一、项目概况
1. 项目背景
1.1 工业互联网是数字经济高质量发展的国家战略
工业互联网以数字化、网络化、智能化为本质特征的第四次工业革命正在兴起。作为新一代信息技术与制造业深度融合的产物,通过对人、机、物的全面互联,构建起全要素、全产业链、全价值链全面连接的新型生产制造的新型生产制造和服务体系,是数字化转型的实现路径,是实现新旧动能转换的关键力量。为抢抓新一轮科技革命和产业变革的重大历史机遇,世界主要国家和地区加强制造业数字化转型和工业互联网战略布局,全球领先企业积极行动,产业发展新格局正孕育形成。
2019年10月18日,习近平总书记向“2019工业互联网全球峰会”发来贺信。习近平指出,“当前,全球新一轮科技革命和产业革命加速发展,工业互联网技术不断突破,为各国经济创新发展注入了新动能,也为促进全球产业融合发展提供了新机遇。中国高度重视工业互联网创新发展,愿同国际社会一道,持续提升工业互联网创新能力,推动工业化与信息化在更广范围、更深程度、更高水平上实现融合发展”。 同时,习近平强调,“深入实施工业互联网创新发展战略,系统推进工业互联网基础设施和数据资源管理体系建设,发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济”。习近平关于工业互联网的系列指示体现了对工业互联网发展的高度重视,彰显了推进工业互联网发展的紧迫性和重要性。
1.2 工业互联网安全是其发展的重要保障
工业互联网包括网络、平台、安全三大体系。其中,网络体系是基础,工业互联网将连接对象延伸到工业全系统、全产业链、全价值链,可实现人、物品、机器、车间、企业等全要素,以及设计、研发、生产、管理、服务等各环节的泛在深度互联。平台体系是核心,工业互联网平台作为工业智能化发展的核心载体,实现海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化,以及各类创新应用开发与运行,支撑生产智能决策、业务模式创新、资源优化配置和产业生态培训。安全体系是保障,建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,识别和抵御安全威胁,化解各种安全风险,构建工业智能化发展的安全可信环境。
1.3 工业互联网安全在转型过程中面临的挑战
随着工业互联网的发展,IT与OT不断融合,使原有的工厂内外网络边界变的模糊,由于产业模式的创新发展,工厂内外的信息传递更加频繁,这将使黑客更容易入侵到工厂内网络,攻陷生产设备和系统,对生产造成巨大损失。工业控制系统信息安全目前面临着信息安全与工控系统自身安全融合的要求。目前工业互联网安全产品还处于产品阶段的 1.0 版本的时代,与目前 IT 信息安全和 IT 系统的适配程度相比还有比较大的差距。工业控制系统安全产品是与业务应用相关度比较高的产品。目前的工业互联网安全产品体现在与业务的融合度不够,在深度检测与业务相关的攻击行为的时候往往乏力,缺乏创新性的安全检测思路,防护思路往往缺乏真正有效的方法。另一方面,随着工业领域中的一些新的应用,如工业云、工业大数据等的普及,工业控制的业态也必将发生一些变化。而信息安全技术与新的业态融合时,必然需要与业务进行融合。而目前工控信息安全技术的融合还没有完全展开,需要在技术方向和应用上有所突破。
2. 项目简介
2.1 需求分析
政策驱动需求:政策文件的下发,为各地方区域级工业信息安全监管部门具有明确的监管工作指导意义,分别从如何对企业分类分级,如何做好分类分级的安全防护,以及如何做好相关安全监测预警工作给出了较为明确的工作行动目标。
业务驱动需求:形成监测预警、信息通报、协同应急处置的闭环管理机制;形成工业企业分类分级安全监管闭环管理机制;形成面向工业企业提供安全服务的生态体系。
2.2 解决方案
方案将工业互联网安全“监测预警与协同应急管理”、“工业互联网企业安全合规管理”和“工业互联网安全支撑综合服务”三大业务应用融为一体,以“工业互联网安全公共服务”为核心能力,为工业互联网安全监管部门和工业企业提供“双向赋能”。打造省、市工业互联网安全公共服务生态体系,逐步形成集约化工业互联网安全运营服务中心。
