某省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)——打造省、市級工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)生態(tài)體系
1.1.1 方案概述
今年,工信部印發(fā)組織開展2022年工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng),旨在全國范圍內(nèi)深入實(shí)施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理工作,要求各地工信廳、通信管理局聯(lián)合第三方專業(yè)機(jī)構(gòu)制定實(shí)施方案5月30日前報(bào)送工信部,并在11月底前開展本地深度行活動(dòng)。
針對深度行活動(dòng)提到的“分類分級管理”內(nèi)容,湖南省工信廳搭建了省級湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái),安恒全程主導(dǎo)并參與平臺(tái)建設(shè)。2022年5月20日,在湖南省工信廳和省通管局聯(lián)合舉辦“工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)”中平臺(tái)正式發(fā)布,預(yù)示整個(gè)湖南省的分類分級管理工作將在該平臺(tái)的支撐下進(jìn)行深度推廣,為工業(yè)企業(yè)用戶提供服務(wù)。
1. 方案背景
(1)工業(yè)互聯(lián)網(wǎng)是數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的國家戰(zhàn)略
工業(yè)互聯(lián)網(wǎng)以數(shù)字化、網(wǎng)絡(luò)化、智能化為本質(zhì)特征的第四次工業(yè)革命正在興起。作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,通過對人、機(jī)、物的全面互聯(lián),構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈全面連接的新型生產(chǎn)制造的新型生產(chǎn)制造和服務(wù)體系,是數(shù)字化轉(zhuǎn)型的實(shí)現(xiàn)路徑,是實(shí)現(xiàn)新舊動(dòng)能轉(zhuǎn)換的關(guān)鍵力量。為搶抓新一輪科技革命和產(chǎn)業(yè)變革的重大歷史機(jī)遇,世界主要國家和地區(qū)加強(qiáng)制造業(yè)數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)戰(zhàn)略布局,全球領(lǐng)先企業(yè)積極行動(dòng),產(chǎn)業(yè)發(fā)展新格局正孕育形成。
2019年10月18日,習(xí)近平總書記向“2019工業(yè)互聯(lián)網(wǎng)全球峰會(huì)”發(fā)來賀信。習(xí)近平指出,“當(dāng)前,全球新一輪科技革命和產(chǎn)業(yè)革命加速發(fā)展,工業(yè)互聯(lián)網(wǎng)技術(shù)不斷突破,為各國經(jīng)濟(jì)創(chuàng)新發(fā)展注入了新動(dòng)能,也為促進(jìn)全球產(chǎn)業(yè)融合發(fā)展提供了新機(jī)遇。中國高度重視工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展,愿同國際社會(huì)一道,持續(xù)提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新能力,推動(dòng)工業(yè)化與信息化在更廣范圍、更深程度、更高水平上實(shí)現(xiàn)融合發(fā)展”。 同時(shí),習(xí)近平強(qiáng)調(diào),“深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略,系統(tǒng)推進(jìn)工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和數(shù)據(jù)資源管理體系建設(shè),發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用,加快形成以創(chuàng)新為主要引領(lǐng)和支撐的數(shù)字經(jīng)濟(jì)”。習(xí)近平關(guān)于工業(yè)互聯(lián)網(wǎng)的系列指示體現(xiàn)了對工業(yè)互聯(lián)網(wǎng)發(fā)展的高度重視,彰顯了推進(jìn)工業(yè)互聯(lián)網(wǎng)發(fā)展的緊迫性和重要性。
(2)工業(yè)互聯(lián)網(wǎng)安全是其發(fā)展的重要保障
工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡(luò)、平臺(tái)、安全三大體系。其中,網(wǎng)絡(luò)體系是基礎(chǔ),工業(yè)互聯(lián)網(wǎng)將連接對象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價(jià)值鏈,可實(shí)現(xiàn)人、物品、機(jī)器、車間、企業(yè)等全要素,以及設(shè)計(jì)、研發(fā)、生產(chǎn)、管理、服務(wù)等各環(huán)節(jié)的泛在深度互聯(lián)。平臺(tái)體系是核心,工業(yè)互聯(lián)網(wǎng)平臺(tái)作為工業(yè)智能化發(fā)展的核心載體,實(shí)現(xiàn)海量異構(gòu)數(shù)據(jù)匯聚與建模分析、工業(yè)制造能力標(biāo)準(zhǔn)化與服務(wù)化、工業(yè)經(jīng)驗(yàn)知識軟件化與模塊化,以及各類創(chuàng)新應(yīng)用開發(fā)與運(yùn)行,支撐生產(chǎn)智能決策、業(yè)務(wù)模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培訓(xùn)。安全體系是保障,建設(shè)滿足工業(yè)需求的安全技術(shù)體系和管理體系,增強(qiáng)設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)的安全保障能力,識別和抵御安全威脅,化解各種安全風(fēng)險(xiǎn),構(gòu)建工業(yè)智能化發(fā)展的安全可信環(huán)境。
(3)工業(yè)互聯(lián)網(wǎng)安全在轉(zhuǎn)型過程中面臨的挑戰(zhàn)
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,IT與OT不斷融合,使原有的工廠內(nèi)外網(wǎng)絡(luò)邊界變的模糊,由于產(chǎn)業(yè)模式的創(chuàng)新發(fā)展,工廠內(nèi)外的信息傳遞更加頻繁,這將使黑客更容易入侵到工廠內(nèi)網(wǎng)絡(luò),攻陷生產(chǎn)設(shè)備和系統(tǒng),對生產(chǎn)造成巨大損失。工業(yè)控制系統(tǒng)信息安全目前面臨著信息安全與工控系統(tǒng)自身安全融合的要求。目前工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品還處于產(chǎn)品階段的 1.0 版本的時(shí)代,與目前 IT 信息安全和 IT 系統(tǒng)的適配程度相比還有比較大的差距。工業(yè)控制系統(tǒng)安全產(chǎn)品是與業(yè)務(wù)應(yīng)用相關(guān)度比較高的產(chǎn)品。目前的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品體現(xiàn)在與業(yè)務(wù)的融合度不夠,在深度檢測與業(yè)務(wù)相關(guān)的攻擊行為的時(shí)候往往乏力,缺乏創(chuàng)新性的安全檢測思路,防護(hù)思路往往缺乏真正有效的方法。另一方面,隨著工業(yè)領(lǐng)域中的一些新的應(yīng)用,如工業(yè)云、工業(yè)大數(shù)據(jù)等的普及,工業(yè)控制的業(yè)態(tài)也必將發(fā)生一些變化。而信息安全技術(shù)與新的業(yè)態(tài)融合時(shí),必然需要與業(yè)務(wù)進(jìn)行融合。而目前工控信息安全技術(shù)的融合還沒有完全展開,需要在技術(shù)方向和應(yīng)用上有所突破。
2. 方案簡介
政策驅(qū)動(dòng)需求:政策文件的下發(fā),為各地方區(qū)域級工業(yè)信息安全監(jiān)管部門具有明確的監(jiān)管工作指導(dǎo)意義,分別從如何對企業(yè)分類分級,如何做好分類分級的安全防護(hù),以及如何做好相關(guān)安全監(jiān)測預(yù)警工作給出了較為明確的工作行動(dòng)目標(biāo)。
業(yè)務(wù)驅(qū)動(dòng)需求:形成監(jiān)測預(yù)警、信息通報(bào)、協(xié)同應(yīng)急處置的閉環(huán)管理機(jī)制;形成工業(yè)企業(yè)分類分級安全監(jiān)管閉環(huán)管理機(jī)制;形成面向工業(yè)企業(yè)提供安全服務(wù)的生態(tài)體系。
(2)解決方案
方案將工業(yè)互聯(lián)網(wǎng)安全“監(jiān)測預(yù)警與協(xié)同應(yīng)急管理”、“工業(yè)互聯(lián)網(wǎng)企業(yè)安全合規(guī)管理”和“工業(yè)互聯(lián)網(wǎng)安全支撐綜合服務(wù)”三大業(yè)務(wù)應(yīng)用融為一體,以“工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)”為核心能力,為工業(yè)互聯(lián)網(wǎng)安全監(jiān)管部門和工業(yè)企業(yè)提供“雙向賦能”。打造省、市工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)生態(tài)體系,逐步形成集約化工業(yè)互聯(lián)網(wǎng)安全運(yùn)營服務(wù)中心。
圖8-1 集約化工業(yè)互聯(lián)網(wǎng)安全運(yùn)營服務(wù)中心
3. 方案目標(biāo)
(1)提升、完善全省工業(yè)互聯(lián)網(wǎng)威脅感知能力
工業(yè)互聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型過程中,業(yè)務(wù)應(yīng)用場景也越來越多,因此相應(yīng)的網(wǎng)絡(luò)安全監(jiān)測手段也需要進(jìn)行補(bǔ)充和技術(shù)提升。本次建設(shè)需要提升全省工業(yè)互聯(lián)網(wǎng)企業(yè)安全整體態(tài)勢感知、分析能力,實(shí)時(shí)掌握更多、更全面的各類工業(yè)互聯(lián)網(wǎng)場景下的安全動(dòng)態(tài),在發(fā)生工業(yè)互聯(lián)網(wǎng)安全事件時(shí),也無法進(jìn)行精準(zhǔn)預(yù)警。為實(shí)時(shí)掌握全省工業(yè)互聯(lián)網(wǎng)安全情況及動(dòng)態(tài),在發(fā)生安全隱患時(shí)可以進(jìn)行快速、精準(zhǔn)預(yù)警,需依托大數(shù)據(jù)技術(shù)建立全省工業(yè)互聯(lián)網(wǎng)安全感知分析能力,實(shí)現(xiàn)精準(zhǔn)匹配、重點(diǎn)分析,并提供多個(gè)維度可視化的大數(shù)據(jù)分析結(jié)果,為研判、決策工業(yè)互聯(lián)網(wǎng)安全保障工作提供有效支撐,提升對關(guān)鍵目標(biāo)的管控、風(fēng)險(xiǎn)識別的水平。
(2)建立省級工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)協(xié)同指揮體系
根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》的相關(guān)要求,為積極落實(shí)責(zé)任要求,形成安全事件閉環(huán)管理機(jī)制,加快建立省工業(yè)互聯(lián)網(wǎng)安全協(xié)同協(xié)作機(jī)制,需要結(jié)合實(shí)際需要對全省工業(yè)企業(yè)建立監(jiān)測、預(yù)警、防范協(xié)同管理機(jī)制,建立相應(yīng)的技術(shù)平臺(tái),實(shí)現(xiàn)省工信廳、地市工信局、工業(yè)企業(yè)、技術(shù)支撐單位級其他監(jiān)管單位等在工業(yè)互聯(lián)網(wǎng)安全安全層面上的協(xié)作、互通,進(jìn)一步完善監(jiān)測預(yù)警、信息通報(bào)、應(yīng)急處置等相關(guān)機(jī)制的建設(shè)。
