《工业互联网产业联盟:工业互联网典型安全解决方案案例汇编(2022)(288页).pdf》由会员分享,可在线阅读,更多相关《工业互联网产业联盟:工业互联网典型安全解决方案案例汇编(2022)(288页).pdf(288页珍藏版)》请在三个皮匠报告上搜索。
1、 工业互联网工业互联网 典型安全解决方案案例汇编典型安全解决方案案例汇编 (2 2022022)工业互联网产业联盟(工业互联网产业联盟(AII)2023 年年 6 月月 声声 明明 本报告所载的材料和信息,包括但不限于文本、图片、数据、观点、建议,不构成法律建议,也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟所有(注明是引自其他方的内容除外),并受法律保护。如需转载,需联系本联盟并获得授权许可。未经授权许可,任何人不得将报告的全部或部分内容以发布、转载、汇编、转让、出售等方式使用,不得将报告的全部或部分内容通过网络方式传播,不得在任何公开场合使用报告内相关描述及相关数据
2、图表。违反上述声明者,本联盟将追究其相关法律责任。工业互联网产业联盟 联系电话: 邮箱: 前前 言言 工业互联网作为新一代信息技术与制造业深度融合的产物,通过对人、机、物的全面互联,构建起全要素、全产业链、全价值链全面 连接的新型生产制造和服务体系,是数字化转型的实现途径,是实现 新旧动能转换的关键力量。自 2018 年以来,工业互联网已连续六年写入工作报告,可见国家层面对工业互联网发展的重视程度。从 2018 年“发展工业互联网平台”首次写入政府工作报告;2019 年政府工作报告明确提出“打造工业互联网平台,拓展智能+,为制造业转型升级赋能”;2020 年提到发展工业
3、互联网,推进智能制造;2021 年提出要发展工业互联网,搭建更多共性技术研发平台,提升中小微企业创新能力和专业化水平;2022 年提出要加快发展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力;2023 年指出支持工业互联网发展,有力促进了制造业数字化智能化。目前,我国工业互联网已步入发展的关键时期。为了促进工业互联网产业安全的发展,2022 年国家相关部门相继出台一系列政策,保障工业互联网行业安全。2022 年5 月,工信部发布工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知(工信厅网安函202297号),涉及分类分级管理、政策标准宣贯、资源池建设
4、、应急演练、人才培训、赛事活动等 6 项内容。2022 年 7月,国家互联网信息办公室公布 数据出境安全评估办法,自 2022 年 9 月 1 日起施行,旨在落实 网络安全法 数据安全法 个人信息保护法的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。2022 年 9 月,工信部印发5G 全连接工厂建设指南。其中,安全方面指出,结合生产安全需求,围绕设备、控制、网络、平台和数据等关键要素,构建多层 牵头编写单位:中国移动通信集团有限公司 参与编写单位:树根互联股份有限公司北京亚鸿世纪科技发展有限公司北京六方云信息
5、技术有限公司中国移动通信集团安徽有限公司中移(苏州)软件技术有限公司浙江木链物联网科技有限公司中国联合网络通信有限公司研究院杭州安恒信息技术股份有限公司北京珞安科技有限责任公司浙能集团浙江鹏信信息科技股份有限公司国网安徽省电力有限公司信息通信分公司格尔软件股份有限公司工业互联网产业联盟公众号 级网络安全防护体系;做好安全应急预案,阶段性开展安全检测评估,提升网络安全监测水平,确保网络运行平稳,提高安全威胁发现、快速处置和应急响应能力。推进企业全面落实工业互联网企业网络安全分类分级管理相关政策与标准,提升设备、控制、网络、平台和数据等安全防护能力;加大网络安全投入,明确责任部门和责任人,建立健全
6、监测预警、数据上报、应急响应、风险评估等安全机制。然而,工业互联网安全仍然面临很多新挑战和问题亟待解决。一 方面,算力网络、5G、边缘计算、区块链、隐私计算、量子计算等新技术与工业互联网技术的融合暴露面持续增大,安全场景更加复杂,为工业互联网安全带来新的挑战;另一方面,工业互联网一直存在的网络攻击、漏洞隐患等共性问题依旧突出。工业互联网安全建设任重而道远。为使广大工业互联网从业者能了解工业互联网安全的发展情况,工业互联网产业联盟安全组启动编写了工业互联网典型安全解决方 案案例汇编(2022),报告汇编了业内优秀的安全解决方案,希望为解决工业互联网安全的新挑战和突出问题提供有益参考,共同促进 工
7、业互联网安全工作的建设。编写组成员(排名不分先后):张峰、柯皓仁、陶耀东、李江力、王雨晨、于乐、马娟、刘晓曼、闫霞、张弘扬、张建新、宋强、王继刚、彭卓、马禹昇、王国宇、徐嘉伟、林琳、张泉、张市礼、文昱博、许正好、周升宝、孙文博、梅婷、吝宁、章亮、易永波、柳兴、贠晓雪、丁元东。VII 目 录 1.工业互联网安全概述.1 1.1 工业互联网安全形势.1 1.2 工业互联网安全挑战.2 2.典型安全解决方案.3 2.1 案例一:装备制造行业一体化安全运营建设案例构建 OT、IT安全能力全面融合的工业互联网安全运营体系.3 2.1.1 方案概述.3 2.1.2 方案实施概况.6 2.1.3 下一步实施
8、计划.14 2.1.4 方案创新点和实施效果.15 2.1.5 单位基本信息.17 2.2 案例二:5G+量子融合安全提升解决方案面向能源领域的工业互联网安全构建.17 2.2.1 方案概述.17 2.2.2 方案实施概况.19 2.2.3 下一步实施计划.23 2.2.4 方案创新点和实施效果.23 2.2.5 单位基本信息.24 2.3 案例三:工业互联网企业安全综合防护系统打造工业互联网企业全流程、全领域的综合安全保障体系.26 2.3.1 方案概述.26 2.3.2 方案实施概况.28 2.3.3 下一步实施计划.37 2.3.4 方案创新点和实施效果.39 2.3.5 单位基本信息.
9、42 2.4 案例四:钢铁行业工控安全纵深防御解决方案基于 IT 和 OT融合技术构建钢铁行业网络安全防御体系.44 2.4.1 方案概述.44 2.4.2 方案实施概况.47 2.4.3 下一步实施计划.57 2.4.4 方案创新点和实施效果.57 2.4.5 单位基本信息.59 2.5 案例五:地铁智慧车站运营管控平台信息安全防护方案为“智慧出行”保驾护航,实现智慧车站安全运营.60 2.5.1 方案概述.60 2.5.2 方案实施概况.62 2.5.3 下一步实施计划.68 2.5.4 方案创新点和实施效果.68 2.5.5 单位基本信息.69 2.6 案例六:智能网联汽车商用密码应用和
10、解决方案车联业务平台安全加固技术方案.70 2.6.1 方案概述.70 2.6.2 方案实施概况.73 2.6.3 下一步实施计划.78 2.6.4 方案创新点和实施效果.79 2.6.5 单位基本信息.83 2.7 案例七:某省电科院新能源工控网络安全实验室建设方案新能 IX 源网络安全多功能演兵场.85 2.7.1 方案概述.85 2.7.2 方案实施概况.89 2.7.3 下一步实施计划.117 2.7.4 方案创新点和实施效果.120 2.7.5 单位基本信息.123 2.8 案例八:某省工业互联网安全综合服务平台打造省、市级工业互联网安全公共服务生态体系.124 2.8.1 方案概述
11、.124 2.8.2 方案实施概况.129 2.8.3 下一步实施计划.168 2.8.4 方案创新点和实施效果.170 2.8.5 单位基本信息.182 2.9 案例九:面向工业互联网领域的集约化安全运营解决方案全面可靠的系统化解决方案.183 2.9.1 方案概述.183 2.9.2 方案实施概况.186 2.9.3 下一步实施计划.197 2.9.4 方案创新点和实施效果.199 2.9.5 单位基本信息.203 2.10 案例十:智能油库工业控制系统网络安全建设护航产业数字化变革,提升智能油库安全能力.204 2.10.1 方案概述.204 2.10.2 方案实施概况.208 2.10
12、.3 下一步实施计划.223 2.10.4 方案创新点和实施效果.248 2.10.5 单位基本信息.253 2.11 案例十一:某火力发电厂工控安全解决方案护航火力发电厂工业控制系统安全.255 2.11.1 方案概述.255 2.11.2 方案实施概况.257 2.11.3 下一步实施计划.262 2.11.4 方案创新点和实施效果.263 2.11.5 单位基本信息.263 2.12 案例十二:工业企业安全纵深防御新范式为能源企业打造平战结合的安全综合能力管控平台.264 2.12.1 方案概述.264 2.12.2 方案实施概况.266 2.12.3 下一步实施计划.272 2.12.
13、4 方案创新点和实施效果.273 2.12.5 单位基本信息.276 3.结束语.278 1 1.1.工业互联网安全概述工业互联网安全概述 1.1 工业互联网安全形势工业互联网安全形势 自 2018 年以来,工业互联网已连续六年写入工作报告,可见国家层面对工业互联网发展的重视程度。从 2018 年“发展工业互联网平台”首次写入政府工作报告;2019 年政府工作报告明确提出“打造工业互联网平台,拓展 智能+,为制造业转型升级赋能”;2020 年提到发展工业互联网,推进智能制造;2021 年提出要发展工业互联网,搭建更多共性技术研发平台,提升中小微企业创新能力和专业化水平;2022 年提出要加快发
14、展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力;2023 年指出支持工业互联网发展,有力促进了制造业数字化智能化。工信部数据显示,2022 年,工业互联网已经全面融入 45 个国民经济大类,具有影响力的工业互联网平台超过 240 家,跨行业跨领域平台达到 28个,“5G+工业互联网”发展已进入快车道,一大批国民经济支柱产业开展创新实践,全国“5G+工业互联网”项目超过 4000 个。近年来,国家持续重视工业互联网安全,并发布多项政策文件,其中:2020 年 3 月,工信部印发关于推动工业互联网加快发展的通知,明确提出要健全安全保障体系,包括建立企业分级安全
15、管理制度、完善安全技术监测体系、健全安全工作机制、加强安全技术产品创新等。2021 年 1 月,工信部发布工业互联网创新行动发展计划(2021-2023年):提出到 2023 年底,工业互联网与安全生产协同推进发展格局基本形成,工业企业本质安全水平显著增强。3 月,信通院和联盟联合产业各方发起“领航”计划,明确从 6 个重点方向推进工业互联网安全发展。6 月,2 中华人民共和国数据安全法 审议通过,明确了采用数据分类分级保护制度对数据进行安全保护,有助于工业企业对重要数据的安全防护有的放矢,消除工业企业用户对数据安全的顾虑。7 月工信部等十部门联合印发 5G 应用“扬帆”行动计划(2021-2
16、023 年),明确重点推进 5G 在工业互联网等领域的深度应用。8 月,国务院总理李克强签署国务院令,公布关键信息基础设施安全保护条例,明确关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。2022 年 5 月,工信部发布工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知(工信厅网安函202297 号),涉及分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等 6 项内容。2022 年 7 月,国家互联网信息办公室公布 数据出境安全评估办法,自 2022 年 9 月 1 日起施行,旨在落实网络安全法数据安全法个人信息保护法的规定,规范数据出境活动,保护个
17、人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。2022 年 9 月,工信部印发5G 全连接工厂建设指南。其中,安全方面指出,结合生产安全需求,围绕设备、控制、网络、平台和数据等关键要素,构建多层级网络安全防护体系;做好安全应急预案,阶段性开展安全检测评估,提升网络安全监测水平,确保网络运行平稳,提高安全威胁发现、快速处置和应急响应能力。推进企业全面落实工业互联网企业网络安全分类分级管理相关政策与标准,提升设备、控制、网络、平台和数据等安全防护能力;加大网络安全投入,明确责任部门和责任人,建立健全监测预警、数据上报、应急响应、风险评估等安全机
18、制。1.2 工业互联网安全挑战工业互联网安全挑战 据国家工信安全中心统计,2022年公开披露的工业互联网安全事件 312起,从行业分布来看,覆盖十几个工业细分领域,制造、能源领域成为网 3 络攻击重点目标。从攻击方式看,包括恶意软件、DDoS 攻击、网络钓鱼等。从攻击趋势看,表现为目标多元化、手段复杂化、影响扩大化。(1 1)勒索攻击持续威胁勒索攻击持续威胁 2022年,公开披露的工业互联网勒索事件共89起,较2021年增长78%,再创新高。制造业成为勒索攻击主要目标,勒索攻击手段方法更加复杂化,勒索攻击导致经济损失创新高。(2 2)工业数据泄露事件影响进一步扩大工业数据泄露事件影响进一步扩大
19、 受研发设计、生产制造等工业数据高价值驱动,相关行业数据泄露风险攀升。Version 2022 年数据泄露调查报告显示,2022 年制造业数据泄露事件共 338 起,比 2021 年增长 25.2%。(3 3)供应链攻击加剧工业互联网安全威胁供应链攻击加剧工业互联网安全威胁 随着工业互联网的不断发展,创痛制造业供应链由单一链条上企业的单线链接转向网络化、多层次的全方位链接,显著扩大了供应链攻击威胁。(4 4)地缘政治冲突推动安全风险升级地缘政治冲突推动安全风险升级 俄乌冲突升级推动大规模、有组织的黑客攻击事件频发,工业互联网威胁格局发生重大变化,针对国防工业领域的 APT 攻击活动肆虐全球。2
20、.2.典型安全解决方案典型安全解决方案 2.12.1 案例一案例一:装备制造行业一体化安全运营建设案例装备制造行业一体化安全运营建设案例构建构建 OTOT、ITIT 安全能力全面融合的工业互联网安全运营体系安全能力全面融合的工业互联网安全运营体系 2.1.1 方案概述方案概述 本方案通过建设一套自研可控可扩展的安全运营平台,实现在线化全生命周期的安全管理,助力用户全面安全能力的价值交付。结合方案案例用户前期安全设备及安全系统建设成果,以“安全三同步”原则帮助用户逐步 4 补齐基础安全工具能力的不足、完善安全系统交融互通,打破信息系统及安全设备的数据屏障,汇总全面安全数据,将安全运营能力覆盖 O
21、T、IT 存量操作系统、中间件、数据库、网络设备、安全系统及控制设备等,同时支持未来增量系统的全面运营。构建四大类信息安全运营工作,实现漏洞、基线、事件及风险业务的运营管理闭环。1.方案背景方案背景 装备制造企业发展普遍具有分散性及阶跃性,依据业务经营的市场需求及业务战略的规划方向,企业会分时期在不同地理区域独立建设生产不同产品类别的生产园区,企业充分考虑原材料、运输能力、技术人才的平衡,用以服务不同下游行业的业务需求。不同园区的信息化建设工作普遍独立进行,同时方案建设应用的技术体系也存在一定区别,从而形成各具特色的信息化网络架构与 IT、OT 技术环境。伴随着装备制造企业下属生产园区数量的增
22、多,企业业务数字化运营也遇到了前所未有的难题,“数据分散、架构差异、资源浪费、人低效下、决策困难”等用户痛点不仅仅存在于业务层面,也同样阻碍在企业信息安全层面层面。装备制造企业通过工业互联网平台、数据中台、技术中台统一构建一套服务于生产的业务运营体系,一定程度上解决了上述难题。企业应吸取业务运营体系成熟经验,在信息安全方面构建一套 OT、IT 安全能力全面融合的工业互联网安全运营体系,助力装备制造企业信息业务与信息安全能力同步提升。本方案用户为应对不同时期安全风险及迫切程度不同的安全防护需求,遵循“同步规划、同步建设、同步运营、适度安全”的原则,已分批完成了包含 IT 防火墙、OT 防火墙、I
23、T 态势感知、漏洞扫描系统、终端准入、Web应用防火墙等安全系统的建设工作,但对于 OT 侧态势感知能力、工业主机安全,IT 侧服务器主机安全等基础安全设备仍存在建设空白,亟需补齐对应安全防护能力;用户构建网络安全态势感知能力局限于公有云下信息系 5 统流量分析,对于公有云上业务流量的安全事件无法一体化分析,存在业务流量分析不完整的风险,亟需实现对公有云流量也能做到全面的安全态势分析能力;用户当前安全能力建设被动,在多次攻防演练活动中被动防御,需要补充必要的安全诱捕反制能力助力安全运营的高效联动;用户各独立安全系统目前数据割裂情况严重,安全防护能力没有形成合力,不能汇聚海量安全数据挖掘其真正价
24、值,针对安全整改工作流程无法数字化管控,迫切需要建设一套安全运营平台,构建 OT、IT 安全能力全面融合的工业互联网安全运营体系,实现安全分类分级运营,建立自动化安全管理流程,全面提升安全处置能力。2.方案简介方案简介 公司结合自身工业 Know-How 的积累,真正理解工业企业安全需求,整合最优安全能力,全面提高工业用户安全防护和管理水平,进一步优化安全资源利用率,发挥安全资源应用价值,降低用户安全投入总成本,推动构建OT、IT 安全能力全面融合的工业互联网安全运营体系建设进程。本方案建设贯穿用户“工具层”、“系统层”、“平台层”、“运营层”以及“能力层”全面安全能力的融合管理。主要内容如下
25、:工具层工具层:利旧用户已建设的“IT 防火墙、OT 防火墙、IT 态势感知、WEB 应用防护、漏洞扫描”等安全技术成果,为用户补齐包括“IT 服务器安全、OT 态势感知、OT 主机安全、蜜罐”等安全技术能力短板;系统层系统层:实现用户多个公有云上业务系统与云下业务系统安全管理的全面融合,构建风险感知能力,实现安全感知能力全域无死角,并将安全数据汇总至安全运营平台安全大数据分析系统模块;平台层平台层:构建OT、IT安全能力全面融合的工业互联网安全运营平台,包括用于安全大数据分析的安全中台以及用于支撑安全运营管理的安全前台,完成与安全系统及工具的解耦,模块化接入各系统、各设备安全运营所 6 需数
26、据;运营层运营层:建设包含漏洞管理、基线管理、事件管理、风险管理在内的安全运营管理能力,同时打通 OA、飞书、等集团信息系统流程,实现安全系统与业务系统全面融合;能力层能力层:完成系统化纵深安全防御与数字化高效安全运营的融合,由被动防御应对向主动运营反制转变,全面提升企业安全能力。3.方案目标方案目标 方案建设总体目标包括完善基础安全防护能力、覆盖集团全面业务资产、实现安全分类分级运营、建立自动化安全工单管理流程、全面提升安全处置效率等内容,拆解实现运营管理效率提升目标如下:漏洞管理目标漏洞管理目标:实现集团 OT、IT 高危漏洞收集、通知、整改、完成、复检全流程管理,漏洞整改闭环率 100%
27、,紧急漏洞 48 小时内完成响应与整改;基线管理目标基线管理目标:实现集团 OT、IT 相关系统、中间件、数据库、设备的安全配置基线检查结果收集、通知整改、整改完成、复检管理,基线覆盖率达到 95%;事件管理目标事件管理目标:实现集团 OT、IT 信息安全攻击事件工单处罚、通知整改、整改完成、工单关闭管理,事件响应时间不超过 8 小时;风险管理目标风险管理目标:实现集团 OT、IT 日常信息安全风险的发现记录、跟踪处置过程,风险覆盖率 100%跟踪。2.1.2 方案实施概况方案实施概况 本方案建设实施主要包括一套一体化安全运营平台,以其为核心进行工具建设、系统建设、运营建设,打破信息设备及安全
28、设备的数据屏障,汇总全面安全数据,实现 OT 侧与 IT 侧、云上与云下全面融合的安全运营管理。7 1.方案总体架构和主要内容方案总体架构和主要内容(1 1)顶层设计架构顶层设计架构 以构建 OT、IT 安全能力全面融合的工业互联网安全运营体系的目标为指导,顶层设计架构涵盖设备层、工具层、平台层、运营层等多个业务层级,其中平台层根据灵活性、松耦合的实际需求,拆解为平台中台与平台前台两部分,从而起到安全运营体系的承上启下作用,如图 1-1 所示。图 1-1 一体化安全运营总体功能架构 设备层包含 OT、IT 信息设备与 OT、IT 安全防护设备两大类,作为基础设施建设,既起到最直接的业务运行及安
29、全防护支撑作用,又向上提供安全及业务分析所需海量数据;工具层利旧用户已建设的 OT、IT 系统脆弱性管理能力,同时建设服务器主机防护能力,实现主机及应用层漏洞及基线工具建设;平台中台层构建安全大数据分析系统,对下连接汇聚 OT、IT 设备安全数据及安全工具系统日志数据,对上支撑前台系统数据高价值应用调度;平台前台层构建涵盖漏洞管理、基线管理、事件管理、风险管理在内的运营交付能力,建立支撑全面安全运营的系统功能组件,对接集团三方业务系统;安全运营层依托上述业务层级能力实现分类分级的自动化安全运营,8 支撑风险及时应对,全面提高安全运营效率。(2 2)公有云上与云公有云上与云下安全态势统一管理下安
30、全态势统一管理 为构建全面覆盖用户业务的安全风险识别能力,解决“信息安全木桶效应”的短板问题,充分考虑集团当前多公有云业务账号各成体系、云安全产品与云下安全体系适配困难、自动处理能力欠缺、生产特征环境差异大”等业务现状,在不改变用户现有网络和业务架构的基础上,实现用户多个公有云上业务系统与云下业务系统安全管理的全面融合,构建风险感知能力,实现安全感知能力全域无死角,并将安全数据汇总至安全运营平台安全大数据分析系统模块,如图 1-2 所示。图 1-2 多公有云与云下安全态势统一管理架构 安全运营平台构建安全大数据分析系统,通过丰富的多源采集接口接NAT防火墙CVM数据库其他云产品安全运营中心(主
31、)VPC防火墙VPC1VPC2日志告警漏洞配置检查处置动作资产互联网防火墙主机安全WEB应用防火墙Internet安全运营中心日志告警漏洞配置检查处置动作资产集团事业部云上账号互通NAT防火墙CVM数据库其他云产品VPC防火墙VPC1VPC2互联网防火墙主机安全WEB应用防火墙Internet态势感知(IDC)多源采集Syslog安全大数据分析API接口NetflowSnmp自动正则分布处理规则解析数据路由分布解析统计分析安全模型智能关联事件管理模型分析云上云下 9 入来自多公有云账号的安全数据以及云下 OT、IT 态势感知安全数据,并依托安全模型进行安全数据的价值提升与智能关联,将云上与云下
32、、OT 与 IT链接为一体,见微知著全面洞悉用户安全风险;云下部分利旧用户已建设的IT 态势感知系统,同时建设针对于工业生产的 OT 态势感知能力,通过数据接口与安全运营平台进行数据交互,实现动态闭环;云上部分依托公有云原生安全能力,通过云厂商支撑网络及数据接口平台研发打通各账号信息安全壁垒,实现与安全运营平台的数据交互,从而实现云上云下的一体化安全分析。2.网络网络、平台或安全互联架构平台或安全互联架构(1)基础网络安全互联架构基础网络安全互联架构 公司致力于用户数据及信息内容的保护,严格遵循 网络安全法、数据安全法、个人信息保护法等法律法规要求,为保障用户信息安全,针对网络、平台及安全互联
33、架构进行脱敏抽象处理,用户网络安全架构仅做示意展示,如图 1-3 所示。图 1-3 基础网络安全互联架构示意图 用户在全国范围建设涉及包括混凝土机械、挖掘机械、起重机械、筑路 10 机械、桩工机械、风电设备、港口机械、石油装备、煤炭装备、装配式建筑PC 机械等全系列产品的生产园区,并建设覆盖产品研发、设计、生产、销售、售后活动的业务系统。用户利用运营商专线建设骨干广域环网用于构建集团业务网络;各生产园区根据自身业务需要独立构建园区网络,并根据业务特点为工业生产业务独立构建OT生产网络保证网络的分区分域隔离管理;用户公有云上存在大量业务系统,为保障业务的安全稳定性,集团与公有云运营商通过专线进行
34、安全的互联互通。本方案在用户集团安全管理区域部署一体化安全运营平台、攻击诱捕反制蜜罐系统、服务器主机安全防护系统、OT 态势感知系统、OT 工控主机安全系统,同时利旧用户原有 IT 防火墙、OT 防火墙、IT 态势感知、漏洞扫描、云原生安全等能力,共同构建 OT、IT 安全能力全面融合的工业互联网安全运营体系,各园区网络实现覆盖 OT 生产环境、IT 办公环境的边界防护能力、计算环境防护能力,通过态势感知探针实时洞悉网络安全风险,并在部分园区尝试性部署攻击诱捕反制系统用于变被动防御为主动反制。安全运营平台汇聚包含各园区 OT 生产区域、IT 办公区域、集团办公区域、研发测试区域、公有云业务区域
35、在内的安全信息,形成海量的安全分析数据源,支撑 OT 侧与 IT 侧、云上与云下全面融合的安全运营管理。(2)诱捕反制安全能力架构 本方案选取具有代表性的生产园区、集团部分业务网段、公有云部分业务网段作为攻击诱捕反制安全能力建设试点,希望实现将系统化纵深安全防御与数字化高效安全运营相融合,由被动防御应对向主动运营反制转变,全面提升企业安全能力。架构示意如图 1-4 所示。11 图 1-4 诱捕反制安全能力架构示意图 在集团安全管理区域部署诱捕反制系统模拟出多套仿真沙箱,实现对门户网站、协同办公系统、VPN 系统等面向互联网的业务系统进行模拟,将欺骗防御资产融入到用户集团的真实资产中,吸引攻击者
36、的注意力,保护真实资产;在部分重要园区部署中继节点,在公有云环境中部署伪装代理,模拟和监听非业务端口,实现端口混淆,利用网络中空闲 IP 与真实流量构建具有迷惑性的资产暴露,实现分布式蜜网感知,将内网横向移动、僵木蠕毒行为诱导至沙箱;在互联网、内网等各个区域及各个园区密布诱饵,从而有助于发现、延迟或阻断攻击者的活动,达到增加信息系统安全性的目的。3.具体应用场景和安全应用模式具体应用场景和安全应用模式(1 1)漏洞管理运营漏洞管理运营 漏洞管理运营功能依托安全运营平台对接用户 OA、SSO、CMDB 等三方系统获得统一的流程资产数据输入及权限管理,借助方案建设服务器主机防护及脆弱性扫描管理系统
37、等工具,服务于包括整改责任人、安全管理员、事业部安全专员、事业部业务领导、集团领导在内的相关角色,完成贯穿漏洞管理信息获取、工单生成、漏洞整改、结果验证、工单关闭在内的全流程闭环管理。实现涵盖 OT、IT 系统在内的高效漏洞管理运营。应用示意图如图 1-5 所示。12 图 1-5 漏洞管理运营应用场景示意图(2 2)安全工具自服务模式安全工具自服务模式 本方案以安全能力自服务理念,全面提升安全资源效率,各事业部责任整改人收到安全整改流程督办信息后,根据安全运营平台知识库辅助完成安全整改工作,其后通过安全运营平台可实现针对安全问题复测提交,不借助安全运维人员,以自服务的形式进行安全工具使用申请,
38、平台通过优先级业务逻辑选择,依照相关顺序完成复测检验,进一步优化安全资源利用率,发挥安全资源应用价值。应用示意图如图 1-6 所示。图 1-6 安全工具自服务应用场景示意图(3 3)安全信息统一追溯管理安全信息统一追溯管理 13 一体化安全运营管理平台汇聚安全数据涉及多系统、多区域、多层级、多主体,在安全信息的传递汇聚过程中不可避免的造成数据的可用性降低,信息缺失。为提升安全运营精准性,安全运营平台多维度构建信息来源追溯功能,通过包含设备 IP、时间印记、业务 ID 等信息在内的数据来源识别能力,帮助安全分析层层下钻。应用示意图如图 1-7 所示。图 1-7 安全信息统一追溯管理应用场景示意图
39、 4.安全及可靠性安全及可靠性(1 1)完善的基础防护能力完善的基础防护能力 本方案为构建 OT、IT 安全能力全面融合的工业互联网安全运营体系,对用户网络、业务、安全现状进行充分调研分析,帮助用户形成涵盖“网络、边界、主机、设备、应用”的基础防护能力及风险识别能力。网络方面通过OT、IT 态势感知系统充分识别风险流量,边界方面通过 OT、IT 防火墙进行有效的访问控制管理,主机方面通过 IT 服务器主机防护系统及 OT 工控主机防护系统提供差异化的计算环境保护,设备及应用方面通过脆弱性管理系统保障 OT、IT 设备及系统漏洞可知、可管、可控,并通过安全运营平台构建覆盖用户集团整体的安全运营管
40、理能力。14 (2 2)可靠的安全运营能力可靠的安全运营能力 方案通过安全运营平台打通用户安全流程协同管理,借助 OA、BPM 流程引擎,将安全与业务紧密融合;构建丰富的安全运营指标展示与考核功能,以数字化技术手段将安全数据价值全面提升展示;建立全自动工单闭环管理功能,保障安全运营督办的执行落地,多状态、多分支、多角色共同参与,保障业务安全有效平稳运行。5.其他亮点其他亮点(1 1)龙头企业示范效应龙头企业示范效应 本案例用户作为我国工程机械装备行业龙头企业,其安全防护能力及安全运营能力建设成果对行业具有高度示范作用;同时,用户上下游产业链机构丰富,以点及面,行业影响效果显著。方案用户充分落实
41、企业网络安全主体责任,为产业行业先进引领,完成了高质量的试点示范。(2 2)重点活动成效显著重点活动成效显著 用户作为大型工业生产企业存在资产暴露面大、OT 生产环境复杂、安全运营应急响应难度大等问题,在历年各级主管单位重点活动中演练成绩不佳。用户依托本方案安全运营体系建设,形成了 OT、IT 安全能力全面融合的工业互联网安全运营体系,于 2022 年度在其所在省份网络攻防演习获得第二名的优异成绩。2.1.3 下一步实施计划下一步实施计划 1.1.运营平台能力提升运营平台能力提升 遵循安全能力“同步规划、同步建设、同步使用”的原则,本期方案功能规划预留了充分的能力提升空间。下一步计划将安全运营
