智能制造安全監(jiān)測與運營管理平臺

1、智能制造安全監(jiān)測與運營管理平臺引言/導(dǎo)讀360 企業(yè)安全技術(shù)（北京）集團有限公司是 360 公司繼個人安全市場后專注于為政府、軍隊、企業(yè)，教育、金融等機構(gòu)和組織提供企業(yè)級網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全 公司，法定代表人為齊向東，注冊資本 1.33 億人民幣，總部設(shè)立在北京市朝陽區(qū)酒仙橋路 6 號院 2 號樓（電子城.國際電子總部），同時公司在上海、成都、廣州、大連等地設(shè)有分支機構(gòu)。公司擁有 4000 余名網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)人員。截止目前已經(jīng)為 90%部委、72%央企、100%大型銀行以及上百萬中小企業(yè)提供了網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。本項目采用物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等工業(yè)互聯(lián)網(wǎng)先進

2、技術(shù)，在實現(xiàn)供水設(shè)備智能互聯(lián)的基礎(chǔ)上，通過對采集數(shù)據(jù)的實時分析、深度學(xué)習(xí)和數(shù)據(jù)挖掘，整合供水設(shè)備從設(shè)計、生產(chǎn)、安裝、運營、維保、報廢到優(yōu)化的全生命周期八大環(huán)節(jié)的數(shù)據(jù)，開發(fā)基于目標(biāo)用戶的設(shè)備個性化需求系統(tǒng)、設(shè)備標(biāo)準(zhǔn)化設(shè)計系統(tǒng)、設(shè)備最優(yōu)化智能生產(chǎn)系統(tǒng)、移動施工管理系統(tǒng)、設(shè)備遠(yuǎn)程監(jiān)管系統(tǒng)、設(shè)備故障預(yù)警系統(tǒng)、故障專家自診斷系統(tǒng)、維?？焖夙憫?yīng)系統(tǒng)等服務(wù)應(yīng)用，并通過 APP、Web 等人機交互工具為不同用戶提供多層次、多元化的用戶界面，構(gòu)建供水設(shè)備全生命周期的一體化管理平臺。一、關(guān)鍵詞安全監(jiān)測、運營管理四、測試床項目目標(biāo)和概述主要目標(biāo)“智能制造安全監(jiān)測與運營管理平臺”主要實現(xiàn)對智能制造企業(yè)工控系統(tǒng)通信數(shù)據(jù)

3、和安全日志進行快速、自動化的關(guān)聯(lián)分析，及時發(fā)現(xiàn)智能制造行業(yè)工控系統(tǒng)異常和針對工控系統(tǒng)的威脅，通過可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢展現(xiàn)給用戶，通過對告警和響應(yīng)的自動化發(fā)布、跟蹤、管理實現(xiàn)安全風(fēng)險的閉環(huán)管理。通過建設(shè)智能制造安全監(jiān)測與運營管理平臺，實現(xiàn)企業(yè)內(nèi)網(wǎng) IT 和 OT 安全的統(tǒng)一管理， 企業(yè)內(nèi)部通過全網(wǎng)流量監(jiān)測，提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅，降低智能制造企業(yè)在 進行工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型過程中的安全門檻，促進智能制造相關(guān)產(chǎn)業(yè)高速發(fā)展?？傮w概述智能制造安全監(jiān)測與運營管理平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺 4 個硬件模塊。如下圖所示：平臺組成架構(gòu)流量傳感器流量傳

4、感器的功能主要是采集工控網(wǎng)絡(luò)中的工業(yè)協(xié)議流量數(shù)據(jù)，將原始的工控網(wǎng)絡(luò)全流量轉(zhuǎn)化為按 session 方式記錄的格式化流量日志，全流量日志會加密傳輸給分析平臺存儲用于后期的審計和分析。日志采集探針日志采集器的主要功能是對工控網(wǎng)絡(luò)內(nèi)工控設(shè)備（PLC/DCS/RTU/HMI 等）、安全設(shè)備、工業(yè)以太網(wǎng)、上位機、服務(wù)器等設(shè)備通過主動采集或被動接收等方式對日志進行采集并進 行歸一化預(yù)處理，方便數(shù)據(jù)流后面的關(guān)聯(lián)規(guī)則和數(shù)據(jù)分析能夠快速使用。同時日志采集器 還負(fù)責(zé)對內(nèi)網(wǎng)資產(chǎn)進行掃描識別，收集資產(chǎn)數(shù)據(jù)。關(guān)聯(lián)規(guī)則引擎關(guān)聯(lián)規(guī)則引擎主要負(fù)責(zé)對來自日志采集器的大量日志信息進行實時流解析，并匹配關(guān)聯(lián)規(guī)則，對異常行為產(chǎn)生關(guān)聯(lián)

