保障油庫工控網絡隔離有效性,易感染病毒及惡意程序,同時也可能導致工業控制系統內不同安全域之間的邊界防護機制失效。
因此,在油庫工控系統中,存在缺少混合組網隔離、分區分域網絡隔離、數據隔離防護措施及惡意代碼防范措施等問題。
(2)缺少終端安全防護
油庫工控網絡中硬件設備或軟件產品不足,部分設施和操作系統老舊,漏洞補丁更新不及時,網絡安全防護能力較低,缺少工控安全病毒防護,缺少網絡準入等安全管理工具。同時工控安全領域中的終端防護軟件種類多,難以形成統一的防護規范,亦存在重大安全隱患。
(3)缺少安全審計和分析
油庫工控系統的數據本地存儲、數據共享能力較差,應用深度不夠,對數據庫的訪問人員缺乏統一賬號管理,缺乏數據訪問隔離措施及數據操作審計,缺乏對數據庫信息的收集、審計和分析等能力。
(4)缺少統一的安全管理平臺
油庫缺乏對第三方運維機構的管控和統一安全運維管理,無法將各安全設備集中管控,缺乏對各運維人員身份的認證授權及操作行為的監管,造成日常運維操作繁瑣、過程冗雜、效率低下等問題。油庫部分系統孤立,集成度較差,不能實現數據共享,存在“信息孤島”現象,導致油庫工控網絡全貌無法得到集中統一展現。同時,也給省級統一平臺構建帶來困難,不利于系統間集成、作業全流程跟蹤、生產動態的實時掌控和預知預排,無法掌握整體信息安全態勢。無法及時發現和追溯工控安全事件,缺乏對工控系統安全狀態感知及可視化的展示方式。
本方案的建設目標是結合智能油庫的網絡安全現狀,確定油庫企業的安全建設需求,按照《網絡安全等級保護基本要求》(GB/T22239-2019)和中石化318號文等政策要求,加強“監測預警系統”、“終端安全查殺能力”、“應急響應手段”、“大數據安全平臺”、“信息系統等級保護建設”的推進工作,全面提升油氣集輸行業的網絡安全保護及整網安全能力,并建立一個完善的信息安全預防、監測、防御和響應的縱深防御的安全體系。具體目標如下:
在技術方面,圍繞“一個中心三重防護”策略構建基礎防護:
? 通過安全計算環境防護,實現油庫工控系統的工業主機、服務器、操作站、工業應用軟件等計算環境安全防護;
? 通過安全區域邊界防護,實現油庫工控系統網絡與非工控網絡的安全隔離,保護工控系統網絡安全;
? 通過安全通訊網絡的搭建,保障油庫工控系統的通信基礎網絡安全可靠;
? 通過安全管理中心實現對油庫工控系統網絡的全流量審計、分析,同時對油庫工控系統威脅狀態進行實時監控,對整個油庫工業控制網絡安全威脅集中管控和展示。
在管理方面,圍繞安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理五個方面進行提升,以分區分域、可靠認證、綜合防護、集中掌控為防護原則,實現技術和管理相結合的油庫網絡安全縱深防護體系,從而提升油庫工控系統的主動防御、感知預警、事件追溯和集中安全運維的能力。
1.1.2 方案實施概況
1.方案總體規劃
(1)方案設計原則
等級保護是國家信息安全建設的重要政策,其核心是對信息系統分等級、按標準進行建設、管理和監督。對于智慧油庫信息安全建設,應當以適度安全為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統。對于工控安全建設,應當以適度安全為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統,在方案設計中應當遵循以下的原則:
適度安全原則
任何信息系統都不能做到絕對的安全,在進行工控安全等級保護規劃中,要在安全需求、安全風險和安全成本之間進行平衡和折中,過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。
適度安全也是等級保護建設的初衷,因此在進行等級保護設計的過程中,一方面要嚴格遵循基本要求,從物理、網絡、主機、應用、數據等層面加強防護措施,保障信息系統的機密性、完整性和可用性,另外也要綜合成本的角度,針對系統的實際風險,提出對應的保護強度,并按照保護強度進行安全防護系統的設計和建設,從而有效控制成本。
技術管理并重原則
工控安全問題從來就不是單純的技術問題,把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的,僅僅通過部署安全產品很難完全覆蓋所有的工控安全問題,因此必須要把技術措施和管理措施結合起來,更有效的保障信息系統的整體安全性,形成技術和管理兩個部分的建設方案。
分區分域建設原則
對信息系統進行安全保護的有效方法就是分區分域,由于信息系統中各個信息資產的重要性是不同的,并且訪問特點也不盡相同,因此需要把具有相似特點的信息資產集合起來,進行總體防護,從而可更好地保障安全策略的有效性和一致性;另外分區分域還有助于對網絡系統進行集中管理,一旦其中某些安全區域內發生安全事件,可通過嚴格的邊界安全防護限制事件在整網蔓延;
標準性原則
安全保護體系應當同時考慮與其他標準的符合性,在方案中的技術部分將參考《GB/T 25070-2010工控安全技術 信息系統等級保護安全設計技術要求》進行設計,在管理方面同時參考《GB/T 22239-2008 工控安全技術 信息系統安全等級保護基本要求》以及27001安全管理指南,使建成后的等級保護體系更具有廣泛的實用性;
動態調整原則
工控安全問題不是靜態的,它總是隨著管理相關的組織策略、組織架構、信息系統和操作流程的改變而改變,因此必須要跟蹤信息系統的變化情況,調整安全保護措施;
成熟性原則
本方案設計采取的安全措施和產品,在技術上是成熟的,是被檢驗確實能夠解決安全問題并在很多方案中有成功應用的。
(2)總體安全防護設計
構建分域的控制體系:智能油庫工業互聯網安全解決方案,在總體架構上將按照區域邊界保護思路進行,智能油庫控制系統和外部系統從結構上劃分為不同的安全區域,以安全區域為單位進行安全防御技術措施的建設,從而構成了分域的安全控制體系。
構建縱深的防御體系:智能油庫工業互聯網安全解決方案包括技術和管理兩個部分,智能油庫系統圍繞著安全管理中心,從安全通信網絡、安全區域邊界、安全計算環境三個維度進行安全技術和措施的設計,保證業務應用的可用性、完整性和保密性保護;通過集中管理,可對安全設備進行聯動,對確認的重大威脅或攻擊可進行安全聯動防護,充分考慮各種技術的組合和功能的互補性,提供多重安全措施的綜合防護能力,從外到內形成一個縱深的安全防御體系,保障系統整體的安全保護能力。
保證一致的安全強度:智能油庫等級保護設計方案將采用分級的辦法,對于同一安全等級系統采取強度一致的安全措施,并采取統一的防護策略,使各安全措施在作用和功能上相互補充,形成動態的防護體系。
(3)分域安全防護設計
安全域是根據等級保護要求、信息性質、使用主體、安全目標和策略等的不同來劃分的,是具有相近的安全屬性需求的網絡實體的集合。一個安全域內可進一步被劃分為安全子域,安全子域也可繼續依次細化為次級安全域、三級安全域等等。同一級安全域之間的安全需求包括兩個方面:隔離需求和連接需求。隔離需求對應著網絡邊界的身份認證、訪問控制、不可抵賴、審計、監測等安全服務;連接需求對應著傳輸過程中保密性、完整性、可用性等安全服務。下級安全域繼承上級安全域的隔離和連接需求。
智能油庫安全區域的劃分主要依監控系統的應用功能、資產價值、資產所面臨的風險,劃分原則如下:
系統功能和應用相似性原則:安全區域的劃分要以服務智能油庫業務系統應用為基本原則,根據應用的功能和應用內容劃分不同的安全區域。