3. 项目目标
3.1 提升、完善全省工业互联网威胁感知能力
工业互联网数字化转型过程中,业务应用场景也越来越多,因此相应的网络安全监测手段也需要进行补充和技术提升。本次建设需要提升全省工业互联网企业安全整体态势感知、分析能力,实时掌握更多、更全面的各类工业互联网场景下的安全动态,在发生工业互联网安全事件时,也无法进行精准预警。为实时掌握全省工业互联网安全情况及动态,在发生安全隐患时可以进行快速、精准预警,需依托大数据技术建立全省工业互联网安全感知分析能力,实现精准匹配、重点分析,并提供多个维度可视化的大数据分析结果,为研判、决策工业互联网安全保障工作提供有效支撑,提升对关键目标的管控、风险识别的水平。
3.2 建立省级工业互联网安全应急响应协同指挥体系
为积极落实责任要求,形成安全事件闭环管理机制,加快建立省工业互联网安全协同协作机制,需要结合实际需要对全省工业企业建立监测、预警、防范协同管理机制,建立相应的技术平台,实现省工信厅、地市工信局、工业企业、技术支撑单位级其他监管单位等在工业互联网安全安全层面上的协作、互通,进一步完善监测预警、信息通报、应急处置等相关机制的建设。
3.3 建立工业领域网络安全分类分级合规管理机制
以《网络安全分类分级》为依据,完善工业企业网络安全合规管理机制,打造精细化、差异化的科学管理方式。形成面向工业互联网联网工业企业、工业互联网平台企业、标识解析企业等三类工业互联网企业开展网络安全分类分级管理工作,参照行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级,并针对不同类型、不同级别的企业提出差异化安全防护要求。
组建工业互联安全评测机构和专家队伍,提供专业化工业互联网安全风险评估工具,开展对工业企业的现场安全检查和信息调查。针对工业企业进行定期及不定期的巡视检查,通过建立全省工业互联网安全检查机制,借助线上监测加线下检查形成监管合力,摸底全省工业互联网安全状况。
3.4 建立工业企业与省平台监测数据安全共享能力
依据《工业互联网企业网络安全分类分级管理指南》要求,三级工业企业需要在企业建设安全监测分析平台,并将在企业内监测的数据信息上报给省级平台。因此,需要实现工业企业安全监测分析平台与省工业互联网安全综合服务平台的安全认证与数据传输共享服务,以保证两平台间数据传输共享的安全性。
3.5 建立工业互联网安全公共服务能力
一是加强对省工业信息安全公共服务能力,通过对工业企业资产梳理、安全隐患监测、安全事件分析研判、应急响应支持、安全态势感知服务、安全运营服务等,提高全省工业企业提供网络安全公共服务的能力。
二是针对信息安全意识、安全技能、热点安全事件定期组织安全培训,辐射全省,对各级工信单位、重点工业企业进行网络安全业务培训,形成常态化工控信息安全人才队伍建设与培养机制,增强各级各部门网络安全意识和防护水平。
3.6 建立跨平台数据采集和共享机制
目前省工信厅、通管局等相关单位均对各自负责监管领域建设监测、存储系统,同时工信部已建设国家级工业互联网安全监测与态势感知平台,但尚未建设各级信息互通、共享的数据交换平台,数据无法连通,工作难以互动。为解决这一问题,需建立共享数据机制,互通有无,信息共享,同时保证数据的安全性。
二、项目实施概况
1.总体设计原则和策略
厉行节约原则:在平台建设过程中,要尽量利用现有的信息系统、网络基础设施、安全监控数据等,综合考虑对已有资源的共享和利用,避免重复建设和浪费。
标准规划原则:在方案设计和设备选型方面遵循国家以及行业内的相关标准,严格按照有关程序组织项目建设,并且建设标准符合国家及行业提出的接口规范和技术架构。
重点保护原则:根据工业互联网系统的重要程度、业务特点,实现不同强度的安全保护,集中资源优先保护重点工业控制系统。
技术先进原则:平台设计立足先进技术,采用先进的系统结构、开放的体系架构,使系统在一个周期内保持技术领先水平,具备长足的发展能力,以适应未来网络技术和安全技术的发展和系统使用的科学性。
平台建设坚持三个策略:
“全”。即全源化采集,在现有数据采集来源的基础上扩大数据采集范围和采集数据类型,确保平台数据来源的全面性。
