傳統(tǒng)護城河似的安全防護方案已無法滿足兩化融合的工控安全防御需求,但是目前業(yè)界很多安全廠商還是采用通過產(chǎn)品重復(fù)堆砌的IT網(wǎng)絡(luò)安全的防護思路進行工控系統(tǒng)的安全防護,通過工業(yè)防火墻、網(wǎng)閘、入侵監(jiān)測等一個個安全孤島進行單點防護,且部分產(chǎn)品串聯(lián)部署,一旦產(chǎn)品或策略出現(xiàn)問題,將影響企業(yè)的正常生產(chǎn),造成非常嚴重的損失。
鑒于此,中新賽克星河工業(yè)互聯(lián)網(wǎng)安全團隊推出基于自研的大數(shù)據(jù)平臺開發(fā)的集資產(chǎn)管理、漏洞掃描、日志審計、安全檢測等多種安全功能于一體的工業(yè)安全管理中心和具有數(shù)據(jù)采集及邊緣計算能力的工業(yè)智能采集探針的工業(yè)互聯(lián)網(wǎng)安全監(jiān)測解決方案。該方案摒棄傳統(tǒng)的通過安全產(chǎn)品重復(fù)堆砌、側(cè)重于信息網(wǎng)絡(luò)安全防護的思路,著重針對影響工業(yè)企業(yè)核心業(yè)務(wù)的OT網(wǎng)絡(luò)安全監(jiān)測,保障核心控制網(wǎng)絡(luò)的安全生產(chǎn),并利用大數(shù)據(jù)技術(shù)將多種安全產(chǎn)品模塊化、軟件化,采用微服務(wù)的方式為企業(yè)提供靈活適配的方案,降低企業(yè)的安全投入成本。
目前該解決方案已在鋼鐵、智能制造、電力等行業(yè)的幾十家工業(yè)企業(yè)落地應(yīng)用,獲得了客戶的一致好評,并且榮獲工信部《2019年工業(yè)互聯(lián)網(wǎng)試點示范項目》榮譽,充分體現(xiàn)了該解決方案的價值與優(yōu)勢。
1 方案概述
本方案在企業(yè)內(nèi)網(wǎng)中OT網(wǎng)絡(luò)各層流量匯聚節(jié)點的交換機旁路部署智能采集探針,通過端口鏡像的方式將采集到智能采集探針,智能采集探針具有邊緣計算能力,可進行流量的預(yù)處理,剔除無效“臟”數(shù)據(jù)并對流量進行深度協(xié)議解析后生成安全日志,上送到安全管理中心。
工業(yè)安全管理中心對探針采集的日志信息進行關(guān)聯(lián)分析,識別工業(yè)企業(yè)的所有資產(chǎn),繪制資產(chǎn)拓撲圖;監(jiān)測工業(yè)現(xiàn)場異常操作、非法外聯(lián),非法接入等安全事件;對資產(chǎn)進行無損漏洞掃描,發(fā)現(xiàn)資產(chǎn)存在的漏洞;安全管理中心內(nèi)置豐富的工控漏洞利用攻擊模型庫、工控木馬病毒庫,進行對工控漏洞利用、工控木馬病毒的監(jiān)測。安全管理中心可與第三方安全設(shè)備對接,進行安全日志的統(tǒng)一分析與審計,并通過高度可視化的界面給企業(yè)管理者提供直觀的全網(wǎng)絡(luò)一體化的安全態(tài)勢詳情。此外,安全管理中心可選擇與省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺對接,一方面為省級平臺提供深入到企業(yè)內(nèi)部的數(shù)據(jù)支撐,解決省級平臺在公網(wǎng)側(cè)獲取的數(shù)據(jù)源過于單一的問題;另一方面,企業(yè)可以從省級平臺獲取最新的漏洞、惡意IP、安全事件等信息,完善企業(yè)的安全監(jiān)測能力;從而實現(xiàn)監(jiān)管側(cè)與企業(yè)側(cè)的數(shù)據(jù)聯(lián)動,協(xié)同防御。其典型網(wǎng)絡(luò)拓撲如圖1所示。
圖1 典型網(wǎng)絡(luò)拓撲圖
2 產(chǎn)品介紹
2.1 工業(yè)智能采集探針
2.1.1 產(chǎn)品概述