(3)建立工業(yè)領(lǐng)域網(wǎng)絡(luò)安全分類分級合規(guī)管理機(jī)制
以《網(wǎng)絡(luò)安全分類分級》為依據(jù),完善工業(yè)企業(yè)網(wǎng)絡(luò)安全合規(guī)管理機(jī)制,打造精細(xì)化、差異化的科學(xué)管理方式。形成面向工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、標(biāo)識解析企業(yè)等三類工業(yè)互聯(lián)網(wǎng)企業(yè)開展網(wǎng)絡(luò)安全分類分級管理工作,參照行業(yè)重要性、企業(yè)規(guī)模、安全風(fēng)險(xiǎn)程度等因素,將企業(yè)網(wǎng)絡(luò)安全等級由高到低劃分為三級、二級、一級,并針對不同類型、不同級別的企業(yè)提出差異化安全防護(hù)要求。
組建工業(yè)互聯(lián)安全評測機(jī)構(gòu)和專家隊(duì)伍,提供專業(yè)化工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估工具,開展對工業(yè)企業(yè)的現(xiàn)場安全檢查和信息調(diào)查。針對工業(yè)企業(yè)進(jìn)行定期及不定期的巡視檢查,通過建立全省工業(yè)互聯(lián)網(wǎng)安全檢查機(jī)制,借助線上監(jiān)測加線下檢查形成監(jiān)管合力,摸底全省工業(yè)互聯(lián)網(wǎng)安全狀況。
(4)建立工業(yè)企業(yè)與省平臺(tái)監(jiān)測數(shù)據(jù)安全共享能力
依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南》要求,三級工業(yè)企業(yè)需要在企業(yè)建設(shè)安全監(jiān)測分析平臺(tái),并將在企業(yè)內(nèi)監(jiān)測的數(shù)據(jù)信息上報(bào)給省級平臺(tái)。因此,需要實(shí)現(xiàn)工業(yè)企業(yè)安全監(jiān)測分析平臺(tái)與省湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)的安全認(rèn)證與數(shù)據(jù)傳輸共享服務(wù),以保證兩平臺(tái)間數(shù)據(jù)傳輸共享的安全性。
(5)建立工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力
一是加強(qiáng)對省工業(yè)信息安全公共服務(wù)能力,通過對工業(yè)企業(yè)資產(chǎn)梳理、安全隱患監(jiān)測、安全事件分析研判、應(yīng)急響應(yīng)支持、安全態(tài)勢感知服務(wù)、安全運(yùn)營服務(wù)等,提高全省工業(yè)企業(yè)提供網(wǎng)絡(luò)安全公共服務(wù)的能力。
二是針對信息安全意識、安全技能、熱點(diǎn)安全事件定期組織安全培訓(xùn),輻射全省,對各級工信單位、重點(diǎn)工業(yè)企業(yè)進(jìn)行網(wǎng)絡(luò)安全業(yè)務(wù)培訓(xùn),形成常態(tài)化工控信息安全人才隊(duì)伍建設(shè)與培養(yǎng)機(jī)制,增強(qiáng)各級各部門網(wǎng)絡(luò)安全意識和防護(hù)水平。
(6)建立跨平臺(tái)數(shù)據(jù)采集和共享機(jī)制
目前省工信廳、通管局等相關(guān)單位均對各自負(fù)責(zé)監(jiān)管領(lǐng)域建設(shè)監(jiān)測、存儲(chǔ)系統(tǒng),同時(shí)工信部已建設(shè)國家級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺(tái),但尚未建設(shè)各級信息互通、共享的數(shù)據(jù)交換平臺(tái),數(shù)據(jù)無法連通,工作難以互動(dòng)。為解決這一問題,需建立共享數(shù)據(jù)機(jī)制,互通有無,信息共享,同時(shí)保證數(shù)據(jù)的安全性。
1.1.2 方案實(shí)施概況
1.總體設(shè)計(jì)原則和策略
厲行節(jié)約原則:在平臺(tái)建設(shè)過程中,要盡量利用現(xiàn)有的信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全監(jiān)控?cái)?shù)據(jù)等,綜合考慮對已有資源的共享和利用,避免重復(fù)建設(shè)和浪費(fèi)。
標(biāo)準(zhǔn)規(guī)劃原則:在方案設(shè)計(jì)和設(shè)備選型方面遵循國家以及行業(yè)內(nèi)的相關(guān)標(biāo)準(zhǔn),嚴(yán)格按照有關(guān)程序組織方案建設(shè),并且建設(shè)標(biāo)準(zhǔn)符合國家及行業(yè)提出的接口規(guī)范和技術(shù)架構(gòu)。
重點(diǎn)保護(hù)原則:根據(jù)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn),實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù),集中資源優(yōu)先保護(hù)重點(diǎn)工業(yè)控制系統(tǒng)。
技術(shù)先進(jìn)原則:平臺(tái)設(shè)計(jì)立足先進(jìn)技術(shù),采用先進(jìn)的系統(tǒng)結(jié)構(gòu)、開放的體系架構(gòu),使系統(tǒng)在一個(gè)周期內(nèi)保持技術(shù)領(lǐng)先水平,具備長足的發(fā)展能力,以適應(yīng)未來網(wǎng)絡(luò)技術(shù)和安全技術(shù)的發(fā)展和系統(tǒng)使用的科學(xué)性。
平臺(tái)建設(shè)堅(jiān)持三個(gè)策略:
“全”。即全源化采集,在現(xiàn)有數(shù)據(jù)采集來源的基礎(chǔ)上擴(kuò)大數(shù)據(jù)采集范圍和采集數(shù)據(jù)類型,確保平臺(tái)數(shù)據(jù)來源的全面性。
“優(yōu)”。即整合優(yōu)勢產(chǎn)品,平臺(tái)選用的產(chǎn)品是從眾多安全廠商中優(yōu)中選優(yōu),確保平臺(tái)的先進(jìn)性,并整合各安全設(shè)備管理能力,如等流量監(jiān)測引擎、威脅感知引擎、工具箱等設(shè)備可實(shí)現(xiàn)與平臺(tái)業(yè)務(wù)系統(tǒng)的無縫對接。
“實(shí)”。即實(shí)戰(zhàn)化應(yīng)用,平臺(tái)設(shè)計(jì)涵蓋監(jiān)測、態(tài)勢、通報(bào)、處置、情報(bào)、應(yīng)急指揮、攻防演練等功能,最大程度實(shí)現(xiàn)工作業(yè)務(wù)需求,形成工控安全態(tài)勢監(jiān)管業(yè)務(wù)閉環(huán),最大限度服務(wù)于實(shí)戰(zhàn)。
湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)是為省監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、實(shí)時(shí)監(jiān)測、通報(bào)預(yù)警、響應(yīng)處置、應(yīng)急指揮等,以及提供工業(yè)企業(yè)分類分級管理和綜合安全服務(wù)一體化的服務(wù)平臺(tái)。
平臺(tái)總體架構(gòu)設(shè)計(jì)遵照“分層解耦、異構(gòu)兼容”的原則,分為安全引擎層、安全中臺(tái)層和安全應(yīng)用層三個(gè)層次,各層級以及模塊之間的功能設(shè)計(jì)具有相對的獨(dú)立性,從而使得整個(gè)系統(tǒng)具有較高的擴(kuò)展性。安全引擎層作為平臺(tái)的基礎(chǔ)能力層,安全中臺(tái)實(shí)現(xiàn)數(shù)據(jù)的采集處理、挖掘分析和提供統(tǒng)一的數(shù)據(jù)服務(wù),構(gòu)建數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)體系。安全應(yīng)用層通過建設(shè)滿足用戶的各類業(yè)務(wù)應(yīng)用,協(xié)助監(jiān)管部門開展工業(yè)互聯(lián)網(wǎng)安全的保衛(wèi)工作。
平臺(tái)總體架構(gòu)如下圖所示:
圖8-2 湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)架構(gòu)設(shè)計(jì)
平臺(tái)為監(jiān)管人員、企業(yè)人員和安全支撐機(jī)構(gòu)人員提供不同崗位視角的可視化安全態(tài)勢感知大屏,滿足不同角色需求,提供綜合態(tài)勢、預(yù)警態(tài)勢、隱患態(tài)勢、事件態(tài)勢、分類分級態(tài)勢、攻擊者溯源態(tài)勢、資產(chǎn)威脅溯源態(tài)勢和網(wǎng)絡(luò)星空態(tài)勢。
平臺(tái)基于微服務(wù)架構(gòu),結(jié)合用戶實(shí)際需求,分別為各級用戶實(shí)現(xiàn)各類應(yīng)用服務(wù)能力,平臺(tái)由可視化安全態(tài)勢感知、監(jiān)測預(yù)警與協(xié)同應(yīng)急、安全合規(guī)管理和綜合安全服務(wù),打造完整生態(tài),將各級監(jiān)管部門、安全支撐機(jī)構(gòu)、安全專家等人員聯(lián)合起來,一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。
安全中臺(tái)層包括安全數(shù)據(jù)中臺(tái)、安全業(yè)務(wù)中臺(tái)和安全能力中臺(tái)組成,為上層業(yè)務(wù)應(yīng)用提供安全數(shù)據(jù)服務(wù)、業(yè)務(wù)流程管理和安全能力服務(wù)。
(4)安全引擎層
基礎(chǔ)安全能力層為平臺(tái)運(yùn)行和其他單位提供必要的基礎(chǔ)安全能力和數(shù)據(jù)來源,包括網(wǎng)絡(luò)資產(chǎn)測繪引擎、威脅檢測識別引擎、網(wǎng)絡(luò)攻擊誘捕引擎、網(wǎng)絡(luò)防御引擎、威脅情報(bào)管理引擎、云端安全監(jiān)測引擎、網(wǎng)站安全監(jiān)測引擎和安全檢查引擎等。
3.平臺(tái)技術(shù)路線
(1)分布式存儲(chǔ)技術(shù)
分布式存儲(chǔ)技術(shù)作為態(tài)勢感知系統(tǒng)最為重要與基礎(chǔ)的支撐技術(shù)。分布式存儲(chǔ)技術(shù)能夠?qū)崿F(xiàn)結(jié)構(gòu)化及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一存儲(chǔ),兼容傳統(tǒng)的關(guān)系型數(shù)據(jù)庫以及SQL訪問模型,同時(shí)支持對海量數(shù)據(jù)的在線實(shí)時(shí)流式處理框架和離線分布式計(jì)算框架。分布式數(shù)據(jù)庫面向時(shí)序數(shù)據(jù)和小文件數(shù)據(jù)存儲(chǔ)進(jìn)行深度優(yōu)化,支持第三方存儲(chǔ)引擎和傳統(tǒng)關(guān)系型數(shù)據(jù)庫的無縫接入;支持海量混合數(shù)據(jù)的統(tǒng)一存儲(chǔ)管理和在線離線一體化查詢;支持可插拔安全算法模塊和主流分布式計(jì)算框架;支持跨庫、跨源、異構(gòu)數(shù)據(jù)庫之間的跨庫訪問和關(guān)聯(lián)查詢,解決了多系統(tǒng)交互時(shí)對海量混合數(shù)據(jù)統(tǒng)一管控的問題;支持多源異構(gòu)混搭數(shù)據(jù)間基于規(guī)則導(dǎo)向的高可靠近實(shí)時(shí)數(shù)據(jù)同步。主要功能包括:
l 大數(shù)據(jù)采集存儲(chǔ)和分析處理。滿足采集海量數(shù)據(jù)儲(chǔ)存需要,如流量信息、設(shè)備狀態(tài)、鏈路狀態(tài)等,滿足大規(guī)模結(jié)構(gòu)化流式數(shù)據(jù)的并發(fā)能力、吞吐量、低時(shí)延的高要求。
l 分層架構(gòu)、模塊化設(shè)計(jì)、多場景支持。采用模塊化的設(shè)計(jì)思路,在數(shù)據(jù)訪問層、數(shù)據(jù)路由層和數(shù)據(jù)存儲(chǔ)層都提供多種高內(nèi)聚、低耦合的模塊,通過這些模塊的靈活搭配,分布式數(shù)據(jù)庫表現(xiàn)出不同的技術(shù)特征,從而能夠適應(yīng)不同的業(yè)務(wù)場景。
l 在線檢索和離線分析一體化。通過配置,分布式數(shù)據(jù)庫可同時(shí)支持高速數(shù)據(jù)寫入,在線交互訪問、實(shí)時(shí)查詢以及高并發(fā)大數(shù)據(jù)集查詢在內(nèi)的各種訪問方式,適應(yīng)在線檢索和離線分析等不同業(yè)務(wù)場景。
