今日頭條
官方微信
官方抖音
案例頻道1 實(shí)驗(yàn)平臺(tái)目標(biāo)和概述
1.1 主要目標(biāo)
“智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)”主要實(shí)現(xiàn)對(duì)智能制造企業(yè)工控系統(tǒng)通信數(shù)據(jù)和安全日志進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析,及時(shí)發(fā)現(xiàn)智能制造行業(yè)工控系統(tǒng)異常和針對(duì)工控系統(tǒng)的威脅,通過(guò)可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢(shì)展現(xiàn)給用戶,通過(guò)對(duì)告警和響應(yīng)的自動(dòng)化發(fā)布、跟蹤、管理實(shí)現(xiàn)安全風(fēng)險(xiǎn)的閉環(huán)管理。
通過(guò)建設(shè)智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái),實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)IT和OT安全的統(tǒng)一管理,企業(yè)內(nèi)部通過(guò)全網(wǎng)流量監(jiān)測(cè),提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅,降低智能制造企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型過(guò)程中的安全門檻,促進(jìn)智能制造相關(guān)產(chǎn)業(yè)高速發(fā)展。
1.2 總體概述
智能制造監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺(tái)4個(gè)硬件模塊。如下圖所示:
平臺(tái)組成架構(gòu)
(1)流量傳感器
流量傳感器的功能主要是采集工控網(wǎng)絡(luò)中的工業(yè)協(xié)議流量數(shù)據(jù),將原始的工控網(wǎng)絡(luò)全流量轉(zhuǎn)化為按session方式記錄的格式化流量日志,全流量日志會(huì)加密傳輸給分析平臺(tái)存儲(chǔ)用于后期的審計(jì)和分析。
(2)日志采集探針
日志采集器的主要功能是對(duì)工控網(wǎng)絡(luò)內(nèi)工控設(shè)備(PLC/DCS/RTU/HMI等)、安全設(shè)備、工業(yè)以太網(wǎng)、上位機(jī)、服務(wù)器等設(shè)備通過(guò)主動(dòng)采集或被動(dòng)接收等方式對(duì)日志進(jìn)行采集并進(jìn)行歸一化預(yù)處理,方便數(shù)據(jù)流后面的關(guān)聯(lián)規(guī)則和數(shù)據(jù)分析能夠快速使用。同時(shí)日志采集器還負(fù)責(zé)對(duì)內(nèi)網(wǎng)資產(chǎn)進(jìn)行掃描識(shí)別,收集資產(chǎn)數(shù)據(jù)。
(3)關(guān)聯(lián)規(guī)則引擎
關(guān)聯(lián)規(guī)則引擎主要負(fù)責(zé)對(duì)來(lái)自日志采集器的大量日志信息進(jìn)行實(shí)時(shí)流解析,并匹配關(guān)聯(lián)規(guī)則,對(duì)異常行為產(chǎn)生關(guān)聯(lián)告警。
(4)分析平臺(tái)
分析平臺(tái)用于存儲(chǔ)流量傳感器和日志采集器提交的流量日志、設(shè)備日志和系統(tǒng)日志,并同時(shí)提供應(yīng)用交互界面。分析平臺(tái)底層的數(shù)據(jù)檢索模塊采用了分布式計(jì)算和搜索引擎技術(shù)對(duì)所有數(shù)據(jù)進(jìn)行處理,可通過(guò)多臺(tái)設(shè)備建立集群以保證存儲(chǔ)空間和計(jì)算能力的供應(yīng)。
2 應(yīng)用場(chǎng)景介紹
本平臺(tái)主要面向智能制造領(lǐng)域,對(duì)中小企業(yè)建設(shè)具有監(jiān)測(cè)、預(yù)警的管理平臺(tái),利用平臺(tái)的實(shí)時(shí)監(jiān)測(cè)能力,有效加強(qiáng)企業(yè)的工業(yè)互聯(lián)網(wǎng)安全水平。