中新賽克工業(yè)智能采集探針可分布旁路部署在企業(yè)內(nèi)網(wǎng)中各層流量匯聚節(jié)點的交換機,在不影響正常工業(yè)生產(chǎn)的前提下,實現(xiàn)對所有工業(yè)企業(yè)OT網(wǎng)絡(luò)的實時數(shù)據(jù)采集。智能采集探針具有強大的邊緣計算能力, 可對工業(yè)現(xiàn)場的多源異構(gòu)數(shù)據(jù)進行預(yù)處理,從而剔除“臟”數(shù)據(jù)和無關(guān)數(shù)據(jù)。通過集成強大的工業(yè)協(xié)議分析引擎,智能采集探針采用中新賽克工業(yè)安全描述語言對工業(yè)現(xiàn)場的設(shè)備進行畫像,并將畫像信息傳輸給工業(yè)安全管理中心。
2.1.2 主要功能
(1)工業(yè)協(xié)議深度解析
中新賽克研發(fā)的智能采集探針支持30多種工業(yè)協(xié)議的識別與深度解析,并在進一步拓展中。包括常見的Modbus、Profinet、IEC104、DNP3、S7、BacNet、OPC等。采用基于TCP/UDP端口識別、基于報文負載特征識別、基于關(guān)聯(lián)分析識別以及基于行為特征識別等技術(shù)進行多維度的協(xié)議識別,保障準確性。
(2)元數(shù)據(jù)提取
報文解析并不是網(wǎng)絡(luò)安全設(shè)備處理報文的終點,解析出的數(shù)據(jù)是支撐安全業(yè)務(wù)的大梁,可以說安全業(yè)務(wù)的好壞從根本上取決于報文解析結(jié)果,報文解析的層次越深,提取的特征越多,安全業(yè)務(wù)將會越豐富。智能采集探針支持多種類型的特征提取,為工業(yè)安全管理中心提供數(shù)據(jù)分析的業(yè)務(wù)數(shù)據(jù)支撐,主要支持以下特征的提取:
五元組特征提取;
資產(chǎn)特征提取;
工控漏洞特征提取;
工控木馬病毒特征提取;
行為特征提取。
(3)數(shù)據(jù)加密與壓縮傳輸
智能采集探針在數(shù)據(jù)采集和傳輸?shù)沫h(huán)節(jié)中,通過對處理完提取的全息日志采用國產(chǎn)加密算法的方式進行數(shù)據(jù)的安全防護,防止核心數(shù)據(jù)的泄露。此外,智能采集探針通過提取關(guān)鍵特征生成全息日志的方式進行數(shù)據(jù)的壓縮,降低了業(yè)務(wù)系統(tǒng)的成本。
(4)數(shù)據(jù)統(tǒng)一格式轉(zhuǎn)換
智能采集探針在對數(shù)據(jù)預(yù)處理之后,可以將處理后的數(shù)據(jù)生成統(tǒng)一的日志格式,默認的數(shù)據(jù)格式為TLV日志格式,但可開啟日志轉(zhuǎn)換功能,生成MQTT、Syslog等日志格式,從而可以很好地與第三采方平臺對接,比如私有云等。
2.2 工業(yè)安全管理中心
2.2.1 產(chǎn)品概述
中新賽克工業(yè)安全管理中心通過處理工業(yè)現(xiàn)場萃取的各類數(shù)據(jù),識別工業(yè)企業(yè)的所有資產(chǎn),繪制資產(chǎn)拓撲圖;監(jiān)測工業(yè)現(xiàn)場異常操作、非法外聯(lián),非法接入等安全事件;對工控資產(chǎn)進行無損漏洞掃描,發(fā)現(xiàn)資產(chǎn)存在的漏洞;內(nèi)置豐富的工控漏洞利用攻擊模型庫、工控木馬病毒庫,對工控漏洞利用、工控木馬病毒進行監(jiān)測,從而為工業(yè)企業(yè)的安全保駕護航。工業(yè)安全管理中心支持對工業(yè)智能采集探針、工業(yè)防火墻、第三方安全設(shè)備進行集中管理和編排,實現(xiàn)對企業(yè)安全防護產(chǎn)品的統(tǒng)一配置、全面監(jiān)控、實時告警和聯(lián)動處置。此外,安全管理中心可與省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺對接,為省級平臺提供基礎(chǔ)的數(shù)據(jù)支撐。其系統(tǒng)demo首頁如圖2所示。
圖2 工業(yè)安全管理中心系統(tǒng)demo首頁
2.2.2 主要功能
(1)資產(chǎn)發(fā)現(xiàn)與管理
工業(yè)安全管理中心內(nèi)置豐富的資產(chǎn)指紋庫,通過指紋比對等方式可以自動識別網(wǎng)絡(luò)中的資產(chǎn)信息,并可將被監(jiān)測的工業(yè)企業(yè)的網(wǎng)絡(luò)拓撲在頁面上動態(tài)呈現(xiàn)。識別IT層和OT層的資產(chǎn)信息,包括服務(wù)器、路由器、主機等IT層資產(chǎn),上位機、PLC、控制器等工業(yè)現(xiàn)場資產(chǎn)。當管理員對拓撲圖上的設(shè)備屬性進行修改、添加設(shè)備或者刪除設(shè)備,可根據(jù)設(shè)備通信狀態(tài)進行網(wǎng)絡(luò)拓撲圖的動態(tài)更新。
