工業(yè)互聯(lián)網(wǎng)是與人民群眾生活息息相關(guān)的重要基礎(chǔ)設(shè)施，關(guān)系著國計民生的鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、水利水電、民航等重要行業(yè)。為了保障石油石化行業(yè)的安全運營，及時發(fā)現(xiàn)和處置運營過程中的潛在威脅風險點，新華三信息安全與石油石化行業(yè)用戶共同研發(fā)并上線了面向石油石化行業(yè)的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺。

01應用需求

近年來，新型攻擊組織化、目標定向化、手段專業(yè)化，讓用戶往往防不勝防，新型信息安全事件頻發(fā)。石油石化行業(yè)原有的安全防護策略側(cè)重分區(qū)隔離、數(shù)據(jù)加密和邊界防護，這些傳統(tǒng)的防護措施在有針對性的攻擊中存在一定的不足，主要表現(xiàn)在以下方面:

■ 數(shù)據(jù)采集能力不足

目前石油石化行業(yè)信息系統(tǒng)中安全數(shù)據(jù)采集采用傳統(tǒng)模式，數(shù)據(jù)來源單一，無法支持多維度的大數(shù)據(jù)分析，不能支撐有效決策。雖然目前已經(jīng)構(gòu)建了邊界防御為主、兼顧縱深防護的網(wǎng)絡(luò)安全防護體系，并且內(nèi)網(wǎng)安全監(jiān)視平臺也將安全設(shè)備告警日志進行了收集，但由于使用傳統(tǒng)的技術(shù)架構(gòu)、存儲的數(shù)據(jù)量和數(shù)據(jù)類型限制，防御系統(tǒng)數(shù)據(jù)源主要以單純的安全設(shè)備為主，沒有實現(xiàn)全網(wǎng)流量采集和分析，僅依靠安全設(shè)備的日志數(shù)據(jù)，很難發(fā)現(xiàn)潛在風險和未知威脅。

■ 數(shù)據(jù)分析能力不足

隨著網(wǎng)絡(luò)規(guī)模的爆發(fā)式增長，石油石化領(lǐng)域網(wǎng)絡(luò)安全爆發(fā)出來的問題越來越多，但網(wǎng)絡(luò)安全分析還是局限于傳統(tǒng)的規(guī)則庫和黑名單技術(shù)，缺乏大數(shù)據(jù)關(guān)聯(lián)分析和機器學習技術(shù)，效率低，費時費力，主要表現(xiàn)在：對重要資產(chǎn)的監(jiān)控遺漏將導致宕機或業(yè)務中斷;重要資產(chǎn)出現(xiàn)故障時很難從海量運維指標中迅速找到故障根因;對資產(chǎn)的海量告警信息極大地干擾了故障資產(chǎn)定位問題的速度。目前資產(chǎn)的故障恢復速度基本依賴于人工操作速度，如何有效地對網(wǎng)絡(luò)中的資產(chǎn)進行異常檢測、精準告警、故障定位和故障預測成為亟待解決的問題。

■ 可視化能力不足

網(wǎng)絡(luò)流量可視化與安全可視化能力不足，不能直觀高效地展示、呈現(xiàn)石油石化行業(yè)的安全問題。比如，實時了解哪些用戶是最活躍，最活躍用戶訪問了哪些業(yè)務系統(tǒng)，訪問的流量趨勢，需要展示的TOP20關(guān)鍵用戶流量，關(guān)鍵業(yè)務系統(tǒng)TOP流量及戶訪問流量趨勢，并高亮顯示用戶訪問的業(yè)務系統(tǒng)及其流量趨勢和任一業(yè)務系統(tǒng)高亮顯示其被訪問的用戶。除了攻擊類型、攻擊趨勢、攻擊源和攻擊目的TOP分析呈現(xiàn)外，還需要展示安全漏洞利用、病毒、蠕蟲、木馬和惡意代碼等風險檢測情況。

02技術(shù)特點

針對日益嚴峻的石油石化行業(yè)網(wǎng)絡(luò)安全運行和管理需求，工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺基于大數(shù)據(jù)及人工智能等技術(shù)，通過安全分析平臺將各安全組件有機結(jié)合在一起，對各個組件進行全局統(tǒng)籌和協(xié)同響應，構(gòu)建“云-網(wǎng)-端”協(xié)同立體防御體系。同時，建立知識庫進行策略管理，根據(jù)實時場景自適應決策響應，快速生成應急響應預案，主動將安全策略推送給全網(wǎng)關(guān)鍵安全設(shè)備。通過云端檢測與邊界防御相結(jié)合，實時預警和響應安全事件，實現(xiàn)對外部威脅的主動發(fā)現(xiàn)。