為保證智能制造設(shè)備的安全運(yùn)行、預(yù)防系統(tǒng)突發(fā)性重大事故的發(fā)生,并在事故發(fā)生后迅速有效地控制和處理,最大限度地減少事故損失和相關(guān)系統(tǒng)的影響,在企業(yè)內(nèi)部建立安全運(yùn)營(yíng)管理平臺(tái),以數(shù)據(jù)為驅(qū)動(dòng),以安全分析為工作重點(diǎn),立足于安全策略防護(hù),充分利用大數(shù)據(jù)平臺(tái)的數(shù)據(jù)收集、查詢能力進(jìn)行持續(xù)的監(jiān)控與分析;在持續(xù)監(jiān)控的基礎(chǔ)上,實(shí)現(xiàn)安全管理體系、預(yù)警監(jiān)測(cè)體系、安全服務(wù)體系、縱深安全防護(hù)之間的有效協(xié)同和共同作用,最終形成可以有效落實(shí)的體系化安全解決方案。
2.1 預(yù)期成果
(1)工控系統(tǒng)關(guān)鍵資產(chǎn)管理
該平臺(tái)能夠提供對(duì)企業(yè)內(nèi)網(wǎng)資產(chǎn)的被動(dòng)發(fā)現(xiàn)、手工管理、資產(chǎn)變更比對(duì)、資產(chǎn)信息整合展示等基本功能。同時(shí),提供長(zhǎng)期的服務(wù)、流量、威脅相關(guān)的監(jiān)控,所有資產(chǎn)相關(guān)的監(jiān)控?cái)?shù)據(jù)均可在資產(chǎn)詳情頁(yè)查看。
(2)工控系統(tǒng)操作行為監(jiān)測(cè)
該平臺(tái)能夠?qū)崟r(shí)監(jiān)測(cè)工控系統(tǒng)控制器下裝、上傳、啟動(dòng)、停止等關(guān)鍵操作行為,包括智能制造行業(yè)常用西門子S7-300、施耐德昆騰、羅克韋爾Control Logix等系列工控系統(tǒng)。
(3)提升威脅發(fā)現(xiàn)能力
利用多種新型威脅監(jiān)測(cè)手段,再結(jié)合威脅情報(bào)的使用,該平臺(tái)能夠更快地發(fā)現(xiàn)隱藏在各類日志中的安全問(wèn)題。更早地發(fā)現(xiàn)威脅,一方面可以幫助企業(yè)或單位在安全管理上更為從容,無(wú)需面臨可能被通報(bào)追查的窘境,另一方面可以留下更多挽回?fù)p失的機(jī)會(huì),為快速地彌補(bǔ)安全問(wèn)題提供寶貴的時(shí)間窗口。
(4)安全運(yùn)營(yíng)
該平臺(tái)可以在多種安全功能基礎(chǔ)之上提供安全運(yùn)營(yíng),幫助用戶快速、宏觀地了解整個(gè)企業(yè)的安全情況。對(duì)各種威脅采取措施的控制指令下發(fā)至控制系統(tǒng),形成監(jiān)控、分析、控制的閉環(huán)。
2.2 技術(shù)的示范效應(yīng)
通過(guò)全網(wǎng)流量監(jiān)測(cè),發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的各類威脅,并進(jìn)行情報(bào)挖掘與云端關(guān)聯(lián)分析,提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅,并將威脅情報(bào)以可機(jī)讀格式推送到本地系統(tǒng),供本地威脅檢測(cè)和分析時(shí)使用。
2.3 商業(yè)價(jià)值
傳統(tǒng)工業(yè)領(lǐng)域安全防護(hù)常用的分層分域的隔離與邊界防護(hù)思路以及傳統(tǒng)的IT安全手段已不能有效識(shí)別和抵御所有可能的攻擊。安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)為智能制造中小企業(yè)的工業(yè)控制系統(tǒng)信息安全保障提供了一種有效解決方案。通過(guò)該平臺(tái)的部署,可以實(shí)時(shí)監(jiān)控企業(yè)內(nèi)網(wǎng)的流量,及時(shí)發(fā)現(xiàn)智能制造網(wǎng)絡(luò)空間的可疑行為和風(fēng)險(xiǎn),大大提高了整個(gè)工業(yè)控制過(guò)程自動(dòng)化領(lǐng)域的信息安全保障水平,同時(shí)提高用戶對(duì)自己使用的工業(yè)控制系統(tǒng)信息安全的自主把控能力。本平臺(tái)作為智能制造行業(yè)工業(yè)互聯(lián)網(wǎng)建設(shè)和正常運(yùn)行的重要支撐和保護(hù),其建設(shè)具有良好的經(jīng)濟(jì)效益。
2.4 社會(huì)價(jià)值