l 混合數(shù)據(jù)支持。分布式數(shù)據(jù)庫支持與傳統(tǒng)關(guān)系型數(shù)據(jù)庫Oracle、MySQL等聯(lián)合訪問。業(yè)務(wù)系統(tǒng)可以把部分表建在Oracle或MySQL上,把部分表建在分布式數(shù)據(jù)庫上,然后透明地訪問這些表,包括在這些表之間進(jìn)行join、union等操作。
l 跨域、多數(shù)據(jù)中心支持。分布式數(shù)據(jù)庫在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集群之間近實(shí)時(shí)的跨域數(shù)據(jù)同步復(fù)制,實(shí)現(xiàn)系統(tǒng)的跨域多中心部署模式。總體處理性能,數(shù)據(jù)讀寫、掃描等,隨集群規(guī)模擴(kuò)展線性增長。
l 分布式存儲(chǔ)形式主要基于通用/定制化的X86服務(wù)器提供存儲(chǔ),可提供對象、文件和塊存儲(chǔ),具備低成本、靈活擴(kuò)容、高并發(fā)訪問等優(yōu)勢,通過軟件保障性能和可靠性。可作為資源池的分級存儲(chǔ)手段,滿足中低端存儲(chǔ)、數(shù)據(jù)歸檔備份、大數(shù)據(jù)存儲(chǔ)等需求。采用X86服務(wù)器和分布式塊存儲(chǔ)軟件技術(shù)的Server-SAN在I/O能力、部署速度和擴(kuò)展性方面已驗(yàn)證優(yōu)于傳統(tǒng)塊存儲(chǔ)技術(shù)(例如FC-SAN/IP-SAN)。
分布式存儲(chǔ)技術(shù)用于系統(tǒng)架構(gòu)的大數(shù)據(jù)組件當(dāng)中,使系統(tǒng)能夠?qū)崿F(xiàn)高效的數(shù)據(jù)采集和檢索能力。
(2)多源異構(gòu)數(shù)據(jù)融合技術(shù)
大數(shù)據(jù)分析的根本是數(shù)據(jù),針對高價(jià)值數(shù)據(jù)的分析往往事半功倍。然而測評領(lǐng)域大數(shù)據(jù)分析在數(shù)據(jù)方面所面對的現(xiàn)實(shí)問題總結(jié)下來主要分為以下三種形態(tài):
來源多:包含服務(wù)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)資源、數(shù)據(jù)交換獲得的私有數(shù)據(jù)資源、以及互聯(lián)網(wǎng)采集的數(shù)據(jù)資源,這些數(shù)據(jù)隨著業(yè)務(wù)的變化而變化。
組成亂:數(shù)據(jù)資源包含結(jié)構(gòu)化數(shù)據(jù),如MySQL、Oracle等等;半結(jié)構(gòu)化數(shù)據(jù):XML、CSV等等;以及非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)結(jié)構(gòu)亂、形式不一。
質(zhì)量碎:數(shù)據(jù)往往以孤島或碎片化的形式存在、缺少關(guān)聯(lián)、語義不明確甚至缺失。
面對上述問題,就需要一種能夠處理、整合多源異構(gòu)等復(fù)雜形態(tài)的數(shù)據(jù)歸一化模型,將不同形態(tài)、雜亂無章的數(shù)據(jù)整合成統(tǒng)一的樣式形態(tài)。同時(shí),能夠基于該數(shù)據(jù)整合模型,以“人”、“事”、“物”等數(shù)據(jù)分析為主體、實(shí)現(xiàn)數(shù)據(jù)的大串聯(lián)、大融合,將原來孤立的“點(diǎn)”數(shù)據(jù)、“面”數(shù)據(jù)、“條”數(shù)據(jù)融合成為一定空間、時(shí)間范圍內(nèi)的“塊”數(shù)據(jù),做到價(jià)值的萃取,形成業(yè)務(wù)可用的大數(shù)據(jù)。
多源異構(gòu)的數(shù)據(jù)融合技術(shù)運(yùn)用在系統(tǒng)的數(shù)據(jù)治理融合層,通過體系化的數(shù)據(jù)治理方法論結(jié)合基于模型驅(qū)動(dòng)的數(shù)據(jù)治理技術(shù)用以提升數(shù)據(jù)質(zhì)量,便于數(shù)據(jù)分析建模的建立。
全文檢索技術(shù)是態(tài)勢感知系統(tǒng)的核心基礎(chǔ)功能,其基礎(chǔ)要求是根據(jù)搜索條件快速、準(zhǔn)確的匹配命中數(shù)據(jù)對象,為安全分析人員提供高效準(zhǔn)確的分析工具,以便能更加快速的發(fā)現(xiàn)安全風(fēng)險(xiǎn)。因?yàn)榇髷?shù)據(jù)系統(tǒng)往往采用分布式存儲(chǔ)技術(shù),所以全文檢索技術(shù)的選擇必須能夠支持主流的分布式存儲(chǔ)系統(tǒng)。同時(shí),分布式并行計(jì)算系統(tǒng)的支持也是在技術(shù)路線選擇中必須考慮的因素,需能夠做到對并行計(jì)算框架的無縫對接。由于測評系統(tǒng)的大數(shù)據(jù)分析功能對數(shù)據(jù)搜索準(zhǔn)度、實(shí)時(shí)性與多樣性的要求,這就要求檢索技術(shù)需支持基于關(guān)鍵詞,數(shù)值范圍,日期范圍等各種復(fù)雜的搜索功能。
全文檢索技術(shù)采用倒排索引的結(jié)構(gòu)達(dá)到快速全文檢索的目的,倒排檢索是實(shí)現(xiàn)“單詞”-“文檔矩陣”的一種具體存儲(chǔ)形式,通過倒排索引可以更加快速的獲取包含這個(gè)單詞的文檔列表,倒排索引主要由兩個(gè)部分組成“單詞詞典”和“倒排文件”,具體結(jié)構(gòu)如下圖:
圖8-3 全文檢索技術(shù)架構(gòu)圖
全文檢索技術(shù)運(yùn)用在安全監(jiān)測中,主要用于對監(jiān)測數(shù)據(jù)的檢索查詢,通過查詢安全分析人員能夠?qū)崿F(xiàn)對安全事件的細(xì)致分析,并將有效數(shù)據(jù)運(yùn)用于模型建立當(dāng)中。
數(shù)據(jù)關(guān)聯(lián)分析即線索擴(kuò)線,是一個(gè)從有限的數(shù)據(jù)線索向未知數(shù)據(jù)進(jìn)行挖掘探索的過程。選用關(guān)聯(lián)分析可視化技術(shù)主要因?yàn)槭牵簲?shù)據(jù)分析人員需要在各類數(shù)據(jù)庫中反復(fù)比對、查詢、線索串聯(lián)。運(yùn)用可視化關(guān)聯(lián)分析技術(shù)能夠以圖形化界面、流暢交互操作等形式將枯燥的數(shù)據(jù)分析變得生動(dòng),能夠在很大程度上提高數(shù)據(jù)分析員的工作效率。在可視化技術(shù)選擇上,能夠突出數(shù)據(jù)關(guān)聯(lián)關(guān)系的特征,便于分析人員理解。同時(shí),數(shù)據(jù)統(tǒng)計(jì)等可視化輔助功能能夠幫助分析員理解數(shù)據(jù)含義,提高工作效率。
通過數(shù)據(jù)清洗、要素提取融合,系統(tǒng)實(shí)現(xiàn)多要素多維度的關(guān)聯(lián)分析,從工控異常行為、工控惡意操作、僵尸網(wǎng)絡(luò)、木馬、蠕蟲、勒索軟件、漏洞攻擊、WEB攻擊、DDOS攻擊、惡意通聯(lián)關(guān)系、惡意樣本、惡意通信、惡意郵件、惡意域名、APT攻擊等安全事件入手,運(yùn)用關(guān)聯(lián)分析技術(shù)完成態(tài)勢可視化展現(xiàn),構(gòu)建由微觀到宏觀的態(tài)勢分析,形成安全攻擊態(tài)勢變化的能力。
關(guān)聯(lián)分析可視化技術(shù)用于系統(tǒng)的數(shù)據(jù)分析層,主要作用是將多源異構(gòu)數(shù)據(jù)通過關(guān)聯(lián)分析模型串聯(lián)起來,找到各類數(shù)據(jù)源之間的關(guān)系,并通過可視化技術(shù)進(jìn)行最終呈現(xiàn)。
在處理和分析互聯(lián)網(wǎng)事件時(shí)往往需要從海量的數(shù)據(jù)里查找有用的線索,這不但是存儲(chǔ)、索引、計(jì)算技術(shù)的挑戰(zhàn),具體分析工作也面臨著困難:呈現(xiàn)在列表式表格中的大量數(shù)據(jù),難以發(fā)現(xiàn)數(shù)據(jù)的模式、趨勢和關(guān)聯(lián)關(guān)系等分析重要要點(diǎn)。可視化就是用來解決這些問題的最佳方案。
目前已知的對人類認(rèn)知最有效的方式就是通過視覺感知,相比其他的交流呈現(xiàn)方式,使用數(shù)據(jù)可視化來交流具有很多的優(yōu)勢,包括:
數(shù)據(jù)可視化能快速的進(jìn)行復(fù)雜信息的交流:可視化在最小化數(shù)據(jù)細(xì)節(jié)特征損耗的同時(shí),可以在數(shù)秒鐘快速呈現(xiàn)上百萬個(gè)點(diǎn)信息,非常適合與統(tǒng)計(jì)信息呈現(xiàn)。具體到本方案,對本地威脅態(tài)勢全局信息的展示就非常適合采用可視化的方法,可以快速的掌握趨勢、熱點(diǎn)等重要信息,對從全局把握網(wǎng)絡(luò)安全態(tài)勢有著不可替代的作用。
數(shù)據(jù)可視化能識別潛在模式:一些模式特征通過統(tǒng)計(jì)學(xué)方法或者掃描數(shù)據(jù)的方式難以發(fā)現(xiàn),卻可能通過可視化方法被揭示出來。而當(dāng)在可視化展示數(shù)據(jù)的時(shí)候,存在于單個(gè)變量中的模式或者多個(gè)變量之間的關(guān)聯(lián)關(guān)系就可以呈現(xiàn)出來。數(shù)據(jù)可視化的這個(gè)特點(diǎn)特別有利于在網(wǎng)絡(luò)事件調(diào)查過程中使用,通過一點(diǎn)線索,利用可視化分析方法,可以發(fā)現(xiàn)、呈現(xiàn)出更多和它有關(guān)聯(lián)的其它信息點(diǎn),達(dá)到拓線,進(jìn)而溯源事件的目的。
溯源分析可視化技術(shù)用于數(shù)據(jù)分析層,是態(tài)勢感知系統(tǒng)的一類重要分析技術(shù),主要用于對安全事件的追溯,通過溯源可視化分析方法幫助管理人員準(zhǔn)確發(fā)現(xiàn)攻擊背后的真正意圖。
威脅情報(bào)的生成是一個(gè)復(fù)雜的過程,需要具備多種能力才有可能完成,一般可以分為如下圖這樣的八步:
圖8-4 威脅情況流程圖
? 數(shù)據(jù)收集:這是關(guān)鍵的一步,決定了產(chǎn)生的情報(bào)是否能最全面的覆蓋威脅,因此往往需要聚集多種不同來源的情報(bào)數(shù)據(jù)(包括但不限于樣本數(shù)據(jù)、黑客團(tuán)伙相關(guān)數(shù)據(jù)、DNS相關(guān)數(shù)據(jù)、WHOIS相關(guān)數(shù)據(jù)、僵尸網(wǎng)絡(luò)相關(guān)數(shù)據(jù)等),以保證情報(bào)質(zhì)量。
? 數(shù)據(jù)清洗:將以上數(shù)據(jù)根據(jù)后續(xù)加工的需要進(jìn)行整理、去除不可信數(shù)據(jù)、將關(guān)鍵數(shù)據(jù)結(jié)構(gòu)化等過程。
? 數(shù)據(jù)關(guān)聯(lián):數(shù)據(jù)關(guān)聯(lián)是數(shù)據(jù)驗(yàn)證的前提條件,通過數(shù)據(jù)關(guān)聯(lián)梳理不同類型數(shù)據(jù)間的關(guān)系,如樣本、樣本不同方式的檢測分析結(jié)果、樣本的網(wǎng)絡(luò)行為、域名注冊者、域名指向的IP、IP上面的其它域名等。
? 驗(yàn)證:通過建立了關(guān)聯(lián)關(guān)系的數(shù)據(jù),再利用機(jī)器學(xué)習(xí)的方式(有可能結(jié)合部分的人工分析)對情報(bào)的準(zhǔn)確性進(jìn)行驗(yàn)證,并賦予相應(yīng)的可信度指標(biāo)。這也是決定情報(bào)質(zhì)量關(guān)鍵的一步。
? 上下文:包括如攻擊類型、樣本家族、攻擊團(tuán)伙、攻擊目地、傳播渠道、具體危害等報(bào)警響應(yīng)需要的內(nèi)容。
? 優(yōu)先級:根據(jù)攻擊目的、具體危害等信息,確定報(bào)警優(yōu)先等級信息;
? 格式化:根據(jù)分發(fā)的要求,將情報(bào)以特定的格式輸出,如:STIX、openIOC、JSON、xml等,非MRTI類型的情報(bào)還可能以PDF、word等類型提供。
? 情報(bào)分發(fā):根據(jù)不同類型情報(bào)的用途,可以推送給安全產(chǎn)品、打包供下載、或者郵件發(fā)送。
威脅情報(bào)生成技術(shù)使用在數(shù)據(jù)治理融合層和數(shù)據(jù)分析層,在數(shù)據(jù)治理融合層主要解決情報(bào)信息的收集、格式化、清洗及情報(bào)分發(fā)等問題,在數(shù)據(jù)分析層實(shí)現(xiàn)情報(bào)信息的驗(yàn)證和關(guān)聯(lián)分析。