42、平台进行持续能力提升,当前安全处置仍需人工审核,在进一步积累安全场景、安全处置剧本、安全响应标准动作的帮助下,逐步完善运营平台 SOAR 的能力,充分结合业务分类分级管理运营,将可控低影响的安全事件,逐步依托安全剧本 15 自动化处置,进一步提升安全处置效率,将安全运营人力进一步释放。2 2.保护范围持续完善保护范围持续完善 根据用户业务的不断发展,以及业务系统应用技术的不断演进,用户容器部署的业务系统日渐增多,业务功能微服务化趋势明显。下一步计划在安全功能持续完善方面帮助用户将容器内的风险识别、安全保护、安全检测、安全响应融入整体安全运营平台体系,保障安全防护与业务系统同步发展、敏捷支撑。3
43、 3.解决方案行业推广解决方案行业推广 伴随着本方案标杆案例的持续运营完善,业务安全处置模型的不断积累,安全运营功能的实用落地,安全指标维度的丰富积累。下一步计划发挥龙头企业标杆案例示范影响效力,在装备制造行业及上下游产业行业中进行构建 OT、IT 安全能力全面融合的工业互联网安全运营体系解决方案的持续推广,助力工业互联网安全产业不断发展。2.1.4 方案创新点和实施效果方案创新点和实施效果 1.1.方案先进性及创新点方案先进性及创新点 本方案打破当前普遍存在的用户适应安全厂商固定安全运营产品的现状,高度重视用户业务需求,以自研可控、代码级交付的理念为用户按需交付安全运营能力,方案统筹考虑 O
44、T 生产环境及 IT 办公环境的安全运营覆盖建设,创新性实践公有云安全风险与云下传统安全态势感知的统一运营管理,方案完成系统化纵深安全防御与数字化高效安全运营融合,由被动防御应对向主动运营反制转变,全面提升企业安全能力。部分先进创新内容如下:(1 1)覆盖全覆盖全、体量大体量大 本方案覆盖生产园区 OT、IT 系统涉及全国十余个省市,涉及工业生产品类达数十种、服务器主机安全运营体量达万级、OT 工业主机安全防护近 16 千套、OT 态势感知探针建设近百(2 2)品类多品类多、全融合全融合 本方案涉及安全信息来源广泛,存在大量 IT 系统及 OT 系统,包含多个公有云环境、集团IDC机房、集团研
45、发测试区域、多省事生产办公区域 2 2.实施效果实施效果 通过本方案的实施,为用户实现了集团-园区、云上-云下的全面安全运营及安全防护能力提升,具体表现在运营效果、防护效果以及反制效果三个方面:(1 1)运营效果运营效果 本方案通过一体化安全运营体系的构建,帮助用户打破安全数据交互壁垒,统筹安全能力,从而形成安全防护合力。建设以漏洞管理、基线管理、事件管理、风险管理为功能模块的安全运营前台,通过安全运营中台汇聚海量安全数据,挖掘数据真正价值,全面提高安全处置效率,提升安全岗位人效,赋能集团人员安全意识提升。促使用户集团信息安全处置效率提升 87%、安全数据可视化利用率达到 90%、安全资产管理
46、率达到 99%。(2 2)防护效果防护效果 本方案为支撑能够建设 OT、IT 安全能力全面融合的工业互联网安全运营体系,利旧用户原有 IT 防火墙、OT 防火墙、IT 态势感知、漏洞扫描、云原生安全等能力的同时,新增建设 IT 服务器主机安全防护系统、OT 态势感知系统、OT 工控主机安全系统,攻击诱捕反制蜜罐系统。全面提升用户涉及“网络、边界、主机、设备、应用”的基础防护能力及风险识别能力。(3 3)反制效果反制效果 本方案选取具有代表性的生产园区、集团部分业务网段、公有云部分业务网段作为攻击诱捕反制安全能力建设试点,实现系统化纵深安全防御与数字化高效安全运营融合,由被动防御应对向主动运营反
47、制转变,全面提升 17 企业安全能力。2022 年度用户在其所在省份网络攻防演习中,借助诱捕反制得分获得优异成绩。2.1.5 单单位基本信息位基本信息 树根互联股份有限公司将新一代信息技术与制造业深度融合,开发了以自主可控的工业互联网操作系统为核心的工业互联网平台根云平台。公司提供的工业互联网解决方案主要包括智能制造 IIoT 解决方案、产品智能化 IIoT 解决方案、产业链 IIoT 解决方案,赋能工业企业的智能生产管理、产品与服务的创新以及产业链协同,提供低成本、低门槛、高效率、高可靠的工业互联网数字化转型服务。公司是工信部遴选的第一批国家级跨行业跨领域工业互联网平台企业,并连续四年入选;
48、2019 年根云平台成为了公安部信息系统安全等级保护(2.0)发布后首批通过三级测评的工业互联网平台;2021 年,公司收到国务院发展研究中心的致谢信:公司提供的“工程机械大数据挖掘机指数”为国务院发展研究中心相关工作提供了数据支撑,并对有关政策制定和实际工作发挥了积极作用。根云平台于2019 年、2020 年、2021 年连续三年入选权威机构 Gartner 全球工业互联网魔力象限,系唯一入选的中国工业互联网平台;在 IDC 发布的2021 年中国工业互联网平台市场厂商评估 结果中,公司位于领导者象限,技术力位居中国第一;在福布斯中国 2021 年度中国十大工业互联网企业 排名中,公司位列第
49、一;公司于 2021 年取得 CMMI 最高等级 5 级认证。2.22.2 案例二案例二:5G+5G+量子融合安全提升解决方案量子融合安全提升解决方案面向能源领域的面向能源领域的工业互联网安全构建工业互联网安全构建 2.2.1 方案概述方案概述 电力行业是我国重要的工业领域之一,发展工业互联网是电力行业数字化转型的必然过程,根据工信部印发的工业互联网创新发展行动计划 18 (2021-2023 年)的相关内容要求,电力行业将进一步加快工业互联网创新发展步伐,持续推动工业数字化转型。安徽移动面向国网电力安徽公司虚拟电厂、配网保护等生产控制应用,建立 5G 电力专网,通过 RB 预留、Flexe硬
50、切片、UPF 下沉隔离、网络边界一体融合的安全防护体系等技术实现电力业务网络承载层面数据安全隔离,结合应用层面量子加密系统融入 5G 专网通信体系,打造网业一体的电力网络安全解决方案。1.方案背景方案背景 2020 年,中央政治局就量子科技研究和应用前景举行第二十四次集中学习,并写入国家“十四五规划”。2021 年国家电网公司能源互联网规划要求,要通过建设坚强骨干网架、弹性灵活配电网、平台云网融合等,构建能源互联网安全防御体系,提高“双高”“双峰”背景下电网抗扰动能力和自愈能力,提升信息安全态势感知能力和智能化、动态化网络安全防护水平,实现更高水平的电力安全保障。2022 年,国网“十四五数字
51、化规划”和“十四五”配电数字化建设应用工作方案,提出要探索研究量子加密技术在海量分布式新能源接入、“源网荷储”高效互动、配电网等业务场景的应用。随着以新能源为主体的新型电力系统建设,海量分布式新能源并网接入,源网荷储友好互动,对通信网络的灵活接入、实时性、可靠性和安全性提出了更高要求。2.方案简介方案简介 方案通过 5G 专网+量子加密体系融合,基于 5G 专网技术,结合量子保密通信在 5G 通信通道加密、电力业务数据加密和身份认证、鉴权等方面的关键技术,攻关“5G+量子纵向加密认证技术”和“5G+量子横向加密技术”,提出“5G+量子”方案,建设省级电力量子密钥服务平台,研发首台5G 量子纵向
52、加密认证装置、首个具有精准时间同步功能的 5G 量子横向加密通信终端,将实时更新的量子密钥融入电力二次安防体系,为 5G 承载不同 19 电力业务提供定制化的保密服务,构建新型电力系统坚强护盾。3.方案目标方案目标 以 5G 专网为承载基础,结合 5G 承载电网调控业务的量子密钥应用需求,遵循“统一量子密码服务平台+定制化密码应用”的整体思路,积极贯彻落实国家“十四五”规划量子科技战略,建设具有差异化量子密钥供给能力的量子密服平台,研制涵盖“5G+量子+纵向加密、横向加密”两款 5G 量子密钥应用产品,通过将随机性更强、更新频率更高的量子密钥引入 5G 通信通道加密和调控业务数据加密环节,提升
53、 5G 承载电网调控类业务的安全水平。2.2.2 方案实施概况方案实施概况 5G 网络引入网络功能虚拟化、网络切片、边缘计算、网络能力开放等关键技术,一定程度上带来了新的安全威胁和风险,对数据保护、安全防护和运营部署等方面提出了更高要求。本方案通过建设5G专网安全防护体系,结合业务应用安全要求特点,将 5G 专网与电力应用加密网络二网融合,建立面向业务的端到端安全防护体系。1.方案总体架构方案总体架构和和主要主要内容内容 基于 5G+AICDE,为安徽电力打造 5G 业务专网,形成网络+业务的的一体化安全解决方案,以 5G 专网安全为基础,设计了面向通道加密、身份认证、数据加密的差异化量子密钥
54、应用策略,设计了首套支持量子随机数、多厂家多制式 QKD 密码源,支持多种量子密码应用策略,支持对外提供统一API 接口的量子密码服务平台,并在国网安徽省电力公司统一部署,满足不同电力业务的差异化量子密钥应用需求。20 图 2-1 安徽移动电力 5G 专网系统架构 2.网络网络、平台平台或安全或安全互联互联架构架构(1 1)打造面向客打造面向客户的网络安全方案户的网络安全方案 围绕 SDN、安全资源池、云安全管理平台 3 大模块,构建云化网络防护能力,安全能力部署在 UPF 近源侧,通过分流减压纵深化检、安全编排云边协同、虚拟资源弹性伸缩多维度安全协同,为企业客户打造专属的安全解决方案,对企业
55、网络进行全流量安全监控,保障园区资产的安全访问与使用。图 2-2 安徽移动电力 5G 专网网络安全系统架构 21 (2 2)融合业务应用提升业务侧安全能力融合业务应用提升业务侧安全能力 通过部署“5G+量子纵向加密认证技术”,使用支持 5G 通信、量子密钥和纵向加密认证功能的 5G 量子纵向加密认证装置,并在分布式新能源群调群控和虚拟电厂两个业务场景开展业务安全部署。通过攻关“5G+量子横向加密技术”,研发具有精准时间同步功能的 5G 量子横向加密通信终端,并在配网保护业务场景落地使用。图 2-3 安徽移动电力 5G 专网应用安全系统架构 3.具体应用具体应用场景场景和安全和安全应用模式应用模
56、式(1 1)面向电力企业主网调控的面向电力企业主网调控的“5G+5G+量子纵向加密量子纵向加密”安全应用安全应用 针对新型电力系统分布式新能源并网、“源网荷”友好互动、虚拟电厂等业务安全接入需求,在主站侧对纵向加密认证装置进行量子化升级,在终端侧部署 5G 量子纵向加密认证装置,基于 5G 专网安全的承载通道,利用量子密码服务平台实时分发和统一调度的量子密钥构建纵向加密隧道,选取典型分布式新能源场站开展业务部署验证,探索 5G+量子加密技术在分布式新能源群调群控和虚拟电厂等主网调控业务中应用的可行性,为安全电网运行提供端到端一体化安全防护能力。22 (2 2)面向电力企业配网调控的面向电力企业
57、配网调控的“5G+5G+量子横向加密量子横向加密”应用应用 针对配网差动保护业务安全提升需求,结合人工智能技术预测配网差动保护业务状态,提出差异化的量子密钥应用策略,通过具备精准时间同步功能的 5G 量子横向加密通信终端,利用量子密码服务平台实时分发和统一调度的量子密钥,构建量子加密隧道,实现对 5G 无线通道的加密,并选取典型的配网保护业务场景开展示范应用,验证面向配网保护业务的 5G 与量子密钥融合技术应用的可行性。4.安全及可靠性安全及可靠性(1 1)面向电力企业的面向电力企业的 5G5G 网络安全网络安全 面向电力企业业务场景,构建集 5G 安全自动化检测、全业务/全通道数据采集监测、
58、云安全自适应防护、AI 智能化分析、安全编排与响应于一体的 5G 网络安全整体防护能力,通过部署防火墙、IPS 及 WAF 3 种安全组件,保障企业设备数据交换间的传输安全。(2 2)面向应用场景的端到端业务安全面向应用场景的端到端业务安全 通过 5G 专网与量子加密技术融合,为电力配网保护、虚拟电厂等电力关键业务运营提供专属的安全防护能力。密码随机:密钥随机性由量子力学原理保证;一次一密:量子密服平台实时更新会话密钥;高频更新:会话密钥的更新频率秒级可配置;深度融合:5G 网络、量子加密与电力业务需求深度融合;冗余备份:支持量子密钥、经典密钥的无缝切换;本方案安全方案经验证可满足新型电力系统
59、背景下主配网调控业务的大带宽、高并发、低延时的差异化安全通信需求。5.其他亮点其他亮点 国内首个电力行业专网安全应用,融合 5G 专网通信技术、量子加密技 23 术,为电力企业对安全性要求较高的生产业务提供端到端安全保障。方案获得第五届“绽放杯”5G 应用征集大赛智慧能源专题赛三等奖(支持新型电力系统的省域 5G 专网及示范应用)、2022 年安徽省“5G+工业互联网”十大创新应用(安徽国网新型城市 5G 智能电网继电保护)。2.2.3 下一步实施计划下一步实施计划 1.主网调控业务场景推广部署主网调控业务场景推广部署 在国网电力安徽公司信义 6 期 10kV 光伏站点开展分布式新能源群调群控
60、应用示范,在蔚来换电站开展虚拟电厂应用示范,进一步验证“5G+量子纵向加密认证”技术,制定全省推广计划,通过 5G 专网二期方案逐步分地市进行全覆盖。2.配网保护业务场景推广部署配网保护业务场景推广部署 一期通过 5G 专网覆盖区域,在合肥城区部分开闭所开展配网保护业务5G+量子加密全场景覆盖测试,验证“5G+量子+横向加密”技术,制定全省推广计划,通过 5G 专网二期方案逐步分地市进行全覆盖。2.2.4 方案创新点和实施效果方案创新点和实施效果 1.方案先进性及创新点方案先进性及创新点(1)方案研发了首台支持电力专用加密算法和国调证书体系的 5G 量子纵向加密认证装置,可实现分布式新能源群调
61、群控业务安全接入调度自动化系统进行远程控制,提升分布式新能源厂站信息无线接入的安全性,解决部分新能源厂站光缆未覆盖、重要信息无线传输不安全的问题。(2)方案研发了首台支持高精度授时技术、电力专用算法的 5G 量子横向加密网关,可接入配网差动保护等典型业务,提升配网保护业务的无线接入安全性,大幅缩短配电网故障隔离时间。(3)方案通过采用的随机性更好、更新频率更高的量子密钥,在 5G 网络基础上构建电力专用量子加密隧道,大幅提升了主配网控制类业务的安 24 全性。2.实施效果实施效果(1 1)助力电力企业助力电力企业 5G5G 承载电网调控业务安全提升承载电网调控业务安全提升 关键技术设备国产化关
62、键技术设备国产化 量子密钥生成设备、调度设备和应用设备均已实现全国产化,推动了量子科技进步和实用化水平,进一步提升了 5G 承载电网调控业务的安全性,保证业务接入、承载、安全及端到端的自主管控。具有良好地社会效益具有良好地社会效益 通过将 5G 通信、量子密码技术、电网调控业务深度融合,构建了一道安全可靠的电力应用网络,有效的解决电力智慧系统的安全和接入的问题,助力电力企业数字化转型,增强供电可靠性。(2 2)形成了可复制形成了可复制、可推广的可推广的“5G+5G+量子量子+调控业务安全提升调控业务安全提升”典型方典型方案案 设计了“5G 专网+应用安全”的整体安全解决方案架构,在 5G 专网
63、基础上,建设量子密码服务平台,支持光纤 QKD、量子随机数、量子卫星密钥源,支持量子密钥的生成、统一管理和灵活调度;在应用侧,针对不同调控业务场景,提出了涵盖“5G+量子+纵向加密”“5G+量子+横向加密”的主配网安全提升整体解决方案,部署 5G+量子加密定制化装置,融入现有安全防护体系,构建量子加密通道实现主配网调控业务安全提升,为“5G+量子”技术在电网调控领域的应用提供了重要参考。2.2.5 单位基本信息单位基本信息 本方案由中国移动通信集团有限公司信息安全管理与运行中心牵头。2011 年 11 月,中国移动通信集团有限公司信息安全管理与运行中心成立(以下简称“信安中心”),具备“管理+
64、生产”双重职能,负责归口信息安全管理与不良信息治理,开展不良信息集中治理与信息安全集中运营。25 2018 年 8 月,集团成立中国移动网络安全领导小组,领导小组办公室设在我中心,负责集团网络安全相关工作统筹和协调。信安中心深入学习贯彻习近平总书记关于网信工作的重要指示精神,以建设网络强国为己任,工作范围覆盖终端安全、网络安全、应用安全、业务安全、内容安全等多领域,形成了全国“一盘棋”的工作格局,相关工作整体能力与水平始终保持行业领先。近年来,信安中心在开展网络安全重保、防范打击电信诈骗、组织网络安全攻防竞赛、开展网络安全研发等方面卓有成效。在工业互联网方面,特别成立了专门的研发中心,开展工业
65、互联网业务及工业互联网安全防护解决方案的研制和推广。中国移动通信集团安徽有限公司作为本次方案联合申报单位,下辖 16个市分公司、64 个县(市)分公司及 1 个全资子公司,拥有各类员工 16700余人。公司以满意服务为宗旨,以创无限通信世界,做信息社会栋梁为使命,全面实施服务与业务领先战略,努力为安徽经济的腾飞服务。中国移动安徽公司自成立以来,运营收入平均增速达 20%,成为区域主导通信运营企业。2002 年上市以来,累计上缴中央和地方税收达 119 亿元。移动通信网络已全面覆盖全省各市、县、乡、村。中国移动安徽公司大力推进行业应用,助推政府和企业信息化建设。公司一直致力于以移动信息化助推当地
66、经济社会发展。企业发展不忘回报,积极开展教育扶贫、捐资助学,支持农村教育、科技和文化事业发展。公司近年的发展得到了社会各界充分肯定,先后获得“全国五一劳动奖状”、“中央企业先进集体”、“全国履行社会责任贡献突出奖”、“全国通信行业用户满意企业”、国家级“诚信维权单位”、“全国优秀外商投资企业”、“全国内部审计先进单位”、“全省外商投资经济效益先进企业、经济效益最好企业”、“全省模范劳动关系和谐企业”等荣誉称号。国网安徽省电力有限公司信息通信分公司于 2010 年 3 月成立,是国网 26 安徽电力的信息通信业务支撑机构,承担信息通信系统的建设与运行维护工作。主要负责安徽省境内一二三四级骨干通信
67、网的运行监视和三四级骨干通信网的调度指挥,承担 500kV 及以上变电站通信系统运维检修和工程建设。负责省公司信息通信机房的建设与运维工作,承担主机、存储及网络设备的日常运维工作,负责省级集中部署业务应用系统的建设和运维工作。承担省公司数据中台建设运营和数据价值挖掘应用等工作。负责网络与信息安全保障工作,承担网络保密检查监测中心、商用密码服务中心日常运营工作。2.32.3 案例三案例三:工业互联网企业安全综合防护系统工业互联网企业安全综合防护系统打打造工业互联造工业互联网企业全流程网企业全流程、全领域的综合安全保障体系全领域的综合安全保障体系 2.3.1 方案概述方案概述 本方案方案应用于国内
68、一家大型化工集团央企,总部位于上海,但是集团和各分厂、厂区遍布全国(18 个省、直辖市),核心需求是实现集团与各分厂的安全风险和威胁实时检测,掌握总体安全态势,支撑安全决策和规划,同时满足工业互联网企业安全分类分级工作的管理需要。1.方案背景方案背景 为深入贯彻落实国务院关于深化“互联网先进制造业”发展工业联网的指导意见(国发 2017 50 号,2022 年 3 月 31 日工网安函【2022】235 号关于征求开展工业互联网安全深度行活动意见建议的函,2022 年 5月 工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知 工信厅网安函【2022】97 号推动在全国范围内深入实施工业
69、互联网企业安全分类分级管理的要求。本方案实施在某大型化工集团企业,厂区和分公司遍布全国,实现企业(包括各分厂)安全风险和威胁检测,掌握总体安全态势,支撑安全决策和 27 规划。通过方案方案实施为化工企业提供分类分级全生命周期安全服务,包括工业互联网企业分类分级综合管理、企业安全防护能力建设、企业态势感知呈现,对接省工业互联网安全监测与态势感知平台,实现 IT 与 OT 的融合分析,提供安全监测和预警通报、威胁溯源、公共安全服务技术手段,实现工业互联网相关企业安全态势可感、可知、可监管,为工业互联网发展保驾护航。2.方案简介方案简介 方案目前已经验收并在企业实际工作中产生了效益,解决企业:(1)
70、各地域设备和系统的数据孤岛问题严重 在分厂与总部、厂区内各设备和系统的安全数据没有统一汇聚和分析,安全数据和分析结果没有打通和共享,各自为战。(2)工控威胁和异常行为检测能力缺失 生产网(OT 域)缺少安全检测手段和能力,生产网络的安全状态不可知。(3)威胁溯源分析无从下手 缺少安全数据关联分析和威胁溯源的技术手段,针对发现的攻击和威胁不能进行行为回溯和威胁画像,以及快速定位和确定所有被攻击资产和影响范围,并对威胁处置进行有效支撑。(4)威胁处置无法聚焦,效率低 集团总部和各厂区每天产生的安全时间数量平均达 10 万多条,安全管理和运营人员完全无法有效分析和处理海量的安全事件和报警。(5)安全
71、态势不可视 集团和各厂区的安全态势做不到可知可控,不清楚安全风险和威胁的当前状态、影响范围和发展趋势,威胁信息也无法共享。(6)不能满足工信部分类分级省企对接合规要求 28 作为三级联网企业,未按照分类分级管理要求与省级安全监管平台对接,也不清楚如何实现对接。通过本方案建设工业互联网企业安全综合防护系统,为该化工行业企业提供工业网络安全综合防护平台能力和与省/市工业互联网安全态势感知平台对接等安全服务,形成了企业安全监测、预警通报、威胁溯源、安全服务能力,实现了工业互联网相关企业安全态势可感、可知、可监管,为工业互联网发展保驾护航。3.方案目标方案目标 本次方案重点方向为搭建工业互联网企业网络
72、安全综合防护平台,围绕工业控制系统安全、工业生产网络与管理网络安全、工业数据安全等,建设工业互联网企业安全综合防护系统,构建包括资产管理、漏洞检测、配置核查、边界防护、入侵检测、态势感知、病毒防范、安全审计、数据保护等的一体化动态综合防御体系,形成工业互联网企业安全综合防护能力,全天候全方位监控关键生产设备及重要业务系统安全状况,及时发现、处置、阻断各类网络安全隐患风险,并支撑溯源取证,为中化总部和 21 个分厂提供安全保障和满足分类分级管理需求。2.3.2 方案实施概况方案实施概况 根据经信委专家评审建议,结合工信部方案的管理要求,方案在 2021年以公开招标的方式完成工业互联网企业网络安全
73、综合防护平台方案的采购工作,目前方案已完成实施并取得很好的应用效果,实现了总部和分厂多源异构全安全数据接入,构建工控网络威胁检测能力和安全事件回溯能力。通过安全告警解决海量安全事件处理失焦问题,同时构建企业全领域态势感知能力,并按照工信部分类分级管理要求,实现了省企对接,满足分类分级合规要求。1.方案总体架构方案总体架构和和主要主要内容内容 29 (1 1)方案总体架构方案总体架构 图 3-1 方案总体架构 平台的建设是整个方案的主要部分,主要包括如下内容:数据采集接入数据采集接入:实现对企业内外部多源异构数据的接入及汇聚,形成统一标准格式化数据。数据处理及分析数据处理及分析:调用数据采集接入
74、层形成的标准化数据进行分析及存储。通过 IT+OT 域研判结果汇聚、研判模型构建、事件智能研判及人工核验,梳理形成工业安全态势感知平台基础资源信息、联网设备及系统资产信息,形成基础信息库,安全技术库、知识库和规则库,为网络侧的安全监测分析提供数据支撑。应用服务展示应用服务展示:企业安全态势感知呈现,深度分析,日志检索,威胁溯源,资产管理,报表及策略管理,形成工业互联网企业安全综合防护能力,全天候全方位监控关键生产设备及重要业务系统安全状况,及时发现、处置、阻断各类网络安全隐患风险,并支撑溯源取证。同时,平台与省级工业互联网平台对接,满足分类分级合规要求及数 30 据共享,形成工业互联网网络安全
75、的完整闭环。(2 2)方案技术方案方案技术方案 资产画像资产画像:通过主动探测、被动探测和静态导入等多种方式,全面探测全域资产,并通过自学习功能,收集业务访问日志,建立资产业务访问关系模型,实现精准的资产画像。图 3-2 资产画像 多源异构数据灵活自动化配置接入多源异构数据灵活自动化配置接入:通过人性化的设计和界面,为安全人员提供便捷的可视化安全策略配置功能,实现多源异构数据的快速灵活接入。图 3-3 多源异构数据自动化配置接入 告警规则配置与运营告警规则配置与运营:依托海量现网安全数据汇聚和专家分析,积累网络安全告警规则并内置到系统,帮助客户快速建立安全能力。提供图形化、31 人性化的规则配
76、置框架,通过时间段、威胁类型、发生频次等多维度,以及归并、去重等逻辑匹配规则的灵活配置,帮助安全运营人员根据实际场景和阶段性关注重点,快速建立安全策略,提升安全运营效率。全流程安全分析全流程安全分析:针对企业遭受的网络攻击进行实时监测,包括:密码暴力破解、拒绝服务攻击、勒索病毒、挖矿木马等。图 3-4 全流程安全分析 安全深度分析安全深度分析:根据企业客户业务需求,以及生产制造等领域的实际使用场景,挑选了 10 种工业协议,实现了这些工业协议的 100 多个字段深度解析,包括精准提取指令码、功能码、错误码等,工业协议的深度解析为工控通信异常,工控行为异常等工业威胁检测提供了基础和有力支撑。图
77、3-5 安全深度分析-攻击路径还原 32 图 3-6 安全深度分析-风险主机画像(2 2)方案主要功能方案主要功能 策略配置策略配置 策略配置包括区域配置、数据来源、范化策略和关联规则等功能模块,其功能是是实现多源异构数据的统一接入,以及安全分析规则配置和运营,为安全告警,深度分析和攻击行为回溯等功能提供支持。数据接入策略数据接入策略 工业互联网企业中可能存在的大量不同类型,不同厂商的设备,例如网络设备,包括交换机、路由器等;安全设备,如堡垒机、防火墙、web应用安全网关、入侵防御系统等;以及工业控制设备和系统等。这些设备和系统,都可以作为数据来源,态感平台通过范化策略模块,将不同的设备的数据
78、进行归一化处理,统一接入到态感平台中。安全告警规则安全告警规则 关联规则模块是安全分析知识库和规则库,通过规则的配置和运营,针对接入的多源异构数据进行多维度关联分析,产生安全告警和深度分析结果。在多源异构数据统一接入的基础之上,态感平台提供灵活、人性化的配置框架,帮忙用户进行规则配置和运营。日志检索日志检索 提供接入的原始数据查询和检索功能。同时,通过对原始数据的统计 33 和分析,向用户展示威胁事件分布,归属区域,攻击趋势,威胁等级,失陷主机等维度的分析结果。深度分析深度分析 基于 ATT&CK 安全分析模型,对威胁事件和攻击行为进行攻击链溯源和取证,如下图所示,通过对各类威胁事件基于攻防视
79、角等多维度归类,依托安全分析模型和各攻击阶段的攻击路径和手法进行关联分析,为用户还原完整的攻击过程和攻击影响范围,并针对攻击者和被攻击者进行行为回溯和画像。告警管理告警管理 平台基于接入的多源异构数据和告警规则产生安全告警,从攻击方向(由外向内,内部横向和由内向外等)以及主机状态等多个维度,向客户展示资产的安全风险和面临的威胁状态,并进行预警。资产管理资产管理 平台的支持下列 3 种资产数据接入方式:一是与客户已有的资产管理平台对接,接入资产数据。二是与第三方资产扫描系统对接,接入资产探测结果。三是手动录入,提供资产录入模板,实现资产数据的一键导入。同时也接入资产的漏洞数据,并针对漏洞,从漏洞
80、类型、危害级别、区域分布等多个维度,将资产与漏洞进行关联分析,对高风险资产向客户进行预警。自动化报表中心自动化报表中心 形成企业安全自动化报表生成,提供安全报告生成和导出功能,为企业安全预警及安全决策支撑提供帮助。企业安全态势感知企业安全态势感知 通过实时安全事件监测,结合威胁情报和丰富的知识库进行分析和研 34 判,帮助企业全面掌握安全状态和发展趋势。态势感知模块从监测对象,攻击方向,威胁类型等维度提供企业安全综合态势、资产态势及威胁事件态势大屏呈现。系统管理系统管理 平台系统存储策略管理,操作日志及登录日志管理,保障系统安全及分权分域管理。2.网络网络、平台平台或安全或安全互联互联架构架构
81、(1 1)系统部署全图示意系统部署全图示意 图 3-7 系统部署全图示意 通过在车间,工厂部署相应安全防护设备,实现对多源异构数据的采集分析,建设化工集团企业工业安全态势感知平台,同时通过企业安全协同联动一体机,实现与省级平台的数据对接及共享,满足分类分级要求。(2 2)网络架构示意网络架构示意 35 Rsyslog/Sftp处理子系统数据存储省企协同子系统主动探测资产网安探针多源日志RsyslogKafka业务子系统浏览器上报数据Nginx服务 图 3-8 系统网络架构示意图 在化工集团车间及工厂部署主动探测及网络安全探针,以及对企业各类系统及日志的数据采集。整体平台构建统一大数据,实现对标
82、准化数据的分析及处理、存储、分析呈现。3.具体应用具体应用场景场景和安全和安全应用模式应用模式(1 1)安全应用场景安全应用场景 方案方案后续对工业互联网企业各行各业均适用。本次方案实用于工业企业的资产整体测绘、安全监测、威胁识别及溯源、态势感知呈现及省企对接服务。(2 2)安全应用模式安全应用模式 方案的建成,极具推广价值,这个方案的安全应用模式,主要体现在以下几个方面发挥效果:能够快速实施部署并达到既定效果,发挥试点区域先行示范的良好作用,为后续向全国工业互联网企业建设积累足够的建设经验,发挥试点区 36 域现行示范的良好作用。解决工业互联网企业痛点需求,如对监管部门要求理解不透彻,对省企
83、接口规范了解不深入,难以满足监管部门的合规要求。针对不同企业提供分类、分级差异化安全解决方案,开拓工业互联网服务客户市场,对分级分类工作提供全面保障,从企业安全全方位支撑工业互联网企业分级分类保障工作,建立实战化常态化安全技术手段,形成支持工业互联网安全发展合力。4.安全及可靠性安全及可靠性 本方案将通过构建工业互联网企业全周期生命安全体系,从工业互联网企业互联网网络底层设计出发,采用多种先进的安全技术手段,为我国工业互联网的安全提供了有效的监测、预警、通报、协助处置能力。该方案的实施,将会为工业互联网领域的发展提供有效的安全保障。具体包括:(1 1)为工业互联网行业健康发展提供有效保护为工业