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺系統(tǒng)架構(gòu)圖

該項目的上線實現(xiàn)了實時感知石油石化行業(yè)生產(chǎn)系統(tǒng)、設(shè)備、平臺的安全狀況、風險隱患及企業(yè)安全管理運行情況等信息，實現(xiàn)對網(wǎng)絡(luò)安全監(jiān)測信息的分類匯聚、精準研判;覆蓋對云、網(wǎng)、端的工業(yè)互聯(lián)網(wǎng)監(jiān)測防御，通過多手段、全流程的信息采集和多維度分析，形成工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全自適應監(jiān)測體系，該項目的主要技術(shù)特點如下：

■ 工業(yè)互聯(lián)網(wǎng)智能安全引擎

通過智能工業(yè)互聯(lián)網(wǎng)安全AI模型分析發(fā)現(xiàn)威脅，通過機器學習建立操作行為、工控資產(chǎn)及工控流量基線模型，發(fā)現(xiàn)異常操作、異常行為、異常流量及惡意攻擊流量，通過分類、聚類、回歸、深度學習等算法進行模型訓練，提供相應的安全AI能力，提升深度防護能力，實現(xiàn)從被動監(jiān)測到主動防御的跨越，提前預警安全風險。

■ 大數(shù)據(jù)安全分析技術(shù)及平臺

在傳統(tǒng)數(shù)據(jù)分析的基礎(chǔ)上，構(gòu)建融合新一代分析技術(shù)的安全態(tài)勢感知分析平臺，基于大數(shù)據(jù)計算及存儲模型支撐海量數(shù)據(jù)的實時及歷史分析，建立安全威脅分析模型，實現(xiàn)從傳統(tǒng)的靜態(tài)特征匹配發(fā)現(xiàn)威脅到主動關(guān)聯(lián)分析發(fā)現(xiàn)威脅，實現(xiàn)海量安全數(shù)據(jù)的檢測，提升深度安全防護能力。

■ 多源異構(gòu)安全數(shù)據(jù)采集與處理

通過多源異構(gòu)安全數(shù)據(jù)，實現(xiàn)從被動防御到主動監(jiān)測的數(shù)據(jù)集合的跨越，數(shù)據(jù)采集對象范圍包括IT基礎(chǔ)設(shè)施運行狀態(tài)數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、安全告警數(shù)據(jù)、威脅情報數(shù)據(jù)、業(yè)務數(shù)據(jù)等，進行內(nèi)部、外部、情報相關(guān)安全數(shù)據(jù)的全面采集，使安全數(shù)據(jù)可以反映出所有時段、各個安全層面。

■ 多維度安全態(tài)勢可視化

通過態(tài)勢多維監(jiān)測，實現(xiàn)從被動防御到主動監(jiān)測的跨越，建立主動防御體系，基于機器學習/人工智能和專家系統(tǒng)，對大范圍樣本數(shù)據(jù)進行安全分析，并可視化呈現(xiàn)安全態(tài)勢、行為審計和設(shè)備運維態(tài)勢?？梢苑浅Ｖ庇^地看到被攻擊最頻繁的區(qū)域、攻擊類型分布及趨勢、攻擊源攻擊目的和實時的攻擊事件;用戶的內(nèi)網(wǎng)應用流量分布、內(nèi)網(wǎng)用戶訪問流量模型;設(shè)備的狀態(tài)，包括高危資產(chǎn)、資產(chǎn)漏洞分布、關(guān)鍵服務器性能監(jiān)控、關(guān)鍵網(wǎng)絡(luò)設(shè)備負載監(jiān)控和最新的告警信息。

■ 異常流量多維檢測與預警

基于動態(tài)流量基線對異常流量進行檢查，是提升網(wǎng)絡(luò)安全的重要手段，通過分析主機流量訪問、內(nèi)網(wǎng)流量訪問、互聯(lián)網(wǎng)出口用戶的流量訪問以及用戶主機的各種流量傳輸行為，結(jié)合機器學習和人工智能算法，準確找到用戶與流量之間的基線關(guān)系，通過機器學習等算法對潛在的流量異常行為進行挖掘和判斷，確保安全合規(guī)和信息泄露防護的需求，實現(xiàn)對用戶和業(yè)務訪問的精細化管理

