工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知助力石油石化行業(yè)安全防護(hù)

工業(yè)互聯(lián)網(wǎng)是與人民群眾生活息息相關(guān)的重要基礎(chǔ)設(shè)施，關(guān)系著國(guó)計(jì)民生的鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、水利水電、民航等重要行業(yè)。為了保障石油石化行業(yè)的安全運(yùn)營(yíng)，及時(shí)發(fā)現(xiàn)和處置運(yùn)營(yíng)過(guò)程中的潛在威脅風(fēng)險(xiǎn)點(diǎn)，新華三信息安全與石油石化行業(yè)用戶共同研發(fā)并上線了面向石油石化行業(yè)的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)。

01應(yīng)用需求

近年來(lái)，新型攻擊組織化、目標(biāo)定向化、手段專業(yè)化，讓用戶往往防不勝防，新型信息安全事件頻發(fā)。石油石化行業(yè)原有的安全防護(hù)策略側(cè)重分區(qū)隔離、數(shù)據(jù)加密和邊界防護(hù)，這些傳統(tǒng)的防護(hù)措施在有針對(duì)性的攻擊中存在一定的不足，主要表現(xiàn)在以下方面:

■ 數(shù)據(jù)采集能力不足

目前石油石化行業(yè)信息系統(tǒng)中安全數(shù)據(jù)采集采用傳統(tǒng)模式，數(shù)據(jù)來(lái)源單一，無(wú)法支持多維度的大數(shù)據(jù)分析，不能支撐有效決策。雖然目前已經(jīng)構(gòu)建了邊界防御為主、兼顧縱深防護(hù)的網(wǎng)絡(luò)安全防護(hù)體系，并且內(nèi)網(wǎng)安全監(jiān)視平臺(tái)也將安全設(shè)備告警日志進(jìn)行了收集，但由于使用傳統(tǒng)的技術(shù)架構(gòu)、存儲(chǔ)的數(shù)據(jù)量和數(shù)據(jù)類型限制，防御系統(tǒng)數(shù)據(jù)源主要以單純的安全設(shè)備為主，沒(méi)有實(shí)現(xiàn)全網(wǎng)流量采集和分析，僅依靠安全設(shè)備的日志數(shù)據(jù)，很難發(fā)現(xiàn)潛在風(fēng)險(xiǎn)和未知威脅。

■ 數(shù)據(jù)分析能力不足

隨著網(wǎng)絡(luò)規(guī)模的爆發(fā)式增長(zhǎng)，石油石化領(lǐng)域網(wǎng)絡(luò)安全爆發(fā)出來(lái)的問(wèn)題越來(lái)越多，但網(wǎng)絡(luò)安全分析還是局限于傳統(tǒng)的規(guī)則庫(kù)和黑名單技術(shù)，缺乏大數(shù)據(jù)關(guān)聯(lián)分析和機(jī)器學(xué)習(xí)技術(shù)，效率低，費(fèi)時(shí)費(fèi)力，主要表現(xiàn)在：對(duì)重要資產(chǎn)的監(jiān)控遺漏將導(dǎo)致宕機(jī)或業(yè)務(wù)中斷;重要資產(chǎn)出現(xiàn)故障時(shí)很難從海量運(yùn)維指標(biāo)中迅速找到故障根因;對(duì)資產(chǎn)的海量告警信息極大地干擾了故障資產(chǎn)定位問(wèn)題的速度。目前資產(chǎn)的故障恢復(fù)速度基本依賴于人工操作速度，如何有效地對(duì)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行異常檢測(cè)、精準(zhǔn)告警、故障定位和故障預(yù)測(cè)成為亟待解決的問(wèn)題。

■ 可視化能力不足

網(wǎng)絡(luò)流量可視化與安全可視化能力不足，不能直觀高效地展示、呈現(xiàn)石油石化行業(yè)的安全問(wèn)題。比如，實(shí)時(shí)了解哪些用戶是最活躍，最活躍用戶訪問(wèn)了哪些業(yè)務(wù)系統(tǒng)，訪問(wèn)的流量趨勢(shì)，需要展示的TOP20關(guān)鍵用戶流量，關(guān)鍵業(yè)務(wù)系統(tǒng)TOP流量及戶訪問(wèn)流量趨勢(shì)，并高亮顯示用戶訪問(wèn)的業(yè)務(wù)系統(tǒng)及其流量趨勢(shì)和任一業(yè)務(wù)系統(tǒng)高亮顯示其被訪問(wèn)的用戶。除了攻擊類型、攻擊趨勢(shì)、攻擊源和攻擊目的TOP分析呈現(xiàn)外，還需要展示安全漏洞利用、病毒、蠕蟲、木馬和惡意代碼等風(fēng)險(xiǎn)檢測(cè)情況。