平臺(tái)數(shù)據(jù)庫設(shè)計(jì)基于海量數(shù)據(jù)采集、處理、存儲(chǔ)及分析挖掘需要,主要包括原始庫、主題庫、資源庫、知識庫和業(yè)務(wù)庫等。
原始庫數(shù)據(jù)為前端部署的威脅檢測識別引擎采集的流量數(shù)據(jù),數(shù)據(jù)結(jié)構(gòu)分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)類型主要包括應(yīng)用會(huì)話識別數(shù)據(jù)、應(yīng)用會(huì)話流量數(shù)據(jù)、網(wǎng)絡(luò)傳輸流量數(shù)據(jù)、應(yīng)用層流量數(shù)據(jù)、用戶登陸行為數(shù)據(jù)、流量審計(jì)數(shù)據(jù)和風(fēng)險(xiǎn)告警數(shù)據(jù)等。
主題庫是融合各類原始數(shù)據(jù)、資源數(shù)據(jù)長期積累形成的多維數(shù)據(jù)的公共集合,具有數(shù)據(jù)規(guī)模量大,且頻繁更新等特點(diǎn)。支持通過實(shí)時(shí)計(jì)算和離線分析計(jì)算對數(shù)據(jù)執(zhí)行查詢、分析、映射、檢索等操作,支持實(shí)現(xiàn)海量數(shù)據(jù)規(guī)模下檢索的秒級響應(yīng)。數(shù)據(jù)類型主要包括單位畫像數(shù)據(jù)、系統(tǒng)畫像數(shù)據(jù)、IP畫像數(shù)據(jù)、失陷主機(jī)數(shù)據(jù)、黑客組織數(shù)據(jù)、重大漏洞數(shù)據(jù)、僵尸網(wǎng)站數(shù)據(jù)和非常規(guī)端口開放數(shù)據(jù)等。
資源庫是存儲(chǔ)各類數(shù)據(jù)資源建立的關(guān)鍵要素以及要素之間關(guān)聯(lián)關(guān)系的公共數(shù)據(jù)集合,包括單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、流量日志數(shù)據(jù)、隱患數(shù)據(jù)、告警數(shù)據(jù)、安全事件數(shù)據(jù)和其他外部數(shù)據(jù)等。
知識庫是指信息安全專業(yè)領(lǐng)域或與信息安全專業(yè)領(lǐng)域相關(guān)的特征知識數(shù)據(jù)和規(guī)則方法集合。一般通過管理手段、工作積累、第三方提供、機(jī)器學(xué)習(xí)等方式獲取。數(shù)據(jù)類型包括惡意IP數(shù)據(jù)、惡意域名數(shù)據(jù)、告警規(guī)則數(shù)據(jù)、重大漏洞等。
業(yè)務(wù)庫記錄業(yè)務(wù)過程,為上層業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐。數(shù)據(jù)為結(jié)構(gòu)化類型且數(shù)據(jù)規(guī)模不大,常用的應(yīng)用場景是查詢和關(guān)聯(lián)。主要包括通報(bào)預(yù)警業(yè)務(wù)數(shù)據(jù)、應(yīng)急指揮業(yè)務(wù)數(shù)據(jù)和管理評價(jià)業(yè)務(wù)數(shù)據(jù)等。
平臺(tái)縱向?qū)崿F(xiàn)與工業(yè)企業(yè)、國家平臺(tái)的數(shù)據(jù)貫通和業(yè)務(wù)協(xié)同,橫向?qū)崿F(xiàn)與各行業(yè)主管部門以及社會(huì)上從事網(wǎng)絡(luò)安全工作的企業(yè)單位的數(shù)據(jù)的數(shù)據(jù)共享交換和工作業(yè)務(wù)協(xié)同,并借助安全廠家的威脅情報(bào)數(shù)據(jù)能力,提升全省網(wǎng)絡(luò)安全監(jiān)管能力。為此需要提供自動(dòng)化的數(shù)據(jù)接口、制定相關(guān)數(shù)據(jù)和接口標(biāo)準(zhǔn)規(guī)范,以實(shí)現(xiàn)數(shù)據(jù)的傳輸交換。
傳輸?shù)臄?shù)據(jù)類型主要包括:
ü 安全事件類數(shù)據(jù);
ü 安全隱患類數(shù)據(jù);
ü 網(wǎng)絡(luò)資產(chǎn)類數(shù)據(jù);
ü 業(yè)務(wù)處理類數(shù)據(jù)。
查詢及業(yè)務(wù)類的數(shù)據(jù)支持HTTP協(xié)議傳輸;
原始數(shù)據(jù)的交換共享支持kafka和syslog等方式進(jìn)行大流量網(wǎng)絡(luò)傳輸;
若有特定的傳輸需求,支持通過協(xié)商的方式進(jìn)行其他協(xié)議或組件進(jìn)行數(shù)據(jù)傳輸。
平臺(tái)縱向?qū)崿F(xiàn)與工業(yè)企業(yè)和國家平臺(tái)的數(shù)據(jù)共享,橫向?qū)崿F(xiàn)與行業(yè)主管單位的數(shù)據(jù)共享,并通過全面采集接入全省網(wǎng)絡(luò)安全監(jiān)管數(shù)據(jù)和第三方安全廠商威脅情報(bào)數(shù)據(jù),形成平臺(tái)數(shù)據(jù)存儲(chǔ)中心。
圖8-5 數(shù)據(jù)共享交換圖
4.平臺(tái)建設(shè)內(nèi)容
湖南省工業(yè)信息安全公共服務(wù)平臺(tái)是為湖南省工信廳工業(yè)信息安全監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、安全監(jiān)測、通報(bào)預(yù)警、響應(yīng)處置、應(yīng)急指揮等,以及提供工業(yè)企業(yè)安全合規(guī)管理和綜合安全支撐服務(wù)一體化的服務(wù)平臺(tái)。
? 工業(yè)企業(yè)數(shù)據(jù)采集
多源異構(gòu)日志數(shù)據(jù)采集
對主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和虛擬化系統(tǒng)等設(shè)備異構(gòu)日志進(jìn)行全面采集,實(shí)現(xiàn)資產(chǎn)日志數(shù)據(jù)統(tǒng)一管理。同時(shí)為滿足日志數(shù)據(jù)共享需求,提供收集日志轉(zhuǎn)發(fā),當(dāng)原始日志設(shè)備無法設(shè)置多個(gè)日志服務(wù)器時(shí),可通過本系統(tǒng)進(jìn)行日志轉(zhuǎn)發(fā)將日志轉(zhuǎn)發(fā)到其他日志存儲(chǔ)設(shè)備。
異構(gòu)日志數(shù)據(jù)采集覆蓋Syslog、SNMP、OPSec、XML、FTP及本地文件等多種協(xié)議,對安全對象屬性、運(yùn)行狀態(tài)、安全事件、評估與檢測等異構(gòu)數(shù)據(jù)進(jìn)行采集,針對不同類型數(shù)據(jù)能夠自動(dòng)適配協(xié)議。同時(shí)為提升采集性能,降低數(shù)據(jù)冗余噪音,可自定義配置日志過濾功能,對采集的重復(fù)日志進(jìn)行自動(dòng)聚合歸并,減少日志量。
全流量數(shù)據(jù)采集
對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行采集,并將捕獲的通信數(shù)據(jù)轉(zhuǎn)換為數(shù)據(jù)分組報(bào)文格式遞交給上層組件,作為上層特征檢測引擎分析處理的原始數(shù)據(jù)。通過雙向流量檢測對網(wǎng)絡(luò)流量行為進(jìn)行判定(例如數(shù)據(jù)報(bào)文惡意特征匹配、資源使用情況、使用者的訪問行為等),識別病毒、木馬、敏感信息等異常行為。
? 威脅情報(bào)數(shù)據(jù)采集
提供云端采集、接口采集、本地累計(jì)以及本地導(dǎo)入共4種方式進(jìn)行威脅情報(bào)采集和累計(jì)。
云端采集
提供針對外界的威脅情報(bào)采集、展示和利用功能。
接口同步
支持動(dòng)態(tài)采集開源威脅情報(bào),也可以采集第三方商用威脅情報(bào),至少提供一家商業(yè)威脅情報(bào)廠家接口;
提供豐富的云端采集更新接口,支持安恒自身威脅情報(bào)庫、第三方商用威脅情報(bào)庫以及開源的威脅情報(bào)庫,網(wǎng)絡(luò)威脅情報(bào)包含惡意IP、URL、Domain、Email等。
本地威脅情報(bào)積累設(shè)計(jì)
支持將本地發(fā)現(xiàn)的安全事件和惡意IP、域名、文件、釣魚網(wǎng)站、E-MAIL等事件轉(zhuǎn)化為威脅情報(bào)。
本地導(dǎo)入
支持通過本地離線包導(dǎo)入情報(bào),支持通過使用離線威脅情報(bào)數(shù)據(jù)包更新情報(bào)數(shù)據(jù)。
? 網(wǎng)絡(luò)空間掃描探測數(shù)據(jù)采集
采用云端網(wǎng)絡(luò)空間資產(chǎn)探測雷達(dá)對全省網(wǎng)絡(luò)資產(chǎn)進(jìn)行偵測以及漏洞掃描和分析趨勢分析,快速識別全省以公網(wǎng)IP接入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備、工控設(shè)備、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的存活情況、開放端口、組件等信息。通過對互聯(lián)網(wǎng)資產(chǎn)、郵箱資產(chǎn)、監(jiān)控設(shè)備資產(chǎn)、工控設(shè)備資產(chǎn)等各類資產(chǎn)進(jìn)行探測,識別其指紋信息、漏洞信息以及可能受攻擊情況,摸清全省資產(chǎn)底數(shù),為監(jiān)測、預(yù)警、溯源等提供基礎(chǔ)數(shù)據(jù)支撐。
? 現(xiàn)場檢查數(shù)據(jù)采集
現(xiàn)場檢查數(shù)據(jù)是通過工業(yè)控制系統(tǒng)安全檢查工具箱對企業(yè)進(jìn)行安全檢查過程中所采集的數(shù)據(jù),主要包括企業(yè)安全合規(guī)自查數(shù)據(jù)、資產(chǎn)漏洞、流量分析、配置核查、惡意代碼等檢查數(shù)據(jù)。
采用離線采集方式,將工業(yè)控制系統(tǒng)安全檢查工具箱的檢查數(shù)據(jù)導(dǎo)出后,再通過工業(yè)企業(yè)分類分級模塊的進(jìn)行數(shù)據(jù)導(dǎo)入,以完成采集動(dòng)作。
? 第三方平臺(tái)數(shù)據(jù)采集
鑒于本地監(jiān)測存在單點(diǎn)監(jiān)測的局限性和高級威脅監(jiān)測的不足,平臺(tái)將接入第三方威脅情報(bào)數(shù)據(jù),按一定的時(shí)間規(guī)則推送到本地平臺(tái)大數(shù)據(jù)中心,并利用大數(shù)據(jù)平臺(tái)機(jī)器學(xué)習(xí)能力,結(jié)合互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為進(jìn)行實(shí)時(shí)追蹤分析以及事前預(yù)測。
? 數(shù)據(jù)采集管理
采集部署
數(shù)據(jù)采集引擎實(shí)現(xiàn)個(gè)性化數(shù)據(jù)采集,支持配置不同采集策略,如動(dòng)態(tài)配置采集周期,清洗過濾策略等。采集部署支持如下功能:
? 支持分布式多節(jié)點(diǎn)部署;
? 支持多采集節(jié)點(diǎn)存活、健康狀態(tài)監(jiān)控,發(fā)現(xiàn)節(jié)點(diǎn)異常后,及時(shí)告警;
? 支持對采集節(jié)點(diǎn)進(jìn)行性能監(jiān)控,保證采集性能與數(shù)據(jù)量匹配,防止數(shù)據(jù)丟失;
? 支持對采集策略進(jìn)行管理,包括采集頻率、采集協(xié)議、采集目標(biāo)、過濾策略等;
? 支持流量數(shù)據(jù)鏡像采集,支持在多個(gè)機(jī)房交換機(jī)上復(fù)制鏡像,分布式部署分光器和DPI進(jìn)行采集,并將多余接口關(guān)閉;
? 支持主機(jī)終端數(shù)據(jù)采集,支持?jǐn)?shù)據(jù)庫審計(jì)分析數(shù)據(jù)采集;
? 支持?jǐn)?shù)據(jù)匯聚,綜合考慮專網(wǎng)傳輸性能的基礎(chǔ)上,滿足將多個(gè)機(jī)房采集到的數(shù)據(jù)傳輸匯聚。
采集協(xié)議和頻率管理
適配各種采集數(shù)據(jù)源,需要支持多種采集協(xié)議,以實(shí)現(xiàn)對各類數(shù)據(jù)的采集,包括不限于安全對象屬性、運(yùn)行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)。為實(shí)現(xiàn)對包括安全對象的屬性、運(yùn)行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)的采集,針對不同類型的數(shù)據(jù)以及對應(yīng)的適配協(xié)議
(2)平臺(tái)安全中臺(tái)建設(shè)方案