84、互联网行业健康发展提供有效保护 我国是制造业大国,加快建设和发展工业互联网,推动互联网、大数据、人工智能和实体经济深度融合,发展先进制造业,支持传统产业优化升级,具有重要意义。通过本方案的研发,建设工业互联网安全态势监测与感知技术手段,有效应对网络安全攻击,形成与工业互联网发展相匹配的安全保障能力,为我国深化“互联网+先进制造业”战略的顺利推进和推广保驾护航。(2 2)构建工业互联网安全监管技术体系构建工业互联网安全监管技术体系 工业互联网作是产业互联网新业态,建设企业级工业互联网平台,有利于增强企业安全防护能力,为行业主管部门的安全技术保障提供支撑,为行业主管部门政策制定、安全监管、事中处置
85、、事后溯源提供强有力协同共荣。5.其他亮点其他亮点(1 1)灵活的灵活的接入安全设备接入安全设备 37 方案产品支持丰富的探针类型,包括工控漏扫、工控防火墙、工控网闸、工控入侵检测、工控监测审计、工控主机卫士等,同时支持第三方设备接入,客户可根据实际网络、预算情况选择安全探针进行部署,灵活组合不同类型的探针。(2 2)领先的安全检测能力领先的安全检测能力 支持安全合规检测、异常攻击检测、非法外联检测、设备运行状态检测、内网异常访问检测、非法程序启动检测、APT 攻击检测、恶意加密流量检测等。(3 3)全面的安全分析技术全面的安全分析技术 方案支持汇总各类安全数据,运用关联分析、用户画像、模型分
86、析、威胁情报等安全技术,有效发现各类安全事件与风险隐患,识别漏报及误报行为,提升安全运维工作效率,形成实时监测、动态感知的整体安全分析能力。(4 4)智能的识别工业资产智能的识别工业资产 通过工业资产指纹识别技术,全面发现工业互联网资产,从工业设备、主机、应用、业务等多个维度建立资产库,对网内资产进行实时安全监控,呈现网络安全风险、脆弱性等安全信息,为客户提供强大的资产管理与安全监控手段(5 5)完善的政企联动体系完善的政企联动体系 快速实现省企对接,实现企业安全信息上报和省级平台威胁情报接收,并及时掌握对接效果,构建完善的省企联动、联防联控的安全防御体系。(6 6)多维度安全态势感知多维度安
87、全态势感知 从资产的脆弱性、威胁和攻击等多个视角全面分析工业网络系统安全态势。通过人工智能和大屏可视化技术,直观呈现全网拓扑视图、告警趋势、实时告警等工业安全态势。2.3.3 下一步实施计划下一步实施计划 38 随着 5G+工业互联网的发展,势必带来如下安全问题:网络安全边界模糊 IT 与 OT 技术的融合,从专有硬件设备变成了通用服务器和云;专享组网模式将 UPF 和 MEC 从 CT/IT 信任域下沉到非信任域,业务通过切片进行逻辑隔离;部分用户数据仍会出公网,端到端安全边界防护受限。信令风暴风险 核心网下沉在企业后,信任域发生变化。对 UPF 的 N4 接口以及 BBU进行 N1/N2
88、接口的信令风暴监测,避免对云化核心网形成信令 DDoS 攻击 物联终端接入协议复杂 新型物联网终端接入协议较为复杂,并且面临着代码漏洞,逻辑缺陷。攻击者可利用木马或者 APT 等方式入侵。网络安全风险 网络仍会通过 N6 接口访问互联网,会收到来自互联网的网络安全攻击来自于利用物联终端漏洞的攻击。PLC 工控数据传输安全 PLC 通过 5G 将相关数据回传至管理平台,需要对 PLC 信令数据进行校验,防篡改。因此,后续我们将于接下来解决 5G+工业互联网安全问题,如下图所示:39 图 3-9 5G+工业互联网安全 2.3.4 方案创新点和实施效果方案创新点和实施效果 1.方案先进性及创新点方案
89、先进性及创新点(1 1)方案创新性方案创新性 企业安全能力建设 建设工业互联网完整基础资产库:工业互联网资产是其安全监测和预警的基础。本方案通过备案数据、主动探测、流量分析、特征识别等多种机制,形成覆盖全国各省的工业互联网资产库。构建工业互联网特色安全知识库:构建最全面最权威的工业特征和安全知识库,提升安全管理能力。基于工控专用协议的盲识别与逆向解析技术工控设备深度信息扫描技术:通过工控漏洞互联网深度扫描技术,结合CNVD 工控漏洞库,对目标区域的工控接入互联网设备进行深度扫描,从而实现攻击威胁和风险隐患识别预警,有效提升工业互联网资产发现能力。大数据、云计算、人工智能关联分析技术:关联分析是
90、对暗含攻击行为的安全事件序列建立关联规则。工业互联网网络安全公共服务平台可对网络攻击事件等建立关联。建立多方联动安全管理和预警机制 40 通过建立工信部、省、企业等多方联动监测和预警机制,实现安全威胁数据共享、知识库共享、应急能力共享的全方位联动响应。(2 2)方案先进性方案先进性 贴近实战为目标,服务企业工业互联网安全 通过建设面向工业互联网企业的企业安全综合防护系统及态势感知,打造完整生态,将工业互联网企业、工业设备制造商、安全厂商、工创中心、监管机构联合起来,一同治理工业互联网安全问题。在技术层面重点突破工业互联网安全诊断评估、安全预警、安全加固等相关核心技术。政策优势与整合能力相结合推
91、动工业互联网安全研究 图 3-10 分析研究过程 开展关键技术方案研究 安全规范的落地安全规范的落地:根据工业互联网信息安全分级规范、信息安全要求、安全实施规范和安全测评的规范,结合北京亚鸿世纪科技发展有限公司多年的安全行业经验,形成工业行业安全管理规范知识库进行落地,为工业互联网企业提供技术标准、安全规划、安全咨询服务和安全培训服务。关键技术能力的提升关键技术能力的提升:通过攻防演练与仿真技术、工业互联网资产信息 41 探测技术、工业互联网未知威胁监测技术等技术提升工业互联网企业行业风险预警、安全诊断平台、安全加固的能力。全闭环安全能力覆盖为企业提供“云管边端业”多维安全防护服务 工业互联网
92、进行全过程安全事件监测、事件溯源和处置,是保障工业互联网安全稳定运行的关键。本方案以流量覆盖检测为基础,数据安全能力相结合,从安全事件杀伤链的多个维度,实现安全串并分析能力建设,实现对工业互联网的安全监测、事件的追溯定位,安全问题及风险的封堵处置全流程实现安全事件的闭环管理服务。2.实施效果实施效果 通过方案的实施,解决了工业互联网企业防护手段集中于 IT 域,OT 域检测防护手段缺失的问题;利用未知威胁深度检测分析技术解决了传统安全基于规则,难以防御未知威胁的问题;利用自动化数据清洗及归类模块,解决了企业 IT 设备众多,各自为政的数据孤岛无法产生价值的问题;构建统一数据中心,解决工业互联网
93、企业海量数据研判分析效率低,响应时间长的问题,同时为态势感知呈现提供数据支撑,解决企业安全现状不可见,无法掌握全局安全态势;与省平台对接,满足分类分级等合规要求。具体实施效果数据如下:(1)通过多源异构数据汇聚技术和安全数据关联分析体系,实现 18 个省,21 个工厂,56 类设备,累计汇聚 2 千万条安全数据,实现安全数据的统一汇聚和关联分析,以及各厂区安全威胁实时检测。(2)基于 100+工业协议深度解析能力,通过在指定厂区部署工业安全监测与审计系统,接入和分析生产网的工业协议(S7,MODBUS 等)流量,实现工业协议的深度解析和工控威胁检测能力。在实际运行中,发现:工控异常报文、高危指
94、令执行、非法设备访问等工控威胁合计 1600 余次,帮助企业及时响应和处置生产网威胁,保障生产安全、业务连续性。42 (3)基于大数据分析引擎和安全知识库,对接入的千万级安全数据进行关联分析,还原攻击者的攻击路径和攻击行为,关联出受影响或被控制的主机,帮助客户快速定位攻击源。在实际运行中,发现某主机 7 天内,对内网 47 台主机发起密码暴力破解攻击,达到 14333 次,通过进一步关联分析和攻击溯源,发现该主机遭受到外部攻击者漏洞利用攻击,可能已被控制,企业根据风险预警,对该主机进行了及时处置。(4)帮助企业管理和运营人员,解决海量安全事件问题,基于已积累的 300+条安全告警规则,达到业内
95、领先水平。在系统实际运行中,安全管理和运营人员从每天面对 10 万条安全事件,降维到只需要聚焦处理 1000条左右的安全告警,极大提升了安全管理和处理效率,让真正的安全威胁得到优先、及时和有效处理。(5)从安全告警、资产漏洞、外部攻击、风险外联、横向渗透等多个视角,全面分析和展示企业整体安全状态,同时在实际运行中,通过分权分域管理和灵活的账号配置,各分厂可掌握自己的安全态势,而集团可掌握 21个厂区安全态势。(6)通过工业互联网协同联动一体机,在 10 个工作日内完成省企对接,满足分类分级合规要求。2.3.5 单位基本信息单位基本信息 北京亚鸿世纪科技发展有限公司(简称“亚鸿世纪”)成立于 2
96、012 年,2017 年正式成为任子行网络技术股份有限公司的全资子公司,是一家专注于互联网空间数据治理、网络与信息安全及数据增值解决方案及服务的高科技公司。公司在北京和武汉设有分公司及研发基地中心,能够快速响应客户安全需求。目前研发中心技术人员达到 400 多人,其中 985、211 高校毕业人数达到 80%以上。公司成立以来,协助工信部起草 IDC/ISP 信息安全管理系统技术要求、43 IDC/ISP 信息安全管理系统接口规范、域名信息安全管理系统技术要求及接口规范、数据核验技术要求及接口规范等多项技术规范。公司目前已经承建了工信部全国统一资源协作管理系统、工信部全国域名信息安全管理系统、
97、工信部互联网大数据管理子系统、设备运维子系统、全国 25省通信管理局互联网网络与信息安全综合管理平台、19 省移动 IDC/ISP 信息安全管理系统、17 省联通 IDC/ISP 信息安全管理系统、14 省铁通 IDC/ISP信息安全管理系统、5 省电信 IDC/ISP 信息安全管理系统。在 IDC/ISP 信息安全领域市场综合占有率达 80%以上,在互联网反欺诈安全市场占50%以上。具备丰富的互联网信息安全和网络安全的实战经验以及相关安全能力。围绕围绕 5 5G G+工业互联网安全建设方面工业互联网安全建设方面:国家级国家级 国家工业互联网安全态势感知与风险预警平台:建立国家、省级、企业级联
98、动的工业互联网安全监管体系,实现重点行业、重点对象、重点风险的实时监测、动态感知、及时预警,支撑政府监管、服务企业防护。工业互联网网络安全分类分级管理平台:自主定级、定级审核、现场评测、安全资源池建设,支撑分类分级政策落地。工信部物联网基础安全接入监测平台:物联网资产摸底、宏观监测、整体态势分析。省级省级 工业互联网网络安全省平台:广东、湖南、河南、安徽、湖北、辽宁、贵州、新疆、黑龙江、海南、河北、四川、云南、内蒙、甘肃、上海、西藏、山西等 18 个省级工业互联网安全监测与态势感知平台。工业互联网数据安全省平台:贵州、四川工业互联网数据安全监管平台试点。工业互联网企业工业互联网企业级级 44
99、面向多个行业多个企业的 MEC 安全监测平台、边缘计算敏感数据保护技术系统、多业务场景数据脱敏技术工具、面向工业和通信业的网络及数据安全风险监测发现与预警平台、工业互联网网络安全公共服务平台、工控安全防护系列产品、企业安全服务等。2.42.4 案例四案例四:钢铁行业工控安全纵深防御解决方案钢铁行业工控安全纵深防御解决方案基于基于 ITIT 和和OTOT 融合技术构建钢铁行业网络安全防御体系融合技术构建钢铁行业网络安全防御体系 2.4.1 方案概述方案概述 本方案针对现有信息系统的安全管理中心、计算环境安全、区域边界安全和通信网络安全进行合规的总体框架设计。建立以计算环境安全为基础,以区域边界安
100、全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障框架体系,并通过安全监测预警、安全主动防御、及时安全响应、有效安全恢复的技术手段,将信息系统构建成具备主动防御、多级防护、纵深防控、整体保护能力的安全、可靠信息系统。1.方案背景方案背景 钢铁企业主要生产工艺流程有:焦化、炼铁、炼焦制气、炼钢、钢轧、冷轧薄、动力等;每个工业流程均是由以 PLC+工业 PC+工业通讯网络构成的自动化控制系统。PLC 系统由 PLC 控制柜、通讯柜、端子柜组成。现场来的电缆先接入端子柜,再由端子柜接至 PLC,PLC 与上位机通过工业交换机进行数据交换。不同 PLC 系统与其它 PLC 系统有关的连锁信
101、号通过网络通讯完成数据交换。钢铁厂工业以太网一般采用环网结构,为实时控制网,负责控制器、操作站和工程师站之间过程控制数据实时通讯,网络上所有操作站、数采机和 PLC 都采用以太网接口,网络中远距离传输介质为光缆,本地传输介质为网线(如 PLC 与操作站之间)。生产监控主机利用双网卡结构与管理网互联。钢铁企业的工业控制系统具有多个生产工艺流程混合、控制网 45 络组网复杂,多种通信方式并存、生产控制系统品牌多、新老系统并存,多种高级应用分而自治,使得可以被黑客利用的漏洞大量存在。可见,对于这样的系统网络,不能采用单一的防护策略,需要根据实际情况,从不同角度和层次应用多种策略进行综合防护。随着工业
102、互联网和钢铁行业信息化的推进以及 MES、EMS、APS 等系统的逐步推广应用,原本相互独立的 DCS、PLC、电仪系统、SCADA 等控制子系统需要通过网络与信息系统连接在一起。这些控制子系统负责完成对高炉控制系统、转炉控制系统、燃烧控制系统、炼钢智能控制系统、轧薄带智能控制系统、高精度板厚控制系统的采集、存储、输送等控制任务,一旦受到恶性攻击、病毒感染,就会导致钢铁生产受到严重影响,甚至造成人员伤亡等严重后果。在钢铁行业统一管理集中监控的大趋势下,工业控制系统网络的集成度越来越高,与其他信息网络的互联程度也随之提高。与此同时,未经隔离的网络与主机、误操作、恶意操作、未授权的接入与操作、未授
103、权的程序安装、系统资源滥用与误用、外部接口滥用(usb 口及其他扩展接口)以及新型攻击(APT)也对工业控制系统安全带来极大的威胁。如果工业控制系统不加强主动防护、监测审计、集中监管和预警响应等安全措施的建设,将在系统中留下大量的安全盲点与灰色地带,给各类外部威胁留下可乘之机,不但无法对安全事件做到及时响应处置,还非常容易对生产业务产生严重的影响。2.方案简介方案简介 目前钢铁企业工控系统各个系统之间互联互通密切,随着网络化的逐渐深入,新的场景也带来了新的风险,钢铁企业目前面临不同的生产区域之间为了连接的便利性未做有效的区域划分、工业控制通信协议在设计时通常只强调通信的实时性及可用性对安全性普
104、遍考虑不足、工控上位机大多数处于“裸奔”状态、软件开发阶段缺少安全设计软件存在大量的安全漏洞、46 员工安全意识淡薄等等一系列安全问题。依据网络安全法、“等保 2.0”等现行法规、规范和标准的要求,在安全分区、网络专用、横向隔离、纵向加密、分级综合防护的基础上,通过工控网络“智能白名单”形式,对钢铁厂生产控制大区系统进行自主可控、安全可靠的工控安全整体防护。利用“AI 基因,威胁免疫”安全防护技术构建钢铁厂网络信息安全综合防护架构;完善钢铁厂生产控制大区工控网络信息安全防护体系,符合工控等保 2.0 第三级安全防护要求。3.方案目标方案目标 建立自动化生产系统的安全加固与主动预警的安全防护体系
105、,从网络层、主机层、系统层、应用层和管理制度等多方面进行主动式威胁管理,提高工业控制系统整体安全防护等级,保证钢铁企业工业控制系统的稳定有序运行。(1 1)建设工控网络边界安全防护及终端计算环境安全防护建设工控网络边界安全防护及终端计算环境安全防护 通过技术手段对在工控网络边界部署安全产品,以钢铁生产工艺流程为单位,对安全生产网络进行安全域的划分,坚持“横向分区、纵向分层”的原则构建可信工控系统,防护网络攻击与威胁,保证工业生产系统安全,打造工控安全计算白环境;部署统一运维平台进行工控网络安全工作高效可靠管理,初步建立工控网络安全管理体系,即利用技术手段和管理手段保证企业安全生产。(2 2)建
106、设完善的安全审计措施和未知威胁检测建设完善的安全审计措施和未知威胁检测,完善纵深防御体系完善纵深防御体系 通过旁路监听与智能分析技术,对系统的控制、采集请求、网络行为进行详细的审计,对攻击及时预警。建立事前攻击的提前发现和预防,事中攻击的主动检测、主动防御,事后及时溯源,做到应急响应。同时构建清晰的资产互访拓扑;对攻击场景进行还原,对每个攻击阶段进行回溯分析,通过丰富的可视化技术进行多维呈现。47 (3 3)建设网络安全监测预警与信息通报平台建设网络安全监测预警与信息通报平台 建立针对钢铁行业各工艺段工业互联网安全监测预警、信息通报、应急处置手段,提高威胁信息的共享,对监测发现的安全风险隐患及
107、时通报相关企业;实现工业设备资产感知、工业漏洞感知、工业配置感知、工业协议识别和分析、工业连接和网络行为感知、工业僵木蠕检测、工业攻击链的监测和分析等安全态感知功能,实时识别和预警工业控制网络和工业互联网络的安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。2.4.2 方案实施概况方案实施概况 鉴于当前钢铁行业工控系统安全现状,若要同层级不同区域的纵深防护,需要对工业网络内部通信的各种数据采集协议和控制协议进行深度解析,对工控网络进行区域划分与隔离,对工控主
108、机进行安全加固,对工控网络进行全网安全审计和威胁感知。1.1.方案总体架构方案总体架构和和主要主要内容内容 (1 1)方案总体架构方案总体架构 工控系统安全建设遵循“一个中心,三重防护”的建设原则,在钢铁厂集团数据中心建设工控安全管理平台、工控安全态势平台及工控系统数据灾备中心。该厂均在内部建设独立的工控安全管理平台和工控安全态势感知平台,本部生产基地为数据分析中心,各基地平台将数据上传至本部生产基地工控安全管理平台和工控安全态势感知平台进行审计分析、数据综合分析与展示。数据灾备中心将各厂区重要业务系统的数据集中汇总收集,集中灾备,避免意外造成的数据丢失。48 在集团下各分厂搭建纵深的三重防护
109、体系,以安全服务的形式梳理通信网络,理清网络边界,在网络边界构建访问控制体系,阻断非正常的边界访问,搭建分支管理中心,对计算环境进行综合监管与安全审计,对终端设备进行安全运维,对终端系统进行白名单准入管控。拓扑架构如图 4-1 所示:图 4-1 拓扑架构 在部署防护措施的时候,首先做好网络隔离安全,明确网络边界,基于数字证书等措施进行身份认证和授权管理,基于零信任措施严格执行细粒度的访问控制;其次在生产控制网部署工业监测审计设备记录应用和设备情况,学习通信和数据的特点,结合主机白名单软件建立工控网络安全“白环境”。再次采用堡垒机应对工控网络系统管理员特权以及非法操作等突出安全问题;然后采取综合
110、审计措施,对网络安全事件进行发现和追溯管理;最后基于安全服务,对生产厂全网进行安全加固,逐一终端检查本地安 49 全服务及本地安全策略,排查弱口令,雷同口令,非法外设等,并利用备份机制和并行机制,结合应急响应预案建立快速响应能力。(2 2)方案主要内容方案主要内容 安全域划分安全域划分 厂内各机组按分厂(分线)统一安全监控。按具体情况:其一,L2 网络能够连接成一个网络的情况,可以在 L2 机房(或主电室)配置核心交换机统一与生产网汇聚交换机连通,分期分阶段将网络汇聚到厂内 L2 机房(或主电室)核心交换机。各机组网络用工业防火墙进行隔离,可以根据需要进行连通(或不连通);其二,L2 系统无法
111、进行统一接入的情况,L2 通讯服务器就近接入到生产网的接入交换机,中间用工业防火墙进行隔离。内部安全域划分上,首先,基于三层交换机,按 IP 地址为生产网划分VLAN,并设置子网地址。采用 VLAN 提供的安全机制,可以限制特定用户的访问,甚至锁定网络成员的 MAC 地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。如无法划分 VLAN,可以在工业防火墙启用 NAT功能;其次,配置交换机的(ACL)访问控制策略,通过包过滤技术禁止外部非法用户对内部的访问。同时建议关闭或限制使用交换机、路由器等网络设备的不必要功能、端口、协议和服务。管理网与工控网边界管理网与工控网边界:在管理网与工
112、控网之间均采用工业网闸进行网络隔离。能够阻止不必要的流量进入工控网。仅定义必要的工控应用服务器与管理网的业务服务器允许通信,其他通信都被禁止。最大限度的阻止从管理网络向工控网络入侵行为的传播,同时保证必要的业务系统间的数据共享。满足等保 2.0“安全网络通信”中:保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信的合规要求。各生产子网的边界各生产子网的边界:在网络之间采用工业防火墙进行隔离。阻止生产子 50 网以外的数据包或恶意程序进入生产子网,限制子网内的允许跨网通信的主机数量,除非必要,否则将禁止子网间的通信。同时防止一个子网感染病毒后向其他子网或上层安全域传播的可能。工业防
113、火墙具有工控网络通信协议的深度内容检查功能,能够及时发现功能码错误或指令攻击行为,提供阻断或报警功能。安全管理中心边界安全管理中心边界:安全管理中心因为必须在网络上与被管理设备间路由可达,防火墙应设置端到端的、基于端口的严格访问控制规则,阻止对安全管理中心的非授权访问行为,阻止来自任意网络对安全管理域的不必要流量,保障管理中心自身安全。未知边界管理未知边界管理:由于工控网络的物理边界范围太大,给管理带来非常大的难度,随身 WIFI 设备、无线路由私接、手机热点等都随时可能破坏网络边界的完整性,使得用户在网络边界上的努力和投入化为乌有。在网络核心处部署边界完整性检查产品,快速网络检测、定位与阻断
114、控制破坏网络边界行为,保护边界安全。纵深安全防御纵深安全防御 基于边界访问控制、边界入侵防御等构建纵深安全防御体系。入侵防御是工业控制系统安全防护的重要技术措施。在工业防火墙选择工业入侵防御模块,可以实时监控关键业务系统的关键路径信息,实现安全事件的可发现、可追踪、可审计和阻断。工业入侵防御系统采用协议分析、模式匹配、异常检测等技术,实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。满足等保 2.0“安全网络通信”中:在关键网络节点处检测、防止或限制从外部(或内部)发起的网络攻击行为的合规要求。网络安全预警网络安全预警 通过在网络关键节点处对数据流量做镜像采集,并交由中心节点
115、的分 51 析平台做数据分析的方式进行安全分析与威胁预警。采用“AI 基因,威胁免疫”的防护理念,运用人工智能技术实现对安全威胁的主动防御,能够在攻击产生破坏行为之前及时被发现并响应,避免发生更大的经济损失与社会影响。通过新一代高性能分布式大数据平台,搭载大数据 AI 分析引擎,采用无监督学习算法,以产线内资产为核心构建 AI 模型,全面检测高级威胁和未知威胁。通过聚焦于资产发现和未知威胁检测两大客户痛点,通过高效处理海量数据,自动发现内网资产,构建清晰的资产互访拓扑;通过全流量 AI未知威胁检测,结合全球威胁情报进行威胁溯源;通过精准攻击场景还原,采用攻击链对每个攻击阶段进行回溯分析,并留存
116、攻击取证报文;结合 AI 检测、规则检测进行关联分析,自动评估风险资产,通过丰富的可视化技术进行多维呈现。2 2.网络网络、平台平台或安全或安全互联互联架构架构 (1 1)网络互联架构网络互联架构 钢铁行业是我国基础性产业,是国民经济的支柱产业之一。相当长的一段时间钢铁企业的工业控制系统一直处于“信息孤岛”状态。近年来,随着互联网+、物联网和智能制造技术的发展,钢铁行业积极推进信息化建设,显著提升了钢铁行业的生产能力和管理水平。钢铁行业工控系统不断优化升级,这一发展过程中,工业控制系统的网络安全面临着重大挑战。在全球信息化飞速发展的新形势下,如何确保钢铁行业工控系统的信息安全,一直备受重视。钢
117、铁冶炼是将铁矿石经过一些列工序冶炼成钢并轧制成钢材的过程。为了支撑这一过程,钢厂的工业生产流程还包括了石灰白灰制造,发电,煤的焦化提纯,空气压缩,制氧等一系列能源、辅料以及高价值副产品的生产,52 工业流程主体如图 4-2 所示:图 4-2 工业流程主体(2 2)安全风险安全风险 生产控制大区内部工控系统边界缺乏有效的防护手段 各生产线之间的网络边界未部署针对工业环境的安全产品,某个域中感染病毒或者受到攻击后,威胁有可能蔓延到整个工控网络。生产监控工业主机及服务器中存在安全隐患 工业控制系统中的主机、工控机未安装专门的工控防护软件,工业主机使用了相对主流的 windows 操作系统,为了保证系
118、统的稳定性和兼容性往往难以进行必要的安全性补丁更新,在当前的工控网络架构下,其暴露程度也相对较高,存在被植入病毒和各类间谍软件的风险。根据对工控系统存在的安全风险,得出工控安全建设需求,要以满足未来的等级保护 2.0 工业控制系统安全扩展要求为前提,通过建立多层次的纵深安全防护机制,防止攻击对工控系统造成不良影响,具体建设需求如下:网络攻击防护:根据该钢铁厂的环网特点,采用适当的网络攻击预警、53 发现及防护机制,防止网络入侵,恶意软件扩散等情况的出现。主机安全防护:针对工业主机的特点,采用适当的方案防止恶意软件在工业主机上启动运行。生产控制系统网络内部缺乏完整性管控手段和运维审计措施 在日常
119、的生产运营和维护中,需要第三方运维单位进行设备巡检和检修,为了工作的便捷性,经常将办公用的笔记本及便携设备等接入到生产网络中,由于缺少网络准入技术及安全审计技术,不能对私自接入的设备进行管控,给生产系统带来了很大的安全隐患。在疫情影响下,运维人员还有可能通过远程桌面方式进行运维,缺乏完善的运维审计机制,对运维人员的操作过程没有记录。3 3.具体应用具体应用场景场景和安全和安全应用模式应用模式 (1 1)钢铁行业云数据中心安全防护建设钢铁行业云数据中心安全防护建设 随着互联网的重心逐步向移动互联网转移,各种新技术新业务上线运营,带来海量数据的爆炸式增长,关于客户的隐私数据也日益增加。因此,需要构
120、建整体全面的云计算安全体系,对内实现安全管理,对外实现安全运营。在虚拟机资源池环境中,物理服务器内部存在多个虚拟机,每个虚拟机都承载不同业务系统;同时,同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟网络层直接通信,不再通过外部的物理防火墙,使得原有的物理安全边界在虚拟化环境下发生改变,因此,原有的安全防护机制无法有效应对虚拟化环境的场景,给云数据中心用户业务上云带来了极大的阻碍。该场景拓扑示意图如图 4-3:54 图 4-3 场景拓扑示意图 根据等级保护“一个中心,三重防护”的指导思想,参照信息安全技术 网络安全等级保护基本要求 第三级安全要求中“安全通用要求”与“云计算安全扩展要求
121、”,通过技术手段实现的防护主要包含如下几个层面:安全通信网络:通过部署六方云池实现租户间的隔离。通过部署云池 产品实现不同云租户虚拟网络间的隔离及边界防护与入侵防范,满足等保中安全通信网络的要求;由于云数据中心网络中有一个不可控区域,即用户托管的服务器区。此区域的服务器,最终用户拥有完全控制权限,因此此部分很容易被当成肉鸡,直接绕过边界防火墙访问云服务器。因此通过在托管服务器区边界部署下一代防火墙,实现云计算服务器与网络中其他网络的边界防护与入侵防范等。安全区域边界:通过安全设备及网络设备合理划分安全域:云数据中心 为内部区域,其它为外部区域,通过在核心交换机上部署入侵检测系统(IDS),实现
122、发现访问控制过程中的威胁并及时做好防护策略;通过旁路计算控制节点/去管平台节点EBS计算节点(KEC)PXE节点计算区计算区EPC节点云物理机区云物理机区KS3存储节点EBS控制节点存储区存储区EBS存储节点RDS控制节点RDS计算节点数据库区数据库区光纤交换机HDS存储AZ-TORAZ-TORAZ-TORAZ-TORMG-TORPGW(2台)KGW(2台)SDN网关区网关区2XGW(3台)SDN网关区网关区1联通联通广域网广域网外部防火墙外部防火墙外部负载均衡外部负载均衡内网内网AZ-CO REILOMG云池云池防火墙防火墙+IPS神探探针神探探针神探平台神探平台防火墙防火墙+IPS电信电信
123、堡垒机堡垒机日志审计日志审计安全管理区安全管理区 55 部署神探系统流量探针,采用监听与智能分析技术,对系统的控制、采集请求,数据库存取、系统运维等关键行为进行审计,对攻击及时预警;在内部用户网络边界部署下一代防火墙配合入侵防御模块(IPS),实现内部用户终端到云服务器区的访问控制,对云服务器的安全起到安全保障;在互联网边界,通过部署入侵防御系统(IPS)实现对原有外部边界防火墙的功能互补,抵御来自互联网的攻击,通过部署蜜罐设备及时发现来自互联网的威胁,将威胁攻击诱捕至蜜罐,从而让安全运维人员及早发现黑客的攻击行为与手段,提前做出预判并提升安全防护等级,也为安全防护策略的建议争取宝贵的时间,从
124、而满足等保中安全区域边界的要求。安全计算环境:通过部署六方云池,采用流量引流或镜像的接口,通过 云池平台上包含的各类安全组件来实现防护;通过在云主机安装云主机防护软件,实现对终端主机的防护,满足等保中安全计算环境的相关要求。安全管理中心:以神探系统分析平台作为辅助安全管理中心,实现对网 络流量的统一采集、分析及主要防护设备的统一运维,形成云数据中心的安全运营中心,统一维护日常的信息安全防护,对安全事件的应急处置、攻击行为的发现提供技术支撑。(2 2)热轧工业控制系统安全防护建设热轧工业控制系统安全防护建设 工业控制系统安全防护设计应以构建可持续演进的、能主动发现隐患并支持智能决策的安全防护能力
125、为目标。为实现这一目标,不能单纯依赖技术手段、安全软硬件设施的简单堆叠,而应当采用先进的安全技术、构建全天候的安全运营体系、并落实因地制宜的安全管理制度。其中,安全运营是衔接技术手段和管理制度,并让安全防护能力持续有效的核心。在安全技术、安全运营能力及安全管理制度的落实中,必须考虑到企业 56 工控网络在时延敏感性、工业控制协议、工控网络架构、工业上下位机漏洞等方面的特点并有针对性的提出防护方法,总结得出关键防护原则如下:分分层层分分区区:依据“垂直分层,水平分区”的思想对工业控制系统进行细致的安全区域划分,同时根据不同区域的安全防护需求特点分安全级别的落实安全措施。本体保护本体保护:工业系统