“优”。即整合优势产品,平台选用的产品是从众多安全厂商中优中选优,确保平台的先进性,并整合各安全设备管理能力,如等流量监测引擎、威胁感知引擎、工具箱等设备可实现与平台业务系统的无缝对接。
“实”。即实战化应用,平台设计涵盖监测、态势、通报、处置、情报、应急指挥、攻防演练等功能,最大程度实现工作业务需求,形成工控安全态势监管业务闭环,最大限度服务于实战。
2.平台逻辑架构设计
工业互联网安全综合服务平台是为省监管部门提供工业安全数据采集、大数据研判分析、实时监测、通报预警、响应处置、应急指挥等,以及提供工业企业分类分级管理和综合安全服务一体化的服务平台。
平台总体架构设计遵照“分层解耦、异构兼容”的原则,分为安全引擎层、安全中台层和安全应用层三个层次,各层级以及模块之间的功能设计具有相对的独立性,从而使得整个系统具有较高的扩展性。安全引擎层作为平台的基础能力层,安全中台实现数据的采集处理、挖掘分析和提供统一的数据服务,构建数据驱动业务体系。安全应用层通过建设满足用户的各类业务应用,协助监管部门开展工业互联网安全的保卫工作。
平台总体架构如下图所示:
图1工业互联网安全综合服务平台架构设计
平台为监管人员、企业人员和安全支撑机构人员提供不同岗位视角的可视化安全态势感知大屏,满足不同角色需求,提供综合态势、预警态势、隐患态势、事件态势、分类分级态势、攻击者溯源态势、资产威胁溯源态势和网络星空态势。
平台基于微服务架构,结合用户实际需求,分别为各级用户实现各类应用服务能力,平台由可视化安全态势感知、监测预警与协同应急、安全合规管理和综合安全服务,打造完整生态,将各级监管部门、安全支撑机构、安全专家等人员联合起来,一同来治理工业互联网安全问题。
安全中台层包括安全数据中台、安全业务中台和安全能力中台组成,为上层业务应用提供安全数据服务、业务流程管理和安全能力服务。
基础安全能力层为平台运行和其他单位提供必要的基础安全能力和数据来源,包括网络资产测绘引擎、威胁检测识别引擎、网络攻击诱捕引擎、网络防御引擎、威胁情报管理引擎、云端安全监测引擎、网站安全监测引擎和安全检查引擎等。
3.平台技术路线
1)大数据采集存储和分析处理。满足采集海量数据储存需要,如流量信息、设备状态、链路状态等,满足大规模结构化流式数据的并发能力、吞吐量、低时延的高要求。
2)分层架构、模块化设计、多场景支持。采用模块化的设计思路,在数据访问层、数据路由层和数据存储层都提供多种高内聚、低耦合的模块,通过这些模块的灵活搭配,分布式数据库表现出不同的技术特征,从而能够适应不同的业务场景。
3)在线检索和离线分析一体化。通过配置,分布式数据库可同时支持高速数据写入,在线交互访问、实时查询以及高并发大数据集查询在内的各种访问方式,适应在线检索和离线分析等不同业务场景。
4)混合数据支持。分布式数据库支持与传统关系型数据库Oracle、MySQL等联合访问。业务系统可以把部分表建在Oracle或MySQL上,把部分表建在分布式数据库上,然后透明地访问这些表,包括在这些表之间进行join、union等操作。
5)跨域、多数据中心支持。分布式数据库在保证数据一致性的前提下支持多数据中心或多数据集群之间近实时的跨域数据同步复制,实现系统的跨域多中心部署模式。总体处理性能,数据读写、扫描等,随集群规模扩展线性增长。
6)分布式存储形式主要基于通用/定制化的X86服务器提供存储,可提供对象、文件和块存储,具备低成本、灵活扩容、高并发访问等优势,通过软件保障性能和可靠性。可作为资源池的分级存储手段,满足中低端存储、数据归档备份、大数据存储等需求。采用X86服务器和分布式块存储软件技术的Server-SAN在I/O能力、部署速度和扩展性方面已验证优于传统块存储技术(例如FC-SAN/IP-SAN)。
分布式存储技术用于系统架构的大数据组件当中,使系统能够实现高效的数据采集和检索能力。
大数据分析的根本是数据,针对高价值数据的分析往往事半功倍。然而测评领域大数据分析在数据方面所面对的现实问题总结下来主要分为以下三种形态:
来源多:包含服务数据、基础数据资源、数据交换获得的私有数据资源、以及互联网采集的数据资源,这些数据随着业务的变化而变化。