5、告警。分析平臺分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設(shè)備日志和系統(tǒng)日志， 并同時提供應(yīng)用交互界面。分析平臺底層的數(shù)據(jù)檢索模塊采用了分布式計算和搜索引擎技術(shù)對所有數(shù)據(jù)進行處理，可通過多臺設(shè)備建立集群以保證存儲空間和計算能力的供應(yīng)。五、測試床解決方案架構(gòu)(一)測試床應(yīng)用場景本平臺主要面向智能制造領(lǐng)域，對中小企業(yè)建設(shè)具有監(jiān)測、預(yù)警的管理平臺，利用平臺的實時監(jiān)測能力，有效加強企業(yè)的工業(yè)互聯(lián)網(wǎng)安全水平。水務(wù)是一個涉及到國計民生的行業(yè)，近年來中國水務(wù)向數(shù)字化、自動化、智慧化的方向發(fā)展。為保證供水生產(chǎn)設(shè)備的安全運行、預(yù)防系統(tǒng)突發(fā)性重大事故的發(fā)生，并在事故發(fā)生后迅速有效地控制和處理，最大限度地

6、減少事故損失和相關(guān)系統(tǒng)的影響，在企業(yè)內(nèi)部建立安全運營管理平臺，以數(shù)據(jù)為驅(qū)動，以安全分析為工作重點，立足于安全策略防護，充分利用大數(shù)據(jù)平臺的數(shù)據(jù)收集、查詢能力進行持續(xù)的監(jiān)控與分析；在持續(xù)監(jiān)控的基礎(chǔ)上， 實現(xiàn)安全管理體系、預(yù)警監(jiān)測體系、安全服務(wù)體系、縱深安全防護之間的有效協(xié)同和共同作用，最終形成可以有效落實的體系化安全解決方案。(二)測試床重點技術(shù)該平臺數(shù)據(jù)采集部分，除了對智能制造行業(yè)傳統(tǒng)的 Syslog、Flow、各種系統(tǒng)日志和安全設(shè)備日志以外還突破性的針對原始流量日志（依賴于流量傳感器或 360 下一代防火墻）和終端日志（依賴于天擎 EDR 模塊）進行采集。依賴于更加原始的日志信息，平臺可以發(fā)

7、現(xiàn)隱藏更深的各種威脅，同時能夠提供完整的事件回溯分析能力。平臺在數(shù)據(jù)的存儲和分析中大量使用大數(shù)據(jù)相關(guān)技術(shù)，在標(biāo)準(zhǔn)化組件中可以依賴于分布式全文檢索技術(shù)提供接近 PB 級日志量的存儲和快速計算，同時能夠提供良好的可靠性保證，以解決意外斷電、磁盤故障可能對系統(tǒng)帶來的可靠性問題。平臺使用多種分析引擎針對不同的管理目標(biāo)提供相應(yīng)支撐，關(guān)聯(lián)分析、統(tǒng)計分析、快速搜索等功能相較于傳統(tǒng)產(chǎn)品具有明顯的性能優(yōu)勢。平臺最外層提供友好、高效的交互管理頁面，既滿足了使用需求，又能夠提升工作效率。再結(jié)合威脅情報、安全服務(wù)等來自于 360 特有的安全知識輸入，該平臺可以極大的提升本地安全運營的效率。(三)技術(shù)創(chuàng)新性及先進性通過