126、中的各个模块均应实现自身的安全。同时,在条件不具备的条件下将各模块本体作为安全防护的单元,应用必要的安全技术、管理手段和应急措施。智能分析智能分析:在构筑安全架构的基础上,通过对 AI 技术实现对网络行为中潜藏异常风险进行挖掘,通过智能化的策略建议提供更高的安全防护水平。集中集中管控管控:对部署的安全防护技术手段应在系统范围内进行集中管控,将孤立的安全能力整合成协同工作的安全防护体系。详细拓扑如图 4-4 所示:图 4-4 拓扑示意图 57 2.4.3 下一步实施计划下一步实施计划 1.计划计划 1 全面提升钢铁厂生产控制大区工控网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要
127、求以及工控安全防护要求。2.计划计划 2 通过初步安全防护实施,整体提升工控安全防护能力,提升整个工控网络实时监测预警能力以及安全运维能力;全面改善业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。3.计划计划 3 实现恶意代码的监测、分析、告警、处置和管理,能够监测恶意代码网络传播和攻击行为,并采用人工智能技术进行关联分析和综合分析,有效解决静态特征码监测方式的弊端,提升全行业动态检测能力。2.4.4 方案创新点和实施效果方案创新点和实施效果 1.方案先进性及创新点方案先进性及创新点(1 1)打造打造 I IT T 与与 O OT T 融合的纵深防御体系融合的纵深防御体系
128、方案设计中通过部署工业审计、智能工业防火墙、全流量未知威胁检测与回溯系统、工业卫士、监管平台产品,打造 IT 和 OT 融合的纵深防御体系。采用 IT 和 OT 数据融合技术、AI 技术、人工智能技术,基于工业大数据全流量持续监测系统中已知威胁和未知威胁。(2 2)全网资产测绘以及工业行为可视化全网资产测绘以及工业行为可视化 实现工控网络资产的可视化管理,动态识别非法接入设备,直观展示工控网络安全威胁,利用丰富的可视化展现经验和技术手段。平台建设完成后将依据工业网络系统实际拓扑提供大量的监视视图。可视化视图将针对不同的展示数据,不仅提供饼状图、柱状图等形式展示对比及分布数据,利用趋势图反映周期
129、性的监测数据,同时采用复杂算法和布局的可视 58 化展示技术创建视网膜图、多维视图反映数据规律,增加用户对数据的可读性。(3 3)极大减少运维工作量极大减少运维工作量 产品采用 AI 模型进行威胁检测,从核心技术上区别于传统安全感知设备,通过安全日志 AI 聚合技术,将一类安全告警形成简洁的安全事件呈现给用户,克服了传统设备告警数量巨大、误报率高的缺点,极大地减少了运维人员的工作量。2.实施效果实施效果 通过一系列的安全防护建设,满足了等级保护制度对工业控制系统安全防护的要求,为客户解决生产控制系统管理难、运维难、资产看不清、资产之间访问关系和访问行为无法掌握等难题。实现网络安全态势从未知到已
130、知实现网络安全态势从未知到已知 通过建立生产控制系统信息安全监管与预警平台,摸清家底,感知网络中的资产信息,实现网络资产可视化。通过摸清家底,了解网络中存在哪些设备、对应的责任人是谁、使用什么操作系统、安装了哪些软件和应用,分别是什么组件、什么版本,分别存在哪些漏洞、已经修补了哪些补丁等等,真正做到底数清、情况明确。实现网络安全防御从被动到主动实现网络安全防御从被动到主动 通过建立钢铁行业生产控制系统监管预警平台,利用安全大数据、态势感知、攻击链模型和算法,结合最新的全球网络安全威胁情报,持续监测,准确及时地发现各种潜在威胁和攻击,并进行通报预警,提前感知攻击者的下一步攻击计划,采取有效处置措
131、施,构建弹性防御体系,以期最大限度上避免、转移、降低信息系统所面临的风险。实现从单一设备防护到协同联动实现从单一设备防护到协同联动 通过建立生产控制系统监管与预警平台,作为联动枢纽,实现网络中所 59 有安全设备的数据汇总分析、数据共享及策略协同,打通终端、边界协同联动,有机整合各种网络安全技术,达到“智能检测”、“智能上报”、“智能响应”,建立一个以威胁情报为驱动,终端安全、边界安全、大数据分析等多层次、纵深智能协同的安全防御体系,有效提升整体网络防护能力。实现网络安全纵深防御防护体系实现网络安全纵深防御防护体系 通过工控系统安全防护要求,对生产控制系统网络安全进行整改加固,在坚持“安全分区
132、、网络专用、横向隔离、纵向认证”的原则,强化边界防护的基础上,加强内部的物理安全、网络安全、操作系统安全、应用安全、数据安全防护以及安全运维管控,构建纵深防线,实现智能制造企业生产控制系统网络安全的纵深防御、综合防护。2.4.5 单位基本信息单位基本信息 北京六方云信息技术有限公司是一家技术领先的“新安全”公司,六方云借助人工智能技术仿生人体免疫机制,针对工业客户和政企客户的安全需求,创造性地提出了“AI 基因、威胁免疫”的“新时代、新安全”安全理念,采用+AI 和 AI+战略,将人工智能技术应用于全系列产品,构建安全威胁免疫系统。在国家新基建战略下,致力于提供关键信息基础设施保护、工业互联网
133、安全的产品和解决方案,拥有保护工业客户和政企客户的“5+1”产品线:工控安全产品线、网络安全产品线、云安全产品线、安全态势感知产品线、人工智能安全产品线及安全服务。六方云董事长任增强表示:工业互联网安全、云安全、人工智能安全是“新安全”,是未来,而未来世界发展的主要推动力来自于技术。六方云坚持以吸引和团结有共同价值观的人才为核心,持续不断地耕耘攻坚,实现“以技术保障技术”,用最先进的技术解决国家与行业在高速发展中的安全问题,保障国家工业互联网战略、云安全战略、以及新基建安全的实现,让万物安全互联。60 2.52.5 案例五案例五:地铁智慧车站运营管控平台地铁智慧车站运营管控平台信息安全防护方案
134、信息安全防护方案为为“智慧出行智慧出行”保驾护航保驾护航,实现智慧车站安全运营实现智慧车站安全运营 2.5.1 方案概述方案概述 中国拥有全球规模最大的高铁和地铁线路网。车站是线路运行中的重要节点,是乘客输送不可缺少的场所。因此,要使轨道交通稳定、安全、高效地运行,对车站进行智慧设计和安全防护至关重要。智慧车站运营管控平台包括车站既有综合监控系统、智能视频分析系统、客流分析预测系统、实时定位系统、站务巡视系统、站务单兵系统、智慧消防系统等,并对车站既有系统进行升级。北京六方云信息技术有限公司依托实际案例,对智慧车站运营管控平台可能面临的安全风险进行研究,并针对性的提出切实落地的地铁智慧车站运营
135、管控平台安全防护方案,在降低网络安全风险隐患的同时,满足网络安全等级保护合规性要求。1.方案背景方案背景 目前地铁站管理依然依靠车站人员进行人工管理,需要耗费大量人力资源,管理效率不高,难以继续提升。另外,对于特殊场景下,依靠既有设施、装备进行应对时,对车站人员各项要求依然较高。因此需在地铁站既有系统上增设智慧车站运营管控平台,包括车站既有综合监控系统、智能视频分析系统、客流分析预测系统、实时定位系统、站务巡视系统、站务单兵系统、智慧消防系统等系统,并对车站既有系统进行升级。主要解决车站站务人员工作过程中的难点、痛点,实现全面提升乘客服务质量,提高车站管理工作效率,同时为运营分公司的安全运营生
136、产提供决策支持。业务系统与轨道交通规章制度相配套,建立一套程序化、网络化、可视化、标准化的智慧车站运营管控平台,保障车站运行安全,提高车站运营效益,提高站务人员工作效率、降低运行成本,实现安全、高效率、低成本的运营目标。61 在智慧车站运营管控平台的建设应用中,信息安全风险随之而来。运管平台以站级 ISCS 为基础,利用物联网、视频智能分析技术,实现车站态势全息感知,将设备状态与报警等自动化数据(生产网)和智能视频、运营管理、设备维保、客运服务等信息化数据(管理网)深度融合,通过大数据、人工智能进行挖掘分析、综合利用。运管平台信息安全风险主要包括管理网的公网通信风险、运管平台服务器及工作站主机
137、安全风险、运管平台与内部ISCS/PIS/CCTV 数据接入风险等。因此针对地铁智慧车站运营管控平台可能存在的信息安全问题进行研究,输出信息安全防护专题方案,在为运营管控平台提供信息安全保障的同时,使运营管控平台信息安全满足政策合规性,达到等保二级防护水平。2.方案简介方案简介 在地铁站既有系统上增设智慧车站运营管控平台并针对性进行网络安全建设,运营管控平台包括车站既有综合监控系统、智能视频分析系统、客流分析预测系统、实时定位系统、站务巡视系统、站务单兵系统、智慧消防系统等系统,并对车站既有系统进行升级,实现全面提升乘客服务质量,提高车站管理工作效率,同时为运营分公司的安全运营生产提供决策支持
138、。运管平台以站级 ISCS 为基础,利用物联网、视频智能分析技术,实现车站态势全息感知,将设备状态与报警等自动化数据(生产网)和智能视频、运营管理、设备维保、客运服务等信息化数据(管理网)深度融合,通过大数据、人工智能进行挖掘分析、综合利用。对智慧车站运营管控平台可能面临的安全风险进行研究,依据“一个中心,三重防护”的安全理念,进行针对性的网络安全建设,在边界安全防护产品防火墙的应用上采用 NAT 技术,增强了网络安全产品与业务系统的黏性,整体网络安全建设完成后,提升了运营管控平台的信息安全防护能力,同时使运营管控平台信息安全满足政策合规性,达到等保二级防护水平。62 3.方案目标方案目标(1
139、)提高车站运营效益,提高站务人员工作效率、降低运行成本,实现安全、高效率、低成本的运营目标;(2)提升运营管控平台的信息安全防护能力,同时使运营管控平台信息安全满足政策合规性,达到等保二级防护水平。2.5.2 方案实施概况方案实施概况 运管平台以站级 ISCS 为基础,利用物联网、视频智能分析技术,实现车站态势全息感知,将设备状态与报警等自动化数据(生产网)和智能视频、运营管理、设备维保、客运服务等信息化数据(管理网)深度融合,通过大数据、人工智能进行挖掘分析、综合利用。本方案针对智慧车站运营管控平台的网络安全建设,主要为提升运营管控平台网络安全防护能力,并达到等保二级防护水平。1.方案总体架
140、构方案总体架构和和主要主要内容内容(1)方案总体架构方案总体架构 根据自动化、信息化数据流向、系统接口情况以及系统功能,将运管平台系统划分为三个安全域:工业互联网接入区域、运管平台核心区域、生产内网接入区域。在不同区域边界部署硬件防火墙,在不同系统之间制定访问控制策略,实现安全域的访问控制和区域隔离;在运营平台核心区域部署入侵检测,对内部网络安全状况进行实时监测;在运管平台服务器、工作站需部署终端防护软件系统,保障终端主机安全运行;在每个智慧车站构建安全管理中心,由统一管理平台、漏洞扫描系统、运维审计与管理系统以及日志审计系统组成,实现集中管理、统一运维、自 63 检自查等功能。总体网络架构如
141、图 5-1 所示:图 5-1 总体网络架构图(2)主要内容主要内容 本方案按照“一个中心、三重防护”的核心思想进行网络安全方案设计及建设,主要应用产品包括防火墙、入侵检测、统一监管平台、漏洞扫描系统、运维审计与管理系统、日志审计系统及工业卫士软件等,具体应用及防护情况如下:安全区域边界安全区域边界 将运管平台系统划分为三个安全域:工业互联网接入区域、运管平台核心区域、生产内网接入区域。在生产内网接入区域至运营平台核心区域,工业互联网接入区域至运营平台核心区域的边界部署硬件防火墙,不同系统之间制定访问控制策略,实现安全域的访问控制和区域隔离。基于数据流进行梳理分析,智慧车站运营管控平台需接入 T
142、IAS 系统,该平台功能上设计为站级 TIAS 系统的上位系统,即通过该平台实现对 TIAS中综合监控部分的设备监控;网络上,该系统需要在本站访问 TIAS 服务器、FEP,并通过 TIAS 环网分别访问主控、备控的 TIAS 实时服务器(机电)、64 FEP,以及实现两个及以上车站的运营管控平台网络互通(仅限于一体机的部分业务虚拟节点),传输内容为常规综合监控监控数据,不含视频流。智能扫地机器人、站务单兵设备、手持移动终端、监控平板(均设置静态 IP)通过无线与车站公网连接,车站公网通过控制中心公网与控制中心 OA 系统的接口实现上述设备与车站 OA 系统的通信。基于业务系统访问需求进行分析
143、,防火墙设备在进行边界防护的同时需要起到网络互联互通作用,增强信息安全设备与业务系统的黏性。增加与TIAS 系统连接的外接口地址(由 TIAS 系统提供),防火墙内部接口地址由运营管控平台提供;通过防火墙路由模式实现内外接口通信,由于 TIAS 网络中无运营管控平台的 IP 网段,所以防火墙还需要做端口映射配置,用来对数据包目的地址进行转换实现多个站之间的平台一体机网络互通。安全通信网络安全通信网络 智慧车站运营管控平台的安全通信网络保障通过入侵检测系统的部署实现,入侵检测通过旁路模式部署,通过交换机镜像流量方式获取数据源进行分析,根据业务需求,入侵检测系统部署在运营平台核心区域。安全计算环境
144、安全计算环境 智慧车站运营管控平台的安全计算环境通过在终端安装工业卫士实现,在运管平台服务器、工作站需部署终端防护软件系统,保障终端主机安全运行。工业卫士软件是六方云基于“白+黑”技术开发的主机防护产品,一款专门解决工业互联网中工业主机日益严重的信息安全问题,同时又完全适应工业互联网环境的一款安全防护产品。能够对工业互联网中的工程师站、操作站、SCADA 服务器、历史服务器、OPC 服务器、接口机等工业主机进行全面的安全防护。本产品采用“白+黑”的防御策略,保证只有经过认证的软件才可以运行,其他病毒、木马、违规软件都被阻止。通过完善相应的加固策略,提升 65 安全级别,实现工控主机从启动、加载
145、、运行等过程全生命周期的安全保障。从而解决工业互联网中日益严重的终端安全问题。同时对 USB 端口等接口进行全面管控,U 盘等未授权设备无法接入终端计算机,有效防范通过 USB接口发起的高级攻击。安全管理中心安全管理中心 智慧车站运营管控平台的安全管理中心由统一监管平台、漏洞扫描系统、运维审计与管理系统以及日志审计系统组成。其中,统一监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一运维。漏洞扫描系统通过定期扫描的形式发现系统中存在的漏洞、问题。运维审计与管理系统对系统的运维操作进行审计和管理,规范运维过程。日志审计系统实现对日志的采集分析,满足等保合规性要求。2.网络网络、平台平台
146、或安全或安全互联互联架构架构(1 1)网络互联架构网络互联架构 智慧车站运营管控平台需接入 TIAS 系统,该平台功能上设计为站级TIAS 系统的上位系统,即通过该平台实现对 TIAS 中综合监控部分的设备监控;网络上,该系统需要在本站访问 TIAS 服务器、FEP,并通过 TIAS 环网分别访问主控、备控的 TIAS 实时服务器(机电)、FEP,以及实现两个车站的运营管控平台网络互通(仅限于一体机的部分业务虚拟节点),传输内容为常规综合监控监控数据。接口界面如图 5-2 所示:66 图 5-2 与 TIAS 系统接口 智慧车站运营管控平台包含了车站既有综合监控系统、智能视频分析系统、客流分析
147、预测系统、实时定位系统、站务巡视系统、站务单兵系统、智慧消防系统等系统。其中,智能扫地机器人、站务单兵系统、车站信息管理系统、移动终端等设备需通过车站公网与 OA 网、施工调度管理系统进行连接。接口界面如图 5-3 所示:图 5-3 与 OA 系统接口 67 (2 2)安全风险安全风险 管理网风险 本系统到公网的出口是在管理网,站务巡检系统手持终端数据等需要通过公网传输。管理网与外部互联网连接,与运管平台产生数据交互,存在互联网边界安全风险。内部系统数据交互风险 运管平台视频分析系统从 CCTV 调取视频,通过 ISCS 监控 BAS 系统部分设备,通过 PIS 系统发布电子乘务信息、电子广告
148、。运管平台承载了自动化、信息化数据,流向比较复杂,存在横向病毒感染和传播风险。综上所述,一旦攻击者通过管理网侵入生产网,传播糯虫病毒或恶意代码,将可能影响运管系统服务器或工作站正常工作,进而影响运管平台核心系统运行,并可能通过 ISCS/BAS 自动化数据流、PIS/CCTV 信息化数据流侵入 ISCS/PIS/CCTV 生产内网,从而影响自控设备运行状态数据采集及指令下发。3.安全及可靠性安全及可靠性(1 1)主动防御主动防御:本方案在方案设计过程中,采用主动防御的安全理念,参考网络攻击步骤(侦查跟踪-武器构建-载荷投递-漏洞利用-安装植入-命令控制-目标达成),将攻击过程划分为事前、事中、
149、事后三重维度并针对性进行网络安全防护建设:(2 2)事前预防事前预防:建立一份健全的资产清单以及管理权限,应用系统漏洞检测、风险评估等技术手段对运营环境的风险特征进行描述整理,针对现有风险点可以预先采取技术加固等措施主动维护关键资产,从而最大程度地降低生命周期安全风险;(3 3)事中检测事中检测/阻断阻断:通过入侵检测/入侵防御、行为基线检查等技术手段对运营环境进行实时的持续监控和检测,为及时察觉正在发生的事 68 件,所应用防火墙等安全产品均具备一定的运营可见性,一旦发现异常事件将第一时间进行告警推送,并能够快速阻断风险事件的进一步扩散传播;(4 4)事后处置事后处置:在管理层面建立应急响应
150、和恢复程序,在技术层面能够针对已经发生的安全事件进行日志留存、攻击取证,进而展开攻击行为分析,从而判断本次安全事件所利用的漏洞及攻击路径,并能够提供专业的处置建议,预防攻击的再次来袭。2.5.3 下一步实施计划下一步实施计划 1.计划计划 1 本期方案建设范围仅覆盖 2 个车站,通过本方案试点建设,后续将持续推广,逐渐覆盖该线路全部车站,建设线路级智慧车站运营管控平台,并按照既有安全方案同步进行网络安全建设。2.计划计划 2 为了更好的为“智慧出行”保驾护航,在智慧车站大范围建设过程中,除基本网络安全建设外,将针对性打造安全运营中心,应用大数据、人工智能等技术实现已知威胁和未知威胁的全面检测,
151、并提高网络安全运维效率,降低运维成本。2.5.4 方案创新点和实施效果方案创新点和实施效果 1.1.方案先进性及创新点方案先进性及创新点 为实现智慧城市轨道交通的发展目标,传统地铁业务场景正在逐渐应用新技术进行既有线路、既有系统以及既有车站的改造升级,例如智慧车站运营管控平台建设、城轨云建设等;随着等级保护 2.0、关基保护条例等相关政策标准的推广覆盖,信息安全问题越发受到重视。依托实际案例,对智慧车站运营管控平台可能面临的安全风险进行研究,并针对性的提出切实落地的地铁智慧车站运营管控平台信息安全方案,在边界防护处增强与业 69 务系统的黏性,可以实现针对智慧车站运营管控平台信息安全建设复制推
152、广以及参考的作用。2 2.实施效果实施效果 全面提升乘客服务质量,提高车站管理工作效率,同时为运营分公司的安全运营生产提供决策支持。建立程序化、网络化、可视化、标准化的智慧车站运营管控平台,保障车站运行安全,提高车站运营效益,提高站务人员工作效率、降低运行成本,实现安全、高效率、低成本的运营目标。通过事前、事中、事后多层次立体防御体系的建立,实现对车站的安全预警和防护,保证车站运营安全,预防遭受网络攻击后带来的经济损失及社会不良影响。便于复制推广:从边界、终端、管理等多维度出发进行网络安全建设,可以实现针对智慧车站运营管控平台安全建设的复制推广。政策合规:为运营管控平台提供信息安全保障的同时,
153、使运营管控平台信息安全满足政策合规性,达到等保二级防护水平。2.5.5 单位基本信息单位基本信息 北京六方云信息技术有限公司是一家技术领先的“新安全”公司,六方云借助人工智能技术仿生人体免疫机制,针对工业客户和政企客户的安全需求,创造性地提出了“AI 基因、威胁免疫”的“新时代、新安全”安全理念,采用+AI 和 AI+战略,将人工智能技术应用于全系列产品,构建安全威胁免疫系统。在国家新基建战略下,致力于提供关键信息基础设施保护、工业互联网安全的产品和解决方案,拥有保护工业客户和政企客户的“5+1”产品线:工控安全产品线、网络安全产品线、云安全产品线、安全态势感知产品线、人工智能安全产品线及安全
154、服务。六方云董事长任增强表示:工业互联网安全、云安全、人工智能安全是“新安全”,是未来,而未来世界发展的主要推动力来自于技术。六方云坚 70 持以吸引和团结有共同价值观的人才为核心,持续不断地耕耘攻坚,实现“以技术保障技术”,用最先进的技术解决国家与行业在高速发展中的安全问题,保障国家工业互联网战略、云安全战略、以及新基建安全的实现,让万物安全互联。2.62.6 案例六案例六:智能网联汽车商用密码应用和解决方案智能网联汽车商用密码应用和解决方案车联业务车联业务平台安全加固技术方案平台安全加固技术方案 2.6.1 方案概述方案概述 为了应对 XXX 车型搭载 V2X 功能后在跨企业的车车、车路等
155、车路协同通信场景中由于网络信任体系缺失引发的信息安全问题,需要建立基于 V2X车路协同通信场景的 V2X 安全证书管理系统,构建统一的车、路、云、端身份认证体系,保障与不同企业的车辆在通信过程中的安全互认。V2X 安全证书认证管理系统(Security Certificate Management System,简称 SCMS)建设,实现 V2X 通信中的身份认证、安全传输、数据完整性、有效性等安全特性,解决当前车与车、车与路边单元、车与云、车与人通信的安全隐患,为智能网联汽车应用发展建立一个安全的网络运行环境。1.方案背景方案背景 在二十大报告中,“安全”一词也被多次提及,在经济领域包括要确
156、保粮食、能源资源、重要产业链供应链安全。车联网安全风险突出、安全威胁严重,安全形势亟待改善,安全防护水平急需提升。主要面临以下几个风险:(1)通常车路端设备常年暴露在户外、野外等情况,车联网的安全更加容易受到安全威胁,轻则造成汽车失窃、个人隐私数据泄露,重则造成汽车失控,危害人员生命安全。71 (2)目前我国 C-V2X 直连通信标准体系已初步形成,制定了一系列适用于 C-V2X 的技术标准,但是在车云、路云场景中仍使用的是传统的 X.509公钥证书体系来实现 V2N 通信安全,这在已不适应在车联网高速直连场景的应用需求。(3)工业互联网信息系统比如车联网服务平台、车联网数据等服务平台大部分部
157、署于云端,还面临着来自云上安全风险的威胁。(4)方案基于密码技术解决了以上几个车联网应用的痛点,并且在车联网应用上率先通过了密评,是工业互联领域国产密码有效应用的、具有示范性的案例。同时方案还具备以下几个特点:工业互联密码服务模式,快速覆盖全车系 工业互联多场景密码应用,车云网一体化安全 工业互联建立跨控制器间加密信道,实现车内通信安全 工业互联构建统一的多算法多协议的密码服务平台 工业互联实现 AUTOSAR 协议国密改造,推动自主可控 工业互联发挥密码特性,应用整车数据安全 2.方案简介方案简介 上汽零束 OTA、TSP、数据工厂、SOA 开发者平台等车联业务平台的安全、可靠、稳定的 运行
158、,需满足密码评定三级和等级保护三级的合规性需求。为了深入推进上海市重要领域密码应用,进一步提升重要网络和信息系统的安全防护能力,依据国家密码管理局 信息安全等级保护商用密码管理办法,上海市密码管理局下 发了信息安全等级保护商用密码技术应用指南(以下简称应用指南)。应用指南提到了,重要网络和信息系统应当采用国产密码进行保护,密码应用系统方案属于安全方案的有机组成部分,选用的商用密码产品应当是国家密码管理局部分准予销售的产品。为了落实和贯彻国家密码管理局和上海密码管理局等国家有关部门信 72 息安全工作要求,全面完善信息安全防护体系,提高整体信息安全防护水平。系统建设需要满足信息系统安全等级保护基
159、本要求(以下简称基本要求),在基本要求中,采用密码技术,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等)为了获得更高的强度,均要基于密码技术,为了保证信息系统整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项,密码技术都可以直接或间接地提供支持。3.方案目标方案目标(1)总体目标 通过部署 V2X 安全证书管理系统,实现:以基于 LTE 的车联网通信技术安全证书管理系统技术要求为标准,建立车-路协同互认的 C-V2X 通信加密保
160、护和安全认证体系,配合推动车联网 C-V2X 产业加速落地,构筑下一代安全、高效的智慧出行生活。(2)功能目标 通过 V2X PKI 信息安全体系的建设,实现对所有参与车-路协同业务实体对象的强身份表达;保障车机设备与路侧设备信息传递的敏捷性、完整性,并实现车和路侧设备的隐私数据不被泄漏。(3)技术目标 搭建 V2X-PKI 认证体系,并能根据需要及时颁发注册证书、假名证书、应用证书、身份证书;能对证书状态进行定期维护和发布;注册证书、假名证书、应用证书、身份证书生命周期管理;路侧单元与车载单元通信前基于 V2X 证书执行强身份认证;73 在保证路侧单元与车载单元通信数据实时传递的同时,实现传
161、输数据的完整性、机密性和可靠性保护,避免中间人攻击;在保证路侧单元与车载单元通信数据实时传递的同时,依托假名证书池技术实现传输数据的隐私性保护,避免被非授权设备定向跟踪。2.6.2 方案实施概况方案实施概况 1.方案总体架构方案总体架构 上汽集团基于传统 PKI 技术和 V2X PKI 技术建设了工业互联网可信体系,涵盖云管端上的可信标识、身份认证、加解密、安全存储和密钥管理等。图 6-1 集团密码服务体系 该架构实现了车载端到车云端软硬件一体化的整体解决方案。红色部分为本次建设的密码服务平台和车端安全芯片提供了基础的密码支撑服务。74 云安全服务平台:基于密码服务平台为车联网应用提供完整的云
162、端系统安全解决方案,全面支撑车联网下的 V2N 车云认证、FOTA 安全、数字钥匙、第三方内容认证等应用安全需求。车载安全子系统(VSS):基于安全芯片(Mizar M 系列)的商用密码计算能力为各类车载控制器(ECU)提供完善的安全子系统功能,支撑车辆控制器的安全管理、软件保护、安全通信 SecOC 等应用安全需求。2.技术路线技术路线(1)密码服务平台密码服务平台 密码服务平台逻辑架构由密码资源池、密码机虚拟层、密码服务层、密码服务接口和平台管系统等构成。图 6-1 密码服务平台(1)通用密码服务功能 通用密码服务基于虚拟密码机,通过标准 API 接口为业务应用加密/解密、签名/验签、杂凑
163、运算、消息鉴别码产生和验证、密钥管理等通用密码 75 服务。(2)典型密码服务功能 安全认证网关服务安全认证网关服务:安全认证网关服务在工业互联环境中,围绕通信 网络传输安全、安全区域边界及应用安全支撑等方面实现基于数字证书的身份认证与访问控制。签名验签服务签名验签服务:签名验签服务具有数据加解密、签名、验签、MAC、杂凑、数字信封、数字证书管理等功能,支持 SM2/SM3/SM4 国密算法。存储加解密服务存储加解密服务:存储加密服务为应用提供本地设备一样访问远端或云端的存储路径,本地应用产生的数据通过安全加密存储网关以密文形式上传到对应存储设备。数据库加解密服务数据库加解密服务:数据库加解密
164、服务提供数据库软件进行整库加密的能力。对于数据库软件提供存储时进行信息加密,读取时进行信息解密的机制。(2)车载安全子系统车载安全子系统 车载安全子系统包含安全管理模块、密码引擎模块、安全配置模块,在基础模块之上支撑了车载应用安全模块。基于车规级安全芯片的国密计算能力,可支持车云认证及车云通道的建立、Secure FOTA、OBD 接口的安全诊断、车内安全通信 SecOC、车控指令的加密传输、车辆防盗检测等安全场景下的商用密码的应用需求。76 图 6-2 车载安全子系统 安全模块安全模块 芯片芯片管理管理:SS 通过安全芯片的密码计算能力对外提供基础的安全存储、密钥管理、密码算法等功能。芯片支
165、持 SM2/SM3/SM4 算法。密钥管理密钥管理:统一管理 SeoOC 通信,车控指令加解密,应用数据传输,车辆防盗等业务所需的对称密钥,包括密钥的生成、导出、变更、销毁。安全存储安全存储:使用 VSS 内部的加密算法,对系统业务密钥和敏感数据做安全存储。安全安全 SDKSDK:车载安全子系统提供的安全接口如下图所示:图 6-3 车载安全子系统接口 3.工业互联典型应用场景工业互联典型应用场景 77 (1 1)FOTAFOTA 车云安全车云安全 在 FOTA 流程中面临的风险主要包括传输风险和升级包篡改风险,车载安全支撑系统配合云端 OTA 服务器完成安全 FOTA,为 FOTA 升级的安全
166、提供保障。图 6-4 FOTA 安全(2 2)OBDOBD 诊断安全诊断安全 由于通常 CAN 总线不加密不认证,攻击者可以轻易伪造 CAN 总线报文或者获取车辆敏感数据,OBD 诊断接口安全也是当前主机厂关注的要点。车载安全支撑系统支持 OBD 诊断接口接入设备的身份认证,为 OBD 诊断接口的安全提供保障。认证流程如下图所示:图 6-5 OBD 诊断安全(3 3)C C-V2XV2X 应用安全应用安全 78 图 6-6 C-V2X 如上图所示,为保障 V2X 场景下设备间的安全认证和安全通信,基于国密 SM2 算法的 PKI 机制,并采用数字签名等技术手段实施 V2V(车-车)/V2I(车
