工業(yè)互聯網是與人民群眾生活息息相關的重要基礎設施，關系著國計民生的鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、水利水電、民航等重要行業(yè)。為了保障石油石化行業(yè)的安全運營，及時發(fā)現和處置運營過程中的潛在威脅風險點，新華三信息安全與石油石化行業(yè)用戶共同研發(fā)并上線了面向石油石化行業(yè)的工業(yè)互聯網安全態(tài)勢感知平臺。

01應用需求

近年來，新型攻擊組織化、目標定向化、手段專業(yè)化，讓用戶往往防不勝防，新型信息安全事件頻發(fā)。石油石化行業(yè)原有的安全防護策略側重分區(qū)隔離、數據加密和邊界防護，這些傳統(tǒng)的防護措施在有針對性的攻擊中存在一定的不足，主要表現在以下方面:

■ 數據采集能力不足

目前石油石化行業(yè)信息系統(tǒng)中安全數據采集采用傳統(tǒng)模式，數據來源單一，無法支持多維度的大數據分析，不能支撐有效決策。雖然目前已經構建了邊界防御為主、兼顧縱深防護的網絡安全防護體系，并且內網安全監(jiān)視平臺也將安全設備告警日志進行了收集，但由于使用傳統(tǒng)的技術架構、存儲的數據量和數據類型限制，防御系統(tǒng)數據源主要以單純的安全設備為主，沒有實現全網流量采集和分析，僅依靠安全設備的日志數據，很難發(fā)現潛在風險和未知威脅。

■ 數據分析能力不足

隨著網絡規(guī)模的爆發(fā)式增長，石油石化領域網絡安全爆發(fā)出來的問題越來越多，但網絡安全分析還是局限于傳統(tǒng)的規(guī)則庫和黑名單技術，缺乏大數據關聯分析和機器學習技術，效率低，費時費力，主要表現在：對重要資產的監(jiān)控遺漏將導致宕機或業(yè)務中斷;重要資產出現故障時很難從海量運維指標中迅速找到故障根因;對資產的海量告警信息極大地干擾了故障資產定位問題的速度。目前資產的故障恢復速度基本依賴于人工操作速度，如何有效地對網絡中的資產進行異常檢測、精準告警、故障定位和故障預測成為亟待解決的問題。

■ 可視化能力不足

網絡流量可視化與安全可視化能力不足，不能直觀高效地展示、呈現石油石化行業(yè)的安全問題。比如，實時了解哪些用戶是最活躍，最活躍用戶訪問了哪些業(yè)務系統(tǒng)，訪問的流量趨勢，需要展示的TOP20關鍵用戶流量，關鍵業(yè)務系統(tǒng)TOP流量及戶訪問流量趨勢，并高亮顯示用戶訪問的業(yè)務系統(tǒng)及其流量趨勢和任一業(yè)務系統(tǒng)高亮顯示其被訪問的用戶。除了攻擊類型、攻擊趨勢、攻擊源和攻擊目的TOP分析呈現外，還需要展示安全漏洞利用、病毒、蠕蟲、木馬和惡意代碼等風險檢測情況。

02技術特點

針對日益嚴峻的石油石化行業(yè)網絡安全運行和管理需求，工業(yè)互聯網安全態(tài)勢感知平臺基于大數據及人工智能等技術，通過安全分析平臺將各安全組件有機結合在一起，對各個組件進行全局統(tǒng)籌和協(xié)同響應，構建“云-網-端”協(xié)同立體防御體系。同時，建立知識庫進行策略管理，根據實時場景自適應決策響應，快速生成應急響應預案，主動將安全策略推送給全網關鍵安全設備。通過云端檢測與邊界防御相結合，實時預警和響應安全事件，實現對外部威脅的主動發(fā)現。

工業(yè)互聯網安全態(tài)勢感知平臺系統(tǒng)架構圖

該項目的上線實現了實時感知石油石化行業(yè)生產系統(tǒng)、設備、平臺的安全狀況、風險隱患及企業(yè)安全管理運行情況等信息，實現對網絡安全監(jiān)測信息的分類匯聚、精準研判;覆蓋對云、網、端的工業(yè)互聯網監(jiān)測防御，通過多手段、全流程的信息采集和多維度分析，形成工業(yè)互聯網關鍵信息基礎設施安全自適應監(jiān)測體系，該項目的主要技術特點如下：

■ 工業(yè)互聯網智能安全引擎

通過智能工業(yè)互聯網安全AI模型分析發(fā)現威脅，通過機器學習建立操作行為、工控資產及工控流量基線模型，發(fā)現異常操作、異常行為、異常流量及惡意攻擊流量，通過分類、聚類、回歸、深度學習等算法進行模型訓練，提供相應的安全AI能力，提升深度防護能力，實現從被動監(jiān)測到主動防御的跨越，提前預警安全風險。

■ 大數據安全分析技術及平臺

在傳統(tǒng)數據分析的基礎上，構建融合新一代分析技術的安全態(tài)勢感知分析平臺，基于大數據計算及存儲模型支撐海量數據的實時及歷史分析，建立安全威脅分析模型，實現從傳統(tǒng)的靜態(tài)特征匹配發(fā)現威脅到主動關聯分析發(fā)現威脅，實現海量安全數據的檢測，提升深度安全防護能力。