组成乱:数据资源包含结构化数据,如MySQL、Oracle等等;半结构化数据:XML、CSV等等;以及非结构化数据。数据结构乱、形式不一。
质量碎:数据往往以孤岛或碎片化的形式存在、缺少关联、语义不明确甚至缺失。
面对上述问题,就需要一种能够处理、整合多源异构等复杂形态的数据归一化模型,将不同形态、杂乱无章的数据整合成统一的样式形态。同时,能够基于该数据整合模型,以“人”、“事”、“物”等数据分析为主体、实现数据的大串联、大融合,将原来孤立的“点”数据、“面”数据、“条”数据融合成为一定空间、时间范围内的“块”数据,做到价值的萃取,形成业务可用的大数据。
多源异构的数据融合技术运用在系统的数据治理融合层,通过体系化的数据治理方法论结合基于模型驱动的数据治理技术用以提升数据质量,便于数据分析建模的建立。
目前已知的对人类认知最有效的方式就是通过视觉感知,相比其他的交流呈现方式,使用数据可视化来交流具有很多的优势,包括:
数据可视化能快速的进行复杂信息的交流:可视化在最小化数据细节特征损耗的同时,可以在数秒钟快速呈现上百万个点信息,非常适合与统计信息呈现。具体到本项目,对本地威胁态势全局信息的展示就非常适合采用可视化的方法,可以快速的掌握趋势、热点等重要信息,对从全局把握网络安全态势有着不可替代的作用。
数据可视化能识别潜在模式:一些模式特征通过统计学方法或者扫描数据的方式难以发现,却可能通过可视化方法被揭示出来。而当在可视化展示数据的时候,存在于单个变量中的模式或者多个变量之间的关联关系就可以呈现出来。数据可视化的这个特点特别有利于在网络事件调查过程中使用,通过一点线索,利用可视化分析方法,可以发现、呈现出更多和它有关联的其它信息点,达到拓线,进而溯源事件的目的。
溯源分析可视化技术用于数据分析层,是态势感知系统的一类重要分析技术,主要用于对安全事件的追溯,通过溯源可视化分析方法帮助管理人员准确发现攻击背后的真正意图。
威胁情报的生成是一个复杂的过程,需要具备多种能力才有可能完成,一般可以分为如下图这样的八步:
威胁情况流程图
1. 数据收集:这是关键的一步,决定了产生的情报是否能最全面的覆盖威胁,因此往往需要聚集多种不同来源的情报数据(包括但不限于样本数据、黑客团伙相关数据、DNS相关数据、WHOIS相关数据、僵尸网络相关数据等),以保证情报质量。
2. 数据清洗:将以上数据根据后续加工的需要进行整理、去除不可信数据、将关键数据结构化等过程。
3. 数据关联:数据关联是数据验证的前提条件,通过数据关联梳理不同类型数据间的关系,如样本、样本不同方式的检测分析结果、样本的网络行为、域名注册者、域名指向的IP、IP上面的其它域名等。
4. 验证:通过建立了关联关系的数据,再利用机器学习的方式(有可能结合部分的人工分析)对情报的准确性进行验证,并赋予相应的可信度指标。这也是决定情报质量关键的一步。
5. 上下文:包括如攻击类型、样本家族、攻击团伙、攻击目地、传播渠道、具体危害等报警响应需要的内容。
6. 优先级:根据攻击目的、具体危害等信息,确定报警优先等级信息;
7. 格式化:根据分发的要求,将情报以特定的格式输出,如:STIX、openIOC、JSON、xml等,非MRTI类型的情报还可能以PDF、word等类型提供。
8. 情报分发:根据不同类型情报的用途,可以推送给安全产品、打包供下载、或者邮件发送。
威胁情报生成技术使用在数据治理融合层和数据分析层,在数据治理融合层主要解决情报信息的收集、格式化、清洗及情报分发等问题,在数据分析层实现情报信息的验证和关联分析。
三、项目创新点
(1)集约化、数字化和服务化的公共服务技术创新
我国工业企业当前产业规模,技术实力参差不齐,尤其是在面对中小工业企业,这些企业的安全防护能力有限,有的在安全防护方面甚至处于“裸奔”状态,这些企业没有能力,也没有意识去解决其内部的安全隐患与风险问题。
建设省/市等区域级工业互联网安全综合服务平台,利用平台的“双向赋能”的服务特点,建立集约化安全支撑服务资源队伍,同时面向监管部门和企业用户提供“一站式”SaaS化安全服务,帮助监管部门提高日常安全监测预警、研判分析能力,以及响应处置效率;帮助工业企业提高安全防护意识,显著提高安全防护水平。间接降低辖区内安全监管部门的管理成本。同时,利用平台制定对安全服务供应商和工业企业的考核规则,通过定期考核,使两者不断优化安全服务能力与安全防护能力,形成良好的生态体系。
