傳統(tǒng)護城河似的安全防護方案已無法滿足兩化融合的工控安全防御需求，但是目前業(yè)界很多安全廠商還是采用通過產(chǎn)品重復(fù)堆砌的IT網(wǎng)絡(luò)安全的防護思路進行工控系統(tǒng)的安全防護，通過工業(yè)防火墻、網(wǎng)閘、入侵監(jiān)測等一個個安全孤島進行單點防護，且部分產(chǎn)品串聯(lián)部署，一旦產(chǎn)品或策略出現(xiàn)問題，將影響企業(yè)的正常生產(chǎn)，造成非常嚴重的損失。

鑒于此，中新賽克星河工業(yè)互聯(lián)網(wǎng)安全團隊推出基于自研的大數(shù)據(jù)平臺開發(fā)的集資產(chǎn)管理、漏洞掃描、日志審計、安全檢測等多種安全功能于一體的工業(yè)安全管理中心和具有數(shù)據(jù)采集及邊緣計算能力的工業(yè)智能采集探針的工業(yè)互聯(lián)網(wǎng)安全監(jiān)測解決方案。該方案摒棄傳統(tǒng)的通過安全產(chǎn)品重復(fù)堆砌、側(cè)重于信息網(wǎng)絡(luò)安全防護的思路，著重針對影響工業(yè)企業(yè)核心業(yè)務(wù)的OT網(wǎng)絡(luò)安全監(jiān)測，保障核心控制網(wǎng)絡(luò)的安全生產(chǎn)，并利用大數(shù)據(jù)技術(shù)將多種安全產(chǎn)品模塊化、軟件化，采用微服務(wù)的方式為企業(yè)提供靈活適配的方案，降低企業(yè)的安全投入成本。

目前該解決方案已在鋼鐵、智能制造、電力等行業(yè)的幾十家工業(yè)企業(yè)落地應(yīng)用，獲得了客戶的一致好評，并且榮獲工信部《2019年工業(yè)互聯(lián)網(wǎng)試點示范項目》榮譽，充分體現(xiàn)了該解決方案的價值與優(yōu)勢。

1 方案概述

本方案在企業(yè)內(nèi)網(wǎng)中OT網(wǎng)絡(luò)各層流量匯聚節(jié)點的交換機旁路部署智能采集探針，通過端口鏡像的方式將采集到智能采集探針，智能采集探針具有邊緣計算能力，可進行流量的預(yù)處理，剔除無效“臟”數(shù)據(jù)并對流量進行深度協(xié)議解析后生成安全日志，上送到安全管理中心。

工業(yè)安全管理中心對探針采集的日志信息進行關(guān)聯(lián)分析，識別工業(yè)企業(yè)的所有資產(chǎn)，繪制資產(chǎn)拓撲圖；監(jiān)測工業(yè)現(xiàn)場異常操作、非法外聯(lián)，非法接入等安全事件；對資產(chǎn)進行無損漏洞掃描，發(fā)現(xiàn)資產(chǎn)存在的漏洞；安全管理中心內(nèi)置豐富的工控漏洞利用攻擊模型庫、工控木馬病毒庫，進行對工控漏洞利用、工控木馬病毒的監(jiān)測。安全管理中心可與第三方安全設(shè)備對接，進行安全日志的統(tǒng)一分析與審計，并通過高度可視化的界面給企業(yè)管理者提供直觀的全網(wǎng)絡(luò)一體化的安全態(tài)勢詳情。此外，安全管理中心可選擇與省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺對接，一方面為省級平臺提供深入到企業(yè)內(nèi)部的數(shù)據(jù)支撐，解決省級平臺在公網(wǎng)側(cè)獲取的數(shù)據(jù)源過于單一的問題；另一方面，企業(yè)可以從省級平臺獲取最新的漏洞、惡意IP、安全事件等信息，完善企業(yè)的安全監(jiān)測能力；從而實現(xiàn)監(jiān)管側(cè)與企業(yè)側(cè)的數(shù)據(jù)聯(lián)動，協(xié)同防御。其典型網(wǎng)絡(luò)拓撲如圖1所示。

圖1 典型網(wǎng)絡(luò)拓撲圖

2 產(chǎn)品介紹

2.1 工業(yè)智能采集探針

2.1.1 產(chǎn)品概述

中新賽克工業(yè)智能采集探針可分布旁路部署在企業(yè)內(nèi)網(wǎng)中各層流量匯聚節(jié)點的交換機，在不影響正常工業(yè)生產(chǎn)的前提下，實現(xiàn)對所有工業(yè)企業(yè)OT網(wǎng)絡(luò)的實時數(shù)據(jù)采集。智能采集探針具有強大的邊緣計算能力， 可對工業(yè)現(xiàn)場的多源異構(gòu)數(shù)據(jù)進行預(yù)處理，從而剔除“臟”數(shù)據(jù)和無關(guān)數(shù)據(jù)。通過集成強大的工業(yè)協(xié)議分析引擎，智能采集探針采用中新賽克工業(yè)安全描述語言對工業(yè)現(xiàn)場的設(shè)備進行畫像，并將畫像信息傳輸給工業(yè)安全管理中心。