02技術(shù)特點(diǎn)

針對(duì)日益嚴(yán)峻的石油石化行業(yè)網(wǎng)絡(luò)安全運(yùn)行和管理需求，工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)基于大數(shù)據(jù)及人工智能等技術(shù)，通過(guò)安全分析平臺(tái)將各安全組件有機(jī)結(jié)合在一起，對(duì)各個(gè)組件進(jìn)行全局統(tǒng)籌和協(xié)同響應(yīng)，構(gòu)建“云-網(wǎng)-端”協(xié)同立體防御體系。同時(shí)，建立知識(shí)庫(kù)進(jìn)行策略管理，根據(jù)實(shí)時(shí)場(chǎng)景自適應(yīng)決策響應(yīng)，快速生成應(yīng)急響應(yīng)預(yù)案，主動(dòng)將安全策略推送給全網(wǎng)關(guān)鍵安全設(shè)備。通過(guò)云端檢測(cè)與邊界防御相結(jié)合，實(shí)時(shí)預(yù)警和響應(yīng)安全事件，實(shí)現(xiàn)對(duì)外部威脅的主動(dòng)發(fā)現(xiàn)。

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)系統(tǒng)架構(gòu)圖

該項(xiàng)目的上線實(shí)現(xiàn)了實(shí)時(shí)感知石油石化行業(yè)生產(chǎn)系統(tǒng)、設(shè)備、平臺(tái)的安全狀況、風(fēng)險(xiǎn)隱患及企業(yè)安全管理運(yùn)行情況等信息，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)信息的分類匯聚、精準(zhǔn)研判;覆蓋對(duì)云、網(wǎng)、端的工業(yè)互聯(lián)網(wǎng)監(jiān)測(cè)防御，通過(guò)多手段、全流程的信息采集和多維度分析，形成工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全自適應(yīng)監(jiān)測(cè)體系，該項(xiàng)目的主要技術(shù)特點(diǎn)如下：

■ 工業(yè)互聯(lián)網(wǎng)智能安全引擎

通過(guò)智能工業(yè)互聯(lián)網(wǎng)安全AI模型分析發(fā)現(xiàn)威脅，通過(guò)機(jī)器學(xué)習(xí)建立操作行為、工控資產(chǎn)及工控流量基線模型，發(fā)現(xiàn)異常操作、異常行為、異常流量及惡意攻擊流量，通過(guò)分類、聚類、回歸、深度學(xué)習(xí)等算法進(jìn)行模型訓(xùn)練，提供相應(yīng)的安全AI能力，提升深度防護(hù)能力，實(shí)現(xiàn)從被動(dòng)監(jiān)測(cè)到主動(dòng)防御的跨越，提前預(yù)警安全風(fēng)險(xiǎn)。

■ 大數(shù)據(jù)安全分析技術(shù)及平臺(tái)

在傳統(tǒng)數(shù)據(jù)分析的基礎(chǔ)上，構(gòu)建融合新一代分析技術(shù)的安全態(tài)勢(shì)感知分析平臺(tái)，基于大數(shù)據(jù)計(jì)算及存儲(chǔ)模型支撐海量數(shù)據(jù)的實(shí)時(shí)及歷史分析，建立安全威脅分析模型，實(shí)現(xiàn)從傳統(tǒng)的靜態(tài)特征匹配發(fā)現(xiàn)威脅到主動(dòng)關(guān)聯(lián)分析發(fā)現(xiàn)威脅，實(shí)現(xiàn)海量安全數(shù)據(jù)的檢測(cè)，提升深度安全防護(hù)能力。