8、全網(wǎng)流量監(jiān)測，發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的各類威脅和高級威脅，并進行情報挖掘與云端關(guān)聯(lián)分析，提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅，并將威脅情報以可機讀格式推送到本地系統(tǒng)，供本地威脅檢測和分析時使用。(四)測試床解決方案架構(gòu)該平臺將建設(shè)成一個以多種安全問題管理為目標(biāo)、以智能制造工業(yè)數(shù)據(jù)為核心、威脅情報為特色、打通安全運營中的檢測、響應(yīng)、預(yù)警、防御多個領(lǐng)域環(huán)節(jié)的完整安全體系， 能夠覆蓋安全管理與運營的各個環(huán)節(jié)，功能架構(gòu)圖如下：平臺功能架構(gòu)六、預(yù)期成果(一)測試床的預(yù)期測試結(jié)果，針對測試項（重點）1、工控系統(tǒng)關(guān)鍵資產(chǎn)管理該平臺能夠提供對企業(yè)內(nèi)網(wǎng)資產(chǎn)的掃描發(fā)現(xiàn)、手工管理、資產(chǎn)變更比對、資產(chǎn)信息整合展示等基本功能。同時

9、，提供長期的服務(wù)、流量、威脅相關(guān)的監(jiān)控，所有資產(chǎn)相關(guān)的監(jiān)控數(shù)據(jù)均可在資產(chǎn)詳情頁查看。2、工控系統(tǒng)操作行為監(jiān)測該平臺能夠?qū)崟r監(jiān)測工控系統(tǒng)控制器下裝、上傳、啟動、停止等關(guān)鍵操作行為，包括智能制造行業(yè)常用西門子 S7-300、施耐德昆騰、羅克韋爾 Control Logix 等系列工控系統(tǒng)。3、威脅發(fā)現(xiàn)及時性提升利用多種新型威脅監(jiān)測手段，再結(jié)合威脅情報的使用，該平臺能夠更快的發(fā)現(xiàn)隱藏在各類日志中的安全問題。更早的發(fā)現(xiàn)威脅，一方面可以幫助企業(yè)或單位在安全管理上更為從容，無需面臨可能被通報追查的窘境，另一方面可以留下更多挽回?fù)p失的機會，為快速的彌補安全問題提供寶貴的時間窗口。4、安全運營該平臺可以在多種

10、安全功能基礎(chǔ)之上提供安全運營，幫助用戶快速的、宏觀的了解整個企業(yè)的安全情況。對各種威脅采取措施控制指令下發(fā)至控制系統(tǒng)，形成監(jiān)控、分析、控制的閉環(huán)。(二)商業(yè)價值傳統(tǒng)工業(yè)領(lǐng)域安全防護常用的分層分域的隔離與邊界防護思路以及傳統(tǒng)的 IT 安全手段已不能有效識別和抵御所有可能的攻擊。安全監(jiān)測與運營管理平臺為智能制造中小企業(yè)的工業(yè)控制系統(tǒng)信息安全保障提供了一種有效解決方案。(三)經(jīng)濟效益通過該平臺的部署，可以實時監(jiān)控企業(yè)內(nèi)網(wǎng)的流量，及時發(fā)現(xiàn)智能制造網(wǎng)絡(luò)空間的可疑行為和風(fēng)險，大大提高了整個工業(yè)控制過程自動化領(lǐng)域的信息安全保障水平，同時提高用戶對自己使用的工業(yè)控制系統(tǒng)信息安全的自主把控能力。本平臺作為智能制

11、造行業(yè)工業(yè)互聯(lián)網(wǎng)建設(shè)和正常運行的重要支撐和保護，其建設(shè)具有良好的經(jīng)濟效益。(四)社會價值智能制造行業(yè)工業(yè)控制系統(tǒng)在我國經(jīng)濟生產(chǎn)生活中起著舉足輕重的作用，如果工業(yè)控制的信息被竊取或者被修改，可能造成人身傷亡、財產(chǎn)損失等嚴(yán)重后果，更嚴(yán)重的甚至?xí)绊懙絿野踩１酒脚_建成后，將快速面向智能制造中小企業(yè)，形成良好的工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)，加快工業(yè)物聯(lián)網(wǎng)在工業(yè)信息化產(chǎn)業(yè)中的布局，降低企業(yè)工業(yè)控制信息化的復(fù)雜度，從而讓工業(yè)充分享受信息化產(chǎn)業(yè)帶來的便利，社會效益十分顯著。七、測試床技術(shù)可行性(一)物理平臺平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺 4 個硬件模塊。主要部署在網(wǎng)絡(luò)出口交