167、-基础设施)/V2P(车-行人)直连通信安全。将数字身份认证技术应用于车联网通信中,实现车载设备、路侧设备、应用服务商等各个角色的相互认证,保证通信消息来源的真实性,有效做到防重放、防止中间人攻击、防止身份假冒等。为依托车联网通信技术实现的安全预警和效率提升等车联网应用提供关键的基础安全保障。2.6.3 下一步实施下一步实施计划计划 后续将在现有认证的服务模式下,深化服务内容,结合跨域交易的业务情况,提供跨域签章、跨域签名等更深层次的安全保障服务,实现进一步的安全服务。通过商用密码技术与 V2X 技术深度结合的典型应用,通过部署满足商用密码技术和管理要求的 V2X 安全证书管理系统 SCMS,
168、以国家通信行业标准基于 LTE 的车联网通信技术安全证书管理系统技术要求为指 79 导,建立了车联网联汽车试验场地车-路协同互认的 LTE-V2X 通信加密保护和安全认证体系,推动了车网联汽车试验场地智能网联 V2X 产业加速落地,构筑了下一代安全、高效的智慧出行生活示范应用。在各通信实体身份认证、数据校验及保护等方面本案例都充分利用了商用密码高安全、高效率、高可用等特性,实现了 V2X 通信安全防护的业务要求,为国内车网联建设提供了可参考、可复制的先行经验,其未来前景可期。2.6.4 方案创新点方案创新点和实施效果和实施效果 1.1.先进性先进性 (1 1)工业互联密码服务模式工业互联密码服
169、务模式,快速覆盖全车系快速覆盖全车系 与传统面向单车单厂建立一套独立的密码服务体系模式不同,我们采用云密码多租户的服务模式,系统架构上具备的弹性部署能力和应用对接的标准化能力的特色,可以适应各种企业规模。既可以适用单个车机厂,也可以适应整个集团下所有车机厂。可以为集团建立了一套整体的密码服务架构,其中不同的车厂可以看做不同的租户,不同的车型看做不同的应用,通过系统的弹性部署能力,快速创建多租户多应用的方式,将密码支撑能力快速复制到多车厂,或者多车型,最终达到覆盖全车系的效果。(2 2)工业互联多场景密码应用工业互联多场景密码应用,车云网一体化安全车云网一体化安全 方案面向车、云、网三个维度提供
170、了一个完整的解决方案。在云端,通过密管平台可以快速建立了一个密码支撑体系,基于云应用的模式,可以实现对应用快速部署密码服务支撑的能力,应用通过低代码的标准化的接口,可以快速批量对接密码服务能力。在车端,车载安全方案通过 M 系列安全芯片将安全能力进行了全链路的覆盖,涵盖了包括车载中央网关、T-Box 网联部件、车内娱乐系统、智能座舱、智驾域控制、电控单元、电机控制单元、车身控制模块以及空调控制 80 等控制设备,并且通过统一的开发接口,可以快速复制对接新车型,可以快速为车身安全赋能,属于早期具备了在行业中进行全链路国产密码应用推广能力的方案。目前,已经定点应用于上海的两家大型汽车厂(OEM)。
171、(3 3)工业互联工业互联建立跨控制器间加密信道建立跨控制器间加密信道,实现车内通信安全实现车内通信安全 车端侧,基于安全芯片建立的车载安全子系统的密码支撑能力相对更广泛的覆盖了整车部件。在场景上,从安全启动,到车内模块之间的通讯,包括模块之间的车云认证;在 OTA 远程升级安全、远程诊断防火墙、安全虚拟车钥匙等业务中证书的签名、验证都使用国密 SM2、SM3 算法代替国际算法 ECC 和 SHA;在车内通信、车控指令、应用数据、安全数据传输等使用对称密钥的业务场景,全面使用国密算法 SM4 代替 AES 等国际算法,实现了自主可控。2 2.创新点创新点 (1 1)工业互联工业互联构建统一的多
172、算法多协议密码服务平台构建统一的多算法多协议密码服务平台 方案构建了统一的多算法多协议的服务平台,可以基于统一的管理界面对人、车、终端进行证书管理;在整个密码服务生态里面,兼容了不同体系,包括传统的 X509,V2X PKI 体系。密码支撑能力覆盖了多个协议,包含了面向车云的协议,面向端到端的 C-V2X 直连协议,面向车内的 AUTOSAR 协议。(2 2)工业互联工业互联实现实现 AUTOSARAUTOSAR 协议国密改造协议国密改造,推动自主可控推动自主可控 汽车开放系统架构(AUTomotive Open System Architecture)是一家致力于制定汽车电子软件标准的联盟。
173、各伙伴公司携手合作,致力于为汽车工业开发一个开放的、标准化的软件架构。AUTOSAR 这个架构有利于车辆电子系统软件的交换与更新,因此应用的非常广泛,很多全世界行业大厂都是AUTOSAR 成员。我们在工业互联场景里实现了 AUTOSAR 对国密协议的底层支持。在 81 AUTOSAR 架构的 SecOC 通信组件中,将加解密运算和验证接口替换为 VSS 车载安全子系统中的国密 SM4 算法接口,完成国密与 AUTOSAR 的底层支持。(3 3)工业互联发挥密码特性工业互联发挥密码特性,应用整车数据安全应用整车数据安全 把握汽车数据的法规需求,制定汽车数据安全分类分级制度规范,按照数据全生命周期
174、,从汽车数据采集、传输、存储、利用、共享、出境、销毁、备份恢复等环节分别明确汽车数据安全需求。通过商用密码技术构建零束的汽车数据安全技术防护体系,防范数据泄露、篡改、滥用等风险,全面保障汽车数据安全合规。3 3.标准符合性标准符合性 根据 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求,本方案的密码支撑目标是终端、用户与云上系统之间的“设备和计算安全”、“应用和数据安全”以及“网络和通信安全”。4 4.实施效果实施效果 (1 1)工业互联场景下车载密码应用工业互联场景下车载密码应用合规要求合规要求 本方案于 2022.5.20 日过密评。属于工业互联网行业中通过密评比较
175、 82 早的企业。对于同类的规划具有相当的示范作用。在集团里,既有传统的PKI,又有新兴的 V2X PKI 系统,既有软件的密码模块,又有车规级的安全芯片,既有移动端的安全风险,又有云的安全风险。这样一个复杂的场景中,我们探索出了一个满足合规的解决方案,在集团这里得到了较好验证和应用,对处于同样类型的企业具备相当的示范效应。(2 2)工业互联全面全域提升工业互联全面全域提升整车整车安全性安全性 VSS 车载安全子系统在车辆各类控制器(ECU)上的安全部署以构建一个完整的防护体系,支撑车辆控制器的各类安全需求,包括有车辆身份认证、远程安全通信、安全固件升级、安全诊断防火墙、车内安全通信以及车控指
176、令加密等。该产品无需车企或者零部件供应商改动原先的硬件单元,而只需要在相关控制芯片中加入算法包实现通信安全。因此相较于其他硬件安全方案的部署,VSS 软件产品在诸如底盘、动力、车身控制等成熟度较高的车辆电子电气域中有着较为明显的优势与竞争力。(3 3)推动工业互联各领域车厂密码应用落地推动工业互联各领域车厂密码应用落地 密码服务平台基于云原生理念,面向车企各部门的应用系统,提供“即申请,即调用,即服务”的密码基础服务,从实际效果反馈,简化上云的复杂度,降低上云成本,降低上云对接时间,基于该模式的密码应用已经在上海电子政务 XC 云上得到了广泛应用,在实际应用中,因为接口的标准性,同一家开发商的
177、多个应用均可以批量复制,实现短时间快速对接了大量的应用。另外弹性按需申请的模式,也大量节约了密码服务建设费用和使用费用。同时因使用费用降低,得到了更广泛的应用,带来安全性也产生了巨大的社会效益。(4 4)建设工业互联上海建设工业互联上海 V2XV2X 根根体系体系 建立了上海的 V2X 根体系,实现上海范围内不同主机厂车辆,不同 V2X PKI 体系的互通互信。其中 V2X 业务体系已对接工信部全国 V2X PKI 根体 83 系的能力,可支持各类车联应用对全国范围的覆盖,可助力国家统一大市场的宏观规划。(5 5)加快推动软件定义汽车加快推动软件定义汽车,助力汽车新零售模式助力汽车新零售模式
178、汽车硬件将成为模块化、通用化的平台和资源池,支撑整车软件多样化开发与部署。软件定义汽车功能的增加与升级可通过软件的远程部署与更新来实现,随着这种场景的应用深入,催生出汽车新零售的全新业务模式也在不断的成熟。在这种场景下各种车载的配置数据都将高度依赖车载安全系统的数据保护的能力。在硬件安全芯片加持下的 VSS 车载安全子系统对配置系统提供签名验签、加解密的保护,将有效支撑新场景、新业务的应用。2.6.5 单位基本信息单位基本信息 1 1.中移中移(苏州苏州)软件技术有限公司软件技术有限公司 中移(苏州)软件技术有限公司是中国移动通信集团有限公司 2014 年注资 31.72 亿元成立的全资子公司
179、,公司定位为中国移动云设施构建者、云服务提供者、云生态汇聚者,目前正处在快速发展阶段,先后取得了国家高新技术企业、国家重点软件企业、江苏省高新技术企业、苏州市云计算工程技术研究中心等资质。公司主营业务移动云是中国移动面向政企、事业单位、开发者等客户推出的基于云计算技术、采用互联网模式、提供基础资源、平台能力、软件应用等服务的业务系统,自主开发建设、拥有完全的自主知识产权,能够提供保密性强的 IT 设施环境。通过建设 N 个集中节点、31 个省级属地化节点、X 个边缘节点,打造“一朵云”的全域资源布局,移动云业务遍布全国,2021年移动云收入超 180 亿元。2.2.中国移动通信集团公司有限公司
180、信息安全管理与运行中心中国移动通信集团公司有限公司信息安全管理与运行中心 2011 年 11 月,中国移动通信集团有限公司信息安全管理与运行中心成立(以下简称“信安中心”),具备“管理+生产”双重职能,负责归口信 84 息安全管理与不良信息治理,开展不良信息集中治理与信息安全集中运营。2018 年 8 月,集团成立中国移动网络安全领导小组,领导小组办公室设在我中心,负责集团网络安全相关工作统筹和协调。信安中心深入学习贯彻习近平总书记关于网信工作的重要指示精神,以建设网络强国为己任,工作范围覆盖终端安全、网络安全、应用安全、业务安全、内容安全等多领域,形成了全国“一盘棋”的工作格局,相关工作整体
181、能力与水平始终保持行业领先。近年来,信安中心在开展网络安全重保、防范打击电信诈骗、组织网络安全攻防竞赛、开展网络安全研发等方面卓有成效。在工业互联网方面,特别成立了专门的研发中心,开展工业互联网业务及工业互联网安全防护解决方案的研制和推广。3.3.格尔软件股份有限公司格尔软件股份有限公司 格尔软件股份有限公司(简称“格尔软件”)是中国信息安全数字信任领域的先行者和领导者,成立于 1998 年 3 月,2017 年 4 月在上交所上市,被誉为“国内最早登陆 A 股的信息安全软件企业”(股票代码:603232.SH)。始于密码,臻于匠心。格尔软件是中国首批研制和推出 PKI 公钥基础设施产品的厂商
182、,也是国内首批通过国家密码管理局审查、支持 SM2 算法、省级电子认证服务机构的建设单位。20 多年来,格尔软件秉持“关键技术自主可控、密码产品安全易用”的研发理念,相继开发出密码基础、身份管理、访问控制、数据安全、PKI/CA、电子签名、安全网关、终端接入、视频安全、工控安全等 11 类近 100 款产品,建立了上海、北京、西安、成都、南京 5 大研发中心,先后承担了 20 余项国家级、省部级的重点信息安全科研方案的研究与开发工作,参与承建了我国多个第三方数字认证中心系统。公司拥有发明专利近 80 项、计算机软件著作权近 200 项,牵头或参与制定国家标准 20 余项、行业标准 40 余项,
183、先后 2 次荣获国家科学技术进步奖二等奖,多次荣获国家党政密码科技进步奖和上海市科学技术进步奖。85 深耕细作,笃行致远。格尔软件聚焦“让互联更可信、让数据更安全”的企业愿景,坚持以密码技术为核心,以业务应用为导向,以可信身份为基础,逐渐成长为我国网络空间和数字资产安全的领导者,员工近 1000 人。公司实行“上海+北京”的双总部战略,打造“行业+区域”的全流程生态模式,旗下拥有格尔安全、格尔安信、格尔科安、北京格尔国信、上海信元通5 家全资子公司,建立了北京、上海、郑州、西安、成都、南京、杭州、广州、乌鲁木齐、拉萨、武汉、沈阳、昆明等 13 个区域营销中心和交付中心,铺设了覆盖全国 34 个
184、省级行政区和 24 个省会城市的营销服务网点,为 32个国家部委、100 多家国企央企、200 多家银行提供全域全栈的专业级信息安全服务。以梦为马,不负韶华。格尔软件始终坚持党建与业务融合发展,聚力将党建工作的政治优势和组织优势转化为推动企业发展的市场优势,为我国网络安全信任体系建设和党政机关、军工军队、公检司法、国企央企、金融机构等重要用户信息系统提供数字资产安全整体解决方案。近年来,格尔软件不断基于国产密码技术和可信身份管理进行密码应用创新,构建了具有格尔特色的云密码服务体系和零信任安全架构,实现了多场景下密码服务的无缝集成、无感调用、无处不密、处处用密,基本具备“密码即服务,安全可内生”
185、的综合服务能力。2020 年,被评为“中国信创产业 60 强”。2021年,被评为“中国网络安全企业 100 强中身份与访问安全与商用密码领域十强”,2022 年被评为“中国网安产业竞争力 50 强”。2.72.7 案案例七例七:某省电科院新能源工控网络安全实验室建设方案某省电科院新能源工控网络安全实验室建设方案新能源网络安全多功能演兵场新能源网络安全多功能演兵场 2.7.1 方案概述方案概述 通过建设电力行业新能源工控网络安全实验室,构建调光伏组件系统、86 综合自动化系统、光伏发电功率管控系统、箱变和逆变器系统、升压站系统、天气预报系统、办公网络等,为新能源场站网络安全防护技术研究、攻防实
186、战演练提供必要的仿真环境。针对电力行业关键信息基础设施网络安全保护与测试验证,开展新能源场站工业控制系统信息安全评估、测试、攻防竞赛、应急演练、技术培训等工作,将有力提升地区电力行业整体工控安全研究水平。1.方案背景方案背景 电力是国家的支柱能源和经济命脉,其安全稳定运行不仅关系到国家的经济发展,而且维系国家安全。随着电网规模的逐渐扩大,安全事故的影响范围越来越大,安全问题越来越突出,电力网络安全运行已经成为全球的研究热点。当前,世界各国在网络空间的投入不断加大,网络军备竞赛愈演愈烈。国家行为体参与的网络犯罪活动日益猖獗,所使用的工具和手法越来越先进,利用网络攻击破坏电力等国家关键基础设施已成
187、为现实,自网络空间向物理电网发起攻击成为当前大国博弈、大规模战争的重要手段。电力行业的工业信息系统作为国家关键基础设施的重要组成部分,很容易成为国家之间网络对抗和有组织黑客的攻击目标,电力行业信息安全面临着严峻的形势。2.方案简介方案简介 新能源工控网络安全实验室是一个仿真的网络安全、产品测试、教育培训、漏洞挖掘和风险评估的虚拟训练场。新能源工控网络安全实验室的第一目标是提供关键信息基础设施和工业控制系统训练环境,训练网络安全人员如何防御关键网络设施受到攻击,以及如果针对假定目标实施网络攻击。此外还可以针对仿真网络场景进行风险评估、记录攻防行为、提供大型关键信息基础设施和工业控制网络仿真复现、
188、支持攻防演练、教育培训等事件复 87 盘、为安全产品提供测试展示平台等功能。网络靶场系列产品通过虚拟化、虚实结合组网等技术,能够低成本高效率的仿真出接近真实的网络环境。为网络攻防对抗训练、应急响应演练、攻防技术培训以及网络对抗工具评测研究等需求提供安全可靠的仿真试验场地。3.方案目标方案目标(1 1)现有安全问题现有安全问题 当前 IT 和 OT 融合发展趋势加速,新能源行业智慧转型离不开新兴的云计算、大数据、物联网、人工智能等技术的支撑,传统的安全威胁和新技术带来的新型安全风险将交织扩散,给风力发电、光伏发电造成巨大安全威胁。除了环境条件恶劣、运维成本极高、远程通信困难、风场可利用效率不高的
189、挑战外,新能源场站并网后也同样面临 APT 组织的网络战级别的各种攻击,如勒索攻击、蠕虫病毒、远程操纵等定向攻击。在基础结构安全方面则表现为典型的物理安全、设备运行数据安全、远程运维网络安全等突出问题。物理安全风险物理安全风险 现场设备防护措施不到位,面临暴力入侵。设备分布区域广,普遍人烟稀少,预防预控成本高;对风机及光伏阵列运行状态的自动化监视程度和巡检人员网络安全技术水平低。设备运行数据安全风险设备运行数据安全风险 新能源场站生产运行数据主要存储于风机控制器、光伏矩阵监控系统、风机监控系统服务器、升压站综自系统服务器、风功率预测系统服务器、光功率预测系统服务器、在线振动监测系统服务器以及中
190、控室内的各操作员站主机内。面临系统弱口令、服务器加固不及时、调试端口、空闲端口未关闭、冗余配置不到位、移动存储介质乱用等等问题。88 远程运维网络安全风险;安全防护对厂家或设备供应商依赖度高;边界防护设备缺失;风场与调度数据网边界未配置纵向加密装置;边界防护装置安全策略配置不规范。同时,与常规能源不同的是,新能源场站的发电终端数量较多且户外分散分布,恶意攻击很容易通过发电终端渗透到站控层及各类业务应用中。因此部署新能源并网发电环境,开展新能源场站并网发电工控安全研究、隐患发现、漏洞验证、攻防演练和人才培养等工作对公司电网安全意义重大。2.2.安全目标安全目标 (1 1)打造完善工控安全课程体系
191、打造完善工控安全课程体系 工控网络安全是一个综合、交叉的学科领域,涉及数学、物理、通信、计算机、自动化、管理等诸多学科领域的知识和最新发展成果,同时该专业也是一个实践性很强的专业。因此,应以电力行业需求为导向建立科学的课程体系,课程体系中应理论基础与工程实践并重,注重参训学员的综合素质和自学能力的培养,加强自动化、计算机网络和实践课程的训练;确立核心课程,并在保证工控安全专业教育的基础性、全面性的同时,并按照其内容联系、应用需求、岗位需求、竞赛需求等划分成若干个课程模块,建立“理论教学+安全实操”的多模式相结合的创新的教学模式,促进学员安全能力的全面掌握。(2 2)加强红蓝方实战对抗水平加强红
192、蓝方实战对抗水平 “红队攻点、蓝队防面、以攻促防、全面消缺”,全面提升电力行业新能源场站网络安全人才梯队的工控网络安全“战时”水平,培养复合型人才,提升专业技能,并可有效提高该地区新能源场站网络安全“战时”应急响应能力。89 (3 3)构建工控安全实训基地构建工控安全实训基地 建成的新能源工控网络安全实验室既可以为某电科院相关研究人员提供实战对抗的环境,也有能力为行业内相关从业人员提供培训环境。通过这种理论与实践结合的特色教学模式,以及工控网络安全实验室涵盖的工控网络安全各领域的丰富实验内容,实现参训学院安全意识和实操能力的快速提升,最终实现培养新能源领域工控网络安全专业人才的目标,并成为地区
193、特色电力工控网络安全实训基地。2.7.2 方案实施概况方案实施概况 电力行业新能源工控网络安全实验室依托于工业网络靶场平台和电力行业仿真装置,构建电力行业典型业务虚实结合仿真场景,提供现场工艺设备、工业控制设备、工业系统软件等资源,能够针对现场数据进行深入分析、展示,其中包含攻防演练过程数据、攻防研究测试数据、网络运行实时数据、工业安全监管数据。电力行业新能源工控网络安全实验室建成后可开展工业控制系统信息安全评估、测试、攻防竞赛、应急演练、技术培训等工作,能够帮助电业行业搭建高效快速的安全团队,构建安全便利的工控系统准入机制,实现某电科院工业互联网安全防护能力的整体提升。1.方案总体架构方案总
194、体架构和和主要主要内容内容(1 1)总体架构总体架构 图 7-1 新能源工控网络安全实验室总体架构图 90 平台采用分层递阶的设计思路进行设计,整个平台具备稳定性好、可信度高、扩展性强、维护便利的特性。攻防演练系统:是整个平台的基座,通过工控仿真平台 100%还原新能源场站生产场景,并部署攻击系统、安全设备系统、工业现场沙盘和效果展示系统,为安全应用系统和技术研究系统提供基础支撑。安全应用系统:通过工控靶场系统配置网络资源,利用攻击套件系统和安全设备系统实现攻防对抗,同时可开展攻防比赛和安全实训。现场沙盘和效果展示系统与生产场景联动,可对攻防比赛和安全实训结果进行可视化展示,有效提升培训效果。
195、系统内置流量分析系统对全场景、全周期的数据进行收集,实现攻防分析和复盘推演。技术研究系统:在攻防对抗过程中,对现有安全系统、攻击技术进行深入研究。同时也可在仿真平台的基础上,模拟或接入专有工控系统,完成渗透测试、协议分析和漏洞挖掘等工作。(2 2)总体流程总体流程 根据剧情所设定的工控系统典型场景进行仿真部署,对工控系统设备、网络、安全产品进行布置并完成相应参数配置;模拟网络攻击、用户异常操作、非法入侵以及蠕虫、病毒等各类攻击源对工控系统的多个层面进行渗透攻击,对攻防数据进行采集并记录;综合分析攻防演练态势,对目标工控系统进行多维度综合分析评估,精准评测评估目标工控系统的安全性、可恢复性和灵活
196、性;以可视化方式实时呈现工控系统网络拓扑情况、安全产品部署情况、攻防演练态势、测试评估统计分析及结果等内容。2.网络网络、平台平台或安全或安全互联互联架构架构(1 1)演练场景规划与编辑演练场景规划与编辑 通过搭建新能源场站生产现场的仿真平台,实现对于真实设备、系统 91 的还原。由于工控安全攻击事件多是针对上位机、下位机、上位机和下位机之间的网络进行攻击,而攻击的结果多是影响到执行器这一层面,因此最基础的工控仿真平台应当具备如下几个特点:具有电力行业工控系统代表性 完整的“上位机-下位机-执行器-传感器”架构 具备丰富鲜明的展示效果 能够实现对于著名工控事件的还原和深度解读,从而起到教育意义
197、 能与工控安全实验室中的其他系统进行联动 图 7-2 电力行业工控安全实验室演练场景规划示意图(2 2)安全攻防演练与监测安全攻防演练与监测 要实现完整的安全攻防演练,在工控仿真平台的基础上,还需要各类攻击手段以安全防护系统进行对抗演练。安全攻防演练与监测系统主要包括两部分,即安全防护系统,以及攻击套件系统。攻击套件系统提供一些工控环境中常见的攻击手段,包括嗅探、IO 点篡改、中间人攻击、U 盘攻击、泛洪攻击、DoS 攻击等等。92 安全防护系统提供业界常用的主流安全防御体系,如工业防火墙、工控审计平台、主机卫士等等。(3 3)安全防护效能评估安全防护效能评估 依靠安全防护系统能够实现针对病毒
198、、攻击的防御,但并不能做到提前发现系统薄弱环节,预知安全事件的发生,安全防护效能评估系统提供对于系统内资产、安全设备的有效管控,同时能够进行针对漏洞、流量的分析管理,增强系统安全防护能力。(4 4)安全效果综合呈现安全效果综合呈现 考虑到工控网络安全实验室不仅承担着辅助技术人才进行演练提升的作用,还承担着人才安全意识培养、安全事件分析、安全制度优化、应急响应培训等各类职责,需要面向组织中各个级别、每一位学员,因此如何呈现攻防演练的过程及结果,这也是工业控制系统安全攻防演练平台建设的一项重点。安全效果综合呈现系统主要包括两部分,电力行业工业沙盘,以及大屏展示界面。通过直观、形象演练功能的工控沙盘
199、,有效还原新能源场站发电业务的现场情况,方便参观者了解电力系统业务流程、现场情况,以及安全事件发生前、中、后阶段,会造成的各类实际影响。通过定制化的展示界面,可以通过大屏幕展示,直观了解攻击事件的发生流程,从哪些设备侵入、干扰哪些系统,从而能够深入理解工业控制系统安全的严重性,增进对攻击事件的理解,吸取未来应该如何做安全防范、应急响应的经验。3.具体应用具体应用场景场景和安全和安全应用模式应用模式 新能源工控网络安全实验室的建设以培养能够适应现阶段电力行业工控网络安全需求的综合性人才和开展实战化攻防演练来提升新能源场站工 93 控网络安全防护与应急响应能力为目标,通过新能源工控网络安全实验室的
200、建设,可以有效的提高电网的工控安全人才的综合能力,改善现阶段专业人才缺乏的现状,通过强化理论知识学习,培养实践操作能力,实现理论与实践的有机结合,并周期性开展“战时”攻防演练,在促进新能源工控网络安全人才素质能力全面提升的同时,也为某电科院工控安全科研支撑提供有力环境。(1)新能源光伏场站仿真平台建设新能源光伏场站仿真平台建设 新能源光伏场站仿真平台通过控制系统和新能源光伏场站生产仿真场景物理沙盘组合而成,按照新能源光伏场站典型模块化柔性生产线工艺场景定制,仿真模型台大小为 2m*2m,接入控制系统由控制设备进行控制,仿真模型台为新能源光伏场站典型微缩示意模型,是以新能源光伏场站为原型,开发的
201、机电一体化教学、实验、实训综合应用平台,使研究和参训人员对光伏发电的实际过程有大体的了解,掌握光伏发电过程一些实际应用技术。并较好地解决了自动控制系统只能看不能操作,达不到理想的攻防演练和教学效果的问题。此外,新能源光伏场站仿真平台还可向参展人员展示新能源光伏场站正常生产控制流程及攻击、防护效果。新能源光伏场站仿真平台沙盘通过高度还原新能源光伏场站生产设备和关键工艺流程实现真实场景模拟,包括光伏组件阵列、逆变器、箱变、交流柜、升压站等工艺,考虑到风光互补场景,还应包括风机,以还原整个生产场景。该系统是将机械传动技术、声光控制技术、姿态跟随系统、PLC 控制技术和系统工程有机的融于一体,是现新能
202、源光伏场站生产全过程的缩影。整个软件系统,整合了控制软件,组态软件,数字工厂仿真软件等。软件功能充分体现工业 4.0 的应用功能。它既符合工业自动化生产实际又能满足自动化控制、虚拟融合等专业创新、实验、实训教学需要。控制系统采用市面主流的系列 PLC。每个工作站的控制单元由 PLC、传 94 感器、执行机构、光伏组件整列转动机构组成。PLC 根据输入信号和用户程対序,执行相应的计算和控制过程,并输出各种控制信号,实现各单元的自动控制。每个工作单元 PLC 都装有组态监控软件,监控本模块的运行。SCADA 系统集成了数据采集模块,品质模块,定单模块,设备维护模块,报表模块,看板模块。SCADA
203、系统通过以太网,连接每站的 PLC。通过 Modbus实现对个工艺流程的工作过程数据管理,SCADA 实时采集 PLC 工作过程数据。把生产的进展数据,通过看板显示在大屏幕上。并可通过 HMI 实时查看生产数据。新能源光伏场站总控制台新能源光伏场站总控制台 新能源光伏场站仿真平台总控台 PLC 系统使用市面上主流的系列 PLC设备,集成的 通讯接口用于 HMI 通信和 PLC 之间通信。此外还通过开放的以太网协议支持与第三方设备的通信。整个控制系统利用工业级交换机,建立设备之间的通讯网络。图 7-3 新能源光伏场站总控制台 主控柜(主控板)安装有光伏发电场站专用控制器,用于光伏发电流程的统一调
204、度与各子系统之间协调控制。例如可实现以下功能:光伏组件的工作控制光伏组件的工作控制:从上位机软件系统接受信息,控制光伏组件的方 95 向转动和工作状态。实现箱变实现箱变、逆变器运行模式控制逆变器运行模式控制:运行/停机/故障报警。实现升压站运行模式控制实现升压站运行模式控制:运行/停机/故障报警。实现各子系统工作协同控制实现各子系统工作协同控制:对各系统的状态进行统一调度管理。各子系统分别安装 PLC 控制器,用于子系统的运动执行机构、传感器等设备的控制与数据采集。各子系统 PLC 相互独立,单系统故障不会影响其它系统的设备状态。各子系统 PLC 均受专用光伏发电场站控制器统一调度控制。功能结
205、构及任务流转功能结构及任务流转 新能源光伏场站仿真平台还原光伏发电流程,模拟仿真的生产流程如下图所示:图 7-4 新能源光伏发电工艺流程 新能源光伏场站控制系统新能源光伏场站控制系统 新能源光伏场站仿真平台的控制系统采用真实控制设备,模拟光伏发电过程。本实验室新能源光伏场站仿真平台采用各厂商主流型号PLC设备。96 包含控制器、工业交换机、操作员站、工程师站几类自控组件。自动控制系统挂置于工控安全实验室中心挂板上。图 7-5 自动控制系统挂置于工控安全实验室挂板的示意图 图 7-6 壁挂板效果图参考图 控制设备负责将现场设备及仪表信号收集、处理、运算实现装置自动控制,并将数据上传上位机工作站进
206、行人机界面交互;97 新能源光伏场站仿真平台建设所选择现场控制设备为新能源场站主流控制设备品牌型号,共包含 4 套 PLC 设备,控制设备均配置以太网模块,用于同操作员站、工程师站实现网络连接;控制设备配置 DI/DO,同现场沙盘连接,实现沙盘内机械转动装置、声音报警器、灯带、开关和计数器等的控制以及数据采集。新能源光伏场站仿真平台组态软件安装于操作站上,可通过组态软件控制现场设备停车、运行过程中操作、监控,并对外开放 OPC Server 服务。新能源光伏场站仿真平台建设所选择的组态软件为三维力控公司的组态软件 ForceControl7.0(也可采用其他),具有良好的兼容性、稳定性,与西门
207、子、ABB、施耐德、罗克韦尔的 PLC 互联,按照新能源光伏场站工艺特点实现组态界面,实时监视、控制现场设备运行。新能源光伏场站仿真沙盘 新能源光伏场站仿真场景沙盘按照光伏发电场站真实环境定制,仿真模型台大小为 2m*2m,接入控制系统由控制设备进行控制,仿真模型台为光伏发电场站发电生产模型,向参展人员展示光伏发电生产控制流程及攻击、防护效果。场景模拟:场景根据实际光伏发电场景定制,等比例缩小仿真。沙盘示意图及展示效果如下:98 图 7-7 新能源光伏场站仿真场景沙盘效果图 图 7-8 新能源光伏场站仿真场景沙盘示意参考图 99 沙盘通过微缩物体实现真实场景模拟,根据光伏发电工艺流程、业务特点
208、形成沙盘场景,包括光伏组件阵列、箱变、逆变器、升压站等不同工艺流程,多个工艺流程组合形成整个光伏发电场景。新能源光伏场站仿真平台沙盘场景内各工艺段有可操作控制点,可操作控制点通过接线与 PLC 相连,由 PLC 控制进行相应动作,通过不同的动作内容对比模拟仿真系统正常工作与遭受攻击情况所造成的现场影响,包括影响位置、影响路径及影响结果。场景内可操作控制点包括:等比例缩小等比例缩小光伏组件光伏组件:按照实际光伏组件等比例进行缩小,简化机械转动等细节工作内容,能够通过 PLC 控制机械转动装置,带动光伏组件以不同速度、不同方向的做启停和旋转动作。计数器计数器:按照实际工艺在沙盘内放置计数器,对于通