安全中臺(tái)層包括安全數(shù)據(jù)中臺(tái)、安全能力中臺(tái)和安全業(yè)務(wù)中臺(tái)。
? 安全數(shù)據(jù)中臺(tái)設(shè)計(jì)
安全數(shù)據(jù)中臺(tái)實(shí)現(xiàn)對所有監(jiān)管數(shù)據(jù)、威脅情報(bào)庫數(shù)據(jù)的整合、歸檔、應(yīng)用以及對上層提供數(shù)據(jù)服務(wù)能力;包括安全大數(shù)據(jù)中心和安全大數(shù)據(jù)分析引擎兩部分。其中,安全大數(shù)據(jù)中心主要提供數(shù)據(jù)集成、數(shù)據(jù)管理、數(shù)據(jù)目錄等功能,通過統(tǒng)一的數(shù)據(jù)接口為上層提供數(shù)據(jù)服務(wù)。安全大數(shù)據(jù)分析包括實(shí)時(shí)分析、離線分析,為上層提供統(tǒng)一的安全大數(shù)據(jù)分析能力。
架構(gòu)設(shè)計(jì)
安全數(shù)據(jù)中臺(tái)的總體目標(biāo)是建設(shè)一個(gè)完善的信息資源共享服務(wù)技術(shù)體系,建立信息共享的標(biāo)準(zhǔn)和規(guī)范,為平臺(tái)上層業(yè)務(wù)應(yīng)用提供統(tǒng)一、開放、標(biāo)準(zhǔn)、完整的信息資源服務(wù);全面開展內(nèi)外部數(shù)據(jù)歸集、整合、重新組織、共享等工作,建立完整的信息共享資源目錄和信息資源服務(wù)能力;提供統(tǒng)一的大數(shù)據(jù)處理服務(wù)能力,提升信息資源服務(wù)能力,解決平臺(tái)對海量數(shù)據(jù)的深度挖掘、分析、應(yīng)用的迫切需求。大數(shù)據(jù)服務(wù)平臺(tái)是基于平臺(tái)建設(shè),以服務(wù)應(yīng)用為根本目標(biāo),建立信息資源服務(wù)能力和大數(shù)據(jù)處理能力,實(shí)現(xiàn)數(shù)據(jù)集成、數(shù)據(jù)整理、數(shù)據(jù)共享、數(shù)據(jù)分析等數(shù)據(jù)處理及服務(wù)能力。
功能架構(gòu)
安全數(shù)據(jù)中臺(tái)遵從數(shù)據(jù)安全和數(shù)據(jù)標(biāo)準(zhǔn)的規(guī)范,并按照數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)治理、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)服務(wù)和數(shù)據(jù)運(yùn)維幾個(gè)方面進(jìn)行有機(jī)結(jié)合。全方位打造集“采集”、“融合”、“服務(wù)”于一體的數(shù)據(jù)服務(wù)平臺(tái)。
圖8-6 安全數(shù)據(jù)中臺(tái)功能架構(gòu)圖
技術(shù)架構(gòu)
大數(shù)據(jù)中心是大數(shù)據(jù)存儲(chǔ)和計(jì)算的基礎(chǔ),對外提供統(tǒng)一的各類型數(shù)據(jù)存儲(chǔ)、計(jì)算、分析等能力,可滿足多源異構(gòu)海量數(shù)據(jù)存儲(chǔ)、查詢、計(jì)算。
數(shù)據(jù)采集包括實(shí)時(shí)采集、自定義接口采集和離線采集,支持各類數(shù)據(jù)源數(shù)據(jù)
接入,如日志數(shù)據(jù)、流量還原數(shù)據(jù)、syslog數(shù)據(jù)及用戶自定義數(shù)據(jù)等。
數(shù)據(jù)預(yù)處理實(shí)現(xiàn)數(shù)據(jù)消息緩存和ETL。
數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)外部數(shù)據(jù)保存至大數(shù)據(jù)服務(wù)平臺(tái)。數(shù)據(jù)存儲(chǔ)需支持結(jié)構(gòu)化數(shù)據(jù)、
半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)等多種數(shù)據(jù)類型。數(shù)據(jù)存儲(chǔ)中包含兩大主要部分,非結(jié)構(gòu)化存儲(chǔ)系統(tǒng)、半/結(jié)構(gòu)化存儲(chǔ)系統(tǒng)。
安全大數(shù)據(jù)分析引擎實(shí)現(xiàn)安全數(shù)據(jù)中臺(tái)的計(jì)算功能。數(shù)據(jù)計(jì)算能夠?qū)λ幸驯4娴臄?shù)據(jù)進(jìn)行計(jì)算,并且提供相應(yīng)的計(jì)算調(diào)用接口,能夠滿足外部分析系統(tǒng)的調(diào)用。數(shù)據(jù)計(jì)算中包含實(shí)時(shí)流分析和離線分析兩部分。
運(yùn)維管理包括大數(shù)據(jù)管理系統(tǒng)和大數(shù)據(jù)交互系統(tǒng),支持?jǐn)?shù)據(jù)平臺(tái)的所有組件集中安裝、部署。支持對數(shù)據(jù)平臺(tái)各個(gè)組件的配置管理、動(dòng)態(tài)調(diào)整配置實(shí)時(shí)生效。
圖8-7 安全數(shù)據(jù)中臺(tái)技術(shù)架構(gòu)圖
? 安全業(yè)務(wù)中臺(tái)設(shè)計(jì)
構(gòu)建工作流引擎,快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務(wù)流程:一是可以通過引擎完成業(yè)務(wù)流程的節(jié)點(diǎn)編排,支持用戶完成通報(bào)、預(yù)警、通知、檢查等業(yè)務(wù)流程的構(gòu)建;二是通過引擎對參與到業(yè)務(wù)流程的用戶權(quán)限進(jìn)行合理的配置,包括審核權(quán)、回退權(quán)、處置權(quán)、辦結(jié)權(quán)等,需能通過引擎合理的進(jìn)行賦權(quán),且支持用戶級的權(quán)限變更和刪除;三是通過引擎將流程與資源庫、業(yè)務(wù)庫中的相關(guān)表單進(jìn)行關(guān)聯(lián),并通過引擎支撐業(yè)務(wù)流程中掛載業(yè)務(wù)、處置表單的自定義,完成業(yè)務(wù)數(shù)據(jù)和流程的動(dòng)態(tài)結(jié)合,真正將流程與業(yè)務(wù)緊密捆綁。
隨著工信安全業(yè)務(wù)的快速發(fā)展,通報(bào)、預(yù)警、檢查等業(yè)務(wù)流程越來越精細(xì)化、人性化,其相關(guān)的流程、表單也不斷在進(jìn)行迭代優(yōu)化,因此在這種快速發(fā)展的環(huán)境下,需要有一套工作流引擎高效、人性化地支撐變化的業(yè)務(wù)。
需要構(gòu)建工作流引擎,快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務(wù)流程,滿足以下三方面:一是可以通過引擎完成業(yè)務(wù)流程的節(jié)點(diǎn)編排,支持用戶完成通報(bào)、預(yù)警、通知、檢查等業(yè)務(wù)流程的構(gòu)建;二是通過引擎對參與到業(yè)務(wù)流程的用戶權(quán)限進(jìn)行合理的配置,包括審核權(quán)、回退權(quán)、處置權(quán)、辦結(jié)權(quán)等,需能通過引擎合理的進(jìn)行賦權(quán),且支持用戶級的權(quán)限變更和刪除;三是通過引擎將流程與資源庫、業(yè)務(wù)庫中的相關(guān)表單進(jìn)行關(guān)聯(lián),并通過引擎支撐業(yè)務(wù)流程中掛載業(yè)務(wù)、處置表單的自定義,完成業(yè)務(wù)數(shù)據(jù)和流程的動(dòng)態(tài)結(jié)合,真正將流程與業(yè)務(wù)緊密捆綁實(shí)現(xiàn)用戶的管理需求。
自動(dòng)化辦公引擎
工信安全管理業(yè)務(wù)中涉及到安全專家、安全管理員、安全審核員、安全聯(lián)絡(luò)員等眾多角色和人員,這些角色需要參與到不同流程的不同環(huán)節(jié)中,為了提升業(yè)務(wù)流程的處置時(shí)效性,需要實(shí)現(xiàn)業(yè)務(wù)的多端發(fā)起、多端觸達(dá)和匯聚呈現(xiàn),需求通過相應(yīng)引擎使得業(yè)務(wù)多端自動(dòng)流轉(zhuǎn)貫通。
需要構(gòu)建自動(dòng)化辦公引擎,實(shí)現(xiàn)業(yè)務(wù)的多端通信、匯聚,滿足以下兩方面:一是通過引擎將PC端和移動(dòng)端發(fā)起的業(yè)務(wù)自動(dòng)的向另一端實(shí)時(shí)同步,滿足用戶隨時(shí)通過移動(dòng)端發(fā)起、辦理相應(yīng)業(yè)務(wù)的需求;二是需求通過引擎從平臺(tái)所有業(yè)務(wù)模塊中獲取當(dāng)前用戶待辦事宜,提供給PC端或者移動(dòng)端的門戶頁面,支持客戶在一個(gè)頁面中就能完整的了解當(dāng)前待辦事務(wù),提升處置效率。
工信在應(yīng)急活動(dòng)保障期間和重大事件應(yīng)急處置中需要快速的傳達(dá)信息到相應(yīng)的值班專家、安全管理員處,因此需要制定相應(yīng)的值班排班表,并根據(jù)排班表進(jìn)行高效的人員調(diào)度。
需要構(gòu)建值班排班調(diào)度引擎,實(shí)現(xiàn)以下功能:一是通過引擎,支持用戶在相應(yīng)重保活動(dòng)或應(yīng)急處置保障期間,對安全專家等角色的值班工作進(jìn)行排班,且自動(dòng)化的通知到相關(guān)人員;二是通過引擎,自動(dòng)向相應(yīng)業(yè)務(wù)流程發(fā)布排班信息,使得值班期間相應(yīng)業(yè)務(wù)可自動(dòng)派單值值班人員;三是支持通過引擎調(diào)度短信網(wǎng)關(guān)、移動(dòng)端應(yīng)用通知等通知通道,將值班安排、業(yè)務(wù)流程等第一時(shí)間送達(dá)相應(yīng)的用戶處;四是支持引擎將平臺(tái)用戶登錄、操作情況與值班表自動(dòng)進(jìn)行匹配、關(guān)聯(lián),定期生成值班分析報(bào)告,供用戶進(jìn)行后續(xù)工作考評和優(yōu)化。
工信安管工作由眾多角色、廠商參與支撐,旨在推進(jìn)了轄區(qū)內(nèi)被監(jiān)管單位提升網(wǎng)絡(luò)安全工作質(zhì)量。為了對平臺(tái)人員/廠商的支撐績效進(jìn)行科學(xué)合理的評價(jià),同時(shí)也對轄區(qū)內(nèi)被監(jiān)管單位的網(wǎng)絡(luò)安全工作效果進(jìn)行評估,需要績效管理引擎進(jìn)行自動(dòng)化的初始績效輸出。
績效管理引擎需要實(shí)現(xiàn)以下功能:一是通過引擎,可以對平臺(tái)內(nèi)已有的資源庫、業(yè)務(wù)庫中的相應(yīng)指標(biāo)項(xiàng)進(jìn)行提取,支持用戶結(jié)合實(shí)際績效考核方案對指標(biāo)進(jìn)行自由的遴選、組合,進(jìn)而生成符合工作實(shí)際場景的績效評價(jià)表和評價(jià)方案;二是確定評價(jià)表和評價(jià)方案后,通過引擎周期性或按指令對全平臺(tái)相應(yīng)數(shù)據(jù)進(jìn)行采集、統(tǒng)計(jì)、核算,并自動(dòng)統(tǒng)分,輸出相應(yīng)的績效報(bào)告;三是支持客戶對平臺(tái)外的數(shù)據(jù)進(jìn)行錄入后作為績效考核項(xiàng),進(jìn)而更加全面、科學(xué)的給出績效報(bào)告。
? 安全能力中臺(tái)設(shè)計(jì)
安全能力中臺(tái)包括安全能力中心和安全能力管理,可將各種安全能力服務(wù)化,形成安全服務(wù)目錄,實(shí)現(xiàn)安全資源的靈活調(diào)度,從而對基礎(chǔ)安全能力進(jìn)行統(tǒng)一管理。安全能力中心約定系統(tǒng)建設(shè)的安全能力目錄,包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。安全能力管理約定系統(tǒng)建設(shè)的安全能力調(diào)度和實(shí)用能力,例如能力編排、能力調(diào)度、策略管理以及場景管理功能。
架構(gòu)設(shè)計(jì)
安全能力中心約定本次建設(shè)的安全能力目錄,包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。
安全能力管理約定了建設(shè)的安全能力調(diào)度和實(shí)用能力,包括能力編排、能力調(diào)度、策略管理以及場景管理功能。
圖8-8 安全能力中臺(tái)功能架構(gòu)圖
安全檢測能力
安全檢測能力主要包括基礎(chǔ)安全能力中的威脅識別能力、關(guān)聯(lián)檢測能力接入和統(tǒng)一管理。主要依賴安全基礎(chǔ)安全能力中的資產(chǎn)發(fā)現(xiàn)識別、漏洞掃描和深度流量威脅檢測等產(chǎn)品來實(shí)現(xiàn)多維安全檢測能力。