2.1.2 主要功能

（1）工業(yè)協(xié)議深度解析

中新賽克研發(fā)的智能采集探針支持30多種工業(yè)協(xié)議的識別與深度解析，并在進一步拓展中。包括常見的Modbus、Profinet、IEC104、DNP3、S7、BacNet、OPC等。采用基于TCP/UDP端口識別、基于報文負載特征識別、基于關(guān)聯(lián)分析識別以及基于行為特征識別等技術(shù)進行多維度的協(xié)議識別，保障準確性。

（２）元數(shù)據(jù)提取

報文解析并不是網(wǎng)絡(luò)安全設(shè)備處理報文的終點，解析出的數(shù)據(jù)是支撐安全業(yè)務(wù)的大梁，可以說安全業(yè)務(wù)的好壞從根本上取決于報文解析結(jié)果，報文解析的層次越深，提取的特征越多，安全業(yè)務(wù)將會越豐富。智能采集探針支持多種類型的特征提取，為工業(yè)安全管理中心提供數(shù)據(jù)分析的業(yè)務(wù)數(shù)據(jù)支撐，主要支持以下特征的提取：

• 五元組特征提取；

• 資產(chǎn)特征提取；

• 工控漏洞特征提取；

• 工控木馬病毒特征提取；

• 行為特征提取。

（３）數(shù)據(jù)加密與壓縮傳輸

智能采集探針在數(shù)據(jù)采集和傳輸?shù)沫h(huán)節(jié)中，通過對處理完提取的全息日志采用國產(chǎn)加密算法的方式進行數(shù)據(jù)的安全防護，防止核心數(shù)據(jù)的泄露。此外，智能采集探針通過提取關(guān)鍵特征生成全息日志的方式進行數(shù)據(jù)的壓縮，降低了業(yè)務(wù)系統(tǒng)的成本。

（４）數(shù)據(jù)統(tǒng)一格式轉(zhuǎn)換

智能采集探針在對數(shù)據(jù)預(yù)處理之后，可以將處理后的數(shù)據(jù)生成統(tǒng)一的日志格式，默認的數(shù)據(jù)格式為TLV日志格式，但可開啟日志轉(zhuǎn)換功能，生成MQTT、Syslog等日志格式，從而可以很好地與第三采方平臺對接，比如私有云等。

2.2 工業(yè)安全管理中心

2.2.1 產(chǎn)品概述

中新賽克工業(yè)安全管理中心通過處理工業(yè)現(xiàn)場萃取的各類數(shù)據(jù)，識別工業(yè)企業(yè)的所有資產(chǎn)，繪制資產(chǎn)拓撲圖；監(jiān)測工業(yè)現(xiàn)場異常操作、非法外聯(lián)，非法接入等安全事件；對工控資產(chǎn)進行無損漏洞掃描，發(fā)現(xiàn)資產(chǎn)存在的漏洞；內(nèi)置豐富的工控漏洞利用攻擊模型庫、工控木馬病毒庫，對工控漏洞利用、工控木馬病毒進行監(jiān)測，從而為工業(yè)企業(yè)的安全保駕護航。工業(yè)安全管理中心支持對工業(yè)智能采集探針、工業(yè)防火墻、第三方安全設(shè)備進行集中管理和編排，實現(xiàn)對企業(yè)安全防護產(chǎn)品的統(tǒng)一配置、全面監(jiān)控、實時告警和聯(lián)動處置。此外，安全管理中心可與省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺對接，為省級平臺提供基礎(chǔ)的數(shù)據(jù)支撐。其系統(tǒng)demo首頁如圖2所示。

圖2 工業(yè)安全管理中心系統(tǒng)demo首頁

2.2.2 主要功能

（1）資產(chǎn)發(fā)現(xiàn)與管理

工業(yè)安全管理中心內(nèi)置豐富的資產(chǎn)指紋庫，通過指紋比對等方式可以自動識別網(wǎng)絡(luò)中的資產(chǎn)信息，并可將被監(jiān)測的工業(yè)企業(yè)的網(wǎng)絡(luò)拓撲在頁面上動態(tài)呈現(xiàn)。識別IT層和OT層的資產(chǎn)信息，包括服務(wù)器、路由器、主機等IT層資產(chǎn)，上位機、PLC、控制器等工業(yè)現(xiàn)場資產(chǎn)。當管理員對拓撲圖上的設(shè)備屬性進行修改、添加設(shè)備或者刪除設(shè)備，可根據(jù)設(shè)備通信狀態(tài)進行網(wǎng)絡(luò)拓撲圖的動態(tài)更新。