智能制造行業(yè)工業(yè)控制系統(tǒng)在我國(guó)經(jīng)濟(jì)生產(chǎn)生活中起著舉足輕重的作用,如果工業(yè)控制的信息被竊取或者被修改,可能造成人身傷亡、財(cái)產(chǎn)損失等嚴(yán)重后果,更嚴(yán)重的甚至?xí)绊懙絿?guó)家安全。本平臺(tái)建成后,將快速面向智能制造中小企業(yè),形成良好的工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài),加快工業(yè)物聯(lián)網(wǎng)在工業(yè)信息化產(chǎn)業(yè)中的布局,降低企業(yè)工業(yè)控制信息化的復(fù)雜度,從而讓工業(yè)充分享受信息化產(chǎn)業(yè)帶來(lái)的便利,社會(huì)效益十分顯著。
3 實(shí)驗(yàn)平臺(tái)技術(shù)可行性
該平臺(tái)將建設(shè)成一個(gè)以多種安全問(wèn)題管理為目標(biāo)、以智能制造工業(yè)數(shù)據(jù)為核心、威脅情報(bào)為特色、打通安全運(yùn)營(yíng)中的檢測(cè)、響應(yīng)、預(yù)警、防御多個(gè)領(lǐng)域環(huán)節(jié)的完整安全體系,能夠覆蓋安全管理與運(yùn)營(yíng)的各個(gè)環(huán)節(jié),功能架構(gòu)圖如下:
平臺(tái)功能架構(gòu)
該平臺(tái)數(shù)據(jù)采集部分,除了對(duì)智能制造行業(yè)傳統(tǒng)的Syslog、Flow、各種系統(tǒng)日志和安全設(shè)備日志以外還突破性地針對(duì)原始流量日志(依賴于流量傳感器或360下一代防火墻)和終端日志(依賴于天擎EDR模塊)進(jìn)行采集。依賴于更加原始的日志信息,平臺(tái)可以發(fā)現(xiàn)隱藏更深的各種威脅,同時(shí)能夠提供完整的事件回溯分析能力。
平臺(tái)在數(shù)據(jù)的存儲(chǔ)和分析中大量使用大數(shù)據(jù)相關(guān)技術(shù),在標(biāo)準(zhǔn)化組件中可以依賴于分布式全文檢索技術(shù)提供接近PB級(jí)日志量的存儲(chǔ)和快速計(jì)算,同時(shí)能夠提供良好的可靠性保證,以解決意外斷電、磁盤故障可能對(duì)系統(tǒng)帶來(lái)的可靠性問(wèn)題。
平臺(tái)使用多種分析引擎針對(duì)不同的管理目標(biāo)提供相應(yīng)支撐,關(guān)聯(lián)分析、統(tǒng)計(jì)分析、快速搜索等功能相較于傳統(tǒng)產(chǎn)品具有明顯的性能優(yōu)勢(shì)。
平臺(tái)最外層提供友好、高效的交互管理頁(yè)面,既滿足了使用需求,又能夠提升工作效率。再結(jié)合威脅情報(bào)、安全服務(wù)等來(lái)自于360特有的安全知識(shí)輸入,該平臺(tái)可以極大地提升本地安全運(yùn)營(yíng)的效率。
3.1 物理平臺(tái)
平臺(tái)主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺(tái)4個(gè)硬件模塊。通常部署在網(wǎng)絡(luò)出口交換機(jī)旁,或者其他需要監(jiān)聽(tīng)流量的網(wǎng)絡(luò)節(jié)點(diǎn)旁,接收鏡像流量,不會(huì)對(duì)企業(yè)廠區(qū)內(nèi)部生產(chǎn)本身造成影響。
3.2 軟件平臺(tái)
所用設(shè)備操作系統(tǒng)為linux。
3.3 配置和控制接口
3.4 數(shù)據(jù)通訊接口
工控通信協(xié)議Modbus/TCP、OPC DA、S7等。
3.5 安全措施
智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)是安全產(chǎn)品,能夠連接工控防火墻、工業(yè)安全審計(jì)、工業(yè)主機(jī)防病毒軟件、工控交換機(jī)等設(shè)備,統(tǒng)一管理安全事件。
同時(shí),該平臺(tái)在出廠時(shí)已經(jīng)通過(guò)公司內(nèi)部安全審查和評(píng)估。
3.6 軟件開(kāi)發(fā)和模擬環(huán)境
開(kāi)發(fā)環(huán)境為python環(huán)境和C環(huán)境
4 和ECC技術(shù)及測(cè)試臺(tái)的關(guān)系
4.1 ECC總體架構(gòu)
邊緣計(jì)算參考架構(gòu)2.0
邊緣計(jì)算參考架構(gòu)在每層均提供了模型化的開(kāi)放接口,實(shí)現(xiàn)了架構(gòu)的全層次開(kāi)放;邊緣計(jì)算參考架構(gòu)通過(guò)縱向管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)、安全服務(wù),實(shí)現(xiàn)業(yè)務(wù)的全流程、全生命周期的智能服務(wù)。