安全要求相似性原則:在信息安全的三個基本屬性方面,同一安全區域內的信息資產應具有相似的機密性要求、完整性要求和可用性要求。
威脅相似性原則:同一安全區域內的信息資產應處在相似的風險環境中,面臨相似的威脅。
安全域的原則:必須對高級別安全域進行保護,使之免受可能導致高級別數據被低級別安全域的用戶泄漏、篡改、破壞的攻擊,高級別安全域中的資源不能由非授權的低級別安全域用戶使用、修改、破壞或禁用。
2.2 實施內容
(1)體系建設
本方案從安全管理、安全建設和安全運營三個方面對油庫信息化安全方案進行設計與規劃,通過制度建設、人員配置、技術建設、整體運維管控等措施,從制度上對油庫工控安全進行管理與約束,從技術上提升油庫工控安全防護水平,從而構建油庫工控安全防護體系。總體安全方案設計架構如圖所示:
圖10-1 總體安全方案設計架構
l 安全管理
通過建立完善的油庫信息化安全管理制度,組建人員成立安全管理機構,并對安全管理人員定期開展網絡安全培訓以提高油庫工控安全整體管理水平,同時,在建設和運維方面也做出安全管理要求,制定油庫工控系統安全建設和運維細則,加強在油庫工控系統建設和運維環節的規范,實現油庫工控安全管理的規范化、標準化與制度化。
l 安全建設
制定安全基線標準,定期開展安全監測工作,集中管控終端計算機、網絡設備、安全設備,對油庫工控網流量日志進行審計與分析,做到風險防控與阻攔;加強對安全事件、隱患漏洞、攻擊行為的實時監測與智能分析,能夠利用大數據分析、告警取證、流量畫像等手段快速追蹤溯源,采取自動處置與人工處置相結合的方式開展應急響應工作,形成安全檢測、安全防御、安全運維、安全響應的全生命周期管理。
l 安全運營
構建油庫工控安全防護體系,搭建管理服務平臺,通過統一身份認證、統一授權和統一監控等手段,加強對用戶和運維角色的監管;通過對安全設備、資產及應用的集中管控,安全事件的自動監測,全天候全方位網絡安全的態勢感知,實現智能安全運營管理、增強網絡安全防御能力。
(2)安全技術實施內容
首先對辦公網和生產網進行縱向分層,劃分橫向安全區域,以工業防火墻、入侵檢測和工業安全監測審計平臺等工具構建安全區域邊界,利用工業網閘實現油庫生產網中的通信安全,保障重要業務系統間的數據傳輸安全;其次在油庫終端設備上部署終端安全防護,并對數據庫的操作進行審計,確保計算環境的安全性,并采用堡壘機,便攜式安全移動運維平臺等實現安全運維管理;最后通過工業安全管理平臺、綜合日志審計平臺等搭建總體的安全管理中心,油庫信息安全建設技術架構如圖所示:
圖10-2 油庫信息安全建設技術架構
l 網絡安全
邊界防護與區域隔離
根據油庫的現狀進行縱向分層、橫向分區,通過相應的技術隔離手段,加強區域隔離、邊界防護,細化訪問控制策略,在辦公網與生產網之間、生產網內部建立不同層級間安全防護,構建油庫生產系統網絡安全架構。如下圖所示。
圖10-3 邊界防護與區域隔離
縱向分層:按照網絡劃分為生產網和辦公網,在生產網與辦公網之間部署工業防火墻,通過白名單、訪問控制等隔離技術手段,防止辦公網的非法入侵和訪問,保護生產系統的業務安全。
橫向分區:按照現場的不同業務需求劃分不同的安全域,將油庫調度系統、視頻監控、消防控制站以及安防系統等分別劃分為不同的安全域,安全域之間通過工業防火墻的不同業務口實現安全域之間的隔離,利用設備本身的多個業務口,防止不同安全域之間安全威脅的蔓延以及對安全域之間的訪問控制,阻擋來自其他安全域的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等,有效地解決區域安全、流量控制等工控網絡安全問題。
核心系統的安全防護:根據業務現狀,對于重要的業務系統(例如:付油系統、閥門聯動系統)設計單獨的工業網閘,實現單向數據傳輸,確保業務系統的相對安全。
第三方信息交互:與第三方進行信息交互的場景,第三方網絡通信鏈路連接到網閘外聯口,通過網閘實現第三方網絡與工控網絡的安全隔離和信息的單向流動,可以在保障安全的情況下實現數據交換。
入侵檢測與行為審計
在辦公網和生產網中分別部署入侵檢測和工控安全審計系統,實時發現針對重要工業控制系統的攻擊和破壞行為,實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的非法入侵和傳播并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,加強已知威脅、異常行為、異常流量等攻擊行為的檢測能力。如下圖所示。
圖10-4 入侵檢測與行為審計
在辦公網的核心交換機上旁路部署,及時發現網絡上的攻擊和威脅。利用被動流量分析技術對僵尸網絡、數據泄露等各類安全威脅進行深度檢測、智能分析以及威脅感知,及時發現和定位網絡中存在的安全威脅,在油庫的網絡、主機、應用等檢測的基礎上,實現業務零影響、持續跟蹤的感知能力,提升攻擊行為關聯分析能力,為油庫企業等提供信息安全保障。
在生產網內部根據業務需求把相應業務系統的流量數據發送給工控安全審計,完成異常行為、異常流量的審計。通過對生產網中的工業協議進行深度解析,支持對30 多種(OPC、SiemensS7、Modbus、IEC104、Profinet、DNP3 等)工控協議的深度解析和自定義擴展工控協議解析,還原工控指令,理解工控業務,提取關鍵信息,對當前的通信行為與已有的基線進行對比,實現異常指令操作、非法設備(IP 地址)等告警,工控審計對風險告警數據可進行細粒度的分類統計展示和聯動操作,風險信息可一鍵關聯至規則,對風險信息提供了可操作性強的處置措施建議。
對威脅與異常檢測的審計主要分為以下五個方面:
一是異常報文檢測:支持對TCP/IP、工控協議畸形報文的攻擊檢測;
二是關鍵事件檢測:支持對工程師站組態變更、操控指令變更、PLC 下裝、零流量等工控關鍵事件的檢測;
三是基線白名單檢測:通過機器學習等自學方式生成工控環境資產基線、訪問關系基線、流量基線、工控行為基線四種安全基線模型;
四是自定義規則檢測:用戶可自定義對多種工控協議進行細粒度的規則配置;
五是工控入侵規則檢測:內置豐富的入侵檢測規則庫,支持利用已知工控設備漏洞的入侵攻擊行為檢測。
l 終端安全
在油庫的終端設備上部署終端安全防護客戶端,在省級安全管理中心上部署終端防護管理系統,解決終端設備的安全威脅,提高終端設備的安全防護能力。如下圖所示。
圖10-5 終端安全防護
對于可以安裝終端安全防護客戶端的終端設備,可以在終端防護管理平臺上實時監控終端設備的性能、存在的漏洞、威脅事件等并進行統一管理。對于不能安裝終端安全防護客戶端的終端設備,利用總部的準入系統查看哪些終端設備沒有安裝。客戶端可部署在Windows 系列如WinXP 、Win7 、Win10 、Win2003 、Win2008 、Win2012 、Win2016 等, inux 系統如Centos5.0+ 、Redhat5.0+、Suse11+、Ubuntu14+等,國產系統如中標麒麟、銀河麒麟、統信等終端系統上。
終端安全防護系統集白名單、黑名單和加固功能于一體,集成了豐富的系統加固與防護、網絡加固與防護等功能的終端安全產品。包含專門應對攻防對抗場景的高級威脅模塊和具有勒索專防專殺能力的文件誘餌引擎;通過內核級東西向流量隔離技術,實現網絡隔離與防護;擁有補丁修復、外設管控、文件審計、違規外聯檢測與阻斷、進程防護、端口防護和安全告警等終端安全防護能力。
l 應用及數據安全
在總部云平臺上部署數據庫審計與風險控制系統,提升對數據庫的原始信息收集、審計和分析等能力,保障應用及數據安全,部署架構如下圖所示。