通過對各種安全基礎(chǔ)安全能力的封裝和編排,終端、邊界等實(shí)體防護(hù)對象提供安全檢測服務(wù),快速發(fā)現(xiàn)已知和未知的安全威脅。安全檢測能力能夠通過安全能力管理對安全檢測能力管理、數(shù)據(jù)分析、規(guī)則管理、安全基礎(chǔ)資源管理實(shí)現(xiàn)自動(dòng)化編排和協(xié)同聯(lián)動(dòng)。
安全檢測能力結(jié)合大數(shù)據(jù)相關(guān)技術(shù)和智能算法,從資產(chǎn)角度出發(fā),重點(diǎn)關(guān)注資產(chǎn)管理,提供基線核查配置,并結(jié)合多種角度維度分析攻擊,全局化地安全態(tài)勢感知能力,智能感知攻擊中的安全事件,為用戶信息系統(tǒng)安全識別、威脅檢測和安全業(yè)務(wù)管理提數(shù)據(jù)支撐。
智能安全分析能力
智能安全分析能力主要包括流量關(guān)聯(lián)分析、情報(bào)碰撞分析、攻擊畫像和原始日志檢索。
態(tài)勢感知能力
態(tài)勢感知能力主要在全局監(jiān)測數(shù)據(jù)、檢測數(shù)據(jù)、智能分析數(shù)據(jù)等多維數(shù)據(jù)的綜合態(tài)勢分析之上,形成綜合態(tài)勢、攻擊態(tài)勢、威脅態(tài)勢、預(yù)警態(tài)勢等多種態(tài)勢感知能力。
風(fēng)險(xiǎn)隱患調(diào)查能力
隱患調(diào)查功能是安全監(jiān)測的核心功能,實(shí)現(xiàn)獨(dú)立的安全事件采集、分析和集中管理功能。主要提供如下功能:
安全設(shè)備告警事件管理。為用戶提供集中的安全設(shè)備告警事件管理功能,支持事件分析和處置及誤報(bào)標(biāo)記;
風(fēng)險(xiǎn)隱患統(tǒng)計(jì)。提供以資產(chǎn)維度和攻擊鏈維度的安全事件統(tǒng)計(jì)功能,支持根據(jù)資產(chǎn)和攻擊鏈進(jìn)行事件檢索和攻擊影響范圍分析;
風(fēng)險(xiǎn)隱患溯源。提供安全事件一鍵溯源和關(guān)聯(lián)攻擊鏈功能,可關(guān)聯(lián)威脅情報(bào)、安全告警、安全原始數(shù)據(jù)上下文等信息,極大的方便安全事件調(diào)查和分析;
資產(chǎn)管理調(diào)查。提供以資產(chǎn)為維度的安全威脅調(diào)查,以攻擊鏈的方式展示資產(chǎn)受攻擊的過程和正處于的被攻擊狀態(tài);提供的調(diào)查維度包括資產(chǎn)間訪問關(guān)系、行為畫像、服務(wù)/請求的端口以及弱點(diǎn)等信息;
攻擊知識圖譜調(diào)查。提供通過全流量數(shù)據(jù)生產(chǎn)的企業(yè)網(wǎng)絡(luò)安全攻擊知識圖譜,為用戶提供單個(gè)資產(chǎn)為視角出發(fā)的攻擊知識圖譜和全網(wǎng)絡(luò)的攻擊圖譜,支持圖譜的向下鉆取和關(guān)系擴(kuò)展, 圖譜信息包括攻擊鏈階段、協(xié)議、端口等信息。
安全能力管理
基于構(gòu)建的能力體系,通過劇本編排,對分析、響應(yīng)處置過程中各種復(fù)雜的分析流程和處理平臺(tái)進(jìn)行整合,形成自動(dòng)化的能力集成,實(shí)現(xiàn)從靜態(tài)事件響應(yīng)到動(dòng)態(tài)工作流跟蹤的轉(zhuǎn)變,提升整體的協(xié)調(diào)及決策能力。
劇本以原始數(shù)據(jù)或安全事件作為輸入,結(jié)合統(tǒng)計(jì)分析以及統(tǒng)計(jì)模型、情報(bào)模型、關(guān)聯(lián)模型進(jìn)行分析,并實(shí)現(xiàn)追蹤溯源、聯(lián)動(dòng)阻斷等響應(yīng)動(dòng)作,最終上報(bào)監(jiān)控單位并通知管理員。具體流程如下圖所示:
圖7 能力編排流程圖
(3)平臺(tái)業(yè)務(wù)應(yīng)用建設(shè)方案
平臺(tái)基于微服務(wù)架構(gòu),結(jié)合用戶實(shí)際需求,分別為各級用戶實(shí)現(xiàn)各類應(yīng)用服務(wù)能力,平臺(tái)由于三個(gè)業(yè)務(wù)應(yīng)用模塊構(gòu)成,分別是工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預(yù)警與協(xié)同應(yīng)急業(yè)務(wù)應(yīng)用、安全支撐綜合服務(wù)業(yè)務(wù)應(yīng)用和企業(yè)合規(guī)管理業(yè)務(wù)應(yīng)用,打造完整生態(tài),將企業(yè)、安全廠商、監(jiān)管機(jī)構(gòu)聯(lián)合起來,一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。
? 監(jiān)測預(yù)警與協(xié)同應(yīng)急
監(jiān)測預(yù)警與協(xié)同應(yīng)急為工業(yè)互聯(lián)網(wǎng)企業(yè)監(jiān)管部門提供一套具備工業(yè)互聯(lián)網(wǎng)企業(yè)安全數(shù)據(jù)采集、數(shù)據(jù)處理、存儲(chǔ)、分析,以及對安全事件實(shí)時(shí)監(jiān)測、通報(bào)、預(yù)警、處置的一體化解決方案。主要業(yè)務(wù)應(yīng)用包括實(shí)時(shí)監(jiān)測、態(tài)勢感知、分析研判、通報(bào)預(yù)警、威脅情報(bào)、應(yīng)急指揮等,全面提高工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測、預(yù)警與應(yīng)急響應(yīng)水平。
實(shí)時(shí)監(jiān)測
實(shí)時(shí)監(jiān)測針對工控系統(tǒng)、工控設(shè)備、服務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、終端、物聯(lián)網(wǎng)設(shè)備等在線網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進(jìn)行掃描探測和統(tǒng)一管理,摸清區(qū)域資產(chǎn)底數(shù)。及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊、風(fēng)險(xiǎn)隱患、安全事件以及網(wǎng)絡(luò)資產(chǎn)。實(shí)時(shí)臨測主要包括驗(yàn)證中心、成果中心、搜索中心和監(jiān)測任務(wù)中心。
圖8-9 實(shí)時(shí)監(jiān)測界面
分析研判
分析研判利用大數(shù)據(jù)關(guān)聯(lián)分析技術(shù),結(jié)合機(jī)器學(xué)習(xí)算法,自動(dòng)對流量、情報(bào)、攻擊等數(shù)據(jù)進(jìn)行分析;分析研判提供對平臺(tái)匯總的各類監(jiān)測服務(wù)威脅信息的專家核驗(yàn)功能。并為威脅分析人員提供包括情報(bào)關(guān)聯(lián)分析和模型算法分析功能。為平臺(tái)業(yè)務(wù)人員提供各類統(tǒng)計(jì)分析能力和模型,可實(shí)現(xiàn)基于平臺(tái)威脅告警信息和統(tǒng)計(jì)分析模型生成的預(yù)警信息,為湖南省網(wǎng)絡(luò)安全預(yù)警業(yè)務(wù)提供基礎(chǔ)能力,主要包括模型中心、追蹤溯源、可視化中心、報(bào)告中心和知識庫。
圖8-10 分析研判界面
威脅情報(bào)
威脅情報(bào)是一種基于證據(jù)的知識,包含了上下文、機(jī)制、指示標(biāo)記、啟示和可行的建議。威脅情報(bào)描述了現(xiàn)存的或者是即將出現(xiàn)針對網(wǎng)絡(luò)資產(chǎn)的威脅,并可以用于通知主體針對相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。高級威脅尤其APT攻擊手法隱蔽,危害巨大,主要針對掌握有重要數(shù)據(jù)和信息的特定人群,攻擊一經(jīng)發(fā)生就會(huì)導(dǎo)致國家重要價(jià)值資產(chǎn)的泄密流失,而且后續(xù)定位、追查、定性都會(huì)遇到技術(shù)難度。高級威脅情報(bào)可以對APT攻擊事件的定位、發(fā)現(xiàn)、定性、溯源提供良好的支撐,可以強(qiáng)化安全保障部門對各個(gè)重點(diǎn)保護(hù)企業(yè)的監(jiān)控力度和防護(hù)強(qiáng)度。
圖8-11 威脅情報(bào)界面
通報(bào)預(yù)警
通報(bào)預(yù)警提供對安全事件、風(fēng)險(xiǎn)進(jìn)行及時(shí)預(yù)警、通報(bào)和處置的功能。當(dāng)監(jiān)測到工業(yè)控制系統(tǒng)存在重大風(fēng)險(xiǎn)隱患,或產(chǎn)生重大安全事件時(shí),通過平臺(tái)進(jìn)行通報(bào),被通報(bào)的工業(yè)企業(yè)按期反饋處置結(jié)果。平臺(tái)需具備多種通報(bào)方式,包括釘釘、短信和郵件等。在發(fā)生嚴(yán)重情況時(shí),可立即通過短信、釘釘?shù)确绞竭M(jìn)行通報(bào);當(dāng)系統(tǒng)監(jiān)測到輕微安全隱患時(shí),可進(jìn)行預(yù)警提醒或限期整改,被通報(bào)單位須及時(shí)反饋處置結(jié)果。
圖8-12 通報(bào)預(yù)警界面
應(yīng)急指揮基于掛圖作戰(zhàn)理念,基于GIS系統(tǒng)的可視化特性,同業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)對接,通過直觀圖形化點(diǎn)擊拖拽等方式支撐各級單位、人員的活動(dòng)監(jiān)控和應(yīng)急指揮兩個(gè)應(yīng)用場景。其中活動(dòng)監(jiān)控是通過可視化技術(shù)直觀展示活動(dòng)的實(shí)時(shí)情況,包含:當(dāng)前活動(dòng)的進(jìn)度,活動(dòng)的資源、活動(dòng)的威脅情況、活動(dòng)的值守情況、活動(dòng)的各項(xiàng)業(yè)務(wù)開展情況等信息。應(yīng)急指揮將活動(dòng)要素在地圖上展示,在發(fā)生突發(fā)事件時(shí),支持指揮中心“掛圖作戰(zhàn)”,依據(jù)地圖展示的資源來對事件的處置。
圖8-13 應(yīng)急指揮界面
態(tài)勢感知
態(tài)勢感知中心提供網(wǎng)絡(luò)安全威脅可視化的入口,基于平臺(tái)獲取的各類監(jiān)測數(shù)據(jù)及日常業(yè)務(wù)流轉(zhuǎn)產(chǎn)生的業(yè)務(wù)數(shù)據(jù),以網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測為驅(qū)動(dòng),對網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合,從不同視角感知網(wǎng)絡(luò)安全態(tài)勢。
態(tài)勢感知系統(tǒng)以單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測為驅(qū)動(dòng),基于多維態(tài)勢可視化技術(shù),對網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合,從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢。
圖8-14 態(tài)勢感知界面
? 工業(yè)企業(yè)安全合規(guī)管理
工業(yè)企業(yè)安全合規(guī)管理,首先可以服務(wù)于參與分類分級工作的主管部門、工業(yè)互聯(lián)網(wǎng)企業(yè)和工業(yè)互聯(lián)網(wǎng)安全評估機(jī)構(gòu)等用戶,功能覆蓋工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級工作的全部環(huán)節(jié),提供企業(yè)定級管理、合規(guī)自查、風(fēng)險(xiǎn)評估、安全整改和檔案管理等相關(guān)功能。其次可滿足工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級工作信息化管理要求,將各參與方的工作納入規(guī)范流程中,并做到工作留痕,推進(jìn)相關(guān)工作的規(guī)范化、常態(tài)化、便捷化。
定級管理
