業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知解決方案

業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知解決方案一、項(xiàng)目概況通信管理局擔(dān)負(fù)協(xié)調(diào)管理省內(nèi)通信網(wǎng)、互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全的重要職責(zé)。為進(jìn)一步規(guī)劃統(tǒng)籌省內(nèi)工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)，推進(jìn)“兩化融合”實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)向數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)變，某省通信管理局與中新賽克獨(dú)家合作，通過(guò)在監(jiān)管側(cè)部署工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)設(shè)備和控制的安全防護(hù)、對(duì)工業(yè)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估、態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警及應(yīng)急處置。項(xiàng)目背景今年來(lái)，我國(guó)從法律法規(guī)、戰(zhàn)略規(guī)劃、標(biāo)準(zhǔn)規(guī)范等多個(gè)層面對(duì)工業(yè)互聯(lián)網(wǎng)安全做出了一系列工作部署，提出了一系列工作要求。某通信管理局在對(duì)管局側(cè)信安系統(tǒng)“專(zhuān)線(xiàn)資源”進(jìn)行審核時(shí)發(fā)現(xiàn)，省內(nèi)企業(yè)基數(shù)大、工業(yè)資產(chǎn)類(lèi)型繁雜難以實(shí)現(xiàn)有效地統(tǒng)一監(jiān)管，主要存在以下幾種典型的安全問(wèn)題：線(xiàn)數(shù)據(jù)監(jiān)管不全，且缺少核驗(yàn)機(jī)制；對(duì)于專(zhuān)線(xiàn)的使用僅僅存在于數(shù)據(jù)統(tǒng)計(jì)，缺乏數(shù)據(jù)資源獲取手段和對(duì)專(zhuān)線(xiàn)數(shù)據(jù)進(jìn)行深入挖掘分析的技術(shù)手段，無(wú)法發(fā)現(xiàn)數(shù)據(jù)的潛在價(jià)值；聯(lián)網(wǎng)安全事件的監(jiān)測(cè)預(yù)警、處置溯源能力、安全態(tài)勢(shì)分析能力；針對(duì)專(zhuān)線(xiàn)接入的重點(diǎn)用戶(hù)、關(guān)鍵基礎(chǔ)設(shè)施缺少安全監(jiān)管和保障手段。因此，為規(guī)范對(duì)專(zhuān)線(xiàn)監(jiān)管的內(nèi)容和范圍，省通信管理局希望通過(guò)部署工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)違法開(kāi)辦互聯(lián)網(wǎng)信息服務(wù)進(jìn)行管控、黑灰產(chǎn)業(yè)鏈監(jiān)測(cè)預(yù)警、防范互聯(lián)網(wǎng)詐騙、為工業(yè)互聯(lián)網(wǎng)安全等工作打下基礎(chǔ)。項(xiàng)目簡(jiǎn)介本項(xiàng)目提出的工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案以工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)、關(guān)鍵基礎(chǔ)設(shè)施行業(yè)數(shù)據(jù)為基礎(chǔ)，以包含工控設(shè)備資產(chǎn)指紋、漏洞信息、安全設(shè)備信息、物聯(lián)網(wǎng)傳感數(shù)據(jù)及工業(yè)網(wǎng)絡(luò)模型等海量數(shù)據(jù)的資源池為支撐，運(yùn)用自主知識(shí)產(chǎn)權(quán)的云平臺(tái)以及工業(yè)設(shè)備，進(jìn)行全面的漏洞掃描，并通過(guò)AI分析網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、流量分析關(guān)聯(lián)技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，并具有高度可視化的界助相關(guān)主管部門(mén)對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行設(shè)備和控制的安全防護(hù)、對(duì)工業(yè)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估、態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警及應(yīng)急處置。