(2)工控網(wǎng)絡(luò)異常監(jiān)測
工業(yè)安全管理中心基于對主流工控網(wǎng)絡(luò)協(xié)議(Modbus/TCP、OPC、S7、IEC10等)的通信數(shù)據(jù)進行采集與深度解析,建立符合現(xiàn)場工藝的業(yè)務(wù)指令流模型,將網(wǎng)絡(luò)合法通信行為加入“通信白名單”及“協(xié)議白名單”中,將當前工控通信行為與白名單進行比對,及時發(fā)現(xiàn)違反業(yè)務(wù)生產(chǎn)秩序的操作行為,并可對“未知通信行為”、“用戶誤操作”、“用戶違規(guī)操作”、“工藝閾值非預(yù)期波動”等異常行為進行監(jiān)測。
工業(yè)安全管理中心內(nèi)置豐富的工控漏洞攻擊特征庫以及工控木馬病毒庫,可以對工控網(wǎng)絡(luò)安全日志進行特征比對,監(jiān)測漏洞攻擊以及木馬病毒事件。
(3)漏洞掃描
工業(yè)安全管理中心內(nèi)置豐富的網(wǎng)絡(luò)安全漏洞和工控安全漏洞庫,并集成先進的漏洞掃描引擎探測企業(yè)網(wǎng)絡(luò)中的IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)的安全漏洞,且針對IT層和OT層的漏洞掃描引擎與策略不同,從而進行有效安全的漏洞監(jiān)測。
漏洞掃描后可以生成全面的漏洞分析報告,清晰地展示了漏洞的危險等級,并提供漏洞修補方案及補丁鏈接等。用戶能夠根據(jù)掃描報告完成漏洞的修補,形成對漏洞全生命周期的掌控。
(4)漏洞管理
工業(yè)安全管理中心通過實時采集最新漏洞信息、內(nèi)網(wǎng)主機掃描結(jié)果、基線掃描結(jié)果、人工滲透測試結(jié)果等漏洞信息,對網(wǎng)內(nèi)資產(chǎn)漏洞信息進行統(tǒng)一關(guān)聯(lián)、展現(xiàn)和告警,使得管理人員可以有效地跟蹤資源漏洞生命周期,清楚地掌握全網(wǎng)的安全健康狀況,實現(xiàn)漏洞全生命周期的可視、可控和可管。
智能驗證漏洞:經(jīng)過智能分析后通過引擎掃描可能存在漏洞的資產(chǎn),確認漏洞是否存在。
準確關(guān)聯(lián)資產(chǎn):獲取最新漏洞后第一時間匹配資產(chǎn)信息,從而找出可能存在漏洞的資產(chǎn)。
漏洞實時預(yù)警:實時推送最新的權(quán)威漏洞機構(gòu)、廠商最新漏洞并進行全網(wǎng)預(yù)警。
(5)日志統(tǒng)一審計與分析
工業(yè)安全管理中心實時將網(wǎng)絡(luò)中不同廠商的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、操作員站、數(shù)據(jù)庫系統(tǒng)、智能采集探針的日志信息,進行統(tǒng)一地收集、處理和關(guān)聯(lián)分析,幫助一線管理人員從海量日志中迅速、精準地識別安全事件,及時對安全事件進行追溯或干預(yù),滿足國家標準規(guī)范中關(guān)于日志審計的相關(guān)要求。
基于聚類分析的機器學(xué)習(xí)算法,實現(xiàn)海量日志信息的自動泛化和精準識別,采用業(yè)內(nèi)先進的大數(shù)據(jù)計算技術(shù),實現(xiàn)工業(yè)控制網(wǎng)絡(luò)中不同廠商設(shè)備海量日志信息的高速采集和處理。
(6)安全事件回溯
工業(yè)安全管理中心具備長時間、大容量數(shù)據(jù)存儲能力,能實時捕獲原始數(shù)據(jù)包、數(shù)據(jù)流、網(wǎng)絡(luò)會話、應(yīng)用日志等各種統(tǒng)計數(shù)據(jù)并長期保存,提供針對用戶重要網(wǎng)絡(luò)流量的線速分析處理能力。