■ 資產(chǎn)/業(yè)務安全運維管理

對用戶、資產(chǎn)和業(yè)務進行關(guān)聯(lián)，聚焦資產(chǎn)或業(yè)務的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運維告警和故障診斷，結(jié)合大數(shù)據(jù)的分析方法，全面感知和監(jiān)控資產(chǎn)的運營狀態(tài)和安全指數(shù)，為運維決策并聯(lián)動響應處置提供可視化的呈現(xiàn)和簡易化的操作。

03實施效果

石油石化環(huán)境下的安全態(tài)勢感知平臺，利用大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)安全態(tài)勢信息進行關(guān)聯(lián)分析、數(shù)據(jù)挖掘和可視化展示，繪制關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢地圖，為石油石化行業(yè)各項系統(tǒng)安全提供支持。

■ 全網(wǎng)資產(chǎn)監(jiān)控

為了有效監(jiān)控在網(wǎng)資產(chǎn)運行及風險狀態(tài)，快速處置故障及風險事件，系統(tǒng)基于云計算和容器技術(shù)進行微服務的自動部署和動態(tài)管理，對關(guān)鍵對象狀態(tài)進行實時監(jiān)控，對重要資產(chǎn)進行風險分析，能夠快速生成配置策略和任務工單，實現(xiàn)運維的響應和處置;同時支持工單的作業(yè)化管理，實現(xiàn)工單的自動觸發(fā)、派發(fā)、跟蹤、提醒和關(guān)閉。

全網(wǎng)資產(chǎn)監(jiān)控效果圖

■ 異常流量檢測

基于動態(tài)流量基線對異常流量進行檢查，是提升網(wǎng)絡(luò)安全的重要手段，通過分析主機流量訪問、內(nèi)網(wǎng)流量訪問、互聯(lián)網(wǎng)出口用戶的流量訪問以及用戶主機的各種流量傳輸行為，結(jié)合機器學習和人工智能算法，準確找到用戶與流量之間的基線關(guān)系，通過機器學習等算法對潛在的流量異常行為進行挖掘和判斷，確保安全合規(guī)和信息泄露防護的需求。

異常流量檢測效果圖

■ 業(yè)務安全運維

聚焦資產(chǎn)或業(yè)務的狀態(tài)監(jiān)控、性能監(jiān)控、配置基線管理、運維告警和故障診斷，結(jié)合大數(shù)據(jù)的分析方法，全面感知和監(jiān)控資產(chǎn)的運營狀態(tài)和安全指數(shù)，通過對用戶網(wǎng)絡(luò)安全策略體系與業(yè)務系統(tǒng)進行針對性分析，實現(xiàn)安全策略合規(guī)矩陣的可視化展示，為運維決策和聯(lián)動響應提供可視化的呈現(xiàn)和簡易化的操作;同時也可以實現(xiàn)對用戶的遠程代維代管，為后續(xù)的安全云運維增值業(yè)務的開展提供幫助。

業(yè)務安全運維效果圖

04經(jīng)驗總結(jié)

本項目主要針對日益嚴峻的工業(yè)互聯(lián)網(wǎng)安全運行和管理需求，研究應用大數(shù)據(jù)和機器學習等技術(shù)解決工業(yè)互聯(lián)網(wǎng)安全防御面臨的監(jiān)測、分析、決策、響應等問題，為工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)防御中基于知識的態(tài)勢管理和智能決策帶來新的方法和理念。項目實施過程中的主要經(jīng)驗體會如下：

(1)定制化程度較高，方案階段需要認真調(diào)研梳理，提前規(guī)劃布局。工業(yè)互聯(lián)網(wǎng)需要支持深度數(shù)據(jù)包解析引擎，可對工控協(xié)議做到實時和精準的識別，而這些工控協(xié)議除了Modbus/TCP，OPC Classic，OPC UA，DNP3，S7，S7 plus，profinet DCP，GOOSE，IEC60870-5-104，IEC61850-MMS等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議，還有一部分為企業(yè)內(nèi)部的私有協(xié)議，給項目實施帶來大量的定制化要求，另外企業(yè)內(nèi)部操作流程的合規(guī)性要求，也給項目帶來大量的定制化要求。

(2)項目的復雜程度超乎想象，需要找準切入點，分布實施。工業(yè)互聯(lián)網(wǎng)底層有各類工業(yè)控制設(shè)備;中間層有各類工程師工作站設(shè)計，工藝工序編制等系統(tǒng);上層有各類物料、管理、監(jiān)控等各類業(yè)務系統(tǒng)，在橫向上又分為不同的操作區(qū)域，使得項目實施、部署、調(diào)試、測試都異常復雜，在實施過程中需要找準切入點，先分區(qū)分域進行產(chǎn)品部署調(diào)試、再進行總體集成聯(lián)調(diào)。