圖10-6 數據庫審計與風險控制
數據庫審計與風險控制系統實時記錄運維人員及應用服務器對數據庫的操作行為,并按照相關要求進行合規性管理,當系統檢測到數據庫面臨風險行為時,會自動以郵件、短信、SYSLOG、SNMP 等形式進行實時告警。此外,數據庫審計與風險控制系統還支持的功能如下所示:
加密協議審計及雙向審計:系統不僅支持對數據請求的報文進行加密協議審計,同時也可以對請求的返回結果進行審計,如操作回應、作用數量、執行時長等內容,并能夠根據返回結果進行審計策略定制。
建立安全訪問基線:系統支持配置安全訪問策略和設立安全訪問基線,這樣可以防范來自內外部的惡意攻擊,保障油庫工控系統數據的機密性和完整性,同時支持自行定義安全訪問基線的檢查項,因此可以根據油庫實際業務需要定制檢查閾值、自定義檢查目錄等以滿足油庫多樣化的內部監管要求。
追蹤用戶訪問行為:提供全方位的多層(應用層、中間層、數據庫層)的訪問審計,通過多層業務審計可實現對數據操作用戶的精確追蹤。并根據事件發生的時間、用戶、訪問方式(客戶端、TELNET、FTP)、用戶IP、服務器等組合查詢,對用戶訪問行為過程進行回放和追溯。
操作風險實時可知可查對數據庫的操作行為進行實時檢測,結合預設置的風險控制策略和對數據庫活動的實時監控信息進行特征檢測,所有嘗試攻擊操作將被檢測出來進而被阻斷或告警。
l 安全運維與審計
在總部云平臺上部署綜合日志審計系統,對工業網絡中的各種設備(網絡設備、安全設備、工控主機設備、應用及數據庫等)產生的日志進行采集、存儲和分析,對危險的事件進行告警,同時將數據信息進行匯集然后集中展現,加強對異常事件的追溯及取證,便于管理人員集中查看所接入設備的運行狀況并在第一時間獲知當前發生的安全事件告警,使得等級保護滿足合規檢查。綜合日志審計系統部署架構如下圖所示。
圖10-7 綜合日志審計系統部署架構圖
在總部部署運維審計與風險控制系統(簡稱堡壘機)是集用戶管理、授權管理、認證管理和綜合審計于一體的集中運維管理系統,在省級安全管理中心部署堡壘機可實現對企業運維人員在運維過程中進行統一身份認證、統一授權、統一審計、統一監控管理等一系列操作,使運維簡單化,操作規范化,過程可視化,企業運維管控能力也得以提升,堡壘機部署架構如下圖所示。
圖10-8 堡壘機部署圖
l 安全集中管理
在總部云平臺上部署工業安全管理平臺,實現對工業防火墻、入侵檢測、工控安全審計、堡壘機、數據庫審計、工業網閘等安全設備的集中管控、狀態監測、策略配置下發等,并支持通過標準接口(例如syslog)與第三方設備通訊,從而實現資產安全狀況的統一管理和安全風險的智能分析,工業安全管理平臺以省公司為單位開通統一租戶賬號。如下圖所示。
圖10-9 工業安全管理平臺部署圖
工業安全管理平臺可及時發現、報告并處理工業控制系統中的網絡攻擊或異常行為,通過統一調度安全預警、安全監測、安全防護和應急處置,全方位保障工業控制系統信息安全。除此之外,平臺可以對工業控制系統資產進行全局管理,幫助用戶梳理工控資產,資產間的訪問關系,網絡中的工業行為等,尤其可對部署在系統中的安全防護類設備進行統一配置。
(3)安全管理方案
通過建立完善的油庫信息化安全管理體系,組建人員成立安全管理機構,建立安全組織體系,制定油庫工控系統安全運行細則,加強在油庫工控系統建設和運維環節的規范,制定應急響應制度最大限度的減輕安全事件的危害和影響,并對安全管理人員定期開展網絡安全培訓以提高油庫工控安全整體管理水平,實現油庫工控安全管理的規范化、標準化與制度化。
l 安全管理制度
在信息安全中,最活躍的因素是人,對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施,這些功能的實現都是以完備的安全管理政策和制度為前提。這里所說的安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。
安全管理制度主要包括:
管理制度:針對管理人員和操作人員的建立相關安全管理制度,形成由成安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。
制定和發布:安全管理制度的制定應由專業的人員負責制定,且要通過正式有效的方式發布并進行版本控制。
評審和修訂:應定期對安全管理制度的合理性和適用性進行論證和審定并及時修訂。
l 安全管理機構
要建立一個健全、務實、有效、統一指揮、統一步調的完善的安全管理機構,明確機構成員的安全職責,這是信息安全管理得以實施、推廣的基礎。在單位的內部結構上必須建立一整套從單位最高管理層到執行管理層以及業務運營層的管理結構來約束和保證各項安全管理措施的執行。其主要工作內容包括對機構內重要的信息安全工作進行授權和審批、內部相關業務部門和安全管理部門之間的溝通協調以及與機構外部各類單位的合作、定期對系統的安全措施落實情況進行檢查,以發現問題進行改進。
安全管理機構主要包括:
崗位設置:成立指導和管理網絡安全工作的委員會或領導小組、設立安全管理工作職能部門、設立相關管理崗位并明確各崗位職責。
人員配備:配備專職安全管理員,根據情況配備一定數量的系統管理員、審計管理員和安全管理員。
授權和審批:明確各部門審批事項部門及批準人。對重要活動建立逐級審批制度,并定期審查審批事項,更新授權事項和審批方案。
溝通和合作:加強組織內部間溝通交流,定期召開協調會議,共同協作處理網絡安全問題。
審核和檢查:根據安全檢查表格開展常規安全檢查及全面安全檢查,匯總安全檢查數據,形成安全檢查報告。
l 人員安全管理
很多重要的工控系統安全問題都涉及到用戶、設計人員、實施人員以及管理人員。如果這些與人員有關的安全問題沒有得到很好的解決,任何一個工控系統都不可能達到真正的安全。只有對人員進行了正確完善的管理,才有可能降低人為錯誤、盜竊、詐騙和誤用設備的風險,從而減小了工控系統遭受人員錯誤造成損失的概率。
對人員安全的管理具體包括:
人員錄用、離崗:錄用時對擬錄用人員進行專業技能考核并簽訂保密協議及責任協議。離職后嚴格辦理調離手續。
安全意識教育和培訓:根據崗位制定培訓計劃,并進行技能考核。
外部人員訪問管理:外部人員應先提出書面申請,批準后有專人全程陪同監督。
l 系統建設管理
工控系統的安全管理貫穿系統的整個生命周期,系統建設管理主要關注的是生命周期中的前三個階段(即,初始、采購、實施)中各項安全管理活動。
系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮,具體包括:
產品采購和使用:擬選產品無比符合國家相關規定。對所選產品定期審定并更新候選產品名單。
自行軟件開發:擬定詳細的開發管理制度,說明開發過程的控制方法及人員行為。對軟件設計的相關文檔和使用指南進行控制。
外包軟件開發:存儲備份開發單位提供的軟件源代碼并審查軟件中可能存在的各種問題。
還有工程實施、測試驗收、系統交付、系統備案和安全服務商選擇等。對建設過程的各項活動都要求進行制度化規范,按照制度要求進行活動的開展。對建設前的安全方案提出體系化要求,并加強了對其的論證工作。
l 系統運維管理
根據基本要求進行信息系統日常運行維護管理,利用管理制度以及安全管理中心進行,主要包括:
環境管理:根據資產的重要程度采取對應的管理措施。
資產管理:編制保護對象資產清單,根據資產價值選擇對應的管理措施。