根據(jù)《管理指南》要求,工業(yè)互聯(lián)網(wǎng)企業(yè)需要開展自主定級工作,主管部門需要定期對工業(yè)互聯(lián)網(wǎng)企業(yè)開展抽查,指導(dǎo)企業(yè)準(zhǔn)確定級,為主管部門更好指導(dǎo)企業(yè)準(zhǔn)確定級,分類分級業(yè)務(wù)應(yīng)用提供定級核查功能,主管部門可對工業(yè)互聯(lián)網(wǎng)企業(yè)提交的自主定級信息進(jìn)核查,并將核查情況反饋給工業(yè)互聯(lián)網(wǎng)企業(yè)。同時(shí),針對已定級的企業(yè)提供定級清單管理及統(tǒng)計(jì)分析功能,主管部門可掌握管轄范圍內(nèi)工業(yè)互聯(lián)網(wǎng)企業(yè)定級情況。
圖8-15 定級管理概況界面
安全合規(guī)自查
監(jiān)管部門定期對企業(yè)開展合規(guī)自查工作,便于落實(shí)與自身安全級別相適應(yīng)的防護(hù)措施。提供符合性管理和企業(yè)安全自評估功能。
圖8-16 企業(yè)合規(guī)自查界面
符合性評估任務(wù)管理
符合性評估任務(wù)管理為監(jiān)管部門提供對工業(yè)企業(yè)的在線評估工作,評估內(nèi)容主要依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護(hù)規(guī)范》、《工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)安全防護(hù)規(guī)范》和《工業(yè)互聯(lián)網(wǎng)標(biāo)識解析企業(yè)安全防護(hù)規(guī)范》開展對企業(yè)的符合性評估工作。
監(jiān)管部門通過從基礎(chǔ)庫調(diào)用符合性評估模板建立評估任務(wù),可從企業(yè)定級清單中先擇要評估的對象,根據(jù)不同的企業(yè)類型和級別對企業(yè)進(jìn)行在線下發(fā)評估任務(wù),可選擇評估任務(wù)的跟蹤人,包括監(jiān)管部門、安全支撐單位;能夠?qū)υu估任務(wù)的保存、下發(fā)和刪除,以及任務(wù)的狀態(tài)跟蹤;能夠?qū)Ψ赖娜蝿?wù)設(shè)置限時(shí)完成評估的時(shí)間;能夠?qū)ζ髽I(yè)名稱、任務(wù)跟蹤人等進(jìn)行查詢。
企業(yè)用戶接收到任評任務(wù)后,按時(shí)間要求進(jìn)行評估,評估后可自動(dòng)生成評估報(bào)告并提供下載功能,該報(bào)告也同時(shí)會(huì)展示給監(jiān)管部門提供查看與下載。
安全自評估
安全自評估是提供給企業(yè)進(jìn)行自我評估的方法,自我評估的結(jié)果不會(huì)上傳給監(jiān)管部門用戶,目的是讓企業(yè)能夠通過自評估發(fā)現(xiàn)自身存在的問題,做好提前整改的工作。
安全自評估為企業(yè)提供自評估模板,企業(yè)可根據(jù)自身企業(yè)類型和等級選擇評估模板進(jìn)行自查,同時(shí)提供自評估的進(jìn)度狀態(tài)、結(jié)果和報(bào)告查看與下載功能。
圖8-17 安全自評估界面
風(fēng)險(xiǎn)評估
工業(yè)企業(yè)應(yīng)基于工業(yè)互聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn),定期開展評估評測工作,便于落實(shí)與自身安全級別相適應(yīng)的防護(hù)措施。分類分級業(yè)務(wù)應(yīng)用提供對企業(yè)的安全估計(jì)管理,安全評估用于監(jiān)管部門開展對企業(yè)的風(fēng)險(xiǎn)評估與情況上報(bào)上給主管部門。
監(jiān)管部門通過下發(fā)安全評估任務(wù),實(shí)現(xiàn)對各企業(yè)的安全評估工作,安全評估是通過評估對使用的安全評估工具開展對企業(yè)的評估工作,當(dāng)完成評估工作后,可將評估數(shù)據(jù)上傳至平臺(tái),監(jiān)管部門查看報(bào)告,如果報(bào)告查看不滿足安全要求,則要求企業(yè)限期整改,同時(shí)支持對企業(yè)整改工作的跟蹤工作。
圖8-18 風(fēng)險(xiǎn)評估界面
安全整改
工業(yè)企業(yè)根據(jù)監(jiān)管部門安全檢查和評估工作過程中發(fā)現(xiàn)的重大安全隱患,開展網(wǎng)絡(luò)安全整改工作,并將安全整改情況報(bào)送給主管部門,安全整改報(bào)送內(nèi)容包括整改名稱、整改企業(yè)、整改依據(jù)、整改內(nèi)容、整改建議和限期整改信息。
主管部門查看各企業(yè)報(bào)送的網(wǎng)絡(luò)安全整改信息,了解存在網(wǎng)絡(luò)安全隱患的企業(yè)安全整改工作落實(shí)情況并及時(shí)跟蹤整改進(jìn)度。
圖8-19 安全整改界面
檔案管理
企業(yè)檔案針對終端、監(jiān)控、工控、在線業(yè)務(wù)系統(tǒng)等在線網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進(jìn)行統(tǒng)一管理,摸清企業(yè)資產(chǎn)底數(shù),形成統(tǒng)一的資產(chǎn)立體化監(jiān)管,形成更加細(xì)化的信息系統(tǒng)資產(chǎn)數(shù)據(jù):按所屬行業(yè)、機(jī)關(guān)橫向分類;按所屬地域、行政歸屬橫向分類;按工業(yè)互聯(lián)網(wǎng)企業(yè)類型、等級縱向分級;按信息系統(tǒng)重要、敏感程度縱向分級;按信息系統(tǒng)脆弱程度、可用程度縱向分級。
以資產(chǎn)管理為核心,以資產(chǎn)數(shù)據(jù)為基礎(chǔ),與隱患、事件、攻擊、情報(bào)、單位信息等數(shù)據(jù)進(jìn)行深度分析,支撐考核評價(jià)、信息共享、安全專項(xiàng)、數(shù)據(jù)安全監(jiān)管、APP監(jiān)測等核心業(yè)務(wù),共同構(gòu)建指揮駕駛艙。
圖8-20 檔案管理界面
圖8-21 企業(yè)安全畫像界面
? 安全支撐綜合服務(wù)
安全支撐綜合服務(wù)是湖南省工業(yè)信息安全公共服務(wù)平臺(tái)的門戶,是為工業(yè)企業(yè)、監(jiān)管機(jī)構(gòu)、安全廠商提供統(tǒng)一安全服務(wù),主要包括培訓(xùn)服務(wù)、檢測服務(wù)、監(jiān)控服務(wù)、工業(yè)云安全服務(wù)、工業(yè)APP安全服務(wù)、安全運(yùn)營服務(wù)、安全咨詢服務(wù)和安全保險(xiǎn)服務(wù),同時(shí)將監(jiān)測與態(tài)勢感知各業(yè)應(yīng)模塊、工業(yè)企業(yè)分類分級各應(yīng)用模塊作為統(tǒng)一的服務(wù)入口,提升日常運(yùn)營效率。
圖8-22 安全支撐綜合服務(wù)界面
5.配套管理機(jī)制
多級協(xié)同安全預(yù)警與應(yīng)急響應(yīng)管理機(jī)制是根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》的相關(guān)要求、流程進(jìn)行設(shè)計(jì)。提供對安全事件、風(fēng)險(xiǎn)進(jìn)行及時(shí)預(yù)警、通報(bào)和應(yīng)急處置的功能。當(dāng)監(jiān)測到工業(yè)企業(yè)存在重大風(fēng)險(xiǎn)隱患,或產(chǎn)生重大安全事件時(shí),通過平臺(tái)進(jìn)行通報(bào),被通報(bào)的工業(yè)企業(yè)按期反饋處置結(jié)果。平臺(tái)需具備多種通報(bào)方式,包括釘釘、短信和郵件等。在發(fā)生嚴(yán)重情況時(shí),可立即通過短信、釘釘?shù)确绞竭M(jìn)行通報(bào);當(dāng)系統(tǒng)監(jiān)測到輕微安全隱患時(shí),可進(jìn)行預(yù)警提醒或限期整改,被通報(bào)單位須及時(shí)反饋處置結(jié)果。
總體應(yīng)急處置流程為《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》中的“監(jiān)測預(yù)警和應(yīng)急處置流程圖”,具體流程詳見下圖所示:
圖8-23 監(jiān)測預(yù)警和應(yīng)急處置流程圖
同時(shí),還根據(jù)總體流程,制定了監(jiān)測預(yù)警流程與應(yīng)急處置響應(yīng)流程。
如下圖所示:
圖8-24 監(jiān)測預(yù)警流程圖
圖8-25 應(yīng)急響應(yīng)處置流程圖
6.技術(shù)升級與動(dòng)態(tài)更新方案
本方案充分考慮未來技術(shù)發(fā)展,整體平臺(tái)才有用分層解耦的方式設(shè)計(jì),使用模塊化、集群化編程思想,整體平臺(tái)天然具備功能模塊擴(kuò)展能力和系統(tǒng)架構(gòu)擴(kuò)展能力,提供了完善的技術(shù)升級和動(dòng)態(tài)更新解決方案。
采用Storm集群進(jìn)行實(shí)時(shí)流數(shù)據(jù)分析計(jì)算,提供方便的可擴(kuò)展處理能力;采用Spark進(jìn)行高性能的離線處理,利用Spark的底層框架作為其執(zhí)行基礎(chǔ)。基于模塊動(dòng)態(tài)擴(kuò)展技術(shù),平臺(tái)將每個(gè)計(jì)算、分析功能作為一個(gè)功能模塊,可以實(shí)現(xiàn)模塊級別的擴(kuò)展,比如需要增加一些新的安全分析檢測功能,只需將新開發(fā)功能按照一定規(guī)則和接口動(dòng)態(tài)的納入到分析計(jì)算引擎中,就可以動(dòng)態(tài)的實(shí)現(xiàn)分析功能的擴(kuò)展。
? 實(shí)時(shí)分析插件模塊化技術(shù)
目前主流的傳統(tǒng)大數(shù)據(jù)平臺(tái)提供Hadoop架構(gòu)對大規(guī)模數(shù)據(jù)的計(jì)算進(jìn)行分解,然后交由眾多的計(jì)算節(jié)點(diǎn)分別完成,再統(tǒng)一匯總計(jì)算結(jié)果。Hadoop架構(gòu)通常的使用方式為批量收集輸入數(shù)據(jù),批量計(jì)算,然后批量吐出計(jì)算結(jié)果。然而在安全大數(shù)據(jù)分析的應(yīng)用場景下,通常對告警的實(shí)時(shí)性要求較高,需要對海量的原始數(shù)據(jù)進(jìn)行實(shí)時(shí)流式處理和持續(xù)處理,Hadoop架構(gòu)難以處理實(shí)時(shí)性要求較高的業(yè)務(wù)。針對這一難題,安恒采用運(yùn)行拓?fù)?topology)的strom架構(gòu),極大的降低了安全事件的告警延遲。
Storm集群提供控制節(jié)點(diǎn)(master node)和工作節(jié)點(diǎn)(worker node)。控制節(jié)點(diǎn)上面運(yùn)行一個(gè)叫Nimbus后臺(tái)程序,負(fù)責(zé)在集群里面分發(fā)代碼,分配計(jì)算任務(wù)和監(jiān)控狀態(tài)。每一個(gè)工作節(jié)點(diǎn)上面運(yùn)行一個(gè)Supervisor的進(jìn)程,監(jiān)聽分配給它那臺(tái)機(jī)器的工作,根據(jù)需要啟動(dòng)/關(guān)閉工作進(jìn)程worker,多個(gè)工作進(jìn)程worker組成拓?fù)?topology)。數(shù)據(jù)流交互如圖所示。
圖8-26 數(shù)據(jù)交互示意圖
工作進(jìn)程worker中每一個(gè)spout/bolt(數(shù)據(jù)處理單元)的線程稱為一個(gè)task(任務(wù)),使用Spout/Bolt編程模型來對消息進(jìn)行流式處理。Spout組件是消息生產(chǎn)者,支持從多種異構(gòu)數(shù)據(jù)源讀取數(shù)據(jù),并發(fā)射消息流,Bolt組件負(fù)責(zé)接收Spout組件發(fā)射的信息流,并完成具體的處理邏輯。在復(fù)雜的業(yè)務(wù)邏輯中可以串聯(lián)多個(gè)Bolt組件,在每個(gè)Bolt組件中編寫各自不同的功能,從而實(shí)現(xiàn)整體的處理邏輯,只需將不同的實(shí)時(shí)分析數(shù)據(jù)處理任務(wù)按照一定的規(guī)則和接口納入和封裝到Bolt組件中,就可以動(dòng)態(tài)的實(shí)現(xiàn)實(shí)時(shí)分析功能的模塊擴(kuò)展。
? 離線批處理分析模塊化技術(shù)
目前在離線數(shù)據(jù)批處理應(yīng)用中,主流使用的是基于Hadoop架構(gòu)的MapReduce分布式計(jì)算框架,在安全事件溯源分析應(yīng)用場景中,需要關(guān)聯(lián)多維、多源的數(shù)據(jù),如日志、流量、漏洞數(shù)據(jù)以及威脅情報(bào),甚至其他檢測模型的分析結(jié)果等數(shù)據(jù),計(jì)算和處理邏輯比較復(fù)雜,MapReduce的copy階段要求每個(gè)計(jì)算節(jié)點(diǎn)從其它所有計(jì)算節(jié)點(diǎn)上抽取其所需的計(jì)算結(jié)果,copy操作需要占用大量的網(wǎng)絡(luò)帶寬,十分耗時(shí),從而造成Reduce任務(wù)整體計(jì)算速度較慢。