209、过计数器探测范围零件进行计数,计数结果反馈给组态软件,组态软件进行相应显示,数量达到设定值后,停止机械转动、逆变器工作等动作。流水灯流水灯:流水灯铺设于沙盘内主要业务流程中,由流水灯引导参观人员了解正常发电流程。流水灯分为绿色、红色两种灯光颜色和高、中、低流水速度以及正向、反向流水方向。用于展示当前模拟场景设备运行状况、发电负荷等。背景灯光背景灯光:背景灯光采用微型 LED 矩阵式铺列于沙盘各工艺流程内,通过不同矩阵呈现不同工艺区域。通过灯光开、关及闪烁状态展示灯光所处区域内安全状态,正常情况为灯光开启,遭受攻击后对应区域灯光闪烁,攻击导致生产中断后对应区域灯光关闭,代表区域生产停止。100
210、图 7-9 光伏组件参考图 图 7-10 光伏箱变示意图(参考)101 图 7-11 光伏逆变示意图(参考)图 7-12 升压站结构图(参考)新能源光伏场站虚拟沙盘新能源光伏场站虚拟沙盘:新能源光伏场站仿真场景沙盘采用数字孪生技术,对新能源光伏场站进行数字孪生,通过和控制系统以及物理沙盘的联动,更加直观、量化的展现新能源光伏场站的工作状况。102 图 7-13 新能源光伏场站虚拟沙盘效果图(2 2)新能源光伏场站攻防设计新能源光伏场站攻防设计 攻防演练流程攻防演练流程 新能源光伏场站仿真平台将作为标靶,工业网络靶场负责提供实验网络环境组网和安全设备灵活集成接入和网络隔离的资源管控,并提供虚拟机
211、服务器,在受防火墙保护的服务器组里配置了实验实训的攻防靶标服务器,并通过靶场安全竞赛系统配置攻防演练任务和攻防演练可视化大屏展示和安全监测分析功能,结合每次攻防演练和实验科研内容,设置具有一定脆弱性的网络服务,提供了攻击演示和验证性实验的环境。实验 PC 组的网络设置方式有效支持了对抗性攻击演练。具体的攻防演练流程设计如下:103 图 7-14 攻防演练流程概览(参考)攻击套件设计攻击套件设计 针对新能源光伏场站仿真平台,设计的攻击套件如下:104 序号序号 攻击套件名称攻击套件名称 描述描述 效果效果 1 新能源光伏场站仿真平台 DoS 攻击脚本 模拟黑客伪装成运维人员进行 PLC 拒绝服务
212、攻击 通过 DoS 攻击套件无限次给控制器发送合法指令,导致其崩溃 2 新能源光伏场站仿真平台病毒攻击脚本 模拟PLC 病毒在控制器间传播导致控制网络瘫痪 PLC 设备感染病毒后设备宕机 3 新能源光伏场站仿真平台控制器数据篡改脚本 模拟黑客网络嗅探篡改操作指令造成 PLC错误动作 篡改后控制指令导致 PLC 出现误动作 4 新能源光伏场站仿真平台指示灯任意控制脚本 对 PLC 中的寄存器进行数据篡改造成对指示灯任意控制。可根据脚本提示输入对指示灯任意控制,如指示灯亮或灭 5 新能源光伏场站仿真平台 arp 欺骗攻击 模拟黑客网络嗅探对网络发起 ARP 攻击 成功使用 arp 欺骗攻击获取PL
213、C 和 SCADA 的通讯数据,造成信息泄露 6 新能源光伏场站仿真平台 arp 欺骗数据篡改 模拟黑客网络嗅探对网络发起 ARP 攻击,实施工控协议数据篡改 使用arp欺骗进行数据篡改,导致 scada 上显示的数据非真实数据 7 新能源光伏场站仿真平台恶意流量攻击脚本 使用 peach 工具构造非法流量对 PLC 进行攻击 服务软件崩溃,拒绝服务 8 新能源光伏场站仿真平台工业主机 web 拒绝服务攻击脚本 模拟黑客进行工业主机的 Web 发起攻击 利用攻击脚本发送超长 get请求造成组态软件的 web 服务软件崩溃,拒绝服务 9 新能源光伏场站仿真平台工业主机暴力破解攻击脚本 模拟黑客进
214、行工业主机的发起暴力破解攻击 使用工具暴力破解工业主机telnet服务并且连接telnet获取系统控制权限 10 新能源光伏场站仿真平台控制系统任意文件上传 getshell 模 拟 黑 客 进 行 对SCADA 进行任意文件上传 getshell 攻击 使用 SCADA 文件上传漏洞获取工业主机控制权限 11 新能源光伏场站仿真平台 HMI 未授权访问调用系统程序 模拟黑客进行对 HMI进行未经授权的访问攻击 使用 HMI TELNET 服务进行未授权访问控制 HMI 12 新能源光伏场站仿真平台 HMI SNMP 默认口令获取信息 模拟黑客进行对 HMI进行 SNMP 的口令攻击 利用 H
215、MI 默认口令获取 HMI系统信息 105 攻防演练效果设计示例攻防演练效果设计示例 根据具体的攻防演练流程及攻击套件设计,结合新能源场站仿真平台的工艺和控制系统,我们设计的攻防效果展示参考如下:正常工作场景下,光伏组件机械转动按照设定旋转速度、旋转方向动作;箱变和逆变器按照设定正常工作,状态指示灯和网络状态之时等待为正常运行;计数器正常显示累计发电量,并上报数据在组态界面显示,计数达到特定值后,重新开始动作。各区域背景灯光正常开启,持续保持正常亮度,代表各区域安全状况良好,生产正常运行。拟设计攻击场景包括病毒传播、黑客入侵等多种攻击类型:第一种是模拟黑客伪装成运维人员进行第一种是模拟黑客伪装
216、成运维人员进行 PLCPLC 拒绝服务攻击拒绝服务攻击:新能源光伏场站仿真平台中所选择 PLC 存在拒绝服务类安全漏洞,入侵者能够通过构造特定结构的数据包发送给 PLC 导致 PLC 设备拒绝服务。模拟场景中,黑客伪装成运维人员接入现场控制网络针对控制传送带的 PLC 进行运维。但黑客通过运维电脑连接其他未经授权的 PLC 设备,打开事先准备好的攻击包,针对控制光伏组件矩阵机械转动装置的 PLC 发起攻击,发送数据包。首先光伏组件矩阵区域背景灯光闪烁,代表此区域受到网络攻击。PLC设备收到数据包后设备指示灯闪烁,故障灯亮起,设备宕机。机械转动装置原有动作停止,光伏组件矩阵区域生产工艺段流水灯颜
217、色由绿变红代表此工艺段故障。此区域背景灯光由闪烁转为关闭,代表此区域生产中断。第二种是模拟第二种是模拟 PLC PLC 病毒在控制器间传播导致控制网络瘫痪病毒在控制器间传播导致控制网络瘫痪:模拟场景中,将感染病毒的 U 盘插入工程师站,病毒自动扫描探测控制系统内可被感染 PLC 设备,传播至第 1 台 PLC 设备后,继续探测其他 PLC设备并依次感染。PLC 设备感染病毒后设备依次宕机。首先光伏组件矩阵机械转动装置区域背景灯光闪烁,代表此区域受到 106 网络攻击。PLC 设备感染病毒后,设备宕机。机械臂原有动作停止,光伏组件矩阵机械转动装置工艺段流水灯颜色由绿变红代表此工艺段故障,此区域背
218、景灯光由闪烁转为关闭,代表此区域生产中断;然后箱变和逆变器区域背景灯光闪烁,代表此区域受到网络攻击,紧接着宕机,箱变和逆变器停止原有动作,箱变和逆变器工艺段流水灯颜色由绿变红代表此工艺段故障,此区域背景灯光由闪烁转为关闭,代表此区域生产中断;最终所有限位开关失效、计数器停止。各区域背景灯光依次闪烁后关闭,全工艺段流水灯变成红色。全网设备宕机。第三种是模拟黑客网络嗅探篡改操作指令造成第三种是模拟黑客网络嗅探篡改操作指令造成 PLCPLC 错误动作错误动作:新能源光伏场站仿真平台中所选择 PLC 设备与上位机通讯协议存在安全漏洞,入侵者能够通过网络嗅探分析上位机下发指令内容,并进行篡改,篡改后控制
219、指令导致 PLC 出现误动作。模拟场景中,黑客接入现场控制网络嗅探 PLC 设备与上位机通讯。上位机通过组态界面内参数调节,调整光伏组件矩阵机械转动装置、箱变和逆变器、流水灯运行动作。黑客通过对通讯协议内指令内容篡改,发送至 PLC后,改变光伏组件矩阵机械转动装置、箱变和逆变器、流水灯运行状态。整个沙盘各区域背景灯闪烁,表示各区域遭受入侵。光伏组件矩阵机械转动装置旋转紊乱,箱变和逆变器改变正常运行状态,升压站宕机,整个发电工艺逻辑混乱,现场设备运行状态错误。(2 2)工控安全攻防及监测系统建设工控安全攻防及监测系统建设 系统定位系统定位 工控安全攻防及监测系统是工控安全实验室的必要组成部分,也
220、是其核心系统。基于工控安全攻防及监测系统,能够实现完整的攻击、防御、监测演练活动。技术架构技术架构 107 工控安全攻防及监测系统的核心内容包括攻击系统和防御系统、监测系统,其中攻击系统包括各类攻击组件,防御系统包括软件、硬件结合的安全防护体系,监测系统以工控审计平台、流式处理平台等设备系统组成,用于监测当前工控仿真系统的安全情况。组成结构组成结构 此系统主要分为三个模块:攻击套件系统、安全防护系统、安全监测系统。其中攻击套件系统采用硬件形式,通过以太网接入工控仿真系统上下位机之间的交换机,通过计算机进行访问操作,实现各类针对工控仿真系统的攻击行为。其中安全防护系统、安全监测系统均是由各类工控
221、系统常用安全设备及系统组成。功能性能功能性能 1)攻击套件系统攻击套件系统:提供各类针对工控仿真平台的攻击行为,包括中间人攻击、泛洪攻击、DoS 攻击、ARP 攻击等等,同时支持根据客户诉求进行攻击方式的定制化,支持在各类攻击方式基础上进行攻击参数自定义的定制工作。图 7-15 新能源工控安全实验室攻击套件示意图(参考)108 基于对各类控制器的漏洞挖掘和长久的工控安全技术累积,此方案可以提供一些常见的攻击手段,这里列举部分攻击方式:攻击方式一攻击方式一:通过攻击将控制器通过攻击将控制器(PLCPLC)宕机宕机 攻击者非法接入监控层网络,通过内网嗅探,分析了 PLC 的 IP 地址以及传输数据
222、信息后利用 PLC 通讯认证缺陷成功与 PLC 建立了连接。攻击者向 PLC 发送非法控制指令进,从而远程控制 PLC 的 IO 模块。攻击者远程控制 IO 模块,可将 PLC 复位,使 PLC 处于瘫痪状态。攻击方式二攻击方式二:对对 PLCPLC 的的 IOIO 点直接篡改点直接篡改 攻击者非法接入信息层网络,通过信息网进一步入侵监控层网络。分析了 PLC 的 IP 地址以及传输数据信息后利用 PLC 通讯认证缺陷成功与 PLC 建立连接。攻击者向 PLC 发送非法的控制指令,从而远程控制中控的 IO 模块。攻击者远程控制 IO 模块,进而恶意改变 PLC 的参数,如使机械转动装置一场,升
223、压站无法正常进行工作,导致全面停产。攻击方式三攻击方式三:中间人攻击中间人攻击:篡改篡改 WINCCWINCC 参数值参数值,PLCPLC 及现场无变化及现场无变化;正常控制网络中操作员站的控制软件时刻检测 PLC 各信号状态,并将数据反馈显示。攻击者可通过一定手段成为控制软件与 PLC 设备通信的中间人,两者的通信数据将完全流过中间人设备。中间人设备可以通过监视、转发等手段获取网络通信中的敏感数据,修改部分敏感数据以达到攻击目的。如中间人设备截获PLC回报的温度传感器报文,并修改为自定义数值,欺骗操作员站控制软件,但 PLC 和现场没有任何变化。攻击方式四攻击方式四:U U 盘攻击盘攻击通过
224、通过 U U 盘作为载体盘作为载体,对对 PLCPLC 进行攻击进行攻击 攻击者将 U 盘插入上位机的 USB 接口,自动传播病毒感染上位机。攻击者侵入控制网络,更改 PLC 中的程序和数据 109 攻击者通过专用后门程序,可成功的窃取或篡改系统应用站中的数据,从而影响工控系统。2)安全防护系统安全防护系统:包含工业防火墙、主机卫士等各类常见工控安全设备,提供针对攻击行为的防御功能,发现并阻拦攻击行为。3)安全监测系统安全监测系统:包含工控审计平台、威胁感知平台、流式大数据分析组件等,对工控仿真平台的安全性进行实时监测与告警。安全设备安全设备,包括主流的工控系统安全防护设备包括主流的工控系统安
225、全防护设备,此处仅列出四款主流此处仅列出四款主流产品产品。一是工控防火墙,工控系统因其设计的私有性,一直以来被认为是相对安全的,但 2014 年以来针对工控系统网络的 APT 攻击增加,工控系统内部网络安全问题的严重性也逐渐增加。工控防火墙是专门针对工控环境的专用防火墙设备。通过多种安全策略,结合安全漏洞库,对 APT 攻击、异常控制行为和非法数据包进行告警和阻断,并对各类安全威胁实施监控,快速直观地了解工业控制网络安全状况,实现全网安全防护。二是主机卫士,主机卫士是针对工控上位机和各类服务器在工控环境中的安全难题,并结合我国工业控制系统现状,自主研发的主机防护产品。主机卫士建立在白名单机制、
226、环境固化机制之上。针对工控环境杀毒软件无法实时更新,工控软件易被误杀的难题,以全新思路来解决问题。将多个主机卫士分布部署到工控上位机与服务器中,通过综合管理平台统一管理主机卫士,有效提高管理效率、节约管理成本。三是工控安全监测系统(工控审计),工业控制系统的生命周期通常都很长。目前国内大量运行中的工控设备在当初设计时没有充分考虑到网络安全问题,或者拥有的安全机制无法应对现在不断涌现的各类安全威胁挑战。监控审计终端通过对控制网数据的采集、解析、鉴别,实时动态监测通信内容,发现并捕获异常指令和数据,实时告警响应,全面记录控制网中各种会话和事件,实现对控制网信息的风险审计和对安全事件的准确回溯定 1
227、10 位,为工控网络安全策略的制定提供可靠的支撑,同时保障生产安全、系统可靠性和可扩展性。四是工业网闸,工业网闸可以部署在安全 II 区与安全 III 区之间,作为电力监控系统网络边界的第一道防线,用来阻止来自管理信息大区的病毒、木马、网络入侵等安全威胁。保证生产数据安全交换,通过对工业数据的访问进行控制,有效防范恶意攻击和敏感信息泄漏,保障生产网与办公网隔离的同时,实现安全、高速、可靠的数据交换。运行流程即攻防及监测系统的核心运行流程为攻击运行流程即攻防及监测系统的核心运行流程为攻击、防御防御、监测之间监测之间的对抗流程的对抗流程。其中其中:攻击准备阶段:攻击者准备好攻击套件设备,或其他自主
228、攻击内容,准备攻击;攻击实施阶段:针对工控仿真平台实施攻击;攻击防御及告警阶段:各类工控安全防御产品进行对攻击的防御阻断,安全监测产品进行告警;回顾提升阶段:经历一轮完整的攻防演练流程,发现安全系统建设、安全管理机制、应急处理制度中的不足,进行改进,加强安全防范。或者寻找更加隐秘的攻击手段,从而对下一轮攻防演练中的安全防御体系提出更高的要求。内外接口内外接口:工控安全攻防及监测系统的内外接口较为简单,其硬件设备(包括攻击套件、安全防御及监测设备)均可通过网线/光纤接入工控仿真平台上位机和下位机之间的交换机上,接口通常为千兆/万兆的以太网光口/电口。其软件系统则通常装在主机(上位机)上,也有的安
229、装在服务器上,对主流操作系统均有兼容性。(3 3)工业网络靶场平台建设工业网络靶场平台建设 工业网络靶场平台侧重于攻防实战学习环境的演练,类似兵棋推演,提 111 供一个类似新能源场站面临各种网络威胁的真实环境,让研究人员和参训人员学习和观摩攻防演练过程,学习到正确的应对经验,在演练过程中,会有专家或系统指导说明从旁协助,于攻防演练完成后会深入检讨过程之应对技巧,讨论有哪些可以改善或做得更好的地方。譬如在面对勒索软件、高级持续性渗透威胁(APT)攻击或拒绝服务式(DDOS)攻击,都需要透过实际情境训练来提升相关人员之攻防能力,并研拟与实施不同情境下的防御措施,目标是培育相关安全人员具备充裕的防
230、御作战能力。工控网络攻防靶场提供真实的工控网络攻防靶场,基于工控仿真系统,可仿真工控安全问题,包括工控设备通信数据截获及防御、通信协议劫持及动态加密、GPS、GIS 欺骗及安全验证防御技术、工控设备弱账号密码入侵、工控设备仪器参数设置误修改,工控传感器数据劫持,及与之对应的防御技术等。工控网络攻防靶场还可以仿真通讯网络病毒感染、嗅探器扫描入侵、通讯网络 ARP、IP 欺骗入侵、DDOS 攻击、SCADA、EMS 等数据库非法注入、通讯无线信号干扰、通讯网络路由器入侵、通讯节点破坏等,及与之对应的安全防御技术。工控网络攻防靶场基于工控仿真系统,在此基础上搭建以下系统构成完整的靶场。通讯仿真系统:
231、由专业并行实时通讯仿真平台组成,与仿真系统并行实时交互;工控网络攻防靶场演示系统:直观的展示整个仿真平台的运行情况;控制仿真系统:可以进行数据采集和监控,以及指令下达等功能,包括SCADA 和调度等功能;工控网络攻防靶场监控系统:实时监控工控网络攻防靶场。拓扑组网拓扑组网 112 工控安全靶场的目标是提供训练环境,训练网络安全人员如何防御关键网络设施受到攻击,以及针对假定目标实施网络攻击。这个训练环境包含了网络空间关键信息基础设施和工业控制系统组件、网络环境、软硬件资源、网络安全攻防资源及协作训练流程。组件包括了网络设备、主机设备、操作系统、应用程序、安全设备、嵌入式处理器和控制系统等内容;网
232、络环境包含基础架构、互联网、无线网、各种计算机网络、电信网等内容,组件与网络环境结合仿真关键信息基础设施和工业控制系统的虚拟环境。可视化拓扑组网技术实现采用木链科技科技研发的网络仿真器实现,为了最大限度的设计和优化用户交互体验,采用可视化组网拓扑引擎的 Web交互方式实现组件、场景的拖拽组网及实验访问交互操作。为了更进一步的仿真真实网络环境,达到网络及网络安全教学研究测试的目的,靶场网络仿真器集成路由器交换机模拟器实现真实路由器和交换机OS仿真模拟运行的效果,达到路由器和交换机真实可配置,可编辑和可管理。即可满足学员学习路由交换及网络安全需求,也可满足关键信息基础设施和工业控制系统可快速复现网
233、络环境专注安全学习、研究的目的,达到灵活多变的网络环境支持,是工控安全靶场的特色功能。图 7-16 新能源工控安全实验室网络拓扑编辑图(参考)113 场景管理场景管理 在场景管理中,场景管理模块通过拓扑模板管理、模板配置管控实现对资源的场景拓扑及模板的版本控制、场景列表、场景信息、场景复制等功能的进行操。基于光伏电站发电的工艺流程和网络架构,可定制场景从多个点发起网络攻击,并开展相关攻防演练。图 7-17 新能源工控安全实验室场景编辑图(参考)攻防演练剧本的设计围绕工控安全事件中易受攻击的对象,如综自系统、工业交换机、控制器、数据库服务器、光功率预测系统等。(3 3)安全实训系统建设安全实训系
234、统建设 系统概述系统概述 安全实训系统是用户直观获取安全知识的功能模块,系统内置理论资料、教学视频、操作文档、实验环境丰富的培训资源,借助这些资源,企业可以开展多样化的实操培训,实现通过实践来验证理论的教育效果。同时还可以通过靶标管理+网络拓扑绘制构建多种多样的实训场景,利用自动化裁决系统来记录和判断学员每一步实操的一个正确性。系统包括基础培训模块、实验操作模块、技能考核模块、测评练习模 114 块、拓扑编辑模块及课程编排模块 6 部分。基础培训模块基础培训模块:提供了多方向多类型的海量安全理论知识课程、从入门到高级安全知识,一站式学习。图 7-18 新能源工控安全实验室实训系统示意图 1(参
235、考)系统内置了超过 500 课时的理论课程和实验课程,包含了像操作系统基础、工控安全技术、工控协议、密码学、web 渗透等主流基础知识及攻防技术的课程。实验操作模块:通过构建虚拟、虚实结合网络环境,集成操作文档、视频、附件等多样化培训资源,开展形态多样的实操培训;图 7-19 新能源工控安全实验室实训系统示意图 2(参考)115 技能考核模块:提供考核评估的功能,允许用户在考试试卷中添加各类实操题目,全面考核人员的理论与实战能力。测评练习模块:提供已学知识的练习环境,巩固知识点,随学随练。拓扑编辑模块:提供全可视化的拓扑编辑器,方便课程开发人员快速构建实操环境。课程编排模块:靶场提供开放的环境
236、,可以针对性的设计自定义课程;客户可以将企业内部的工艺、安全等知识形成教学课件应用于靶场。配套的工控安全课程配套的工控安全课程 工控安全理论课程工控安全理论课程:学习工业控制系统安全基础概念并理解其安全态势。该项建设所支持的工控安全理论课程内容:理 论 课程 第一部分工控安全基本原理 第 01 课时-工业控制系统简介 第 02 课时-工业控制系统架构和网络 第 03 课时-可编程逻辑控制器(PLC)第 04 课时-数据采集与监控系统(SCADA)第 05 课时-工控其他软硬件介绍 第 06 课时-历史/实时数据库 第 07 课时-集成软件(ERP/MES)第 08 课时-工业控制系统发展历史及
237、现状 第 09 课时-工业控制系统应用领域 第 10 课时-常见工业控制系统的对比 第 11 课时-工业控制系统现场设备 IED、HMI 介绍 第 12 课时-PLC 的产生与特点、组成与工作原理 第 13 课时-电力监控系统网络介绍 第 14 课时-工控行业应用及业务介绍 第 15 课时-工控安全隔离类产品(工业防火墙、网闸)第二部分工控安全态势 第 16 课时-工业控制系统安全概述 第 17 课时-传统信息安全与工控安全比较分析 第 18 课时-工业控制系统网络安全事件 第 19 课时-国外工控安全保障体系建设 第 20 课时-中国工控安全态势 第 21 课时-互联网工控安全态势 第三部分
238、工控隐患知识 第 22 课时-工控网络资产识别 第 23 课时-工控安全隐患来源 第 24 课时-工控安全隐患分析 第 25 课时-工业控制系统威胁监测 116 第 26 课时-工业控制系统现场检查安全分析 第 27 课时-工控安全风险评估 第 28 课时-工控安全等级保护 第四部分工业协议基础 第 29 课时-工业控制网络常用通信协议概述 第 30 课时-S7 协议介绍及机制 第 31 课时-Modbus 总线协议概述及协议安全缺陷 第 32 课时-DNP3 协议安全缺陷 第 33 课时-IEC60870-5-104 协议安全缺陷 第 34 课时-OPC 协议安全缺陷 第五部分工控安全政策和
239、标准 第 35 课时-网络安全法 第 36 课时-国内外工控安全政策与标准简介 第 37 课时-工控安全防护指南 第 38 课时-常见工控安全标准 第 39 课时-常见工控安全架构 第 40 课时-国内常见的工控安全解决方案 4.安全及可靠性安全及可靠性 木链科技创建初期既得浙大 AAA 战队主力成员加盟,尔后迅速聚集安全领域行业专家,国内外高等院校自动化、软件工程学术菁英等优质安全研究员,组建起星期五安全研究实验室。实验室团队多次承担国家级科研课题任务并将其研究成果梳理成能力模块,为驱动产品演进和技术更迭注入创新因子。实验室团队凭借业内领先的漏洞挖掘能力,对公司产品进行了大量的检测工作以确保
240、产品的安全可靠。此次方案全套产品均采用全自主研发系统与配套软硬件,确保符合国家要求与企业安全发展的需要。并经过长达3 年以上的实际方案运行考验,产品可靠性与稳定性已非常成熟。为响应国家号召,积极支持国产化进程推进,确保工控安全防护相关产品都是完全国产化产品,拥有完整的自主研发支持产权。通过长期快色的版本更新迭代,保护用户的工控数据核心资产安全与完整、私密等特性。5.其他亮点其他亮点(1 1)打造完善工控安全课程体系打造完善工控安全课程体系 工控网络安全是一个综合、交叉的学科领域,涉及数学、物理、通 117 信、计算机、自动化、管理等诸多学科领域的知识和最新发展成果,同时该专业也是一个实践性很强
241、的专业。因此,应以电力行业需求为导向建立科学的课程体系,课程体系中应理论基础与工程实践并重,注重参训学员的综合素质和自学能力的培养,加强自动化、计算机网络和实践课程的训练;确立核心课程,并在保证工控安全专业教育的基础性、全面性的同时,并按照其内容联系、应用需求、岗位需求、竞赛需求等划分成若干个课程模块,建立“理论教学+安全实操”的多模式相结合的创新的教学模式,促进学员安全能力的全面掌握。(2 2)加强红蓝方实战对抗水平加强红蓝方实战对抗水平 “红队攻点蓝队防面以攻促防全面消缺”,全面提升新能源场站网络安全人才梯队的工控网络安全“战时”水平,培养复合型人才,提升专业技能,并可有效提高该地区新能源
242、场站网络安全“战时”应急响应能力。(3 3)构建工控安全实构建工控安全实训基地训基地 建成的新能源工控网络安全实验室既可以为某电科院相关研究人员提供实战对抗的环境,也有能力为行业内相关从业人员提供培训环境。通过这种理论与实践结合的特色教学模式,以及工控网络安全实验室涵盖的工控网络安全各领域的丰富实验内容,实现参训学院安全意识和实操能力的快速提升,最终实现培养新能源领域工控网络安全专业人才的目标,并成为具有地区特色的电力工控网络安全实训基地。2.7.3 下一步实施计划下一步实施计划 1.计划计划 1 118 系统名称系统名称 方案工期方案工期 设备型号规格设备型号规格环改费支出用途环改费支出用途
243、 新能源光伏场站仿真平台 一期方案 本期建设 新能源场站电力监控系统:使用 PLC 和必要网络设备进行控制系统进行组网,并采购相关的组态软件,进行控制逻辑的搭建和控制画面的开发。选择现场控制设备为新能源场站主流控制设备品牌型号,共包含PLC 设备,控制设备均配置以太网模块,用于同操作员站、工程师站实现网络连接;控制设备配置 DI/DO,同现场沙盘连接,实现沙盘内机械转动装置、声音报警器、灯带、开关和计数器等的控制以及数据采集。一期方案 本期建设 复现光伏发电典型工控场景,采用工控安全沙盘的方式进行工控环境搭建,含光伏组件、综合自动化系统、操作员站、工程师站、智能功率控制系统、箱变、逆变器、升压
244、模块等关键组件来还原新能源光伏电厂生产流程。沙盘采用物理仿真沙盘+数字虚拟沙盘的“孪生双胞胎”模式进行生产运行状态的展示。一期方案 本期建设 一期方案 本期建设 用于驱动整套仿真装置运行,并实现仿真装置数据的传输与收集。工控安全防护及监测系统 一期方案 本期建设 提供各类针对新能源场站仿真平台的攻击行为,包括中间人攻击、泛洪攻击、DoS 攻击、ARP 攻击等等,支持攻击方式的定制化,支持在各类攻击方式基础上进行攻击参数自定义。一期方案 本期建设 安全防护系统是攻防演练过程的必要组成部分,也是工控安全实验室建设中的核心系统。安全防护系统包括工控网络中必需的各类软硬件工控安全设备,依据设备防护类型
245、,又可以划分为安全防御系统和安全监测系统,其中安全防御系统是指能够主动防御攻击行为、异常行为的设备集合,如工控安全防火墙、主机卫士、网闸设备等,安全监测系统以安全审计、监测、管理为主,如工控审计平台、综合管理平台,用于监测当前工控仿真系统的安全情况。安全防护系统包括了业界常见的工控安全设备,如工控安全防火墙、工控审计平台、主机卫士、综合管理平台、单向隔离网闸设备等,也可融合传统的信息安全设备如防火墙、入侵防御/检测系统、防毒墙、WAF、身份认证设备等。工业网络靶场平台 一期方案 本期建设 靶场知识图谱主要由多个资源管理模块组成,这些资源主要以数据库和主机服务资源形式存在,用户可以在靶场平台的环
246、境内进行调用。其中场景资源为用户提供包含虚拟主机设备、虚拟网络设备、虚拟工控设备和虚拟安全设备等资源,可实现虚实结合的网络仿真场景。攻防资源管理系统为用户在现有的基础测试环境上提供了攻击、防御、测试等多种资源,用户可以根据需求进行整合和利用。119 系统名称系统名称 方案工期方案工期 设备型号规格设备型号规格环改费支出用途环改费支出用途 一期方案 本期建设 靶场平台提供核心的网络拓扑搭建功能,提供全可视化的拓扑编辑工具,可以在同一网络中添加虚拟、物理靶标组成混合网络,并直接在编辑器为其设置 IP、DNS、网关等各种参数。提供攻防演练活动管理功能,快速将网络拓扑、安全事件、以及攻防任务进行组合,
247、构建应用场景,组织演练任务,靶场内置了多种安全事件剧本,能够为用户提供学习和演练安全技能必要的环境和工具资源。高级演练系统中包含对靶场内业务数据的监控,可对演练活动的全过程进行过程安全监控,并能实时捕获安全事件动态,管理员可以根据需要实时的调整演练任务,使整个演练活动更接近实战。一期方案 本期建设 靶场提供可视化系统,可以将靶场各项运行指标,以及网络攻防演练活动中的数据实时监控和采集,并能够通过数字化看板的形式进行展示,可用于宏观地把控靶场运行及活动进展情况等。安全实训系统 一期方案 本期建设 支持在线和线下实训,支持随堂考试,在线实操等功能,学情管理等功能。课程资源包:包含理论课程、实验课程
248、,体系化课程、电力安全课程。操作台、装修及其他费用 一期方案 本期建设 满足用户装修风格的操作台 1 套,并完成计实验室装修设计和实施。其他费用包括材料费用、运费等。2.计划计划 2 系统名称系统名称 方案工期方案工期 设备型号规格设备型号规格环改费支出用途环改费支出用途 安全竞赛系统 二期方案 高级应用 安全竞赛模块支持知识赛、解题赛、攻防赛等多种形态竞赛模式,内置大量工控安全挑战库,可以向客户定制有针对性的工控主题类型的竞赛,系统提供赛前配置、赛中监控、赛后复盘等管理功能。标准模块:答题系统、竞赛监控系统、竞赛管理系统、裁判系统。赛题资源包:包括传统 CTF 赛题和工控安全赛题资源包 12
249、0 测试验证系统 二期方案 高级应用 产品测评系统主要为用户提供针对不同工控产品及工控安全产品的测试环境以及测试工具,以及为用户提供常见的产品测试流程方法支撑资源环境。结合木链科技的漏洞挖掘系统,针对工控网络自身脆弱性和通信协议的安全性,主要围绕工控网络中可能存在的各类工控系统、设备、协议等方面的已知和未知安全漏洞,开展有效的分析和研究,对如何防御这些安全威胁提供指导作用。2.7.4 方案创新点和实施效果方案创新点和实施效果 1.方案先进性及创新点方案先进性及创新点(1 1)建设能源工控网络安全人才孵化基地建设能源工控网络安全人才孵化基地,探索产学合作模式探索产学合作模式 通过网络安全实验室的
250、搭建,推行产学融合的人才培养模式,推动专业设置、课程内容、教学方式与生产实践对接,建设具有特色的优质能源行业工控安全人才培养孵化基地,在区域内树立标杆形象。(2 2)打造完善工控安全课程体系打造完善工控安全课程体系,实践实践“理论理论+实践实践”的教学理念的教学理念 工控网络安全是一个综合、交叉的学科领域,涉及数学、物理、通信、计算机、自动化、管理等诸多学科领域的知识和最新发展成果,同时该专业也是一个实践性很强的专业。因此,应以电力行业需求为导向建立科学的课程体系,课程体系中应理论基础与工程实践并重,注重参训学员的综合素质和自学能力的培养,加强自动化、计算机网络和实践课程的训练;确立核心课程,