介質管理、設備管理、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等。使系統始終處于等保要求的安全狀態中。
1.1.3 下一步實施計劃
油庫工控安全建設是一項涉及面廣、影響大、安全運行要求高,集數據處理、信息發布、資源整合于一體的信息化方案。為了更好的執行該方案,將采取統一指揮、并行實施、協調合作的實施辦法,構建一套油庫信息安全服務平臺,逐級提升的油庫工控安全防護體系。
油庫信息安全服務平臺是專注于工業環境的網絡安全智能分析運營平臺。平臺全面采集各類工控流量及日志信息,通過內置的大數據安全分析模型整合零散的工業安全數據,深入挖掘安全風險與攻擊事件,實現工業網絡空間安全風險的預知。平臺采用威脅發現、智能研判和自動化響應處置的閉環安全管理體系,有效提高安全運維工作效率,幫助油庫實現智能安全運營,具體功能架構圖如下:
圖10-10 油庫信息安全服務平臺功能架構圖
采用8+1+4的架構,即八大工業安全引擎、一個工業安全數據分析平臺和四大業務應用模型。
n 八大工業安全引擎
主要負責采集各類工控網環境的安全數據,包括工業網絡空間測繪數據、工業威脅檢測數據、工業云安全監測數據、工業網絡安全防御、工業威脅情報數據、工業網絡攻擊誘捕數據、工業網站安全數據、工業線下安全檢測數據,數據覆蓋線上、線上采集。
n 工業安全數據分析平臺
提供數據采集治理、威脅情報碰撞、大數據智能分析、工業威脅建模。
n 四大業務應用
在數據中臺的服務能力基礎上,以安全監測、安全分析、安全運營和資產管理四大業務應用為核心,為用戶建立工業安全運營閉環管理體系。
1.數據采集方案設計
(1)多元異構日志采集
支持目前包括但不限于主流安全設備、網絡設備、主機、數據庫、中間件、應用系統和虛擬化系統等;
支持常見的虛擬機環境日志收集,包括Xen、VMWare、Hyper-V等
可以通過自定義配置將用戶不關心的日志過濾掉;
支持對收集到的重復的日志進行自動的聚合歸并,減少日志量;
支持將收集到的日志轉發,當原始日志設備無法設置多個日志服務器時,可以通過本系統的日志轉發功能將日志轉發到其他日志存儲設備。
為適配各種采集數據源,需要支持多種采集協議,以實現對各類數據的采集,包括不限于安全對象屬性、運行狀態、安全事件、評估與檢測等數據。為實現對包括安全對象的屬性、運行狀態、安全事件、評估與檢測等數據的采集,針對不同類型的數據以及對應的適配協議
每個數據采集引擎支持配置不同的采集策略,保證每個數據采集引擎有針對性的采集數據,如動態配置采集周期,清洗過濾策略等。需滿足如下采集部署要求。
? 支持分布式多節點部署;
? 支持多采集節點存活、健康狀態監控,發現節點異常后,及時告警;
? 支持對采集節點性能監控,保證采集性能與數據量匹配,防止數據丟失。
? 采集策略管理。支持對設備的采集策略的管理,包括采集頻率、采集協議、采集目標、過濾策略等。
? 支持流量數據鏡像采集的方式。支持在多個機房的交換機上復制鏡像,分布式部署分光器和DPI的方式采集,并將多余的接口關閉;
? 支持主機終端的數據采集,支持數據庫審計分析的數據采集;
? 支持數據匯聚。綜合考慮專網傳輸性能的基礎上,需滿足將多個機房采集到的數據傳輸匯聚。
(2)全流量數據采集
面對全流量威脅進行識別,并通過雙向流量檢測對網絡流量行為(例如數據報文惡意特征匹配、資源使用情況、使用者的訪問行為等)判定,識別出病毒、木馬、敏感信息等異常行為。
? 威脅行為分析
組件根據數據包特征和流量行為對流量進行深度解析,通過對數據流中威脅行為識別,達到惡意流量檢測的目的。
通過流量深度解析,系統異常、網絡木馬、異常端口訪問、網絡掃描、DoS、通用協議命令解碼、WEB應用漏洞利用及程序攻擊、惡意文件及病毒攻擊、異常威脅、異常用戶名登錄請求、可疑執行代碼等非正常和非RFC遵從的請求行為以風險級別實時呈現,為威脅風險分析和管理提供依據。
? 威脅行為識別
通過以下幾個方面對威脅行為進行識別:
基于4000+條規則庫進行特征匹配;
根據資源使用狀況或者使用者訪問行為進行識別;
基于異常檢測技術識別威脅行為,例如病毒、木馬、攻擊等;
通過索引實時查詢頁面告警信息。
? 合規行為檢測
通過以下多個角度對違規違法行為檢測:
信息泄露:通過漏洞利用竊取用戶信息。
不良信息內容:實現對不適宜信息內容檢測審計。
敏感信息過濾:實現對身份信息、關鍵字、數據源等的自定義,實時
掌握流量中的敏感信息定位,實現對不合規行為有效監測。
隱私權侵害:通過策略獲取信息系統內部系統訪問權限,侵犯數據隱
私。
(3)資產信息探測采集
除了基于流量被動發現存貨資產,工業安全數據分析平臺可以與遠程安全評估相結合,通過主動掃描的方式發現系統內存在的信息資產。
資產發現功能可對網絡中所有在線設備進行自主網絡掃描和深入識別,獲取資產的網絡地址、系統網絡指紋、系統開放端口和服務指紋,并根據積累和運營的指紋庫裁定每個資產的類型、操作系統、廠商信息等。其具體功能需要滿足以下要求:
? 支持定時任務,用戶可自定義任務開始的日期和時間
? 系統可采用主動探測的方式,對網絡中在線設備的發現和識別,能夠識別到存活設備;
? 系統可實現資產詳情信息的采集和定義,包括資產名稱、所屬系統、IP地址、分組、廠家、型號、操作系統類型等;
? 系統需能夠實現資產服務信息的采集,包括資產服務的IP地址、端口號、服務名、服務版本、協議等服務屬性進行管理;
? 系統需要能夠支持指紋庫的管理,并能進行指紋的自定義;
? 可識別、定義網絡中所有資產。
(4)漏洞信息探測采集
漏洞檢測功能需要支持主動的系統、應用層、中間件、數據庫漏洞檢測,漏洞庫具備實時更新和自定義功能;可檢測主流windows、Linux、國產操作系統漏洞;內置通用性弱口令字典,并可增加自定義字典。
本次系統的漏洞檢測發現功能設計,基于安全自主研發的漏掃引擎,通過深度掃描、漏洞檢測、木馬檢測、邏輯漏洞檢測等方式對掃描對象進行全面的探測與檢查,以脆弱性和漏洞為導向,以安全風險管理為基礎, 對資產進行深度遍歷。支持主流的漏洞。
采用強大的過濾模塊,過濾掉重復或者不必要的網頁鏈接,提高運行效率。單引擎單位時間的發包速率的可控化,可以有效防止掃描數據量過大影響系統正常運行的問題。 掃描數據實時存儲,掃描過程中實時存儲掃描數據和結果,不管是由于程序自身引擎中斷、進程人為關閉,還是機器斷電引起掃描中斷,掃描數據都不會丟失,可以進行斷點續掃。系統具體功能模塊實現頁面如下所示。
系統內置可更新的漏洞知識庫模塊,對掃描出來的漏洞提供詳細的解決方案參考。
提供接口可以導入第三方漏洞掃描結果。
2.詳細功能設計
(1)工業數據采集處理
數據采集模塊以協議/接口采集為主,Agent收集為輔。針對不能通過協議采集或接口轉發數據的必要采集對象,采用安裝Agent的方式進行數據采集。
系統支持的數據采集方式如下:
? 協議/接口采集:支持采集節點通過Syslog、Kafka、Ftp/Sftp、
Webservice、SNMP、File、JDBC/ODBC等方式;
? Agent采集:Agent支持Windows、Linux、Unix等系 統的數據收集。
系統支持采集的數據源類型如下:
? 網絡系統全量數據:工業網絡流量、工業日志數據、工業資產信息、組
織架構、安全域、人員、賬號等以及第三方相關數據;
? 威脅情報:惡意IP、惡意域名、郵箱和文件Hash值等;
工控網環境復雜,采集所得原始數據有一部分是非結構化數據,需要將這部分非結構化的原始日志處理轉換為結構化數據。系統提供了一個鏈式可插拔的數據ETL模塊,以插件的形式實現各種原始日志的格式化流程。