省/市等区域级工业互联网安全综合服务平台“一站式”服务业务运行流程
工业互联网场景具有网络结构复杂、业务系统和设备类型多的特点,因此需要具备可更多应用场景的安全数据采集能力,以及大数据智能分析能力。
数据采集能力:实现工业互联网全场景的数据采集能力,通过在设备、控制、网络、数据、平台、应用的安全数据采集,覆盖联网工业企业、工业互联网平台企业和标识解析企业在5G、标识、平台、物联网、工控网、信息网、工业云、边缘计算等全场景应用。
大数据智能分析能力:将工业互联网场景下的IT、OT数据进行集中采集,对这些场景下的用户、系统、设备、网络和操作行为融合在一起进行分析,将各场景可能发生的安全现象进行总结分析,形成工业互联网专有的威胁分析模型,同时可根据用户实际业务场景自定义模型,更贴合用户业务,为安全生产提供稳定、可靠的威胁发现与分析能力。满足工业互联网安全在各场景的安全分析与追踪溯源能力。具体具备如下能力:
u IT全流量审计行为监测
通过接入分析流量数据,分析提取网络交互关键信息,包括时间、源/目的地址、传输层协议、应用层协议、连接或断开状态、上下行报文数和流量、告警数、数据来源等。能够针对http、dns、FTP、邮件、Telnet、数据库操作、登录、文件、SSL/TLS、社会账号、ICMP、接口流量进行细粒度深度解析。
u Web攻击监测
针对各种基于Web的APT攻击行为进行检测,全面的Web漏洞检测特征库,支持其他Web检测产品不具备的WebShell攻击检测、Web传输恶意文件检测和Web动态行为分析功能,深入发现所有已知的和未知的基于Web的APT攻击行为。
u 邮件攻击监测
针对各种基于邮件的APT攻击行为进行检测,支持Webmail的漏洞攻击检测和邮件附件的恶意文件传输行为检测,同时具备基于邮件头欺骗、发件人欺骗、邮件钓鱼、恶意链接等邮件欺骗行为检测,确保发现所有邮件的APT攻击行为。
u 文件攻击监测
文件攻击检测功能针对各种基于文件的APT攻击行为进行检测,集成了全面的恶意文件检测特征库、具有多项专利性能业界领先的沙箱检测技术、特有的Shellcode检测技术,通过多维度提取攻击行为,快速有效的发现用户网络中各种病毒、木马、蠕虫等恶意威胁。
u DNS异常流量监测
DNS异常流量检测功能支持DNS协议解析,识别并记录DNS协议异常。基于DGA域名请求的识别能力,对DNS流量进行分析,检测出僵木蠕感染主机、C&C回连IP和域名,有效定位网络内部已经被僵尸/木马控制的主机。
u 工控全流量审计行为监测
支持对S7、Modbus/TCP,Profinet,Ethernet/IP、IEC104,DNP3、OPC、GE-SRTP、GE-EGD、BACnet、Fox、FINS、MELSEC、MMS、Hart IP、Goose、SV等十多种工控协议的深度解析,包括时间、源/目的地址、传输层协议、应用层协议、请求指令、请求服务、响应状态、响应指令、数据来源等。
u 工控异常报文监测
针对工控协议的攻击:例如违规端口传输、功能码错误、功能码携带数据异常等多项异常检测规则;工控协议畸形报文攻击:对工控协议报文不符合其规约规定的格式进行检测并告警;针对TCP/IP协议层的攻击:针对网络TCP/IP协议栈报文进行各种典型违规的检测,及时发现恶意伪造的异常畸形报文,检测出入侵行为。以Modbus协议为例,支持以下异常报文检测:
序号 |
规则名 |
规则描述 |
1 |
TCP_非Modbus协议在TCP的502端口 |
Modbus-TCP协议的端口为502,若不含Modbus的特征字的报文通过TCP的502端口传输,属于隐藏通道 |
2 |
Modbus_错误的功能码 |
Modbus-TCP协议约定了正确的Modbus功能码取值范围,取值不在此范围内的功能码为异常 |
3 |
Modbus_不正确的报文长度,潜在拒绝服务攻击 |