251、并在保证工控安全专业教育的基础性、全面性的同时,并按照其内容联系、应用需求、岗位需求、竞赛需求等划分成若干个课程模块,建立“理论教学+安全实操”的多模式相结合的创新的教学模式,促进学员安全能力的全面掌握。(3 3)加强关基安全应急响应能力加强关基安全应急响应能力,提升红蓝方实战对抗水平提升红蓝方实战对抗水平 “红队攻点、蓝队防面、以攻促防、全面消缺”,全面提升地区新能源场站网络安全人才梯队的工控网络安全“战时”水平,培养复合型人才,提升专业技能,并可有效提高该地区关基设施安全“战时”应急响应能力。121 2 2.实施效果实施效果 (1 1)方案效果方案效果 已经完成面向核电、火电、新能源和钢铁
252、等多个行业的实验室建设项 目和交付,系统运行平稳,各项参数良好,获得用户的好评和欢迎。已经积累了数字孪生技术和虚拟融合仿真技术,实现电力行业生产业务仿真(包括生产工艺仿真、控制系统仿真和通讯协议仿真),帮助用户1:1 还原了生产环境,并实现了生产数据的流动,为安全分析和攻防对抗提供了高可用性的研究载体。完成多个行业数十种生产场景的还原,为用户定制了自动化攻击流量和安全防护系统,并集成了“震网”等 50 余中典型攻防剧本,聚焦战时关基设施安全防护和应急响应,通过基于“挂图作战”理念的攻防对抗,有效提升能源行业安全从业者的实战水平。搭载了漏洞挖掘和设备固件测试高级研究工具,为客户提供最优的工控安全
253、设备检测及安全分析工具,助力用户形成契合企业实际需求的安全标准及规范。(2 2)行业效益行业效益 提高行业内单位全员安全意识 通过建设电力行业工控信息安全仿真系统,能够向组织内部全员普及工控安全防范概念,通过参观讲解、基于工控安全仿真系统做一些知名工控安全事件的还原分析,以及进行工控安全基础概念、政策法规、攻防演示培训,增强单位各部门、各级别人员的安全意识。规划行业内单位生产安全发展趋势 通过紧跟国内网工控安全防护理念的最新发展趋势,结合工控安全仿真系统内部攻防研究和行业内生产现场调研,做出对于行业内工控安全发展趋势的预测,从而提出具备可行性、先进性、可靠性的研究方向,支撑行 122 业内工控
254、安全研究团队的科研方案,提升行业内工控安全研发技术实力。加强行业内单位生产安全管理能力 通过模拟工控安全事件发生全流程,让电力关基运营管理人员对安全事件的准备阶段、发生阶段、处置阶段有直观的认识,从而能够梳理当前组织内部在安全管理方面的不足,提升组织在安全事件防范、治理等方面的管理能力。提升行业内单位应急响应能力 安全事件的发生往往无法预知,因此除了安全防御体系的建设,安全事件应急响应处理也是整个安全防范工作的重中之重。通过工控攻防实验室能够模拟各类主流安全事件,结合真实直观的“实战演练”场景,提升组织对于安全事件的应急响应能力。降低行业内单位工控安全风险 通过建设工控安全仿真系统,能够做到:
255、增强全员安全意识、增强安全管理水平、培养工控安全人才、提升安全事件的应急响应能力,同时能够结合蜜罐系统、靶场系统等系统,在通用安全设备+安全软件的基础上,有效降低工控系统的安全风险,提升安全防范实力。(3 3)经济效益经济效益 面向行业的工控安全人才培养 鉴于当电力行业对工控系统信息安全人才的需求,利用攻防实验室能将理论与实践结合,在实现工控安全概念、政策法规培训的基础上,通过攻防演示、协议解析等偏技术类课程,培养工控安全相关的攻防人才,从而提升组织内部的工控安全防范技术实力。面向行业的工控安全标准体系研究 基于对电力能源等相关在工控安全领域已经建立较为完善标准体系的行业的标准调研,结合工控安
256、全实验室内攻防经验、行业内单位工业现场 123 现状和工控安全防护体系部署现状,研究面向煤化工行业的工控安全标准体系,在理论与实践结合的过程中将标准体系逐步推广至实验室仿真环境、试点环境、工业现场非核心区域、工业现场,在不断论证中打磨电力行业工控安全标准体系。推广行业内先进安全防护解决方案 从安全部署、安全测评、安全服务等多个角度评估行业内工控安全解决方案和产品向行业进行集成推广的可行性与应用价值,为行业典型系统和装备的集成推广奠定坚实基础,并进一步将先进工控安全解决方案、技术和产品推广向行业内有需求的典型单位,提升行业内单位的工控安全综合建设水平。面向行业的工控安全测评体系 随着终端用户对工
257、控网络安全的逐渐重视,工控网络的安全防护产品和各种安全解决方案在市场端逐渐增多,众多的工控安全产品和解决方案对工控网络防护的效果良莠不齐,产品测试系统可以帮助用户和解决方案应用单位了解产品的具体功能性和详细指标,也可以通过使用测试与验证工具对安全设备和工控设备的功能与性能进行完整性和达标性测试。目前电力行业工控系统中所采用的核心设备,国产设备有一定占比,在“数字换转型”和“双碳”背景下,新型电力系统及海量终端广泛并网,未来电力监控系统将迎来更多新型智能终端、5G 设备、工控设备和工控安全设备接入,会带来各类安全风险。通过建立完善的安全测评与准入制度体系,加强工控安全测试、评估、验证,让新技术、
258、新产品、新系统能够在完善的监管测评之下进入现有工控系统当中来,将极大地增强行业发展安全稳定性,同时有利于逐步提高单位在工控安全测评方面的技术实力,推进工控系统、工控安全系统自主化的进程。2.7.5 单位基本信息单位基本信息 124 浙江木链物联网科技有限公司是专注于工业互联网安全技术研究、安全产品开发的国家高新技术企业,为客户提供产品定制、安全咨询、威胁评估、等保建设、人员培训、系统运维等全流程服务,已打造军工、烟草、电力能源、轨道交通、智能制造等多个行业整体解决方案。木链科技依托国内领先的大数据处理引擎和协议解析能力,形成了自主可控的技术体系。通过覆盖工业企业全产业链、全生命周期、全业务流程
259、的产品和服务,以工控安全为切入点,实现了从工业生产网络到工业互联网的全方位防护,并已承担多个国家关键信息基础设施安全方案。木链科技坚持技术驱动,与国家工业信息安全发展研究中心、中国信息安全测评中心、中国工程物理研究院、工业控制系统信息安全技术国家工程实验室、浙江大学、上海交通大学等众多高校科研院所达成合作。在国家大力发展“新基建”、“工业互联网”的背景下,木链科技以推进工业领域信息化建设与应用为根本导向,致力于构建安全的工业互联网,打造安全价值生态,赋能我国工业信息化建设。2.82.8 案例八案例八:某省工业互联网安全综合服务平台某省工业互联网安全综合服务平台打造省打造省、市级市级工业互联网安
260、全公共服务生态体系工业互联网安全公共服务生态体系 2.8.1 方案概述方案概述 今年,工信部印发组织开展 2022 年工业互联网安全深度行活动,旨在全国范围内深入实施工业互联网企业网络安全分类分级管理工作,要求各地工信厅、通信管理局联合第三方专业机构制定实施方案 5 月 30 日前报送工信部,并在 11 月底前开展本地深度行活动。针对深度行活动提到的“分类分级管理”内容,湖南省工信厅搭建了省级湖南省工业互联网安全综合服务平台,安恒全程主导并参与平台建设。2022 年 5 月 20 日,在湖南省工信厅和省通管局联合举办“工业互联网安全 125 深度行活动”中平台正式发布,预示整个湖南省的分类分级
261、管理工作将在该平台的支撑下进行深度推广,为工业企业用户提供服务。1.方案背景方案背景(1 1)工业互联网是数字经济高质量发展的国家战略工业互联网是数字经济高质量发展的国家战略 工业互联网以数字化、网络化、智能化为本质特征的第四次工业革命正在兴起。作为新一代信息技术与制造业深度融合的产物,通过对人、机、物的全面互联,构建起全要素、全产业链、全价值链全面连接的新型生产制造的新型生产制造和服务体系,是数字化转型的实现路径,是实现新旧动能转换的关键力量。为抢抓新一轮科技革命和产业变革的重大历史机遇,世界主要国家和地区加强制造业数字化转型和工业互联网战略布局,全球领先企业积极行动,产业发展新格局正孕育形
262、成。2019 年 10 月 18 日,习近平总书记向“2019 工业互联网全球峰会”发来贺信。习近平指出,“当前,全球新一轮科技革命和产业革命加速发展,工业互联网技术不断突破,为各国经济创新发展注入了新动能,也为促进全球产业融合发展提供了新机遇。中国高度重视工业互联网创新发展,愿同国际社会一道,持续提升工业互联网创新能力,推动工业化与信息化在更广范围、更深程度、更高水平上实现融合发展”。同时,习近平强调,“深入实施工业互联网创新发展战略,系统推进工业互联网基础设施和数据资源管理体系建设,发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济”。习近平关于工业互联网的系列
263、指示体现了对工业互联网发展的高度重视,彰显了推进工业互联网发展的紧迫性和重要性。(2 2)工业互联网安全是其发展的重要保障工业互联网安全是其发展的重要保障 工业互联网包括网络、平台、安全三大体系。其中,网络体系是基础,工业互联网将连接对象延伸到工业全系统、全产业链、全价值链,可实现人、126 物品、机器、车间、企业等全要素,以及设计、研发、生产、管理、服务等各环节的泛在深度互联。平台体系是核心,工业互联网平台作为工业智能化发展的核心载体,实现海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化,以及各类创新应用开发与运行,支撑生产智能决策、业务模式创新、资源优化配
264、置和产业生态培训。安全体系是保障,建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,识别和抵御安全威胁,化解各种安全风险,构建工业智能化发展的安全可信环境。(3 3)工业互联网安全在转型过程中面临的挑战工业互联网安全在转型过程中面临的挑战 随着工业互联网的发展,IT 与 OT 不断融合,使原有的工厂内外网络边界变的模糊,由于产业模式的创新发展,工厂内外的信息传递更加频繁,这将使黑客更容易入侵到工厂内网络,攻陷生产设备和系统,对生产造成巨大损失。工业控制系统信息安全目前面临着信息安全与工控系统自身安全融合的要求。目前工业互联网安全产品还处于产品阶段的 1.
265、0 版本的时代,与目前 IT 信息安全和 IT 系统的适配程度相比还有比较大的差距。工业控制系统安全产品是与业务应用相关度比较高的产品。目前的工业互联网安全产品体现在与业务的融合度不够,在深度检测与业务相关的攻击行为的时候往往乏力,缺乏创新性的安全检测思路,防护思路往往缺乏真正有效的方法。另一方面,随着工业领域中的一些新的应用,如工业云、工业大数据等的普及,工业控制的业态也必将发生一些变化。而信息安全技术与新的业态融合时,必然需要与业务进行融合。而目前工控信息安全技术的融合还没有完全展开,需要在技术方向和应用上有所突破。2.方案简介方案简介(1 1)需求分析需求分析 政策驱动需求:政策文件的下
266、发,为各地方区域级工业信息安全监管部 127 门具有明确的监管工作指导意义,分别从如何对企业分类分级,如何做好分类分级的安全防护,以及如何做好相关安全监测预警工作给出了较为明确的工作行动目标。业务驱动需求:形成监测预警、信息通报、协同应急处置的闭环管理机制;形成工业企业分类分级安全监管闭环管理机制;形成面向工业企业提供安全服务的生态体系。(2 2)解决方案解决方案 方案将工业互联网安全“监测预警与协同应急管理”、“工业互联网企业安全合规管理”和“工业互联网安全支撑综合服务”三大业务应用融为一体,以“工业互联网安全公共服务”为核心能力,为工业互联网安全监管部门和工业企业提供“双向赋能”。打造省、
267、市工业互联网安全公共服务生态体系,逐步形成集约化工业互联网安全运营服务中心。图 8-1 集约化工业互联网安全运营服务中心 3.方案目标方案目标(1 1)提升提升、完善全省工业互联网威胁完善全省工业互联网威胁感知能力感知能力 工业互联网数字化转型过程中,业务应用场景也越来越多,因此相应的网络安全监测手段也需要进行补充和技术提升。本次建设需要提升全省 128 工业互联网企业安全整体态势感知、分析能力,实时掌握更多、更全面的各类工业互联网场景下的安全动态,在发生工业互联网安全事件时,也无法进行精准预警。为实时掌握全省工业互联网安全情况及动态,在发生安全隐患时可以进行快速、精准预警,需依托大数据技术建
268、立全省工业互联网安全感知分析能力,实现精准匹配、重点分析,并提供多个维度可视化的大数据分析结果,为研判、决策工业互联网安全保障工作提供有效支撑,提升对关键目标的管控、风险识别的水平。(2 2)建立建立省级工业互联网安全应急响应协同省级工业互联网安全应急响应协同指挥体系指挥体系 根据湖南省工业控制系统信息安全事件应急预案的相关要求,为积极落实责任要求,形成安全事件闭环管理机制,加快建立省工业互联网安全协同协作机制,需要结合实际需要对全省工业企业建立监测、预警、防范协同管理机制,建立相应的技术平台,实现省工信厅、地市工信局、工业企业、技术支撑单位级其他监管单位等在工业互联网安全安全层面上的协作、互
269、通,进一步完善监测预警、信息通报、应急处置等相关机制的建设。(3 3)建立工业领域网络安全分类分级合规管理机制建立工业领域网络安全分类分级合规管理机制 以 网络安全分类分级 为依据,完善工业企业网络安全合规管理机制,打造精细化、差异化的科学管理方式。形成面向工业互联网联网工业企业、工业互联网平台企业、标识解析企业等三类工业互联网企业开展网络安全分类分级管理工作,参照行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级,并针对不同类型、不同级别的企业提出差异化安全防护要求。组建工业互联安全评测机构和专家队伍,提供专业化工业互联网安全风险评估工具,开展对工业企
270、业的现场安全检查和信息调查。针对工业企业进行定期及不定期的巡视检查,通过建立全省工业互联网安全检查机制,借 129 助线上监测加线下检查形成监管合力,摸底全省工业互联网安全状况。(4 4)建立工业企业与省平台监测数据安全建立工业企业与省平台监测数据安全共享共享能力能力 依据工业互联网企业网络安全分类分级管理指南要求,三级工业企业需要在企业建设安全监测分析平台,并将在企业内监测的数据信息上报给省级平台。因此,需要实现工业企业安全监测分析平台与省湖南省工业互联网安全综合服务平台的安全认证与数据传输共享服务,以保证两平台间数据传输共享的安全性。(5 5)建立工业互联网安全公共服务能力建立工业互联网安
271、全公共服务能力 一是加强对省工业信息安全公共服务能力,通过对工业企业资产梳理、安全隐患监测、安全事件分析研判、应急响应支持、安全态势感知服务、安全运营服务等,提高全省工业企业提供网络安全公共服务的能力。二是针对信息安全意识、安全技能、热点安全事件定期组织安全培训,辐射全省,对各级工信单位、重点工业企业进行网络安全业务培训,形成常态化工控信息安全人才队伍建设与培养机制,增强各级各部门网络安全意识和防护水平。(6 6)建立跨平台建立跨平台数据数据采集和采集和共享机制共享机制 目前省工信厅、通管局等相关单位均对各自负责监管领域建设监测、存储系统,同时工信部已建设国家级工业互联网安全监测与态势感知平台
272、,但尚未建设各级信息互通、共享的数据交换平台,数据无法连通,工作难以互动。为解决这一问题,需建立共享数据机制,互通有无,信息共享,同时保证数据的安全性。2.8.2 方案实施概况方案实施概况 1.总体设计原则和策略总体设计原则和策略(1 1)设设计原则计原则 厉行节约原则厉行节约原则:在平台建设过程中,要尽量利用现有的信息系统、网 130 络基础设施、安全监控数据等,综合考虑对已有资源的共享和利用,避免重复建设和浪费。标准规划原则标准规划原则:在方案设计和设备选型方面遵循国家以及行业内的相关标准,严格按照有关程序组织方案建设,并且建设标准符合国家及行业提出的接口规范和技术架构。重点保护原则重点保
273、护原则:根据工业互联网系统的重要程度、业务特点,实现不同强度的安全保护,集中资源优先保护重点工业控制系统。技术先进原则技术先进原则:平台设计立足先进技术,采用先进的系统结构、开放的体系架构,使系统在一个周期内保持技术领先水平,具备长足的发展能力,以适应未来网络技术和安全技术的发展和系统使用的科学性。(2 2)设计策略设计策略 平台建设坚持三个策略:“全”。即全源化采集,在现有数据采集来源的基础上扩大数据采集范围和采集数据类型,确保平台数据来源的全面性。“优”。即整合优势产品,平台选用的产品是从众多安全厂商中优中选优,确保平台的先进性,并整合各安全设备管理能力,如等流量监测引擎、威胁感知引擎、工
274、具箱等设备可实现与平台业务系统的无缝对接。“实”。即实战化应用,平台设计涵盖监测、态势、通报、处置、情报、应急指挥、攻防演练等功能,最大程度实现工作业务需求,形成工控安全态势监管业务闭环,最大限度服务于实战。2.2.平台逻辑架构设计平台逻辑架构设计 湖南省工业互联网安全综合服务平台是为省监管部门提供工业安全数据采集、大数据研判分析、实时监测、通报预警、响应处置、应急指挥等,以及提供工业企业分类分级管理和综合安全服务一体化的服务平台。平台总体架构设计遵照“分层解耦、异构兼容”的原则,分为安全引擎 131 层、安全中台层和安全应用层三个层次,各层级以及模块之间的功能设计具有相对的独立性,从而使得整
275、个系统具有较高的扩展性。安全引擎层作为平台的基础能力层,安全中台实现数据的采集处理、挖掘分析和提供统一的数据服务,构建数据驱动业务体系。安全应用层通过建设满足用户的各类业务应用,协助监管部门开展工业互联网安全的保卫工作。平台总体架构如下图所示:图 8-2 湖南省工业互联网安全综合服务平台架构设计(1 1)可视化安全态势感知层可视化安全态势感知层 平台为监管人员、企业人员和安全支撑机构人员提供不同岗位视角的可视化安全态势感知大屏,满足不同角色需求,提供综合态势、预警态势、隐患态势、事件态势、分类分级态势、攻击者溯源态势、资产威胁溯源态势和网络星空态势。(2 2)业务应用层业务应用层 平台基于微服
276、务架构,结合用户实际需求,分别为各级用户实现各类应用服务能力,平台由可视化安全态势感知、监测预警与协同应急、安全合规管理和综合安全服务,打造完整生态,将各级监管部门、安全支撑机构、安 132 全专家等人员联合起来,一同来治理工业互联网安全问题。(3 3)安全中台层安全中台层 安全中台层包括安全数据中台、安全业务中台和安全能力中台组成,为上层业务应用提供安全数据服务、业务流程管理和安全能力服务。(4 4)安全引擎层安全引擎层 基础安全能力层为平台运行和其他单位提供必要的基础安全能力和数据来源,包括网络资产测绘引擎、威胁检测识别引擎、网络攻击诱捕引擎、网络防御引擎、威胁情报管理引擎、云端安全监测引
277、擎、网站安全监测引擎和安全检查引擎等。3.3.平台技术路线平台技术路线 (1 1)分布式存储技术分布式存储技术 分布式存储技术作为态势感知系统最为重要与基础的支撑技术。分布式存储技术能够实现结构化及半结构化数据的统一存储,兼容传统的关系型数据库以及 SQL 访问模型,同时支持对海量数据的在线实时流式处理框架和离线分布式计算框架。分布式数据库面向时序数据和小文件数据存储进行深度优化,支持第三方存储引擎和传统关系型数据库的无缝接入;支持海量混合数据的统一存储管理和在线离线一体化查询;支持可插拔安全算法模块和主流分布式计算框架;支持跨库、跨源、异构数据库之间的跨库访问和关联查询,解决了多系统交互时对
278、海量混合数据统一管控的问题;支持多源异构混搭数据间基于规则导向的高可靠近实时数据同步。主要功能包括:大数据采集存储和分析处理。满足采集海量数据储存需要,如流量信息、设备状态、链路状态等,满足大规模结构化流式数据的并发能力、吞吐量、低时延的高要求。分层架构、模块化设计、多场景支持。采用模块化的设计思路,在数 133 据访问层、数据路由层和数据存储层都提供多种高内聚、低耦合的模块,通过这些模块的灵活搭配,分布式数据库表现出不同的技术特征,从而能够适应不同的业务场景。在线检索和离线分析一体化。通过配置,分布式数据库可同时支持高速数据写入,在线交互访问、实时查询以及高并发大数据集查询在内的各种访问方式
279、,适应在线检索和离线分析等不同业务场景。混合数据支持。分布式数据库支持与传统关系型数据库 Oracle、MySQL 等联合访问。业务系统可以把部分表建在 Oracle 或 MySQL 上,把部分表建在分布式数据库上,然后透明地访问这些表,包括在这些表之间进行join、union 等操作。跨域、多数据中心支持。分布式数据库在保证数据一致性的前提下支持多数据中心或多数据集群之间近实时的跨域数据同步复制,实现系统的跨域多中心部署模式。总体处理性能,数据读写、扫描等,随集群规模扩展线性增长。分布式存储形式主要基于通用/定制化的 X86 服务器提供存储,可提供对象、文件和块存储,具备低成本、灵活扩容、高
280、并发访问等优势,通过软件保障性能和可靠性。可作为资源池的分级存储手段,满足中低端存储、数据归档备份、大数据存储等需求。采用 X86 服务器和分布式块存储软件技术的 Server-SAN 在 I/O 能力、部署速度和扩展性方面已验证优于传统块存储技术(例如 FC-SAN/IP-SAN)。分布式存储技术用于系统架构的大数据组件当中,使系统能够实现高效的数据采集和检索能力。(2 2)多源异构数据融合技术多源异构数据融合技术 大数据分析的根本是数据,针对高价值数据的分析往往事半功倍。然而测评领域大数据分析在数据方面所面对的现实问题总结下来主要分为以下 134 三种形态:来源多:包含服务数据、基础数据资
281、源、数据交换获得的私有数据资源、以及互联网采集的数据资源,这些数据随着业务的变化而变化。组成乱:数据资源包含结构化数据,如 MySQL、Oracle 等等;半结构化数据:XML、CSV 等等;以及非结构化数据。数据结构乱、形式不一。质量碎:数据往往以孤岛或碎片化的形式存在、缺少关联、语义不明确甚至缺失。面对上述问题,就需要一种能够处理、整合多源异构等复杂形态的数据归一化模型,将不同形态、杂乱无章的数据整合成统一的样式形态。同时,能够基于该数据整合模型,以“人”、“事”、“物”等数据分析为主体、实现数据的大串联、大融合,将原来孤立的“点”数据、“面”数据、“条”数据融合成为一定空间、时间范围内的
282、“块”数据,做到价值的萃取,形成业务可用的大数据。多源异构的数据融合技术运用在系统的数据治理融合层,通过体系化的数据治理方法论结合基于模型驱动的数据治理技术用以提升数据质量,便于数据分析建模的建立。(3 3)全文检索技术全文检索技术 全文检索技术是态势感知系统的核心基础功能,其基础要求是根据搜索条件快速、准确的匹配命中数据对象,为安全分析人员提供高效准确的分析工具,以便能更加快速的发现安全风险。因为大数据系统往往采用分布式存储技术,所以全文检索技术的选择必须能够支持主流的分布式存储系统。同时,分布式并行计算系统的支持也是在技术路线选择中必须考虑的因素,需能够做到对并行计算框架的无缝对接。由于测
283、评系统的大数据分析功能对数据搜索准度、实时性与多样性的要求,这就要求检索技术需支持基于关键词,数值范围,日期范围等各种复杂的搜索功能。135 全文检索技术采用倒排索引的结构达到快速全文检索的目的,倒排检索是实现“单词”-“文档矩阵”的一种具体存储形式,通过倒排索引可以更加快速的获取包含这个单词的文档列表,倒排索引主要由两个部分组成“单词词典”和“倒排文件”,具体结构如下图:图 8-3 全文检索技术架构图 全文检索技术运用在安全监测中,主要用于对监测数据的检索查询,通过查询安全分析人员能够实现对安全事件的细致分析,并将有效数据运用于模型建立当中。(4 4)关联分析可视化技术关联分析可视化技术 数
284、据关联分析即线索扩线,是一个从有限的数据线索向未知数据进行挖掘探索的过程。选用关联分析可视化技术主要因为是:数据分析人员需要在各类数据库中反复比对、查询、线索串联。运用可视化关联分析技术能够以图形化界面、流畅交互操作等形式将枯燥的数据分析变得生动,能够在很大程度上提高数据分析员的工作效率。在可视化技术选择上,能够突出数据关联关系的特征,便于分析人员理解。同时,数据统计等可视化辅助功能能够帮助分析员理解数据含义,提高工作效率。通过数据清洗、要素提取融合,系统实现多要素多维度的关联分析,从工控异常行为、工控恶意操作、僵尸网络、木马、蠕虫、勒索软件、漏洞攻击、WEB 攻击、DDOS 攻击、恶意通联关
285、系、恶意样本、恶意通信、恶意邮件、136 恶意域名、APT 攻击等安全事件入手,运用关联分析技术完成态势可视化展现,构建由微观到宏观的态势分析,形成安全攻击态势变化的能力。关联分析可视化技术用于系统的数据分析层,主要作用是将多源异构数据通过关联分析模型串联起来,找到各类数据源之间的关系,并通过可视化技术进行最终呈现。(5 5)溯源分析可视化技术溯源分析可视化技术 在处理和分析互联网事件时往往需要从海量的数据里查找有用的线索,这不但是存储、索引、计算技术的挑战,具体分析工作也面临着困难:呈现在列表式表格中的大量数据,难以发现数据的模式、趋势和关联关系等分析重要要点。可视化就是用来解决这些问题的最
286、佳方案。目前已知的对人类认知最有效的方式就是通过视觉感知,相比其他的交流呈现方式,使用数据可视化来交流具有很多的优势,包括:数据可视化能快速的进行复杂信息的交流:可视化在最小化数据细节特征损耗的同时,可以在数秒钟快速呈现上百万个点信息,非常适合与统计信息呈现。具体到本方案,对本地威胁态势全局信息的展示就非常适合采用可视化的方法,可以快速的掌握趋势、热点等重要信息,对从全局把握网络安全态势有着不可替代的作用。数据可视化能识别潜在模式:一些模式特征通过统计学方法或者扫描数据的方式难以发现,却可能通过可视化方法被揭示出来。而当在可视化展示数据的时候,存在于单个变量中的模式或者多个变量之间的关联关系就
287、可以呈现出来。数据可视化的这个特点特别有利于在网络事件调查过程中使用,通过一点线索,利用可视化分析方法,可以发现、呈现出更多和它有关联的其它信息点,达到拓线,进而溯源事件的目的。溯源分析可视化技术用于数据分析层,是态势感知系统的一类重要分析技术,主要用于对安全事件的追溯,通过溯源可视化分析方法帮助管理人 137 员准确发现攻击背后的真正意图。(6 6)威胁情报生成技术威胁情报生成技术 威胁情报的生成是一个复杂的过程,需要具备多种能力才有可能完成,一般可以分为如下图这样的八步:图 8-4 威胁情况流程图 数据收集:这是关键的一步,决定了产生的情报是否能最全面的覆盖威胁,因此往往需要聚集多种不同来
288、源的情报数据(包括但不限于样本数据、黑客团伙相关数据、DNS相关数据、WHOIS 相关数据、僵尸网络相关数据等),以保证情报质量。数据清洗:将以上数据根据后续加工的需要进行整理、去除不可信数据、将关键数据结构化等过程。数据关联:数据关联是数据验证的前提条件,通过数据关联梳理不同类型数据间的关系,如样本、样本不同方式的检测分析结果、样本的网络行为、域名注册者、域名指向的 IP、IP 上面的其它域名等。验证:通过建立了关联关系的数据,再利用机器学习的方式(有可能结合部分的人工分析)对情报的准确性进行验证,并赋予相应的可信度指标。这也是决定情报质量关键的一步。上下文:包括如攻击类型、样本家族、攻击团
289、伙、攻击目地、传播渠道、具体危害等报警响应需要的内容。优先级:根据攻击目的、具体危害等信息,确定报警优先等级信息;格式化:根据分发的要求,将情报以特定的格式输出,如:STIX、openIOC、JSON、xml 等,非 MRTI 类型的情报还可能以 PDF、word 等类型提 138 供。情报分发:根据不同类型情报的用途,可以推送给安全产品、打包供下载、或者邮件发送。威胁情报生成技术使用在数据治理融合层和数据分析层,在数据治理融合层主要解决情报信息的收集、格式化、清洗及情报分发等问题,在数据分析层实现情报信息的验证和关联分析。(7 7)总体数据库设计总体数据库设计 平台数据库设计基于海量数据采集
290、、处理、存储及分析挖掘需要,主要包括原始库、主题库、资源库、知识库和业务库等。原始库 原始库数据为前端部署的威胁检测识别引擎采集的流量数据,数据结构分为结构化数据、半结构化数据和非结构化数据。数据类型主要包括应用会话识别数据、应用会话流量数据、网络传输流量数据、应用层流量数据、用户登陆行为数据、流量审计数据和风险告警数据等。主题库 主题库是融合各类原始数据、资源数据长期积累形成的多维数据的公共集合,具有数据规模量大,且频繁更新等特点。支持通过实时计算和离线分析计算对数据执行查询、分析、映射、检索等操作,支持实现海量数据规模下检索的秒级响应。数据类型主要包括单位画像数据、系统画像数据、IP画像数
291、据、失陷主机数据、黑客组织数据、重大漏洞数据、僵尸网站数据和非常规端口开放数据等。资源库 资源库是存储各类数据资源建立的关键要素以及要素之间关联关系的公共数据集合,包括单位数据、资产数据、流量日志数据、隐患数据、告警数据、安全事件数据和其他外部数据等。139 知识库 知识库是指信息安全专业领域或与信息安全专业领域相关的特征知识数据和规则方法集合。一般通过管理手段、工作积累、第三方提供、机器学习等方式获取。数据类型包括恶意 IP 数据、恶意域名数据、告警规则数据、重大漏洞等。业务库 业务库记录业务过程,为上层业务系统提供数据支撑。数据为结构化类型且数据规模不大,常用的应用场景是查询和关联。主要包
292、括通报预警业务数据、应急指挥业务数据和管理评价业务数据等。(8 8)协同监管体系协同监管体系 平台纵向实现与工业企业、国家平台的数据贯通和业务协同,横向实现与各行业主管部门以及社会上从事网络安全工作的企业单位的数据的数据共享交换和工作业务协同,并借助安全厂家的威胁情报数据能力,提升全省网络安全监管能力。为此需要提供自动化的数据接口、制定相关数据和接口标准规范,以实现数据的传输交换。数据传输类型 传输的数据类型主要包括:安全事件类数据;安全隐患类数据;网络资产类数据;业务处理类数据。数据传输接口 查询及业务类的数据支持 HTTP 协议传输;原始数据的交换共享支持 kafka 和 syslog 等