■ 多源異構(gòu)安全數(shù)據(jù)采集與處理

通過(guò)多源異構(gòu)安全數(shù)據(jù)，實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)監(jiān)測(cè)的數(shù)據(jù)集合的跨越，數(shù)據(jù)采集對(duì)象范圍包括IT基礎(chǔ)設(shè)施運(yùn)行狀態(tài)數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、安全告警數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等，進(jìn)行內(nèi)部、外部、情報(bào)相關(guān)安全數(shù)據(jù)的全面采集，使安全數(shù)據(jù)可以反映出所有時(shí)段、各個(gè)安全層面。

■ 多維度安全態(tài)勢(shì)可視化

通過(guò)態(tài)勢(shì)多維監(jiān)測(cè)，實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)監(jiān)測(cè)的跨越，建立主動(dòng)防御體系，基于機(jī)器學(xué)習(xí)/人工智能和專家系統(tǒng)，對(duì)大范圍樣本數(shù)據(jù)進(jìn)行安全分析，并可視化呈現(xiàn)安全態(tài)勢(shì)、行為審計(jì)和設(shè)備運(yùn)維態(tài)勢(shì)。可以非常直觀地看到被攻擊最頻繁的區(qū)域、攻擊類型分布及趨勢(shì)、攻擊源攻擊目的和實(shí)時(shí)的攻擊事件;用戶的內(nèi)網(wǎng)應(yīng)用流量分布、內(nèi)網(wǎng)用戶訪問(wèn)流量模型;設(shè)備的狀態(tài)，包括高危資產(chǎn)、資產(chǎn)漏洞分布、關(guān)鍵服務(wù)器性能監(jiān)控、關(guān)鍵網(wǎng)絡(luò)設(shè)備負(fù)載監(jiān)控和最新的告警信息。

■ 異常流量多維檢測(cè)與預(yù)警

基于動(dòng)態(tài)流量基線對(duì)異常流量進(jìn)行檢查，是提升網(wǎng)絡(luò)安全的重要手段，通過(guò)分析主機(jī)流量訪問(wèn)、內(nèi)網(wǎng)流量訪問(wèn)、互聯(lián)網(wǎng)出口用戶的流量訪問(wèn)以及用戶主機(jī)的各種流量傳輸行為，結(jié)合機(jī)器學(xué)習(xí)和人工智能算法，準(zhǔn)確找到用戶與流量之間的基線關(guān)系，通過(guò)機(jī)器學(xué)習(xí)等算法對(duì)潛在的流量異常行為進(jìn)行挖掘和判斷，確保安全合規(guī)和信息泄露防護(hù)的需求，實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)訪問(wèn)的精細(xì)化管理

■ 資產(chǎn)/業(yè)務(wù)安全運(yùn)維管理

對(duì)用戶、資產(chǎn)和業(yè)務(wù)進(jìn)行關(guān)聯(lián)，聚焦資產(chǎn)或業(yè)務(wù)的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運(yùn)維告警和故障診斷，結(jié)合大數(shù)據(jù)的分析方法，全面感知和監(jiān)控資產(chǎn)的運(yùn)營(yíng)狀態(tài)和安全指數(shù)，為運(yùn)維決策并聯(lián)動(dòng)響應(yīng)處置提供可視化的呈現(xiàn)和簡(jiǎn)易化的操作。

03實(shí)施效果

石油石化環(huán)境下的安全態(tài)勢(shì)感知平臺(tái)，利用大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)信息進(jìn)行關(guān)聯(lián)分析、數(shù)據(jù)挖掘和可視化展示，繪制關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢(shì)地圖，為石油石化行業(yè)各項(xiàng)系統(tǒng)安全提供支持。

■ 全網(wǎng)資產(chǎn)監(jiān)控

為了有效監(jiān)控在網(wǎng)資產(chǎn)運(yùn)行及風(fēng)險(xiǎn)狀態(tài)，快速處置故障及風(fēng)險(xiǎn)事件，系統(tǒng)基于云計(jì)算和容器技術(shù)進(jìn)行微服務(wù)的自動(dòng)部署和動(dòng)態(tài)管理，對(duì)關(guān)鍵對(duì)象狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析，能夠快速生成配置策略和任務(wù)工單，實(shí)現(xiàn)運(yùn)維的響應(yīng)和處置;同時(shí)支持工單的作業(yè)化管理，實(shí)現(xiàn)工單的自動(dòng)觸發(fā)、派發(fā)、跟蹤、提醒和關(guān)閉。

全網(wǎng)資產(chǎn)監(jiān)控效果圖

■ 異常流量檢測(cè)