Modbus-TCP协议约定了tcp的payload部分报文最大长度,超长报文有可能是恶意构成的,有可能是拒绝服务攻击 |
4 |
Modbus_协议头长度过短 |
Modbus-TCP协议约定了Modbus协议头的长度,协议头长度小于规定值的Modbus报文为异常 |
5 |
Modbus_功能码携带数据长度异常 |
Modbus-TCP协议的请求/响应数据有固定长度,并有专门字段记录这一长度,如果实际数据长度大于或小于长度字段值里的填充为携带数据长度异常 |
6 |
Modbus_诊断功能中预留子功能码使用 |
Modbus-TCP协议约定了诊断功能预留子功能码取值范围,预留子功能码使用可能为异常 |
7 |
Modbus_预留功能码使用 |
Modbus-TCP协议约定了预留功能码取值范围,预留功能码使用可能为异常 |
8 |
Modbus_从设备忙异常代码延迟,潜在拒绝服务攻击 |
当从机请求发生异常时,主机返回的报文中将返回请求对应的功能码响应从机,因此需要对此部分功能码进行识别,并对异常码进行检测,当返回从设备繁忙的异常功能码时,网络有可能存在拒绝服务攻击 |
9 |
Modbus_确认异常代码延迟,潜在拒绝服务攻击 |
当从机请求发生异常时,主机返回的报文中将返回请求对应的功能码响应从机,因此需要对此部分功能码进行识别,并对异常码进行检测,当返回确认超时的异常功能码时,网络有可能存在拒绝服务攻击 |
10 |
Modbus_修改分隔符 |
该异常行为修改输入分隔符的ASCII码,用特定字符替代换行符,有可能包含攻击字符 |
11 |
Modbus_包含在异常协议数据单元中的信息 |
当从机请求发生异常时,主机返回的报文中将返回请求对应的功能码响应从机,并将异常信息放在异常协议数据单元中返回,因此需要对此部分功能码进行识别,并显示返回的异常协议数据 |
12 |
Modbus_强制从站进入只听模式 |
该异常行为将从机设备与网络上的其他设备隔离,强迫从机值完成接收定性信息或广播信息,但是不执行响应的功能码操作 |
13 |
Modbus_重启通讯会话 |
该异常行为将从机外设接口进行重启动,对全部的通讯事件计数器清零,一般情况下不会使用该功能 |
14 |
Modbus_重置诊断信息 |
该异常行为对全部的计数器和诊断寄存器进行清零,从而达到隐藏攻击痕迹或增加故障的修复时间的目的 |
15 |
Modbus_请求从站标志信息 |
该异常行为读取与远程设备的物理描述和功能描述相关的识别码和附加报文,需谨慎使用 |
16 |
Modbus_请求从站附加信息 |
该异常行为向所有MODBUS网络中的设备广播该从机的详细信息,可能会造成信息泄露,同时给后步入侵提供跳板 |
各类协议的异常报文检测规则条数情况如下表所示:
序号 |
协议 |
异常报文检测规则数 |
1 |
TCP/IP |
7 |
2 |
Profinet |
5 |
3 |
IEC-104 |
4 |
4 |
DNP3 |
7 |
5 |
Ethernet/IP |
7 |
6 |
BACnet |
3 |
7 |
OPC |
2 |
8 |
Hart IP |
2 |
9 |
modbus tcp |
16 |
u 工控关键事件监测
提供多种关键事件监测,包括但不限于工艺关键事件检测:对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警;IP无流量事件检测:在设定的时间内,单IP某服务(如Modbus)的发出或接收报文为零,需要告警。关键事件规则包括协议类的关键事件和指定控制器系列的关键事件。以Modbus关键事件为例:
序号 |
关键事件动作 |
关键事件说明 |
1 |
Write Single Coil |
#正在写单线圈寄存器 |
2 |
Write Single Register |
#正在写单个保持寄存器 |
3 |
Read Exception Status |
#正在读从站状态 |
4 |
Diagnostics Device |
#诊断设备命令 |
5 |
Write Multiple Coils |
#正在写多个线圈寄存器 |
6 |