具備任意時段內(nèi)的海量數(shù)據(jù)進行快速檢索和挖掘的能力,讓用戶可以在復(fù)雜的海量數(shù)據(jù)里,采用數(shù)據(jù)關(guān)聯(lián),篩選過濾、挖掘分析等手段進行大數(shù)據(jù)分析。系統(tǒng)自帶強大的過濾條件,可最大限度地幫助用戶挖掘問題并提取相關(guān)內(nèi)容,為迅速定位問題發(fā)生原因提供了更全面的分析手段。
(7)安全權(quán)限管理
工業(yè)安全管理中心可以針對不同的人員設(shè)置不同的權(quán)限,分別為超級管理員、系統(tǒng)管理員和日志審計員。超級管理員主要負責(zé)用戶的創(chuàng)建、刪除和功能證書的管理;系統(tǒng)管理員主要負責(zé)平臺的業(yè)務(wù)配置和管理,包括規(guī)則的管理和報警的處理等;日志審計員可對安全日志進行審計。
(8)多樣化報表
工業(yè)安全管理中心基于豐富的安全事件庫對網(wǎng)絡(luò)環(huán)境安全進行全方位多維度的統(tǒng)計分析,對監(jiān)測結(jié)果進行專業(yè)分析,提出建議,幫助用戶全面掌握網(wǎng)絡(luò)安全。工業(yè)安全管理中心的統(tǒng)計分析結(jié)果可靈活選擇定制化報表及月報表,自主選擇關(guān)注點進行重點分析。
(9)高度可靠的自身安全性
工業(yè)安全管理中心本身采用獨立的硬件平臺,數(shù)據(jù)分區(qū)加密,Web站點訪問采用HTTPS方式訪問;產(chǎn)品本身屏蔽關(guān)鍵掃描服務(wù)外的其他服務(wù)端口;產(chǎn)品涉及用戶密碼的地方都加密處理,保證密碼的安全性;產(chǎn)品相關(guān)任務(wù)、日志、數(shù)據(jù)等導(dǎo)出都采用獨立的加密處理;產(chǎn)品升級及證書系統(tǒng)采用高等的數(shù)據(jù)加密處理;提供獨立的產(chǎn)品診斷Consle,保證系統(tǒng)的可維護性。
3 方案優(yōu)勢
(1)工業(yè)安全管理中心設(shè)計采用當前最新的分布式并行技術(shù),使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、TensorFlow等組件,代表了未來一段時期的技術(shù)和方案的發(fā)展趨勢。系統(tǒng)充分利用目前先進的云計算和海量數(shù)據(jù)處理關(guān)鍵技術(shù),保證系統(tǒng)技術(shù)的前瞻性和先進性。智能采集探針設(shè)備使用工業(yè)級硬件,可以滿足多種工業(yè)生產(chǎn)現(xiàn)場的部署,在硬件集成度、處理性能方面處于業(yè)界領(lǐng)先水平。
(2)公司在網(wǎng)絡(luò)安全領(lǐng)域深耕十多年,尤其在工控領(lǐng)域積淀了豐富的工業(yè)資產(chǎn)指紋庫、漏洞數(shù)據(jù)庫、研判資源庫、安全知識庫以及人才庫。
(3)工控安全解決方案產(chǎn)品從設(shè)計到產(chǎn)品硬件都是全國產(chǎn)化,并具有自主知識產(chǎn)權(quán),從而有效避免產(chǎn)品設(shè)計后門,提高產(chǎn)品自身的安全性。
(4)工業(yè)智能采集探針采取IP40級防護和無鉛化標準:不同于傳統(tǒng)的數(shù)據(jù)采集產(chǎn)品,本產(chǎn)品需要部署在工業(yè)現(xiàn)場進行數(shù)據(jù)的采集,而相比于傳統(tǒng)的辦公區(qū)域,某些工業(yè)現(xiàn)場環(huán)境比較惡劣。因此用于工業(yè)現(xiàn)場的數(shù)據(jù)采集設(shè)備需要具備耐高溫、耐低溫、防結(jié)露、防鹽霧、防震、防電磁輻射等工業(yè)級可靠性;另外從生產(chǎn)加工到發(fā)貨的全生命周期都滿足RoHS無鉛化的標準。
(5)工業(yè)安全管理中心采用大數(shù)據(jù)技術(shù)架構(gòu),打破了傳統(tǒng)的產(chǎn)品堆砌、單點部署的方式,將復(fù)雜多樣的硬件安全產(chǎn)品軟件化、模塊化,采用微服務(wù)發(fā)布的方式進行多種安全功能的支撐,不僅可以打破安全孤島形成更好的安全監(jiān)測能力,還可以降低客戶的安全投入成本。
摘自《自動化博覽》2020年8月刊