圖10-11 詳細功能圖
(2)分布式存儲
分布式存儲技術能夠實現結構化及半結構化數據的統一存儲,兼容傳統的關系型數據庫以及SQL訪問模型,同時支持對海量數據的在線實時流式處理框架和離線分布式計算框架。分布式數據庫面向時序數據和小文件數據存儲進行深度優化,支持第三方存儲引擎和傳統關系型數據庫的無縫接入;支持海量混合數據的統一存儲管理和在線離線一體化查詢;支持可插拔安全算法模塊和主流分布式計算框架;支持跨庫、跨源、異構數據庫之間的跨庫訪問和關聯查詢,解決了多系統交互時對海量混合數據統一管控的問題;支持多源異構混搭數據間基于規則導向的高可靠近實時數據同步。主要功能包括:
? 大數據采集存儲和分析處理
滿足采集海量數據儲存需要,如流量信息、設備狀態、鏈路狀態等,滿足大規模結構化流式數據的并發能力、吞吐量、低時延的高要求。
? 分層架構、模塊化設計、多場景支持
采用模塊化的設計思路,在數據訪問層、數據路由層和數據存儲層都提供多種高內聚、低耦合的模塊,通過這些模塊的靈活搭配,分布式數據庫表現出不同的技術特征,從而能夠適應不同的業務場景。
? 在線檢索和離線分析一體化
通過配置,分布式數據庫可同時支持高速數據寫入,在線交互訪問、實時查詢以及高并發大數據集查詢在內的各種訪問方式,適應在線檢索和離線分析等不同業務場景。
? 混合數據支持
分布式數據庫支持與傳統關系型數據庫Oracle、MySQL等聯合訪問。業務系統可以把部分表建在Oracle或MySQL上,把部分表建在分布式數據庫上,然后透明地訪問這些表,包括在這些表之間進行join、union等操作。
? 跨域、多數據中心支持
分布式數據庫在保證數據一致性的前提下支持多數據中心或多數據集群之間近實時的跨域數據同步復制,實現系統的跨域多中心部署模式。總體處理性能,數據讀寫、掃描等,隨集群規模擴展線性增長。
? 分布式存儲
分布式存儲技術用于系統架構的大數據組件當中,使系統能夠實現高效的數據采集和檢索能力。
主要基于通用/定制化的服務器提供存儲,可提供對象、文件和塊存儲,具備低成本、靈活擴容、高并發訪問等優勢,通過軟件保障性能和可靠性。可作為資源池的分級存儲手段,滿足中低端存儲、數據歸檔備份、大數據存儲等需求。采用分布式塊存儲軟件技術的Server-SAN在I/O能力、部署速度和擴展性方面已驗證優于傳統塊存儲技術。
(3)全文檢索
全文檢索技術是態勢感知系統的核心基礎功能,其基礎要求是根據搜索條件快速、準確的匹配命中數據對象,為安全分析人員提供高效準確的分析工具,以便能更加快速的發現安全風險。因為大數據系統往往采用分布式存儲技術,所以全文檢索技術的選擇必須能夠支持主流的分布式存儲系統。同時,分布式并行計算系統的支持也是在技術路線選擇中必須考慮的因素,需能夠做到對并行計算框架的無縫對接。由于需要具備對數據搜索準度、實時性與多樣性的要求,這就要求檢索技術需支持基于關鍵詞,數值范圍,日期范圍等各種復雜的搜索功能。
全文檢索技術采用倒排索引的結構達到快速全文檢索的目的,倒排檢索是實現“單詞”-“文檔矩陣”的一種具體存儲形式,通過倒排索引可以更加快速的獲取包含這個單詞的文檔列表,倒排索引主要由兩個部分組成“單詞詞典”和“倒排文件”,具體結構如下圖:
圖10-12 全文檢索技術架構圖
全文檢索技術運用在安全監測中,主要用于對監測數據的檢索查詢,通過查詢安全分析人員能夠實現對安全事件的細致分析,并將有效數據運用于模型建立當中。
(4)威脅潛伏檢測
平臺利用認知攻擊循環模型(偵查滲透、駐留控制、執行滲透或橫向移動)和ATT&CK安全模型,通過對安全大數據中心(SDC)匯聚的網絡數據包、文件元數據、終端日志、威脅情報、沙箱報告、漏洞知識庫等進行智能分析,重建攻擊全路徑,洞悉發動攻擊的人員、目標、時間、地點和手段,發現高級潛伏威脅。
(5)工業安全實時分析
在工業場景中,對數據的實時性要求很高,數據的價值隨著時間的流逝而降低。工業安全監測分析能夠對正在發生的事件進行實時分析,及時發現最可疑的安全威脅。
? 預置工業威脅模型
結合IT與OT應用場景,內置了1300多種安全分析模型,包括180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權限檢測類模型、210多種命令控制檢測類模型和30多種資產破壞類檢測模型,覆蓋Intrusion Kill Chain的各個維度。
? 自定義工業安全分析模型
在工控網絡中,用戶對安全生產的要求是非常高的,要確保整個工控網絡的穩定性和可靠性,利用自定義工業安全分析模型,可根據用戶實際業務場景,將安全生產指標與網絡安全指標進行融合分析,從中發現威脅與風險,并進行有效的處置。當前支持五大自定義安全分析模型,主要包括規則模型、統計模型、情報模型、關聯模型和AI模型等。
? 威脅情報碰撞
平臺集成海量的威脅情報數據。情報來源包括國內外200余家威脅情報交換數據。采用云沙箱、機器學習識別與專家分析等方式,提煉形成面向政企用戶網絡安全的高質量威脅情報中心。為用戶提供如下核心情報功能:
情報收集(內部+外部各類情報源)
多源情報關聯分析
情報檢索驗證與攻擊溯源
情報更新維護
關聯下游產品
(6)工業場景實體行為分析
在工業控制場景下,用戶的操作可達到指令級,每個指令是否正常都意味著能否持續進行安全生產。通過對實識設備、用戶、工業通信指令進行智能AI學習或進行基線設置,構建出用戶在不同場景中的基線狀態。及時發現用戶、系統和設備存在的可疑行為,解決海量日志里快速定位安全事件的難題。
該系統亮點如下:
? 快速發現異常用戶行為
采用專用的用戶行為分析算法,能夠快速發現異常用戶行為,包括歷史未出現過的異常行為。
? 精準的用戶異常行為監測
利用網絡分析的方法,把看似不相關的用戶和行為關聯起來,從而提高異常行為監測的準確度和靈敏度,并通過多維態勢可視化系統能夠實時展現總體用戶行為威脅狀況。
? 定制化用戶畫像能力
由于用戶行為隨實際網絡環境的不同存在較大差異性,平臺支持根據用戶實際業務場景定制行為分析畫像,確保分析結果真實可靠。
圖10-13 定制行為分析
(7)資產管理
? 資產管理
資產管理作為態勢感知的最基礎功能,確定了安全管理的對象和目標,將所有業務系統的網絡設備、工控設備、安全設備、服務器及其之上承載的操作系統、數據庫、應用系統、接口方式、硬件屬性、使用維護人員等信息均作為資產管理的內容,提供資產錄入、管理、變更等管理功能。可通過流量監控開放端口、主動外連行為等。資產管理主要提供如下功能:
提供與第三方資源管理系統的接口以實現資源共享、同步更新、信息的查詢和導入等功能。同時內置資產通用屬性接口,用于實現與第三方資產管理系統的數據格式相互轉換;
資產管理模塊中各項資產的屬性值將參與到安全事件管理、脆弱性管理、風險管理、拓撲視圖、報表系統等其它安全管理模塊;
提供資產的手動和自動發現,資產接入或者移除,能夠自動更新,并作出提示,對新接入資產進行預管理,對移除資產進行記錄管理;
將安全事件與資產進行綁定關聯,實現以資產視角的安全事件管理,在資產拓撲視圖上直接展現安全事件的信息,支持鉆取溯源等安全處置功能;
提供根據客戶組織架構或者網絡架構進行資產域/安全域劃分,方便運維。
資產管理的信息和維度包含如下:
基本信息:資產IP、資產名稱、資產重要性(普通、重要),資產標簽、資產類型
更多信息:資產編號、資產狀態、組織架構、使用人、C-機密性、I-完整性、A-可用性、是否等保資產、地理位置、描述等。