Write Multiple registers |
#正在写多个保持寄存器 |
7 |
Write File Record |
#正在写文件参数 |
8 |
Mask Write Register |
#屏蔽写寄存器 |
9 |
Read/Write Multiple registers |
#读写多个寄存器 |
10 |
Read Device Identification |
#正在枚举设备信息 |
目前已支持的关键事件检测情况如下:
序号 |
协议/设备 |
关键事件检测规则数 |
1 |
Modbus |
10 |
2 |
BACnet |
9 |
3 |
Ethernet/IP |
14 |
4 |
S7 |
15 |
5 |
Niagara Fox |
2 |
6 |
Modicon |
3 |
7 |
Ormon |
4 |
8 |
Quantum |
6 |
9 |
Ovation DCS |
6 |
10 |
Rockwell |
8 |
11 |
零流量 |
用户自定义 |
其中零流量关键事件,允许用户自行添加检测规则,定义考察时长。可检测如下情况的零流量:
①某设备(IP或MAC)长时间未接发出或接收流量;
②某服务(IP:port)长时间未发出或接收流量;
③设备之间(IPßàIP或MACßàMAC)长时间未发出或接收流量;
④某设备到某服务(IPßàIP:port)长时间未发出或接收流量;
⑤某网段到某设备(netßàIP)长时间未发出或接收流量;
⑥某网段到某服务(netßàIP:port)长时间未发出或接收流量;
⑦网段到网段(netßànet)长时间未发出或接收流量。
u 工控安全基线监测
以机器学习的方法建立工控网络的通信基线模型,对工控系统网络环境建立四类安全基线:资产基线、访问关系基线、流量基线、工控行为基线。通过基线学习、异常检测的方式,可以对异常情况进行发现和预警,提前发现APT攻击的痕迹。
资产基线:对网络中出现的新设备(新IP或新Mac)、IP-MAC关系改变的设备及时发现和告警,并提示可能存在伪装设备的信息。
访问关系基线:对工控环境中出现的新网络访问关系及时发现和告警。新的网络访问关系包括:设备到设备(IPßàIP或MACßàMAC)的访问关系;设备到服务(IPßàIP:port)的访问关系。对访问频次偏离较大的情况进行告警,特别地,针对超低频访问的情况进行告警。
流量基线:对单设备流量、总流量异常情况(超出偏离阈值、不符合时序特性、不符合流量走势等)进行及时发现和告警,并根据异常情况提示可能存在文件下载信息窃取等信息。可对工控协议层风暴攻击进行检测:基于IP地址某工控协议的接收报文速率阈值检测,对超阈值的事件进行告警。
工控行为基线:对环境中出现的新工控行为进行告警。工控行为主要是指令码信息。针对OPC协议,细化到二级指令码;针对Modbus协议,提供读/写起始地址和结束地址的限定。
近两年,工业和信息化部相继发布了《工业互联网创新发展行动计划2021-2023》以及《工业互联网企业网络安全分类分级管理指南(试行)》,均强调了要建立健全工业互联网监测预警的闭环管理机制。
首先,当前工业信息安全监测预警技术体系并不完善,绝大部分只包含了安全监测和安全预警的能力,并没有包含通过研判分析进行调查取证,无法有效核实监测的安全事件或风险隐患的真实性,直接或间接造成在进行安全预警和信息通报的误报率。其次,当辖区内发生不同安全级别的事件后,监管部门也不能通过技术手段,开展省、市和企业级的应急响应与协同处置能力,导致相关信息不能同步,或延迟同步,提高了应急过程中最初的关键时间。最后,大部分监测预警技术体系并没有实现完善的闭环管理机制,并没有形成数字化安全闭环管理模式,发现相关事件或问题由谁负责,谁来跟踪,谁来决定该事件是否需要关闭,以及全部过程是否有操作行业记录进行跟踪。
基于以上的难点与问题,省工业互联网安全综合服务平台的监测预警与协同响应业务应用以数字化安全服务底座为基础,具备了安全事件和风险隐患的实时发现能力,并提供了多种元数据的安全研判分析工具,为安全分析人员提供详细的调查取证工具,从而进行高效、精准备的安全预警与信息通报。当发现不同安全级别的事件或风险隐患时,可启动不同的响应流程,将省、市、工业企业和安全支撑机构开展联合协同响应,有效提高了应急响应与处置效率。