■ 多源異構安全數據采集與處理

通過多源異構安全數據，實現從被動防御到主動監(jiān)測的數據集合的跨越，數據采集對象范圍包括IT基礎設施運行狀態(tài)數據、網絡流量數據、日志數據、資產數據、安全告警數據、威脅情報數據、業(yè)務數據等，進行內部、外部、情報相關安全數據的全面采集，使安全數據可以反映出所有時段、各個安全層面。

■ 多維度安全態(tài)勢可視化

通過態(tài)勢多維監(jiān)測，實現從被動防御到主動監(jiān)測的跨越，建立主動防御體系，基于機器學習/人工智能和專家系統(tǒng)，對大范圍樣本數據進行安全分析，并可視化呈現安全態(tài)勢、行為審計和設備運維態(tài)勢?？梢苑浅Ｖ庇^地看到被攻擊最頻繁的區(qū)域、攻擊類型分布及趨勢、攻擊源攻擊目的和實時的攻擊事件;用戶的內網應用流量分布、內網用戶訪問流量模型;設備的狀態(tài)，包括高危資產、資產漏洞分布、關鍵服務器性能監(jiān)控、關鍵網絡設備負載監(jiān)控和最新的告警信息。

■ 異常流量多維檢測與預警

基于動態(tài)流量基線對異常流量進行檢查，是提升網絡安全的重要手段，通過分析主機流量訪問、內網流量訪問、互聯網出口用戶的流量訪問以及用戶主機的各種流量傳輸行為，結合機器學習和人工智能算法，準確找到用戶與流量之間的基線關系，通過機器學習等算法對潛在的流量異常行為進行挖掘和判斷，確保安全合規(guī)和信息泄露防護的需求，實現對用戶和業(yè)務訪問的精細化管理

■ 資產/業(yè)務安全運維管理

對用戶、資產和業(yè)務進行關聯，聚焦資產或業(yè)務的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運維告警和故障診斷，結合大數據的分析方法，全面感知和監(jiān)控資產的運營狀態(tài)和安全指數，為運維決策并聯動響應處置提供可視化的呈現和簡易化的操作。

03實施效果

石油石化環(huán)境下的安全態(tài)勢感知平臺，利用大數據技術對網絡安全態(tài)勢信息進行關聯分析、數據挖掘和可視化展示，繪制關鍵信息基礎設施網絡安全態(tài)勢地圖，為石油石化行業(yè)各項系統(tǒng)安全提供支持。

■ 全網資產監(jiān)控

為了有效監(jiān)控在網資產運行及風險狀態(tài)，快速處置故障及風險事件，系統(tǒng)基于云計算和容器技術進行微服務的自動部署和動態(tài)管理，對關鍵對象狀態(tài)進行實時監(jiān)控，對重要資產進行風險分析，能夠快速生成配置策略和任務工單，實現運維的響應和處置;同時支持工單的作業(yè)化管理，實現工單的自動觸發(fā)、派發(fā)、跟蹤、提醒和關閉。

全網資產監(jiān)控效果圖

■ 異常流量檢測

基于動態(tài)流量基線對異常流量進行檢查，是提升網絡安全的重要手段，通過分析主機流量訪問、內網流量訪問、互聯網出口用戶的流量訪問以及用戶主機的各種流量傳輸行為，結合機器學習和人工智能算法，準確找到用戶與流量之間的基線關系，通過機器學習等算法對潛在的流量異常行為進行挖掘和判斷，確保安全合規(guī)和信息泄露防護的需求。

異常流量檢測效果圖

■ 業(yè)務安全運維

聚焦資產或業(yè)務的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運維告警和故障診斷，結合大數據的分析方法，全面感知和監(jiān)控資產的運營狀態(tài)和安全指數，通過對用戶網絡安全策略體系與業(yè)務系統(tǒng)進行針對性分析，實現安全策略合規(guī)矩陣的可視化展示，為運維決策和聯動響應提供可視化的呈現和簡易化的操作;同時也可以實現對用戶的遠程代維代管，為后續(xù)的安全云運維增值業(yè)務的開展提供幫助。

業(yè)務安全運維效果圖

04經驗總結

本項目主要針對日益嚴峻的工業(yè)互聯網安全運行和管理需求，研究應用大數據和機器學習等技術解決工業(yè)互聯網安全防御面臨的監(jiān)測、分析、決策、響應等問題，為工業(yè)互聯網網絡防御中基于知識的態(tài)勢管理和智能決策帶來新的方法和理念。項目實施過程中的主要經驗體會如下：

(1)定制化程度較高，方案階段需要認真調研梳理，提前規(guī)劃布局。工業(yè)互聯網需要支持深度數據包解析引擎，可對工控協(xié)議做到實時和精準的識別，而這些工控協(xié)議除了Modbus/TCP，OPC Classic，OPC UA，DNP3，S7，S7 plus，profinet DCP，GOOSE，IEC60870-5-104，IEC61850-MMS等在內的各類主流工控網絡協(xié)議，還有一部分為企業(yè)內部的私有協(xié)議，給項目實施帶來大量的定制化要求，另外企業(yè)內部操作流程的合規(guī)性要求，也給項目帶來大量的定制化要求。

(2)項目的復雜程度超乎想象，需要找準切入點，分布實施。工業(yè)互聯網底層有各類工業(yè)控制設備;中間層有各類工程師工作站設計，工藝工序編制等系統(tǒng);上層有各類物料、管理、監(jiān)控等各類業(yè)務系統(tǒng)，在橫向上又分為不同的操作區(qū)域，使得項目實施、部署、調試、測試都異常復雜，在實施過程中需要找準切入點，先分區(qū)分域進行產品部署調試、再進行總體集成聯調。