操作系統信息:操作系統、OS版本、MAC地址
設備管理:設備廠商、設備型號、設備版本、設備存放地址、管理地址、日志量監控、在線狀態檢測。
? 安全設備管理
安全設備管理確定了本平臺對接、聯動和監控的安全設備目錄,以及安全設備關聯的防護資產信息,管理整個網絡信息系統和業務資產的防護狀態和安全建設系統。
安全設備編輯。提供安全設備的增加、編輯、刪除功能。安全設備的管理信息包括設備名稱、設備類型、設備廠商、關聯資產等。
安全設備監控。提供包括安全設備攔截狀態和安全設備運行狀態監控,可跳轉投屏。
? 區域管理
區域管理模塊是根據企業網絡環境、組織架構以及安全域分布實現資產/業務拓撲視圖,并能夠在資產視圖上將弱點爆發的安全事件所屬網絡區域或業務系統分組予以展示。
安全域添加。根據企業的網絡劃分情報、組織架構等情況,進行安全域添加;
安全域修改。
安全域刪除。
內部IP配置。對內部IP地址進行配置,解決企業網絡內外網地址私用等情況。
? 業務建模
實現以業務資產視角,輔助客戶以資產為核心的工作層面之上構建一個面向業務部門和管理層的業務資產模型。該功能主要管理用戶的業務支撐系統,為用戶提供業務的實時監控能力,保障用戶業務的可持續平穩運行。為用戶提供如下功能;
支持資產的自動發現和從客戶現有的資產平臺同步功能,支持資產的修改、刪除等管理功能,并根據客戶資產的用途和網站結構進行劃分,至少分為內部資產、互聯網資產和重點安全資產;
提供安全資產拓撲視圖,支持根據網絡架構自定義資產拓撲,支持拓撲的模板導入和編輯好的資產拓撲文件導出;
用戶可以根據具體的業務流程構建相應的業務模型,支持業務模型的管理功能。
圖10-14 業務建模
? 弱點管理
弱點管理是以資產和漏洞為視角,結合內部管理制度和流程,實現資產弱點的全生命周期管理的資產弱點綜合性管理,通過標準化引擎,支持將掃描器掃描發現漏洞、安全服務人工滲透漏洞、內部運維人員運維發現漏洞、互聯網公布漏洞等不同的漏洞進行自動化收集或人工錄入、導入方式收集,將形式格式不一的漏洞進行標準化。同時,通過內部資產清單導入、掃描探測發現、人工錄入、對接CMDB配置庫等方式梳理企業資產。再通過自動化關聯引擎,實現資產、弱點、業務系統、資產責任人的關聯,形成資產維度的脆弱性視角。在此基礎上,進一步結合企業的管理制度和流程,通過平臺內置工單或對接企業內部工單系統,實現資產、漏洞的全生命周期管理,以輔助企業實現安全建設管理及決策。
圖10-15 弱點管理
(8)安全監測
? 態勢感知
態勢感知以單位數據、資產數據、網絡安全事件與威脅風險監測為驅動,基于多維態勢可視化技術,對網絡空間安全相關信息進行匯聚融合,從不同視角出發感知網絡安全態勢。
綜合態勢:綜合態勢全面采集各類工控流量和日志信息,通過內置的大數據安全分析模型整合零散的工業安全數據,深入挖掘安全風險與攻擊事件,可感可控工業系統安全,實現工控網安全態勢的全面感知。
圖10-16 綜合態勢
場站態勢:場站態勢以各場站實際網絡應用場景為底圖,為用戶建立可視的場站安全態勢感知,通過繪制場站網絡結構拓撲,標記關鍵資產和業務系統,及時發現場站發生的關鍵事件,達到快速處置目的。
圖10-17 場站態勢
業務系統態勢:業務系統態勢以業務安全感知為唯度,監測各場站關鍵業務系統的在線運行狀況,掌握各場站業務系統網絡安全狀態,如各業務系統流量,各業務系統威脅排行、發生安全事件排行、趨勢等信息,及時發現關鍵業務系統的安全態勢。
圖10-18 業務系統太少
異常行為態勢:異常行為態勢主要關注在場站內發現的異常流量行為,將不符合安全基線的行為記錄并進行展現,主要包括工控異常行為、工控高危操作行為、無流量行為,不合規行為等。
圖10-19 異常行為態勢
橫向威脅態勢:橫向威脅感知主要關注企業內部資產之間的違規操作和病毒傳播,實時監控跨安全域的訪問行為和業務訪問情況,通過自由布局和圓形布局觀測資產之前的威脅關系,及時發現并處置違規資產對企業環境內部造成的破壞。
圖10-19 橫向威脅態勢
違規行為態勢:違規行為態勢主要關注來自各場站不同安全區是否存在跨區訪問的情況,及時發現哪些資產主動外聯,哪些資產經常被跨區訪問,跨區外聯的場站及所屬安全區,以及這些違規外聯訪問是否發生安全事件。
圖10-20 違規行為態勢
攻擊者追蹤溯源態勢:攻擊者追蹤溯源可視化分析大屏,為安全運維人員提供包括攻擊行為分析、團伙分析、攻擊取證信息、攻擊趨勢、攻擊手段,攻擊影響范圍等信息,支持任意攻擊者信息查詢,可生成詳細的攻擊者溯源報告,并能夠一鍵導出報告。
圖10-21 攻擊者追蹤溯源態勢
資產威脅溯源態勢:資產威脅溯源可視化分析大屏,為安全運維人員提供包括被攻擊行為分析、影響資產范圍分析、攻擊取證信息等,支持任意資產查詢,可呈現被訪問趨勢、被攻擊趨勢、被攻擊手段、資產狀態,資產評分等信息。
? 資產感知
以資產為核心視角,直觀了解自身網絡環境中存在風險資產。資產感知通過攻擊鏈形式展示,剖析從掃描探查階段到資產破壞階段資產失陷過程。感知失陷、異常資產,從海量的日志中提取有價值的資產溯源路線。平臺簡單易用,支持一鍵全方面鉆取,降低運維成本,提高運維效率。
風險資產視圖:以資產被攻擊的維度展示網絡內的安全風險,包括已失陷、高風險、低風險三種維度;
安全域風險視圖:以資產安全域的維度展示網絡內的安全風險,可根據安全域進行鉆取處理事件;
風險資產列表:為用戶列出正在遭受高級風險的資產列表,方便快速處置。
業務系統視圖:以業務系統被攻擊的維度展示網絡內的安全風險,可根根業務系統進行鉆取處理事件。
生產大區視圖:以生產大區被攻擊的維度展示網絡內的安全風險,可根根業務系統進行鉆取處理事件。
管理大區視圖:以生產大區被攻擊的維度展示網絡內的安全風險,可根根業務系統進行鉆取處理事件。
? 事件感知
事件感知可以通過搜索、聚合、關聯等調查取證手段,提供攻擊事件數據包、攻擊者設備指紋等舉證信息。平臺支持基于源、目的、事件名、攻擊意圖等多種聚合調查方式,從不同維度聚合統計安全事件。可以關聯資產信息、威脅情報、弱點詳情、安全事件、處置方式等多維數據進行調查取證。同時提供場景化的事件感知能力,如安全基線事件分析、網絡攻擊分析等。
? 安全熱點
安全熱點是結合用戶實際需求,將用戶關心的安全熱點問題進行自定義設置,用戶可選擇內置安全事件作為安全熱點,也可以通過自定義威脅模型定義安全事件后再設置成安全熱點。安全熱點可幫助用戶快速排查重點問題,發現最重要的事件,發起快速處置。
圖10-22 安全熱點
(9)安全分析
? 威脅模型
提供集中的安全規則、模型以及策略的管理功能,制訂統一的安全策略,并有效貫徹執行這些安全策略,不僅有助于提高安全水平,而且將這些安全策略進行上網發布也有助于知識的共享,讓各級安全管理人員合理運用安全策略,有效地管理網絡,保障網絡的安全運行。因此,安全策略管理模塊將負責全網的基本網絡安全策略模板的制訂,并將安全策略轉換為可執行的腳本,便于安全策略的有效執行和快速部署。
圖10-23 威脅模型
應用層面設計策略管理模塊,支持策略的維護、啟停、編輯、新增等功能,并具備策略規則庫字典的維護管理功能。具體如下:
提供對事件過濾規則進行編輯功能,可自定義過濾規則,歸并事件告警,避免產生告警風暴;
關聯規則匹配條件支持運算符、支持引用外部資源包括過濾器、資產屬性、自定義資源、已有規則、黑白名單。觸發條件支持對各不同字段的計數。支持預定義包括時間、地址、端口等在內的資源,可在規則定義中直接引用已定義的資源;
支持列表顯示分析規則,顯示內容包括規則名稱、類型、類別、啟用狀態、規則創建時間、修改時間、規則觸發后告警等。