本項(xiàng)目將公司的工業(yè)互聯(lián)網(wǎng)探針系統(tǒng)與大數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)聯(lián)動(dòng)，工業(yè)30多種工業(yè)協(xié)議識(shí)別，支持用戶(hù)自定義協(xié)議識(shí)別和元數(shù)據(jù)提取，支持協(xié)議特征庫(kù)在線(xiàn)升級(jí)，支持實(shí)時(shí)生成工控設(shè)備流量日志，工控設(shè)備終端設(shè)備應(yīng)用、行為日志，以及工控設(shè)備網(wǎng)關(guān)或后臺(tái)管理中心日志/操作系統(tǒng)日志/數(shù)據(jù)庫(kù)等日志。工業(yè)互聯(lián)網(wǎng)流量在經(jīng)過(guò)工業(yè)互聯(lián)網(wǎng)探針后，工業(yè)互可以大大減輕安全態(tài)勢(shì)感知系統(tǒng)的處理壓力，提高安全態(tài)勢(shì)感知系統(tǒng)的性能。項(xiàng)目目標(biāo)本項(xiàng)目以進(jìn)一步做好省內(nèi)基礎(chǔ)通信企業(yè)專(zhuān)線(xiàn)業(yè)務(wù)管理，強(qiáng)化屬地網(wǎng)絡(luò)信息安設(shè)范圍，有效完善體系化的技術(shù)保障能力為總體目標(biāo)。量端口、全量數(shù)據(jù)全覆蓋；準(zhǔn)確：準(zhǔn)確的技術(shù)核驗(yàn)手段，實(shí)現(xiàn)對(duì)省內(nèi)專(zhuān)線(xiàn)流量和企業(yè)上報(bào)數(shù)據(jù)的準(zhǔn)確的技術(shù)核驗(yàn)手段，有效防止企業(yè)漏報(bào)、錯(cuò)報(bào)；成統(tǒng)一資源池；開(kāi)放：開(kāi)放的能力平臺(tái)，實(shí)現(xiàn)省通管局統(tǒng)一能力平臺(tái)的建設(shè)，開(kāi)放端口，能夠?yàn)槠渌麡I(yè)務(wù)部門(mén)提供相應(yīng)的業(yè)務(wù)數(shù)據(jù)支撐；網(wǎng)站的域名、、APP、資產(chǎn)信息進(jìn)行重點(diǎn)保障。二、項(xiàng)目實(shí)施概況本項(xiàng)目方案提供工業(yè)互聯(lián)網(wǎng)流量采集、流量清洗、大數(shù)據(jù)分析與挖掘、工業(yè)設(shè)備和工業(yè)系統(tǒng)資產(chǎn)暴露情況監(jiān)測(cè)、工業(yè)互聯(lián)網(wǎng)安全漏洞掃描、異常流量分析、木馬病毒等網(wǎng)絡(luò)攻擊檢測(cè)與溯源等一站式的解決方案，使工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知系統(tǒng)更專(zhuān)業(yè)、更高效、更系統(tǒng)。項(xiàng)目總體架構(gòu)和主要內(nèi)容總體技術(shù)架構(gòu)圖1工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知系統(tǒng)總體技術(shù)架構(gòu)數(shù)據(jù)源：邊緣處理，構(gòu)建工業(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)基礎(chǔ)；IaaS：IaaS層提供數(shù)據(jù)導(dǎo)入/導(dǎo)出管理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)標(biāo)準(zhǔn)、元數(shù)據(jù)管理、血緣分析、數(shù)據(jù)質(zhì)量管理等服務(wù)；業(yè)務(wù)數(shù)據(jù)庫(kù)、專(zhuān)題數(shù)據(jù)庫(kù)、以及原始數(shù)據(jù)庫(kù)，為DaaS層的數(shù)據(jù)分析提供數(shù)據(jù)庫(kù)；DaaS：DaaS層引入人工智能、機(jī)器學(xué)習(xí)以及神經(jīng)網(wǎng)絡(luò)等先進(jìn)大數(shù)據(jù)分析技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析；SaaS：SaaS安全態(tài)勢(shì)進(jìn)行安全監(jiān)測(cè)、安全態(tài)勢(shì)分析以及預(yù)警處置。本項(xiàng)目充分利用公司現(xiàn)有技術(shù)優(yōu)勢(shì)，創(chuàng)新性的將工業(yè)互聯(lián)網(wǎng)探針與智能大數(shù)據(jù)系統(tǒng)聯(lián)動(dòng)使用，開(kāi)發(fā)了工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案。其中工業(yè)互聯(lián)網(wǎng)探針部署在工業(yè)互聯(lián)網(wǎng)接入側(cè)，利用其高性能的接入和處理能力，靈活的日志和流量?jī)?nèi)1T的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流量，經(jīng)過(guò)第一級(jí)的工業(yè)互聯(lián)網(wǎng)探針處理后，只有5G的流量送給后面的智能大數(shù)據(jù)分析系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的感知。