12、換機旁，或者其他需要監(jiān)聽流量的網(wǎng)絡(luò)節(jié)點旁，接收鏡像流量，極大的避免了硬件接入至企業(yè)廠區(qū)內(nèi)部對生產(chǎn)本身的影響。(二)軟件平臺所用設(shè)備操作系統(tǒng)為 linux。八、和AII 技術(shù)的關(guān)系(一)與 AII 總體架構(gòu)的關(guān)系安全監(jiān)測和運營管理平臺在工業(yè)互聯(lián)網(wǎng)體系架構(gòu)中提供安全服務(wù)，網(wǎng)絡(luò)邊緣側(cè)接入的終端類型廣泛，數(shù)量巨大，承載的業(yè)務(wù)繁雜，被動的安全防御往往不能起到良好的效果。因此，需要采用更加積極主動的安全防御手段，包括基于大數(shù)據(jù)的態(tài)勢感知和高級威脅檢測，以及統(tǒng)一的全網(wǎng)安全策略執(zhí)行和主動防護，從而更加快速響應(yīng)和防護。再結(jié)合完善的運維監(jiān)控和應(yīng)急響應(yīng)機制，則能夠最大限度保障系統(tǒng)的安全、可用、可信。(二)AII 安

13、全（可選）智能制造安全監(jiān)測與運營管理平臺是安全產(chǎn)品，能夠連接工控防火墻、工業(yè)安全審計、工業(yè)主機防病毒軟件、工控交換機等設(shè)備，統(tǒng)一管理安全事件。同時，該平臺在出廠時已經(jīng)通過公司內(nèi)部安全審查和評估。(三)詳細(xì)清單（可選）配置和控制接口模塊接口流量傳感器21GE 管理口（電），21GE 監(jiān)聽口（電），21GE 監(jiān)聽口（光口，可插千兆光模塊）日志采集探針41GE 電口關(guān)聯(lián)規(guī)則引擎41GE 電口分析平臺41GE 電口數(shù)據(jù)通訊接口工控通信協(xié)議 MODBUS/TCP、OPC DA、S7 等。(四)安全聯(lián)系人孫樹海 HYPERLINK mailto: (五)與已存在 AII 測試床的關(guān)系參考工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟

14、成果發(fā)布測試床，現(xiàn)有 34 個測試床，主要集中在智能服務(wù)平臺、通信設(shè)備制造、家電協(xié)同制造等方面?，F(xiàn)有成果沒有從安全角度考慮建設(shè)測試 床，因此，智能制造安全監(jiān)測與運營管理平臺的部署是非常有必要的，同時需要亟待落實。九、交付件智能制造安全監(jiān)測與運營管理平臺是一個總系統(tǒng)，主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺，部署在智能制造同一個網(wǎng)段中。十、測試床使用者智能制造安全監(jiān)測與運營管理平臺建設(shè)成功后，可應(yīng)用于工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室進行展示，同時可用于威派格智慧水務(wù)生產(chǎn)設(shè)備系統(tǒng)的安全監(jiān)測、分析預(yù)警、安全態(tài)勢展現(xiàn)、威脅情報發(fā)布與使用。十一、知識產(chǎn)權(quán)說明項目實施過程中所產(chǎn)生的知識產(chǎn)權(quán)，各方獨立完成的成果所有權(quán)歸各自所有；共同完成的成果所有權(quán)，按照參與方的貢獻大小進行分配。共同完成的項目成果轉(zhuǎn)讓，須經(jīng)參與各方同意的前提下進行，任何一方不得私自開展。獨立完成的知識產(chǎn)權(quán)成果各方可獨立組織成果鑒定。共同完成的項目成果申報各級獎項，應(yīng)根據(jù)各方貢獻大小排名。具體事宜另行商定。十二、部署，操作和訪問使用流量傳感器通常部署在網(wǎng)絡(luò)出口交換機