模型構建和管理
設計便捷的拖拽式安全建模能力,可支持包括規則建模、安全事件關聯、安全事件統計、威脅情報關聯以及AI學習建模等安全威脅建模功能。
規則建模。為用戶提供一個規則建模平臺,可支持根據客戶的網絡安全狀況、業務狀況以及用戶行為等構建分析規則能力;
關聯建模。為用戶提供一個關聯建模平臺,可將多個安全事件進行字段管理安、邏輯關聯發現相關事件中隱藏的高級威脅及安全風險;
統計建模。支持用戶對安全事件、安全行為以及安全威脅等特征進行統計分析,從網絡信息中發現重要的安全威脅統計型特征;
情報關聯。通過安全威脅分析與預警平臺和威脅情報的集成,實現全網的基于威脅情報的協同聯動,為用戶發現精準的情報事件,做到防范于未然;
AI學習建模。為用戶提供一個內置大量集群學習算法,包含時序算法、分類算法、聚類算法等多種算法原型,為用戶提供針對任意數據的學習分析能力,輸出高級安全威脅和未知威脅等。
? 追蹤溯源
平臺能實現基于資產安全告警和攻擊者的追蹤溯源功能,結合先進的大數據關聯技術能夠實現對安全告警事件和攻擊者的追蹤與取證,并提供溯源報表的一鍵智能下載。
圖10-24 追蹤溯源
告警溯源:能夠對告警事件實現閉環式溯源,并提供對告警事件原始日志的查詢服務。
攻擊者追蹤溯源:提供攻擊者追蹤溯源大屏,基于大數據關聯分析技術,聚合展現疑似黑客組織IP組、攻擊引發告警類型以及類似攻擊行為手段,可基于時間軸動態查看攻擊行為取證列表,實現對攻擊者的精準追蹤溯源。
資產威脅溯源:提供資產威脅溯源可視化分析大屏,為安全運維人員聚合呈現資產被攻擊行為、影響資產范圍、告警取證信息等,支持針對網內任意資產查詢并呈現被訪問趨勢、被攻擊趨勢、被攻擊手段、資產健康狀態,資產評分等信息。
? 資產畫像
工業資產畫像以采集到的各種數據為依據,通過安全建模分析,提供可視化工業資產畫像,主要包括:資產基本信息、風險信息、訪問關系、行為畫像、服務端口、訪問端口、脆弱性等。
工業資產畫像可以快速分析重點資產的安全防護效果與威脅情況,為資產風險評估、安全加固和安全保護建設提供依據。
圖10-25 資產畫像
? 日志檢索
平臺的日志搜索入口,提供關鍵字組合輸入功能,實現日志快速檢索,包含原始日志搜索、標準化日志搜索、自定義搜索模板和歷史搜索快照。提供如下檢索功能:
支持任意關鍵字、參數、和正則表達式進行過濾查詢;并提供檢索關鍵字排除功能;
支持可指定多個查詢條件進行組合查詢;可通過關鍵字、條件表達式、時間范圍對事件及數據進行快速檢索,快速定位到安全分析人員關注的威脅和上下文數據,并支持檢索趨勢統計;
支持以時間軸的方式展示檢索結果,并支持時間軸鉆取和追加搜索;
支持對檢索結果追加檢索,支持點擊檢索結果字段快速加入到檢索條件;
支持對展示字段靈活定義,允許用戶選擇特定的字段顯示;
支持將查詢的條件存儲為查詢模版,方便再次使用;
支持檢索結果導出(不少于10000條),至少支持excel或CSV格式。
具備如下日志分類檢索功能,智能檢索滿足基本要求外,還提供以下特定功能:
原始日志檢索:支持選擇日志源進行檢索;
安全告警檢索:支持根據安全事件的處置狀態、威脅等級、攻擊意圖、所處攻擊鏈階段等多個維度進行檢索;支持檢索結果進行處理,處理狀態標簽包括:未處理、處理中、處理完成、誤報等;
安全事件檢索:支持根據安全事件威脅等級、攻擊意圖、所處攻擊鏈階段等多個維度進行檢索。
圖10-26 日志檢索
(10)安全運營
? 通報預警
為用戶提供預警和通報功能,用戶對平臺產生的安全告警進行新增預警,提示平臺用戶該告警可能存在一定風險隱患。
預警。提供用戶/組織維度的安全風險預警,可選擇特定的用戶或組織進行下發 預警,可設置預警級別、標簽等。針對未通報的事件,將根據事件信息,利用系統配置好的日常通報模板生成通報文件。
通報。提供全局維度的安全分析通報,按照預警名稱的維度對公開預警進行查詢的功能,并可根據指定的查詢條件,快速定位需要重點關注的公開預警。
? 工單管理
提供工單管理視圖,可以通過工單管理界面新增工單、通報詳情頁面新增工單、安全告警頁面新增工單,并將工單指派給相應的處理人,經過各個環節的處理,工單記錄狀態未處理/處理中/已解決/已關閉,便于監督工單是否及時處理以及閉環。提供包括工單查詢、工單新增、工單處置、工單刪除、工單跟著以及工單批量操作等功能。
? 安全評價
安全評價實現對被考核對象的安全合規評價和工業網絡安全狀態的整體評價,支持按天、周、月、季度、半年、年度進行安全評定。安全評價有別于綜治考核,綜治考核為一年一次,有嚴格的計分標準。
? 訂閱管理
提供安全事件、工單等消息的訂閱功能,可將具備安全工單/消息推送給制定的人員。提供預警、工單、短信和郵件4種推送方式,當安全告警滿足訂閱規則時,平臺對訂閱規則通知人自動生成預警/工單、發送郵件/短信,讓用戶可以實時關注到平臺告警情況。
? 安全工作臺
為運維人員提供安全事件處置工作界面,包括工單管理、通報情況、最新安全動態等視圖,并為用戶提供代辦工單狀態工作臺,方便用戶快速進行需要處理的安全工單。
1.1.4 方案創新點和實施效果
1. 方案先進性及創新點
本方案在實施過程中,為了有效解決新場景新業務帶來的新安全問題,創新的采用了一些新技術,主要體現在下面的幾個方面:
(1)采用運行拓撲(topology)的strom架構
目前技術上一般提供Hadoop架構對大規模數據的計算進行分解,然后交由眾多的計算節點分別完成,再統一匯總計算結果。Hadoop架構通常的使用方式為批量收集輸入數據,批量計算,然后批量吐出計算結果。然而在安全大數據分析的應用場景下,通常對告警的實時性要求較高,需要對海量的原始數據進行實時流式處理和持續處理,Hadoop架構難以處理實時性要求較高的業務。針對這一難題,本方案采用運行拓撲(topology)的strom架構,極大的降低了安全事件的告警延遲。
Storm集群提供控制節點(master node)和工作節點(worker node)。控制節點上面運行一個叫Nimbus后臺程序,負責在集群里面分發代碼,分配計算任務和監控狀態。每一個工作節點上面運行一個Supervisor的進程,監聽分配給它那臺機器的工作,根據需要啟動/關閉工作進程worker,多個工作進程worker組成拓撲(topology)。
工作進程worker中每一個spout/bolt(數據處理單元)的線程稱為一個task(任務),使用Spout/Bolt編程模型來對消息進行流式處理。Spout組件是消息生產者,支持從多種異構數據源讀取數據,并發射消息流,Bolt組件負責接收Spout組件發射的信息流,并完成具體的處理邏輯。在復雜的業務邏輯中可以串聯多個Bolt組件,在每個Bolt組件中編寫各自不同的功能,從而實現整體的處理邏輯,只需將不同的實時分析數據處理任務按照一定的規則和接口納入和封裝到Bolt組件中,就可以動態的實現實時分析功能的模塊擴展。
(2)基于機器學習算法的異常行為檢測創新
本方案創新地將機器學習算法、分析方法應用到對系統日志、網絡流量、告警日志等安全數據的分析中,實現了對異常行為、惡意流量的有效識別。首先,根據工業互聯網系統中用戶及網絡設備之間訪問行為的業務特征,確定行為指標。其次,提取行為指標作為多維變量數據,然后利用無監督算法對數據進行聚類分析并進行標記,標記后的數據再交給有監督算法進行分析并產生分類規則。第三,聯合有監督和無監督算法對行為日志進行分析,經過反復迭代有監督算法分析,逐漸將專家經驗積累到分析算法中。日志、流量等數據經過上述算法的分析,可以準確發現工業互聯網中的異常行為、惡意流量。