（2）工控網(wǎng)絡(luò)異常監(jiān)測

工業(yè)安全管理中心基于對主流工控網(wǎng)絡(luò)協(xié)議（Modbus/TCP、OPC、S7、IEC10等）的通信數(shù)據(jù)進行采集與深度解析，建立符合現(xiàn)場工藝的業(yè)務(wù)指令流模型，將網(wǎng)絡(luò)合法通信行為加入“通信白名單”及“協(xié)議白名單”中，將當前工控通信行為與白名單進行比對，及時發(fā)現(xiàn)違反業(yè)務(wù)生產(chǎn)秩序的操作行為，并可對“未知通信行為”、“用戶誤操作”、“用戶違規(guī)操作”、“工藝閾值非預(yù)期波動”等異常行為進行監(jiān)測。

工業(yè)安全管理中心內(nèi)置豐富的工控漏洞攻擊特征庫以及工控木馬病毒庫，可以對工控網(wǎng)絡(luò)安全日志進行特征比對，監(jiān)測漏洞攻擊以及木馬病毒事件。

（3）漏洞掃描

工業(yè)安全管理中心內(nèi)置豐富的網(wǎng)絡(luò)安全漏洞和工控安全漏洞庫，并集成先進的漏洞掃描引擎探測企業(yè)網(wǎng)絡(luò)中的IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)的安全漏洞，且針對IT層和OT層的漏洞掃描引擎與策略不同，從而進行有效安全的漏洞監(jiān)測。

漏洞掃描后可以生成全面的漏洞分析報告，清晰地展示了漏洞的危險等級，并提供漏洞修補方案及補丁鏈接等。用戶能夠根據(jù)掃描報告完成漏洞的修補，形成對漏洞全生命周期的掌控。

（4）漏洞管理

工業(yè)安全管理中心通過實時采集最新漏洞信息、內(nèi)網(wǎng)主機掃描結(jié)果、基線掃描結(jié)果、人工滲透測試結(jié)果等漏洞信息，對網(wǎng)內(nèi)資產(chǎn)漏洞信息進行統(tǒng)一關(guān)聯(lián)、展現(xiàn)和告警，使得管理人員可以有效地跟蹤資源漏洞生命周期，清楚地掌握全網(wǎng)的安全健康狀況，實現(xiàn)漏洞全生命周期的可視、可控和可管。

智能驗證漏洞：經(jīng)過智能分析后通過引擎掃描可能存在漏洞的資產(chǎn)，確認漏洞是否存在。

準確關(guān)聯(lián)資產(chǎn)：獲取最新漏洞后第一時間匹配資產(chǎn)信息，從而找出可能存在漏洞的資產(chǎn)。

漏洞實時預(yù)警：實時推送最新的權(quán)威漏洞機構(gòu)、廠商最新漏洞并進行全網(wǎng)預(yù)警。

（5）日志統(tǒng)一審計與分析

工業(yè)安全管理中心實時將網(wǎng)絡(luò)中不同廠商的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、操作員站、數(shù)據(jù)庫系統(tǒng)、智能采集探針的日志信息，進行統(tǒng)一地收集、處理和關(guān)聯(lián)分析，幫助一線管理人員從海量日志中迅速、精準地識別安全事件，及時對安全事件進行追溯或干預(yù)，滿足國家標準規(guī)范中關(guān)于日志審計的相關(guān)要求。

基于聚類分析的機器學(xué)習(xí)算法，實現(xiàn)海量日志信息的自動泛化和精準識別，采用業(yè)內(nèi)先進的大數(shù)據(jù)計算技術(shù)，實現(xiàn)工業(yè)控制網(wǎng)絡(luò)中不同廠商設(shè)備海量日志信息的高速采集和處理。

（6）安全事件回溯

工業(yè)安全管理中心具備長時間、大容量數(shù)據(jù)存儲能力，能實時捕獲原始數(shù)據(jù)包、數(shù)據(jù)流、網(wǎng)絡(luò)會話、應(yīng)用日志等各種統(tǒng)計數(shù)據(jù)并長期保存，提供針對用戶重要網(wǎng)絡(luò)流量的線速分析處理能力。