此種方案解決了大數(shù)據(jù)系統(tǒng)普遍存圖2工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)架構(gòu)安全解決方案中新賽克工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知系統(tǒng)總體技術(shù)方案目標(biāo)是構(gòu)建工業(yè)互聯(lián)3/(GOV)網(wǎng)態(tài)勢(shì)感知平臺(tái)并建立工業(yè)安全漏洞數(shù)據(jù)庫(kù)，進(jìn)行實(shí)時(shí)分析和風(fēng)險(xiǎn)預(yù)防，對(duì)相關(guān)的工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)及漏洞等及時(shí)通報(bào)給各企業(yè)和平臺(tái)，同時(shí)可以通過(guò)工業(yè)安從而構(gòu)建工業(yè)互聯(lián)網(wǎng)共同體。在運(yùn)營(yíng)商核心路由器上做規(guī)則過(guò)濾，篩選出工業(yè)專(zhuān)線(xiàn)流量，并通過(guò)鏡像方式將流量接入到工業(yè)互聯(lián)網(wǎng)探針；的流量進(jìn)行預(yù)處理生成全息日志；工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)對(duì)全息日志進(jìn)行數(shù)據(jù)治理、數(shù)據(jù)分析，并結(jié)合人工智能等技術(shù)進(jìn)行工業(yè)資產(chǎn)、工控漏洞、工業(yè)云平臺(tái)、安全事件的監(jiān)測(cè)。圖3工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案網(wǎng)絡(luò)架構(gòu)安全及可靠性安全性系統(tǒng)設(shè)計(jì)保障用戶(hù)、業(yè)務(wù)、數(shù)據(jù)解耦，確保原始數(shù)據(jù)安全，同時(shí)硬件配備高“”。建立嚴(yán)格的安全授權(quán)管理機(jī)制?？煽啃韵到y(tǒng)設(shè)計(jì)選用工作性能穩(wěn)定的軟、硬件。保證系統(tǒng)可靠連續(xù)7*24小時(shí)的無(wú)故障運(yùn)行。數(shù)據(jù)備份存儲(chǔ)，且存儲(chǔ)系統(tǒng)布置容災(zāi)系統(tǒng)，確保數(shù)據(jù)存儲(chǔ)可靠。本系統(tǒng)可支持7*24小時(shí)穩(wěn)定運(yùn)行，軟件系統(tǒng)全年無(wú)故障率不低于99.999%。三、下一步實(shí)施計(jì)劃該項(xiàng)目已在某省通信管理局進(jìn)行部署與實(shí)施，從實(shí)施效果來(lái)看，該項(xiàng)目經(jīng)受工業(yè)互聯(lián)網(wǎng)的安全保障提供了有力的支撐。下一步建設(shè)的主要內(nèi)容有：完善工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案在項(xiàng)目實(shí)施過(guò)程中遇到的問(wèn)題，進(jìn)一步的優(yōu)化此防御體系；有效推動(dòng)解決設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)和數(shù)據(jù)等多層次安全問(wèn)題；進(jìn)一步優(yōu)化可視化界面，做到資產(chǎn)可視、威脅可視、攻擊可視、路徑可視。四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)項(xiàng)目的先進(jìn)性數(shù)據(jù)采集設(shè)備采用專(zhuān)用硬件，采用業(yè)界領(lǐng)先的硬件平臺(tái)架構(gòu)，在硬件集成度、處理性能方面處于業(yè)界領(lǐng)先水平。DockeHadooSpar，F(xiàn)link，HBase，ElasticSearch，Neo4j，Tensorflow等組件，代表了未來(lái)一段時(shí)期的項(xiàng)目的創(chuàng)新點(diǎn)提升省內(nèi)工業(yè)資產(chǎn)數(shù)據(jù)的準(zhǔn)確性、完整性，從而支撐省主管部門(mén)摸清家底，了解省內(nèi)工業(yè)設(shè)備資產(chǎn)的真實(shí)情況；50多種數(shù)據(jù)建模模型、20多種工業(yè)場(chǎng)景模型和機(jī)器學(xué)習(xí)自主建模，具備不依賴(lài)規(guī)則而檢測(cè)低概率威脅的能力，有效檢測(cè)APT攻擊和潛伏在網(wǎng)絡(luò)內(nèi)部的未知威脅，提升整體網(wǎng)絡(luò)安全能力；海量的數(shù)據(jù)支撐：PB級(jí)海量數(shù)據(jù)，為各類(lèi)服務(wù)與分析提供了豐富的數(shù)據(jù)支持實(shí)施效果工業(yè)控制系統(tǒng)與設(shè)備暴露情況監(jiān)測(cè)實(shí)施效果本項(xiàng)目開(kāi)發(fā)的工業(yè)互聯(lián)網(wǎng)安全聯(lián)動(dòng)解決方案通過(guò)全面采集和分析工控設(shè)備定位到某省份的具體某一企業(yè)/單位，并進(jìn)行高度可視化界面呈現(xiàn)，有利于主管部門(mén)摸清省內(nèi)的資產(chǎn)家底。工業(yè)控制系統(tǒng)及設(shè)備漏洞態(tài)勢(shì)感知實(shí)施效果省通信管理局通過(guò)部署該平臺(tái)，對(duì)全網(wǎng)的工業(yè)控制系統(tǒng)以及設(shè)備進(jìn)行全面的掃描，捕捉開(kāi)放的工控端口，PLC設(shè)備漏洞、上位機(jī)軟件漏洞與弱點(diǎn)、攝像頭漏洞、應(yīng)用程序SQL漏洞、系統(tǒng)文件上傳漏洞，并將這些漏洞信息反饋給相關(guān)