圖10-27 基于機器學習算法的異常行為檢測原理圖
(3)面向生產控制網絡專有協議的深度數據包解析技術
解析工控網絡專有協議的深度數據包,且能夠對各類數據包進行快速有針對性的捕獲與深度解析,同時滿足生產系統在生產和制造過程中的通信效率保障和冗余機制等要求。
(4)基于智能機器學習的威脅感知技術
自動收集、分析和學習系統正常運行狀態下的數據行為,智能提取用戶節點的行為特征,并自動生成操作規則、白名單、配置規則等,實現自動化特征規則的提取和生成,對異常數據、操作行為、安全事件、安全隱患等進行告警及綜合管理。
(5)基于SOAR的場景推理適度阻斷技術
針對工業互聯網安全領域安全事件頻發,面對海量的工業互聯網安全相關數據和告警,僅僅利用安全分析規則和粗放式的調用安全能力是遠遠不夠的。在工業互聯網網絡攻擊態勢推理中,發現任何安全告警信號后,需要進行分揀、調查、核實、影響評估、取證、定級。利用多源異構數據進行自動化關聯與推理,通過構建出網絡安全知識圖譜,提供跨越時間空間的強大有效的上下文環境,極大提升安全運維效率。
圖10-28 場景關聯分析推理圖
實現通過安全知識圖譜驅動自動化響應。通過學習安全專家在安全事件響應中的處理,學習應對威脅的響應處置點、技術手段、流程,在安全知識庫、漏洞庫、處置案例庫之間,構建這些知識間的聯結,逐漸學習到如何設計縱深防御、組合防御等各種響應方案,學習阻斷、隔離等不同策略,學習防火墻ACL列表、WAF策略、SDN流控制器等技術手段,學習掃描、POC利用等檢驗評估過程和規則。
隨著響應經驗的持續積累,知識圖譜會逐漸學習到安全事件、攻擊、響應間的聯結,自動化提出快速、有效的安全決策,自動化生成響應方案、推薦選擇響應方案、最終實現自動化響應,實現網絡威脅風險的智能推理可視化和適度阻斷能力。
2. 實施效果
(1)劃分安全域
橫向安全域隔離,縱向邊界防護,實現縱深防御工控網絡與企業資源網的打通,導致網絡安全風險增大,需要在兩個網絡間增加有效的安全隔離措施,保證兩網融合后原有隔離網絡的獨立安全性,使其能應對各種未知信息安全風險,同時部署相應工控信息安全產品以實現橫向安全區域間的隔離、生產數據單向采集及監控。
(2)部署工控信息安全產品
實現終端設備全天候防護油庫生產運行中的終端設備應部署工控終端防護產品,及時更新版本,實現全天候病毒防護,產品可進行統一監控、策略下發、異常報警等,同時對移動存儲介質使用進行管理,保障各工業現場主機能夠有效抵御未知病毒、木馬、惡意程序、非法入侵等對于終端的攻擊。
(3)加強應用及數據的檢測審計
實現異常告警兩網融合后,數據橫向和縱向交互增多,造成數據風險增大,需加強數據集成、數據上云和數據操作的機密性、完整性和可審計性,構建數據庫審計系統,實現對數據實時、動態的監測審計,及時識別數據庫的異常情況和風險行為并進行告警。
(4)建立主動防護機制
提升安全運營服務能力油庫工控網絡應具備主動防護功能,定期對業務系統進行漏洞掃描和安全檢查,及時發現應用的安全漏洞及撞庫攻擊、暴力破解等惡意的攻擊行為,提升漏洞發現、威脅感知、異常行為和異常流量的審計等安全運營服務能力。同時,需加強對油庫資產、設備的集中管控和對運維人員身份認證、操作行為的統一管理,構建運維管理平臺,提升油庫運維管控能力。
(5)建立油庫安全管理平臺
實現統一安全運維管控,對分布在油庫各網絡中的安全防護設備進行有效的統一管理,實現各防護設備之間的互相支撐,密切協同,有機互動,從而充分發揮安全防護的作用。平臺通過總體配置、調控,實現對油庫各類安全設備的統一策略管理、監控、統一預警等;實現多種安全功能模塊之間的互聯互通,使得安全管理工作由繁變簡,有效性得以提高,從而解決油庫安全設備分散問題,實現統一安全管理。
(6)核心系統的安全防護
對于重要的業務系統(例如:付油系統、閥門聯動系統)采用工業網閘專用的安全通道實現重要業務系統的信息交換,業務數據通過物理隔離、協議隔離、內容隔離等措施使其他業務系統的網絡數據及有害數據信息無法進入該業務系統,保障了重要業務系統的相對安全。
(7)數據采集與共享
數據采集:油庫工業控制系統環境復雜,由于一些系統比較落后,沒有聯網或者沒有網絡接口,通過工業網閘采集未聯網設備(含串口總線設備),實現對未接入的數據采集,保證數據采集的全面性,為智能油庫建設提供數據支撐。
數據共享:與第三方進行信息交互的場景,第三方網絡通信鏈路連接到工業網閘外聯口,通過工業網閘實現第三方網絡與工控網絡的安全隔離和信息的單向流動,可以在保障安全的情況下實現數據交換。
1.1.5 單位基本信息
杭州安恒信息技術股份有限公司(DBAPPSecurity),簡稱“安恒信息”,成立于2007年5月,是由“國家千人計劃”獲得者范淵先生創辦的國家級高新技術企業,企業注冊資金7407.4075萬元。國內總部設在杭州高新區(濱江),并在北京、上海、廣州、深圳、南京、成都、重慶、濟南、西安、沈陽、武漢、福州、鄭州、長春、內蒙等地設有分支機構。安恒信息主營業務涵蓋云計算安全、大數據安全、應用安全、數據庫安全、移動互聯網安全、智慧城市安全等,包括安全態勢感知、威脅情報分析、攻防實戰培訓、頂層設計、標準制定、課題和安全技術研究、產品研發、產品及服務綜合解決方案提供等。安恒信息多次入選由美國著名網絡安全風險投資公司(Cybersecurity Ventures)推出的 “全球網絡安全企業500強”榜單。
目前,企業正式員工4125名,其中研發團隊人員1459名。公司設立有安全研究院和產品研發中心兩大研發機構。安全研究院致力于前沿技術預研、創新業務探索和核心能力積累。研發中心主要由云事業群、AiLPHA大數據智能安全事業群、物聯網+事業群、智慧城市事業群、基礎安全事業群等多個子部門組成,除負責公司現有產品的迭代升級研發外,還覆蓋云安全、移動安全,智能設備安全、大數據安全、工控安全等多個新興領域產品的開發。
杭州安恒信息技術股份有限公司成立以來發展迅速,經營業績快速攀升,各項業務指標持續快速增長。2020年,公司總資產達到260133.57萬元,凈資產達171463.85萬元,營業收入129159.33萬元,凈利潤12115.22萬元。
作為國內網絡信息安全領域的領導者之一,公司積極承擔我國網絡信息安全產業發展的社會責任。根據國家發改委正式發布的“2018年度國家地方聯合工程研究中心”名單,安恒信息成為“大數據網絡安全態勢感知及智能防控技術國家地方聯合工程研究中心”的依托單位,先后承擔“國家發改委信息安全專項”、“工信部電子發展基金方案”、“科技部火炬計劃方案”等國家級、省市級科技計劃方案50余項。針對關鍵技術申請1490項專利(獲得授權發明專利266項),擁有計算機軟件著作權272項。參與制訂信息安全類國家標準10余項,入選2020《中國網絡安全能力100強》安恒信息榮獲“領軍者”稱號。
2020年11月23日,安恒信息正式簽約2022年杭州第19屆亞運會,成為其網絡安全類官方合作伙伴,這也是國際大型綜合性賽事網絡信息安全類最高層級合作,作為國家級重保核心單位,安恒信息先后參與:2008年北京奧運會、上海世博會、廣州亞運會、歷屆世界互聯網大會、G20杭州峰會、廈門金磚、世界游泳錦標賽、武漢軍運會等世界級重大活動的網絡安全保障工作,并先后簽約2020第六屆亞沙灘運動會、2021年成都大運會,以先進的理念和專業的服務獲得各盛事主辦方和監管機構的一致好評。
AII微信公眾號
AII頭條號