293、方式进行大流量网络传输;140 若有特定的传输需求,支持通过协商的方式进行其他协议或组件进行数据传输。数据共享交换 平台纵向实现与工业企业和国家平台的数据共享,横向实现与行业主管单位的数据共享,并通过全面采集接入全省网络安全监管数据和第三方安全厂商威胁情报数据,形成平台数据存储中心。国家平台国家平台共享交换共享交换湖南省工业湖南省工业信息安全服信息安全服务平台务平台网信网信、国安国安、公安公安数据数据行业主管单位数据行业主管单位数据安全厂家威胁情报安全厂家威胁情报数据数据重要监测数据重要监测数据共享交换共享交换数据接入数据接入共享交换共享交换数据接入数据接入企业平台企业平台共享交换共享交换 图
294、 8-5 数据共享交换图 4.4.平台建设内容平台建设内容 湖南省工业信息安全公共服务平台是为湖南省工信厅工业信息安全监管部门提供工业安全数据采集、大数据研判分析、安全监测、通报预警、响应处置、应急指挥等,以及提供工业企业安全合规管理和综合安全支撑服务一体化的服务平台。(1 1)平台数据采集方案平台数据采集方案 工业企业数据采集工业企业数据采集 多源异构日志数据采集多源异构日志数据采集 对主流安全设备、网络设备、主机、数据库、中间件、应用系统和虚拟 141 化系统等设备异构日志进行全面采集,实现资产日志数据统一管理。同时为满足日志数据共享需求,提供收集日志转发,当原始日志设备无法设置多个日志服
295、务器时,可通过本系统进行日志转发将日志转发到其他日志存储设备。异构日志数据采集覆盖 Syslog、SNMP、OPSec、XML、FTP 及本地文件等多种协议,对安全对象属性、运行状态、安全事件、评估与检测等异构数据进行采集,针对不同类型数据能够自动适配协议。同时为提升采集性能,降低数据冗余噪音,可自定义配置日志过滤功能,对采集的重复日志进行自动聚合归并,减少日志量。全流量数据采集全流量数据采集 对网络流量数据进行采集,并将捕获的通信数据转换为数据分组报文格式递交给上层组件,作为上层特征检测引擎分析处理的原始数据。通过双向流量检测对网络流量行为进行判定(例如数据报文恶意特征匹配、资源使用情况、使
296、用者的访问行为等),识别病毒、木马、敏感信息等异常行为。威胁情报数据采集威胁情报数据采集 提供云端采集、接口采集、本地累计以及本地导入共 4 种方式进行威胁情报采集和累计。云端采集云端采集 提供针对外界的威胁情报采集、展示和利用功能。接口同步接口同步 支持动态采集开源威胁情报,也可以采集第三方商用威胁情报,至少提供一家商业威胁情报厂家接口;提供丰富的云端采集更新接口,支持安恒自身威胁情报库、第三方商用威胁情报库以及开源的威胁情报库,网络威胁情报包含恶意 IP、URL、Domain、Email 等。142 本地威胁情报积累设计本地威胁情报积累设计 支持将本地发现的安全事件和恶意 IP、域名、文件
297、、钓鱼网站、E-MAIL等事件转化为威胁情报。本地导入本地导入 支持通过本地离线包导入情报,支持通过使用离线威胁情报数据包更新情报数据。网络空间扫描探测数据采集网络空间扫描探测数据采集 采用云端网络空间资产探测雷达对全省网络资产进行侦测以及漏洞扫描和分析趋势分析,快速识别全省以公网 IP 接入互联网的物联网设备、工控设备、应用系统、网络设备的存活情况、开放端口、组件等信息。通过对互联网资产、邮箱资产、监控设备资产、工控设备资产等各类资产进行探测,识别其指纹信息、漏洞信息以及可能受攻击情况,摸清全省资产底数,为监测、预警、溯源等提供基础数据支撑。现场检查数据采集现场检查数据采集 现场检查数据是通
298、过工业控制系统安全检查工具箱对企业进行安全检查过程中所采集的数据,主要包括企业安全合规自查数据、资产漏洞、流量分析、配置核查、恶意代码等检查数据。采用离线采集方式,将工业控制系统安全检查工具箱的检查数据导出后,再通过工业企业分类分级模块的进行数据导入,以完成采集动作。第三方平台数据采集第三方平台数据采集 鉴于本地监测存在单点监测的局限性和高级威胁监测的不足,平台将接入第三方威胁情报数据,按一定的时间规则推送到本地平台大数据中心,并利用大数据平台机器学习能力,结合互联网上活跃的数百亿样本以及样本的行为进行实时追踪分析以及事前预测。数据采集管理数据采集管理 143 采集部署采集部署 数据采集引擎实
299、现个性化数据采集,支持配置不同采集策略,如动态配置采集周期,清洗过滤策略等。采集部署支持如下功能:支持分布式多节点部署;支持多采集节点存活、健康状态监控,发现节点异常后,及时告警;支持对采集节点进行性能监控,保证采集性能与数据量匹配,防止数据丢失;支持对采集策略进行管理,包括采集频率、采集协议、采集目标、过滤策略等;支持流量数据镜像采集,支持在多个机房交换机上复制镜像,分布式部署分光器和 DPI 进行采集,并将多余接口关闭;支持主机终端数据采集,支持数据库审计分析数据采集;支持数据汇聚,综合考虑专网传输性能的基础上,满足将多个机房采集到的数据传输汇聚。采集协议和频率管理采集协议和频率管理 适配
300、各种采集数据源,需要支持多种采集协议,以实现对各类数据的采集,包括不限于安全对象属性、运行状态、安全事件、评估与检测等数据。为实现对包括安全对象的属性、运行状态、安全事件、评估与检测等数据的采集,针对不同类型的数据以及对应的适配协议(2 2)平台安全中台建设方案平台安全中台建设方案 安全中台层包括安全数据中台、安全能力中台和安全业务中台。安全数据中台设计安全数据中台设计 安全数据中台实现对所有监管数据、威胁情报库数据的整合、归档、应用以及对上层提供数据服务能力;包括安全大数据中心和安全大数据分析引擎两部分。其中,安全大数据中心主要提供数据集成、数据管理、数 144 据目录等功能,通过统一的数据
301、接口为上层提供数据服务。安全大数据分析包括实时分析、离线分析,为上层提供统一的安全大数据分析能力。架构设计架构设计 安全数据中台的总体目标是建设一个完善的信息资源共享服务技术体系,建立信息共享的标准和规范,为平台上层业务应用提供统一、开放、标准、完整的信息资源服务;全面开展内外部数据归集、整合、重新组织、共享等工作,建立完整的信息共享资源目录和信息资源服务能力;提供统一的大数据处理服务能力,提升信息资源服务能力,解决平台对海量数据的深度挖掘、分析、应用的迫切需求。大数据服务平台是基于平台建设,以服务应用为根本目标,建立信息资源服务能力和大数据处理能力,实现数据集成、数据整理、数据共享、数据分析
302、等数据处理及服务能力。功能架构功能架构 安全数据中台遵从数据安全和数据标准的规范,并按照数据采集、数据处理、数据治理、数据资产、数据服务和数据运维几个方面进行有机结合。全方位打造集“采集”、“融合”、“服务”于一体的数据服务平台。图 8-6 安全数据中台功能架构图 145 技术架构技术架构 大数据中心是大数据存储和计算的基础,对外提供统一的各类型数据存储、计算、分析等能力,可满足多源异构海量数据存储、查询、计算。数据采集包括实时采集、自定义接口采集和离线采集,支持各类数据源数据 接入,如日志数据、流量还原数据、syslog 数据及用户自定义数据等。数据预处理实现数据消息缓存和 ETL。数据存储
303、实现外部数据保存至大数据服务平台。数据存储需支持结构化数据、半结构化数据、非结构化数据等多种数据类型。数据存储中包含两大主要部分,非结构化存储系统、半/结构化存储系统。安全大数据分析引擎实现安全数据中台的计算功能。数据计算能够对所有已保存的数据进行计算,并且提供相应的计算调用接口,能够满足外部分析系统的调用。数据计算中包含实时流分析和离线分析两部分。运维管理包括大数据管理系统和大数据交互系统,支持数据平台的所有组件集中安装、部署。支持对数据平台各个组件的配置管理、动态调整配置实时生效。图 8-7 安全数据中台技术架构图 146 安全业务中台设计安全业务中台设计 构建工作流引擎,快速有效的支撑不
304、断出现、迭代、优化的安全管理业务流程:一是可以通过引擎完成业务流程的节点编排,支持用户完成通报、预警、通知、检查等业务流程的构建;二是通过引擎对参与到业务流程的用户权限进行合理的配置,包括审核权、回退权、处置权、办结权等,需能通过引擎合理的进行赋权,且支持用户级的权限变更和删除;三是通过引擎将流程与资源库、业务库中的相关表单进行关联,并通过引擎支撑业务流程中挂载业务、处置表单的自定义,完成业务数据和流程的动态结合,真正将流程与业务紧密捆绑。工作流引擎工作流引擎 随着工信安全业务的快速发展,通报、预警、检查等业务流程越来越精细化、人性化,其相关的流程、表单也不断在进行迭代优化,因此在这种快速发展
305、的环境下,需要有一套工作流引擎高效、人性化地支撑变化的业务。需要构建工作流引擎,快速有效的支撑不断出现、迭代、优化的安全管理业务流程,满足以下三方面:一是可以通过引擎完成业务流程的节点编排,支持用户完成通报、预警、通知、检查等业务流程的构建;二是通过引擎对参与到业务流程的用户权限进行合理的配置,包括审核权、回退权、处置权、办结权等,需能通过引擎合理的进行赋权,且支持用户级的权限变更和删除;三是通过引擎将流程与资源库、业务库中的相关表单进行关联,并通过引擎支撑业务流程中挂载业务、处置表单的自定义,完成业务数据和流程的动态结合,真正将流程与业务紧密捆绑实现用户的管理需求。自动化办公引擎自动化办公引
306、擎 工信安全管理业务中涉及到安全专家、安全管理员、安全审核员、安全联络员等众多角色和人员,这些角色需要参与到不同流程的不同环节中,为了提升业务流程的处置时效性,需要实现业务的多端发起、多端触达和汇聚 147 呈现,需求通过相应引擎使得业务多端自动流转贯通。需要构建自动化办公引擎,实现业务的多端通信、汇聚,满足以下两方面:一是通过引擎将 PC 端和移动端发起的业务自动的向另一端实时同步,满足用户随时通过移动端发起、办理相应业务的需求;二是需求通过引擎从平台所有业务模块中获取当前用户待办事宜,提供给 PC 端或者移动端的门户页面,支持客户在一个页面中就能完整的了解当前待办事务,提升处置效率。值班排
307、班调度引擎值班排班调度引擎 工信在应急活动保障期间和重大事件应急处置中需要快速的传达信息到相应的值班专家、安全管理员处,因此需要制定相应的值班排班表,并根据排班表进行高效的人员调度。需要构建值班排班调度引擎,实现以下功能:一是通过引擎,支持用户在相应重保活动或应急处置保障期间,对安全专家等角色的值班工作进行排班,且自动化的通知到相关人员;二是通过引擎,自动向相应业务流程发布排班信息,使得值班期间相应业务可自动派单值值班人员;三是支持通过引擎调度短信网关、移动端应用通知等通知通道,将值班安排、业务流程等第一时间送达相应的用户处;四是支持引擎将平台用户登录、操作情况与值班表自动进行匹配、关联,定期
308、生成值班分析报告,供用户进行后续工作考评和优化。绩效管理引擎绩效管理引擎 工信安管工作由众多角色、厂商参与支撑,旨在推进了辖区内被监管单位提升网络安全工作质量。为了对平台人员/厂商的支撑绩效进行科学合理的评价,同时也对辖区内被监管单位的网络安全工作效果进行评估,需要绩效管理引擎进行自动化的初始绩效输出。绩效管理引擎需要实现以下功能:一是通过引擎,可以对平台内已有的资源库、业务库中的相应指标项进行提取,支持用户结合实际绩效考核方案 148 对指标进行自由的遴选、组合,进而生成符合工作实际场景的绩效评价表和评价方案;二是确定评价表和评价方案后,通过引擎周期性或按指令对全平台相应数据进行采集、统计、
309、核算,并自动统分,输出相应的绩效报告;三是支持客户对平台外的数据进行录入后作为绩效考核项,进而更加全面、科学的给出绩效报告。安全能力中台设计安全能力中台设计 安全能力中台包括安全能力中心和安全能力管理,可将各种安全能力服务化,形成安全服务目录,实现安全资源的灵活调度,从而对基础安全能力进行统一管理。安全能力中心约定系统建设的安全能力目录,包括安全检测能力、智能安全分析能力以及态势感知能力。安全能力管理约定系统建设的安全能力调度和实用能力,例如能力编排、能力调度、策略管理以及场景管理功能。架构设计架构设计 安全能力中台包括安全能力中心和安全能力管理。安全能力中心约定本次建设的安全能力目录,包括安
310、全检测能力、智能安全分析能力以及态势感知能力。安全能力管理约定了建设的安全能力调度和实用能力,包括能力编排、能力调度、策略管理以及场景管理功能。图 8-8 安全能力中台功能架构图 149 安全检测能力安全检测能力 安全检测能力主要包括基础安全能力中的威胁识别能力、关联检测能力接入和统一管理。主要依赖安全基础安全能力中的资产发现识别、漏洞扫描和深度流量威胁检测等产品来实现多维安全检测能力。通过对各种安全基础安全能力的封装和编排,终端、边界等实体防护对象提供安全检测服务,快速发现已知和未知的安全威胁。安全检测能力能够通过安全能力管理对安全检测能力管理、数据分析、规则管理、安全基础资源管理实现自动化
311、编排和协同联动。安全检测能力结合大数据相关技术和智能算法,从资产角度出发,重点关注资产管理,提供基线核查配置,并结合多种角度维度分析攻击,全局化地安全态势感知能力,智能感知攻击中的安全事件,为用户信息系统安全识别、威胁检测和安全业务管理提数据支撑。智能安全分析能力智能安全分析能力 智能安全分析能力主要包括流量关联分析、情报碰撞分析、攻击画像和原始日志检索。态势感知能力态势感知能力 态势感知能力主要在全局监测数据、检测数据、智能分析数据等多维数据的综合态势分析之上,形成综合态势、攻击态势、威胁态势、预警态势等多种态势感知能力。风险隐患调查能力风险隐患调查能力 隐患调查功能是安全监测的核心功能,实
312、现独立的安全事件采集、分析和集中管理功能。主要提供如下功能:安全设备告警事件管理。为用户提供集中的安全设备告警事件管理功能,支持事件分析和处置及误报标记;风险隐患统计。提供以资产维度和攻击链维度的安全事件统计功能,支 150 持根据资产和攻击链进行事件检索和攻击影响范围分析;风险隐患溯源。提供安全事件一键溯源和关联攻击链功能,可关联威胁情报、安全告警、安全原始数据上下文等信息,极大的方便安全事件调查和分析;资产管理调查。提供以资产为维度的安全威胁调查,以攻击链的方式展示资产受攻击的过程和正处于的被攻击状态;提供的调查维度包括资产间访问关系、行为画像、服务/请求的端口以及弱点等信息;攻击知识图谱
313、调查。提供通过全流量数据生产的企业网络安全攻击知识图谱,为用户提供单个资产为视角出发的攻击知识图谱和全网络的攻击图谱,支持图谱的向下钻取和关系扩展,图谱信息包括攻击链阶段、协议、端口等信息。安全能力管理安全能力管理 基于构建的能力体系,通过剧本编排,对分析、响应处置过程中各种复杂的分析流程和处理平台进行整合,形成自动化的能力集成,实现从静态事件响应到动态工作流跟踪的转变,提升整体的协调及决策能力。剧本以原始数据或安全事件作为输入,结合统计分析以及统计模型、情报模型、关联模型进行分析,并实现追踪溯源、联动阻断等响应动作,最终上报监控单位并通知管理员。具体流程如下图所示:图 7 能力编排流程图 1
314、51 (3 3)平台业务应用建设方案平台业务应用建设方案 平台基于微服务架构,结合用户实际需求,分别为各级用户实现各类应用服务能力,平台由于三个业务应用模块构成,分别是工业互联网安全监测预警与协同应急业务应用、安全支撑综合服务业务应用和企业合规管理业务应用,打造完整生态,将企业、安全厂商、监管机构联合起来,一同来治理工业互联网安全问题。监测预警与协同应急监测预警与协同应急 监测预警与协同应急为工业互联网企业监管部门提供一套具备工业互联网企业安全数据采集、数据处理、存储、分析,以及对安全事件实时监测、通报、预警、处置的一体化解决方案。主要业务应用包括实时监测、态势感知、分析研判、通报预警、威胁情
315、报、应急指挥等,全面提高工业互联网网络安全监测、预警与应急响应水平。实时监测实时监测 实时监测针对工控系统、工控设备、服务系统、网络设备、终端、物联网设备等在线网络资产的资产分布、漏洞和指纹信息进行扫描探测和统一管理,摸清区域资产底数。及时发现各类网络攻击、风险隐患、安全事件以及网络资产。实时临测主要包括验证中心、成果中心、搜索中心和监测任务中心。图 8-9 实时监测界面 152 分析研判分析研判 分析研判利用大数据关联分析技术,结合机器学习算法,自动对流量、情报、攻击等数据进行分析;分析研判提供对平台汇总的各类监测服务威胁信息的专家核验功能。并为威胁分析人员提供包括情报关联分析和模型算法分析
316、功能。为平台业务人员提供各类统计分析能力和模型,可实现基于平台威胁告警信息和统计分析模型生成的预警信息,为湖南省网络安全预警业务提供基础能力,主要包括模型中心、追踪溯源、可视化中心、报告中心和知识库。图 8-10 分析研判界面 威胁情报威胁情报 威胁情报是一种基于证据的知识,包含了上下文、机制、指示标记、启示和可行的建议。威胁情报描述了现存的或者是即将出现针对网络资产的威胁,并可以用于通知主体针对相关威胁或危险采取某种响应。高级威胁尤其 APT 攻击手法隐蔽,危害巨大,主要针对掌握有重要数据和信息的特定人群,攻击一经发生就会导致国家重要价值资产的泄密流失,而且后续定位、追查、定性都会遇到技术难
317、度。高级威胁情报可以对 APT 攻击事件的定位、发现、定性、溯源提供良好的支撑,可以强化安全保障部门对各个重点保护 153 企业的监控力度和防护强度。图 8-11 威胁情报界面 通报预警通报预警 通报预警提供对安全事件、风险进行及时预警、通报和处置的功能。当监测到工业控制系统存在重大风险隐患,或产生重大安全事件时,通过平台进行通报,被通报的工业企业按期反馈处置结果。平台需具备多种通报方式,包括钉钉、短信和邮件等。在发生严重情况时,可立即通过短信、钉钉等方式进行通报;当系统监测到轻微安全隐患时,可进行预警提醒或限期整改,被通报单位须及时反馈处置结果。图 8-12 通报预警界面 154 应急指挥应
318、急指挥 应急指挥基于挂图作战理念,基于 GIS 系统的可视化特性,同业务系统进行数据对接,通过直观图形化点击拖拽等方式支撑各级单位、人员的活动监控和应急指挥两个应用场景。其中活动监控是通过可视化技术直观展示活动的实时情况,包含:当前活动的进度,活动的资源、活动的威胁情况、活动的值守情况、活动的各项业务开展情况等信息。应急指挥将活动要素在地图上展示,在发生突发事件时,支持指挥中心“挂图作战”,依据地图展示的资源来对事件的处置。图 8-13 应急指挥界面 态势感知态势感知 态势感知中心提供网络安全威胁可视化的入口,基于平台获取的各类监测数据及日常业务流转产生的业务数据,以网络安全事件与威胁风险监测
319、为驱动,对网络空间安全相关信息进行汇聚融合,从不同视角感知网络安全态势。态势感知系统以单位数据、资产数据、网络安全事件与威胁风险监测为驱动,基于多维态势可视化技术,对网络空间安全相关信息进行汇聚融合,155 从不同视角出发感知网络安全态势。图 8-14 态势感知界面 工业企业安全合规管理工业企业安全合规管理 工业企业安全合规管理,首先可以服务于参与分类分级工作的主管部门、工业互联网企业和工业互联网安全评估机构等用户,功能覆盖工业互联网企业分类分级工作的全部环节,提供企业定级管理、合规自查、风险评估、安全整改和档案管理等相关功能。其次可满足工业互联网企业网络安全分类分级工作信息化管理要求,将各参
320、与方的工作纳入规范流程中,并做到工作留痕,推进相关工作的规范化、常态化、便捷化。定级管理定级管理 根据管理指南要求,工业互联网企业需要开展自主定级工作,主管部门需要定期对工业互联网企业开展抽查,指导企业准确定级,为主管部门更好指导企业准确定级,分类分级业务应用提供定级核查功能,主管部门可对工业互联网企业提交的自主定级信息进核查,并将核查情况反馈给工业互联网企业。同时,针对已定级的企业提供定级清单管理及统计分析功能,主管部门可掌握管辖范围内工业互联网企业定级情况。156 图 8-15 定级管理概况界面 安全合规自查安全合规自查 监管部门定期对企业开展合规自查工作,便于落实与自身安全级别相适应的防
321、护措施。提供符合性管理和企业安全自评估功能。图 8-16 企业合规自查界面 符合性评估任务管理符合性评估任务管理 符合性评估任务管理为监管部门提供对工业企业的在线评估工作,评估内容主要依据工业互联网企业数据安全防护规范、工业互联网平台企业安全防护规范 和工业互联网标识解析企业安全防护规范 开展对企业的符合性评估工作。157 监管部门通过从基础库调用符合性评估模板建立评估任务,可从企业定级清单中先择要评估的对象,根据不同的企业类型和级别对企业进行在线下发评估任务,可选择评估任务的跟踪人,包括监管部门、安全支撑单位;能够对评估任务的保存、下发和删除,以及任务的状态跟踪;能够对符估的任务设置限时完成
322、评估的时间;能够对企业名称、任务跟踪人等进行查询。企业用户接收到任评任务后,按时间要求进行评估,评估后可自动生成评估报告并提供下载功能,该报告也同时会展示给监管部门提供查看与下载。安全自评估安全自评估 安全自评估是提供给企业进行自我评估的方法,自我评估的结果不会上传给监管部门用户,目的是让企业能够通过自评估发现自身存在的问题,做好提前整改的工作。安全自评估为企业提供自评估模板,企业可根据自身企业类型和等级选择评估模板进行自查,同时提供自评估的进度状态、结果和报告查看与下载功能。图 8-17 安全自评估界面 158 风险评估风险评估 工业企业应基于工业互联网安全相关标准,定期开展评估评测工作,便
323、于落实与自身安全级别相适应的防护措施。分类分级业务应用提供对企业的安全估计管理,安全评估用于监管部门开展对企业的风险评估与情况上报上给主管部门。监管部门通过下发安全评估任务,实现对各企业的安全评估工作,安全评估是通过评估对使用的安全评估工具开展对企业的评估工作,当完成评估工作后,可将评估数据上传至平台,监管部门查看报告,如果报告查看不满足安全要求,则要求企业限期整改,同时支持对企业整改工作的跟踪工作。图 8-18 风险评估界面 安全整改安全整改 工业企业根据监管部门安全检查和评估工作过程中发现的重大安全隐患,开展网络安全整改工作,并将安全整改情况报送给主管部门,安全整改报送内容包括整改名称、整
324、改企业、整改依据、整改内容、整改建议和限期整改信息。主管部门查看各企业报送的网络安全整改信息,了解存在网络安全隐患的企业安全整改工作落实情况并及时跟踪整改进度。159 图 8-19 安全整改界面 档案管理档案管理 企业档案针对终端、监控、工控、在线业务系统等在线网络资产的资产分布、漏洞和指纹信息进行统一管理,摸清企业资产底数,形成统一的资产立体化监管,形成更加细化的信息系统资产数据:按所属行业、机关横向分类;按所属地域、行政归属横向分类;按工业互联网企业类型、等级纵向分级;按信息系统重要、敏感程度纵向分级;按信息系统脆弱程度、可用程度纵向分级。以资产管理为核心,以资产数据为基础,与隐患、事件、
325、攻击、情报、单位信息等数据进行深度分析,支撑考核评价、信息共享、安全专项、数据安全监管、APP 监测等核心业务,共同构建指挥驾驶舱。图 8-20 档案管理界面 160 图 8-21 企业安全画像界面 安全支撑综合服务安全支撑综合服务 安全支撑综合服务是湖南省工业信息安全公共服务平台的门户,是为工业企业、监管机构、安全厂商提供统一安全服务,主要包括培训服务、检测服务、监控服务、工业云安全服务、工业 APP 安全服务、安全运营服务、安全咨询服务和安全保险服务,同时将监测与态势感知各业应模块、工业企业分类分级各应用模块作为统一的服务入口,提升日常运营效率。161 图 8-22 安全支撑综合服务界面
326、5.5.配套管理机制配套管理机制 多级协同安全预警与应急响应管理机制是根据湖南省工业控制系统信息安全事件应急预案的相关要求、流程进行设计。提供对安全事件、风险进行及时预警、通报和应急处置的功能。当监测到工业企业存在重大风险隐患,或产生重大安全事件时,通过平台进行通报,被通报的工业企业按期反馈处置结果。平台需具备多种通报方式,包括钉钉、短信和邮件等。在发生严重情况时,可立即通过短信、钉钉等方式进行通报;当系统监测到轻微安全隐患时,可进行预警提醒或限期整改,被通报单位须及时反馈处置结果。总体应急处置流程为 湖南省工业控制系统信息安全事件应急预案 中的“监测预警和应急处置流程图”,具体流程详见下图所
327、示:162 图 8-23 监测预警和应急处置流程图 同时,还根据总体流程,制定了监测预警流程与应急处置响应流程。如下图所示:163 图 8-24 监测预警流程图 164 图 8-25 应急响应处置流程图 6.6.技术升级与动态更新方案技术升级与动态更新方案 本方案充分考虑未来技术发展,整体平台才有用分层解耦的方式设计,使用模块化、集群化编程思想,整体平台天然具备功能模块扩展能力和系统架构扩展能力,提供了完善的技术升级和动态更新解决方案。(1 1)功能模块化扩展功能模块化扩展 应急响应厅应急办市(州)工信部门工业企业技术支撑单位阶段重大事件较大事件一般事件发生安全事件接收安全事件报告组织先期处置
328、协助先期处置判断事件级别报领导批准,启动I级响应启动II级响应组织应急处置成立应急指挥部,组织技术支撑单位支援提供技术支援启动III级响应组织应急处置启动IV级应急响应实施应急处置措施应急处置和支援保障处置结果反馈III类处置完毕IV类应急处置完毕宣布应急结束通报有关工业企业II类处置完毕I类处置完毕通报有关地区企业提出建议通报有关地区企业报告工信部特别重大事件 165 采用 Storm 集群进行实时流数据分析计算,提供方便的可扩展处理能力;采用 Spark 进行高性能的离线处理,利用 Spark 的底层框架作为其执行基础。基于模块动态扩展技术,平台将每个计算、分析功能作为一个功能模块,可以实
329、现模块级别的扩展,比如需要增加一些新的安全分析检测功能,只需将新开发功能按照一定规则和接口动态的纳入到分析计算引擎中,就可以动态的实现分析功能的扩展。实实时分析插件模块化技术时分析插件模块化技术 目前主流的传统大数据平台提供Hadoop 架构对大规模数据的计算进行分解,然后交由众多的计算节点分别完成,再统一汇总计算结果。Hadoop 架构通常的使用方式为批量收集输入数据,批量计算,然后批量吐出计算结果。然而在安全大数据分析的应用场景下,通常对告警的实时性要求较高,需要对海量的原始数据进行实时流式处理和持续处理,Hadoop 架构难以处理实时性要求较高的业务。针对这一难题,安恒采用运行拓扑(to
330、pology)的strom 架构,极大的降低了安全事件的告警延迟。Storm 集群提供控制节点(master node)和工作节点(worker node)。控制节点上面运行一个叫 Nimbus 后台程序,负责在集群里面分发代码,分配计算任务和监控状态。每一个工作节点上面运行一个 Supervisor 的进程,监听分配给它那台机器的工作,根据需要启动/关闭工作进程 worker,多个工作进程 worker 组成拓扑(topology)。数据流交互如图所示。图 8-26 数据交互示意图 166 工作进程 worker 中每一个 spout/bolt(数据处理单元)的线程称为一个 task(任务)
331、,使用 Spout/Bolt 编程模型来对消息进行流式处理。Spout组件是消息生产者,支持从多种异构数据源读取数据,并发射消息流,Bolt组件负责接收 Spout 组件发射的信息流,并完成具体的处理逻辑。在复杂的业务逻辑中可以串联多个 Bolt 组件,在每个 Bolt 组件中编写各自不同的功能,从而实现整体的处理逻辑,只需将不同的实时分析数据处理任务按照一定的规则和接口纳入和封装到 Bolt 组件中,就可以动态的实现实时分析功能的模块扩展。离线批处理分析模块化技术离线批处理分析模块化技术 目前在离线数据批处理应用中,主流使用的是基于 Hadoop 架构的MapReduce 分布式计算框架,在
332、安全事件溯源分析应用场景中,需要关联多维、多源的数据,如日志、流量、漏洞数据以及威胁情报,甚至其他检测模型的分析结果等数据,计算和处理逻辑比较复杂,MapReduce 的 copy 阶段要求每个计算节点从其它所有计算节点上抽取其所需的计算结果,copy 操作需要占用大量的网络带宽,十分耗时,从而造成 Reduce 任务整体计算速度较慢。在实践过程中使用自主研发的任务调度系统取代 MapReduce 框架,使用 ElasticSearch 集群存储需要进行离线分析的数据,解决 MapReduce 的copy 阶段的占用大量的网络资源的问题。如图所示,每个 Job 中含有 1 个或多个 Stage
333、,Stage 一般在获取外部数据和 shuffle 之前产生),然后以Stage(或者称为 TaskSet)提交给 Task Scheduler,Task Scheduler 负责将 Task 分配到相应的 Worker,最后提交执行,从而从而实现整体的处理逻辑。当有新的离线分析和数据批处理的需求是时,只需将不同的离线批处理分析数据的任务按照一定的规则和接口纳入和封装到 TaskSet 中,然后就可以动态的实现批处理功能的模块扩展。167 图 8-27 任务调度系统架构示意图(2 2)系统架构扩展系统架构扩展 系统间通讯的透明化。系统通过采用分布式系统,利于系统的简便易行的分布式部署,同时实现对开发人员的通讯透明,简化了定制开发的难度,确保了系统的可扩展性。系统间模块的耦合性低系统间模块的耦合性低 通过使用面向消息的中间件作为应用架构的主干有效降低系统间各模块的耦合性,模块直接的接口通用化