多级协同响应处置技术业务逻辑图
同时,应用中的协同指挥工具实现“挂图作战”的多级协同应急能力,可在重大安全事件或安全活动保障过程中组织省、市、工业企业和安全支撑机构的工作协同,也可以通过该应用组织各级单位进行安全应急演练,提升各级的协同作战能力,一旦发现相关事件,可立即采集相关行动,达到快速响应处置的目的。
协同指挥作战图
2020年12月,工业和信息化部印发了《关于工业互联网企业网络安全分类分级管理试点工作的通知》(以下简称《通知》),省/市等区域级是15个省级部门开展分类分级的管理试点工作的其中之一,《通知》中要求省/市等区域级的16个工业企业单位参与本次管理试点工作。
省/市等区域级厅面临的主要问题是,没有形成体系化、流程化、数字化的工业互联网企业网络安全分类分级的技术实现工具,虽然本次试点单位不多,但面对未来大量的工业企业将接入其中,将给监管部门用户带来更多的安全合规管理工作事项。
基于以上的难点与问题,省工业互联网安全综合服务平台的工业企业安全合规管理业务应用,结合安全监管主管部门、工业企业主管部门和安全支撑机构三大用户角色,以及“定级管理、合规自查、风险评估、安全整改和档案管理”五大流程化管理应用,帮助监管部门实现了工业企业数字化、流程化的安全合规闭环管理机制,形成了对工业企业的精细化和差异化的安全合规管理模式。
四、应用及推广情况
目前本平台已落地于湖南等省市,并与江西、吉林、山东、广西、新疆、江苏、青海、四川等省、市级工业信息安全管理部门进行了沟通与交流,以该平台的建设内容、贴合各省、市的安全监管与服务需求,进一步证明了该平台具有很大的推广意义。
本平台满足各省工信厅开展工控安全监管和分类分级工作实际业务需要,满足工业企业网络安全服务的需要,成为能用、管用、实用、好用的工业企业网络安全服务平台,为平台在全国范围内推广打造了“1体系,1机制、1标准”省级工业互联网安全综合服务平台样板。
五、经济效益和社会效益
(1)建了一个“全面感知、智能研判、立体保护”省级工业企业安全体系
平台可实时监测针对工控系统、工控设备、服务系统等资产分布、漏洞和指纹信息进行扫描探测和统一管理,摸清区域资产底数,及时发现各类网络攻击、风险隐患、安全事件以及网络资产。并运用大数据技术对各类数据进行分析处理、威胁建模、关联追踪分析,及时发现掌握工业互联网网络安全风险,为工业信息安全服务平台及模块提供数据采集、处理、存储、分析等一系列的数据服务能力。除此以外平台还具有通报、处置、情报、应急指挥、攻防演练等功能,最大程度实现工作业务需求,形成工控安全态势监管业务闭环,为工业企业提供全方位的安全保障。
(2)探索了一套“多方协同、分级管理、定期通报”省级工业企业网络安全服务平台的运营机制
多方协同:省工信厅、市(州)工信局、工业企业、省信息院四方协同,建立跨部门工控安全协调指挥体系。从而实现省工信厅、地市工信局、工业企业、技术支撑单位级其他监管单位等在工控网络安全层面上的协作、互通,完善了监测预警、信息通报、应急处置等相关机制的建设。
分级管理:平台面向应用工业互联网的工业企业、工业互联网平台企业、标识解析企业三类企业探索网络安全分类分级管理。参照行业重要性、企业规模、安全风险程度等因素将企业网络安全进行分级并提出差异化安全防护要求。最终平台将工业企业安全防护状况与网络安全监测情况相互关联,为企业提供精确的风险预警、安全建设服务。
定期通报:通过平台建立全省工控安全检查机制,借助平台线上监测加线下检查形成监管合力,摸底全省工业控制系统网络安全状况,定期开展全省工业互联网安全情况通报,加强工业控制系统网络安全管控。
(3)形成了一套“标准规范、行业适用、适度前瞻”的省级工业互联网安全综合服务平台建设标准
本平台技术上可实现自主可控,平台软硬件可实现国产替代。工控安全事件管理平台、分类分级管理平台、APP监测和态势感知系统、综合服务平台可实现数据共享互通,保障了平台数据一致性。作为一个省级平台,为省级工业企业网络安全服务平台提供了一套“标准规范、行业适用、适度前瞻”参考。