具備任意時段內(nèi)的海量數(shù)據(jù)進行快速檢索和挖掘的能力，讓用戶可以在復(fù)雜的海量數(shù)據(jù)里，采用數(shù)據(jù)關(guān)聯(lián)，篩選過濾、挖掘分析等手段進行大數(shù)據(jù)分析。系統(tǒng)自帶強大的過濾條件，可最大限度地幫助用戶挖掘問題并提取相關(guān)內(nèi)容，為迅速定位問題發(fā)生原因提供了更全面的分析手段。

（7）安全權(quán)限管理

工業(yè)安全管理中心可以針對不同的人員設(shè)置不同的權(quán)限，分別為超級管理員、系統(tǒng)管理員和日志審計員。超級管理員主要負責(zé)用戶的創(chuàng)建、刪除和功能證書的管理；系統(tǒng)管理員主要負責(zé)平臺的業(yè)務(wù)配置和管理，包括規(guī)則的管理和報警的處理等；日志審計員可對安全日志進行審計。

（8）多樣化報表

工業(yè)安全管理中心基于豐富的安全事件庫對網(wǎng)絡(luò)環(huán)境安全進行全方位多維度的統(tǒng)計分析，對監(jiān)測結(jié)果進行專業(yè)分析，提出建議，幫助用戶全面掌握網(wǎng)絡(luò)安全。工業(yè)安全管理中心的統(tǒng)計分析結(jié)果可靈活選擇定制化報表及月報表，自主選擇關(guān)注點進行重點分析。

（9）高度可靠的自身安全性

工業(yè)安全管理中心本身采用獨立的硬件平臺，數(shù)據(jù)分區(qū)加密，Web站點訪問采用HTTPS方式訪問；產(chǎn)品本身屏蔽關(guān)鍵掃描服務(wù)外的其他服務(wù)端口；產(chǎn)品涉及用戶密碼的地方都加密處理，保證密碼的安全性；產(chǎn)品相關(guān)任務(wù)、日志、數(shù)據(jù)等導(dǎo)出都采用獨立的加密處理；產(chǎn)品升級及證書系統(tǒng)采用高等的數(shù)據(jù)加密處理；提供獨立的產(chǎn)品診斷Consle，保證系統(tǒng)的可維護性。

3 方案優(yōu)勢

（1）工業(yè)安全管理中心設(shè)計采用當前最新的分布式并行技術(shù)，使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、TensorFlow等組件，代表了未來一段時期的技術(shù)和方案的發(fā)展趨勢。系統(tǒng)充分利用目前先進的云計算和海量數(shù)據(jù)處理關(guān)鍵技術(shù)，保證系統(tǒng)技術(shù)的前瞻性和先進性。智能采集探針設(shè)備使用工業(yè)級硬件，可以滿足多種工業(yè)生產(chǎn)現(xiàn)場的部署，在硬件集成度、處理性能方面處于業(yè)界領(lǐng)先水平。

（2）公司在網(wǎng)絡(luò)安全領(lǐng)域深耕十多年，尤其在工控領(lǐng)域積淀了豐富的工業(yè)資產(chǎn)指紋庫、漏洞數(shù)據(jù)庫、研判資源庫、安全知識庫以及人才庫。

（3）工控安全解決方案產(chǎn)品從設(shè)計到產(chǎn)品硬件都是全國產(chǎn)化，并具有自主知識產(chǎn)權(quán)，從而有效避免產(chǎn)品設(shè)計后門，提高產(chǎn)品自身的安全性。

（4）工業(yè)智能采集探針采取IP40級防護和無鉛化標準：不同于傳統(tǒng)的數(shù)據(jù)采集產(chǎn)品，本產(chǎn)品需要部署在工業(yè)現(xiàn)場進行數(shù)據(jù)的采集，而相比于傳統(tǒng)的辦公區(qū)域，某些工業(yè)現(xiàn)場環(huán)境比較惡劣。因此用于工業(yè)現(xiàn)場的數(shù)據(jù)采集設(shè)備需要具備耐高溫、耐低溫、防結(jié)露、防鹽霧、防震、防電磁輻射等工業(yè)級可靠性；另外從生產(chǎn)加工到發(fā)貨的全生命周期都滿足RoHS無鉛化的標準。

（5）工業(yè)安全管理中心采用大數(shù)據(jù)技術(shù)架構(gòu)，打破了傳統(tǒng)的產(chǎn)品堆砌、單點部署的方式，將復(fù)雜多樣的硬件安全產(chǎn)品軟件化、模塊化，采用微服務(wù)發(fā)布的方式進行多種安全功能的支撐，不僅可以打破安全孤島形成更好的安全監(jiān)測能力，還可以降低客戶的安全投入成本。

摘自《自動化博覽》2020年8月刊