基于動(dòng)態(tài)流量基線對(duì)異常流量進(jìn)行檢查，是提升網(wǎng)絡(luò)安全的重要手段，通過(guò)分析主機(jī)流量訪問(wèn)、內(nèi)網(wǎng)流量訪問(wèn)、互聯(lián)網(wǎng)出口用戶的流量訪問(wèn)以及用戶主機(jī)的各種流量傳輸行為，結(jié)合機(jī)器學(xué)習(xí)和人工智能算法，準(zhǔn)確找到用戶與流量之間的基線關(guān)系，通過(guò)機(jī)器學(xué)習(xí)等算法對(duì)潛在的流量異常行為進(jìn)行挖掘和判斷，確保安全合規(guī)和信息泄露防護(hù)的需求。

異常流量檢測(cè)效果圖

■ 業(yè)務(wù)安全運(yùn)維

聚焦資產(chǎn)或業(yè)務(wù)的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運(yùn)維告警和故障診斷，結(jié)合大數(shù)據(jù)的分析方法，全面感知和監(jiān)控資產(chǎn)的運(yùn)營(yíng)狀態(tài)和安全指數(shù)，通過(guò)對(duì)用戶網(wǎng)絡(luò)安全策略體系與業(yè)務(wù)系統(tǒng)進(jìn)行針對(duì)性分析，實(shí)現(xiàn)安全策略合規(guī)矩陣的可視化展示，為運(yùn)維決策和聯(lián)動(dòng)響應(yīng)提供可視化的呈現(xiàn)和簡(jiǎn)易化的操作;同時(shí)也可以實(shí)現(xiàn)對(duì)用戶的遠(yuǎn)程代維代管，為后續(xù)的安全云運(yùn)維增值業(yè)務(wù)的開展提供幫助。

業(yè)務(wù)安全運(yùn)維效果圖

04經(jīng)驗(yàn)總結(jié)

本項(xiàng)目主要針對(duì)日益嚴(yán)峻的工業(yè)互聯(lián)網(wǎng)安全運(yùn)行和管理需求，研究應(yīng)用大數(shù)據(jù)和機(jī)器學(xué)習(xí)等技術(shù)解決工業(yè)互聯(lián)網(wǎng)安全防御面臨的監(jiān)測(cè)、分析、決策、響應(yīng)等問(wèn)題，為工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)防御中基于知識(shí)的態(tài)勢(shì)管理和智能決策帶來(lái)新的方法和理念。項(xiàng)目實(shí)施過(guò)程中的主要經(jīng)驗(yàn)體會(huì)如下：

(1)定制化程度較高，方案階段需要認(rèn)真調(diào)研梳理，提前規(guī)劃布局。工業(yè)互聯(lián)網(wǎng)需要支持深度數(shù)據(jù)包解析引擎，可對(duì)工控協(xié)議做到實(shí)時(shí)和精準(zhǔn)的識(shí)別，而這些工控協(xié)議除了Modbus/TCP，OPC Classic，OPC UA，DNP3，S7，S7 plus，profinet DCP，GOOSE，IEC60870-5-104，IEC61850-MMS等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議，還有一部分為企業(yè)內(nèi)部的私有協(xié)議，給項(xiàng)目實(shí)施帶來(lái)大量的定制化要求，另外企業(yè)內(nèi)部操作流程的合規(guī)性要求，也給項(xiàng)目帶來(lái)大量的定制化要求。

(2)項(xiàng)目的復(fù)雜程度超乎想象，需要找準(zhǔn)切入點(diǎn)，分布實(shí)施。工業(yè)互聯(lián)網(wǎng)底層有各類工業(yè)控制設(shè)備;中間層有各類工程師工作站設(shè)計(jì)，工藝工序編制等系統(tǒng);上層有各類物料、管理、監(jiān)控等各類業(yè)務(wù)系統(tǒng)，在橫向上又分為不同的操作區(qū)域，使得項(xiàng)目實(shí)施、部署、調(diào)試、測(cè)試都異常復(fù)雜，在實(shí)施過(guò)程中需要找準(zhǔn)切入點(diǎn)，先分區(qū)分域進(jìn)行產(chǎn)品部署調(diào)試、再進(jìn)行總體集成聯(lián)調(diào)。