安全監(jiān)測(cè)和運(yùn)營(yíng)管理平臺(tái)在邊緣計(jì)算參考架構(gòu)中提供安全服務(wù),網(wǎng)絡(luò)邊緣側(cè)接入的終端類型廣泛,數(shù)量巨大,承載的業(yè)務(wù)繁雜,被動(dòng)的安全防御往往不能起到良好的效果。因此,需要采用更加積極主動(dòng)的安全防御手段,包括基于大數(shù)據(jù)的態(tài)勢(shì)感知和高級(jí)威脅檢測(cè),以及統(tǒng)一的全網(wǎng)安全策略執(zhí)行和主動(dòng)防護(hù),從而更加快速響應(yīng)和防護(hù)。再結(jié)合完善的運(yùn)維監(jiān)控和應(yīng)急響應(yīng)機(jī)制,則能夠最大限度保障邊緣計(jì)算系統(tǒng)的安全、可用、可信。
4.2 ECC實(shí)驗(yàn)平臺(tái)
參考邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟已發(fā)布的17個(gè)測(cè)試床,主要集中在智能水務(wù)、智慧農(nóng)業(yè)、智慧物流、智能樓宇、照明物聯(lián)網(wǎng)、智能車輛等方面。現(xiàn)有成果沒(méi)有從安全角度考慮建設(shè)測(cè)試床,因此,智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)的部署是非常有必要的,同時(shí)需要亟待落實(shí)。
智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)架構(gòu)本身即為邊緣計(jì)算架構(gòu),平臺(tái)對(duì)接360云端威脅情報(bào)中心,可對(duì)海
量數(shù)據(jù)情報(bào)對(duì)各種告警中的IP、域名、文件MD5進(jìn)行進(jìn)一步分析和解釋,本地分析平臺(tái)對(duì)原始日志和流量信息進(jìn)行分析,實(shí)現(xiàn)本地處理,分析平臺(tái)本身可看作邊緣節(jié)點(diǎn)。
5 交付件
智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)本身是一個(gè)系統(tǒng),提供流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺(tái)四個(gè)硬件設(shè)備。
6 實(shí)驗(yàn)平臺(tái)使用者
智能制造安全監(jiān)測(cè)與運(yùn)營(yíng)管理平臺(tái)建設(shè)成功后,可用于工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室展示,同時(shí)用于威派格智慧水務(wù)系統(tǒng)的安全監(jiān)測(cè)、分析預(yù)警、安全態(tài)勢(shì)展現(xiàn)、威脅情報(bào)發(fā)布與使用。
7 知識(shí)產(chǎn)權(quán)說(shuō)明
(1)項(xiàng)目實(shí)施過(guò)程中所產(chǎn)生的知識(shí)產(chǎn)權(quán):
·各方獨(dú)立完成的成果所有權(quán)歸各自所有;共同完成的成果所有權(quán),按照參與方的貢獻(xiàn)大小進(jìn)行分配。
·共同完成的項(xiàng)目成果轉(zhuǎn)讓,須經(jīng)參與各方同意的前提下進(jìn)行,任何一方不得私自開(kāi)展。
(2)獨(dú)立完成的知識(shí)產(chǎn)權(quán)成果各方可獨(dú)立組織成果鑒定。
(3)共同完成的項(xiàng)目成果申報(bào)各級(jí)獎(jiǎng)項(xiàng),應(yīng)根據(jù)各方貢獻(xiàn)大小排名。具體事宜另行商定。
8 部署、操作和訪問(wèn)使用
流量傳感器通常部署在網(wǎng)絡(luò)出口交換機(jī)旁,或者其他需要監(jiān)聽(tīng)流量的網(wǎng)絡(luò)節(jié)點(diǎn)旁,接收鏡像流量。關(guān)聯(lián)規(guī)則引擎、日志采集器和分析平臺(tái)部署在流量傳感器同一個(gè)網(wǎng)段即可,不會(huì)對(duì)企業(yè)廠區(qū)內(nèi)部生產(chǎn)造成影響。
摘自《自動(dòng)化博覽》2018年增刊《邊緣計(jì)算2018專輯》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)