在實(shí)踐過程中使用自主研發(fā)的任務(wù)調(diào)度系統(tǒng)取代MapReduce框架,使用ElasticSearch集群存儲(chǔ)需要進(jìn)行離線分析的數(shù)據(jù),解決MapReduce的copy階段的占用大量的網(wǎng)絡(luò)資源的問題。如圖所示,每個(gè)Job中含有1個(gè)或多個(gè)Stage,Stage一般在獲取外部數(shù)據(jù)和shuffle之前產(chǎn)生),然后以Stage(或者稱為TaskSet)提交給Task Scheduler,Task Scheduler負(fù)責(zé)將Task分配到相應(yīng)的Worker,最后提交執(zhí)行,從而從而實(shí)現(xiàn)整體的處理邏輯。當(dāng)有新的離線分析和數(shù)據(jù)批處理的需求是時(shí),只需將不同的離線批處理分析數(shù)據(jù)的任務(wù)按照一定的規(guī)則和接口納入和封裝到TaskSet中,然后就可以動(dòng)態(tài)的實(shí)現(xiàn)批處理功能的模塊擴(kuò)展。
圖8-27 任務(wù)調(diào)度系統(tǒng)架構(gòu)示意圖
系統(tǒng)間通訊的透明化。系統(tǒng)通過采用分布式系統(tǒng),利于系統(tǒng)的簡便易行的分布式部署,同時(shí)實(shí)現(xiàn)對開發(fā)人員的通訊透明,簡化了定制開發(fā)的難度,確保了系統(tǒng)的可擴(kuò)展性。
? 系統(tǒng)間模塊的耦合性低
通過使用面向消息的中間件作為應(yīng)用架構(gòu)的主干有效降低系統(tǒng)間各模塊的耦合性,模塊直接的接口通用化,能方便的實(shí)現(xiàn)各模塊接口的重用,便于分塊開發(fā)、調(diào)試和除錯(cuò)。
實(shí)現(xiàn)系統(tǒng)的熱部署能力。系統(tǒng)可以在運(yùn)行狀態(tài)中加入新的組件或者卸除已有組件(非核心組件),整個(gè)過程都不影響系統(tǒng)的運(yùn)行。系統(tǒng)的各重要模塊可以運(yùn)行在不同的進(jìn)程中,有效的隔離錯(cuò)誤。
? 靈活的分布式部署
系統(tǒng)的各模塊不僅可以分布在不同的進(jìn)程中,同時(shí)可以透明分布在不同的主機(jī)中,以通過分布式計(jì)算提供系統(tǒng)的處理能力。無需額外開發(fā),部署成本低。能適應(yīng)復(fù)雜環(huán)境下的部署。
當(dāng)服務(wù)器的某中狀態(tài)崩潰時(shí),狀態(tài)能夠被透明的復(fù)制到其它服務(wù)器,并支持集成部署到其他的大數(shù)據(jù)平臺(tái)。
本系統(tǒng)支持模塊集群。橫向擴(kuò)展的系統(tǒng)確保了系統(tǒng)運(yùn)行的高效性。服務(wù)提供和調(diào)用的無關(guān)性,系統(tǒng)中關(guān)聯(lián)規(guī)則、過濾器等都可以資源方式被調(diào)用,極大提高的系統(tǒng)的分析能力和數(shù)據(jù)查詢展現(xiàn)效率。
1.1.3 下一步實(shí)施計(jì)劃
為落實(shí)工信部印發(fā)的《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南(試行)》要求,平臺(tái)以工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理為核心,平臺(tái)在完成建設(shè)后,需要湖南省內(nèi)各地市/州工信局,協(xié)同市/州網(wǎng)絡(luò)安全支撐單位,對工業(yè)企業(yè)開展工業(yè)企業(yè)分類分級活動(dòng),形成企業(yè)清單,以便開展精細(xì)化、差異化的安全管理,做到有目標(biāo)、有計(jì)劃、有行動(dòng)的目的,為更好地運(yùn)用平臺(tái),依據(jù)平臺(tái)提供的各類服務(wù)能力,安排了如下步驟。
1.平臺(tái)發(fā)布
完成平臺(tái)實(shí)施搭建,滿足三級等保要求;
完成平臺(tái)對外的域名申請和備案,可以通過互聯(lián)網(wǎng)側(cè)訪問平臺(tái);
組織工業(yè)企業(yè)、各地市/州工信局和安全支撐單位進(jìn)行平臺(tái)使用的培訓(xùn);
平臺(tái)試運(yùn)行,組織試點(diǎn)企業(yè)、地市工信局和安全支撐單位進(jìn)行小范圍試點(diǎn);
對外發(fā)布通知,平臺(tái)正式發(fā)布。
2.企業(yè)分類分級
湖南省廳領(lǐng)域組織湖南省各地市/州工信局依托平臺(tái)公共服務(wù)能力,開始對外公外征集遴選工業(yè)企業(yè)參與分類分級活動(dòng),對參與活動(dòng)的工業(yè)企業(yè)開展自主定級和定級審核活動(dòng),通過審核的企業(yè)最終形成定級清單。
3.企業(yè)自評估
根據(jù)企業(yè)定級清單,平臺(tái)為聯(lián)網(wǎng)企業(yè)、平臺(tái)企業(yè)和標(biāo)識解析企業(yè)提供在線安全自評估,自評估內(nèi)容根據(jù)平臺(tái)的不同類和安全級別進(jìn)行有針對性的評估,同時(shí),平臺(tái)可委托安全支撐單位協(xié)助企業(yè)完成安全自評估,企業(yè)評估完成后,最終自動(dòng)生成評估報(bào)告,讓湖南省廳領(lǐng)域及各地市/州工信局管理人員及時(shí)掌握當(dāng)前企業(yè)清單中的合規(guī)狀況。
4.應(yīng)急演練
根據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級安全管理指南(試行)》要求,三級企業(yè)每年必須完成一次應(yīng)急演練,及時(shí)上報(bào)預(yù)急預(yù)案。
省廳領(lǐng)導(dǎo)組織各地市州管理人員依托平臺(tái)SaaS化攻防演練平臺(tái)和協(xié)同應(yīng)急模塊,開展三級企業(yè)的應(yīng)急演練,及時(shí)匯總企業(yè)演練情況,總結(jié)演練結(jié)果,給出合理化的安全防護(hù)建議。
5.安全整改
工業(yè)企業(yè)在完成安全評估與應(yīng)急演練后,通過經(jīng)驗(yàn)總結(jié),發(fā)現(xiàn)自身安全防護(hù)問題,企業(yè)結(jié)合自身安全現(xiàn)狀,輸出安全整改方案,并提交所屬轄區(qū)工信局進(jìn)行審核,工信局可委托安全支撐機(jī)構(gòu)進(jìn)行技術(shù)審核,以確定該整改方案的技術(shù)合理性,待審核通過后,企業(yè)可根據(jù)方案內(nèi)容開展整改建設(shè)工作。支持對整改建設(shè)企業(yè)的審核狀態(tài)進(jìn)行統(tǒng)計(jì)分析。
6.驗(yàn)收檢查
工業(yè)企業(yè)完成整改建設(shè)后,向所屬轄區(qū)工信局提交整改落實(shí)情況報(bào)告,工信局審核通過后提交省級監(jiān)管單位進(jìn)行復(fù)審,省級監(jiān)管單位可依據(jù)實(shí)際情況委托安全專家對整改內(nèi)容進(jìn)行技術(shù)復(fù)審,同時(shí)支持對驗(yàn)收檢查審核狀態(tài)進(jìn)行統(tǒng)計(jì)分析。
安全專家可通過工控安全檢查工具箱開展對企業(yè)的現(xiàn)場檢查,并輸出報(bào)告,同時(shí)可將安全檢查數(shù)據(jù)內(nèi)容作為輸入對企業(yè)進(jìn)行專業(yè)化的風(fēng)險(xiǎn)評估工作,以便掌握企業(yè)安全整改后的真實(shí)防護(hù)情況。在企業(yè)通過安全專家的復(fù)審后,省級監(jiān)管單位可發(fā)布驗(yàn)收成果,對于整改效果好的企業(yè)進(jìn)行鼓勵(lì)。
7.重點(diǎn)企業(yè)監(jiān)測
在完成以上六大步聚后,省廳及各地市州主管部門可清晰地掌握轄區(qū)范圍內(nèi)工業(yè)企業(yè)的類別、安全等級、合規(guī)現(xiàn)狀、整改情況,能夠有效針別哪些企業(yè)需要重點(diǎn)監(jiān)測。
對于要重點(diǎn)監(jiān)測的企業(yè),部署監(jiān)測設(shè)備,以便能夠?qū)崟r(shí)掌握安全現(xiàn)狀,及時(shí)協(xié)同地方工信局和安全支撐單位共同幫助企業(yè)完成安全監(jiān)測預(yù)警工作,形成閉環(huán)管理能力。
8.完善服務(wù)能力
依據(jù)湖南省內(nèi)當(dāng)前現(xiàn)狀,組建各地工信局管理人員和安全支撐機(jī)構(gòu),完善當(dāng)前平臺(tái)安全支撐服務(wù)資源,以便進(jìn)一步提升省內(nèi)工業(yè)企業(yè)的安全監(jiān)測預(yù)警、安全防護(hù)與響應(yīng)處置能力。
本方案計(jì)劃今年要完成前六大步驟,形成全省范圍內(nèi)的定級清單,并針對這些企業(yè)開展安全評估、應(yīng)急演練、安全整改和驗(yàn)收檢查等工作,掌握清單中工業(yè)企業(yè)的安全合規(guī)現(xiàn)狀,為開展后續(xù)對重點(diǎn)企業(yè)開展監(jiān)測預(yù)警與協(xié)同應(yīng)急奠定基礎(chǔ)。
1.1.4 方案創(chuàng)新點(diǎn)和實(shí)施效果
1.方案先進(jìn)性及創(chuàng)新點(diǎn)
(1)集約化、數(shù)字化和服務(wù)化的公共服務(wù)技術(shù)創(chuàng)新
我國工業(yè)企業(yè)當(dāng)前產(chǎn)業(yè)規(guī)模,技術(shù)實(shí)力參差不齊,尤其是在面對中小工業(yè)企業(yè),這些企業(yè)的安全防護(hù)能力有限,有的在安全防護(hù)方面甚至處于“裸奔”狀態(tài),這些企業(yè)沒有能力,也沒有意識去解決其內(nèi)部的安全隱患與風(fēng)險(xiǎn)問題。
建設(shè)省/市等區(qū)域級工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái),利用平臺(tái)的“雙向賦能”的服務(wù)特點(diǎn),建立集約化安全支撐服務(wù)資源隊(duì)伍,同時(shí)面向監(jiān)管部門和企業(yè)用戶提供“一站式”SaaS化安全服務(wù),幫助監(jiān)管部門提高日常安全監(jiān)測預(yù)警、研判分析能力,以及響應(yīng)處置效率;幫助工業(yè)企業(yè)提高安全防護(hù)意識,顯著提高安全防護(hù)水平。間接降低轄區(qū)內(nèi)安全監(jiān)管部門的管理成本。同時(shí),利用平臺(tái)制定對安全服務(wù)供應(yīng)商和工業(yè)企業(yè)的考核規(guī)則,通過定期考核,使兩者不斷優(yōu)化安全服務(wù)能力與安全防護(hù)能力,形成良好的生態(tài)體系。
圖8-28 省/市等區(qū)域級工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)“一站式”服務(wù)業(yè)務(wù)運(yùn)行流程
(2)工業(yè)互聯(lián)網(wǎng)場景的安全數(shù)據(jù)采集與融合分析技術(shù)創(chuàng)新
工業(yè)互聯(lián)網(wǎng)場景具有網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、業(yè)務(wù)系統(tǒng)和設(shè)備類型多的特點(diǎn),因此需要具備可更多應(yīng)用場景的安全數(shù)據(jù)采集能力,以及大數(shù)據(jù)智能分析能力。
數(shù)據(jù)采集能力:實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)全場景的數(shù)據(jù)采集能力,通過在設(shè)備、控制、網(wǎng)絡(luò)、數(shù)據(jù)、平臺(tái)、應(yīng)用的安全數(shù)據(jù)采集,覆蓋聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)和標(biāo)識解析企業(yè)在5G、標(biāo)識、平臺(tái)、物聯(lián)網(wǎng)、工控網(wǎng)、信息網(wǎng)、工業(yè)云、邊緣計(jì)算等全場景應(yīng)用。
大數(shù)據(jù)智能分析能力:將工業(yè)互聯(lián)網(wǎng)場景下的IT、OT、CT和DT數(shù)據(jù)進(jìn)行集中采集,對這些場景下的用戶、系統(tǒng)、設(shè)備、網(wǎng)絡(luò)和操作行為融合在一起進(jìn)行分析,將各場景可能發(fā)生的安全現(xiàn)象進(jìn)行總結(jié)分析,形成工業(yè)互聯(lián)網(wǎng)專有的威脅分析模型,同時(shí)可根據(jù)用戶實(shí)際業(yè)務(wù)場景自定義模型,更貼合用戶業(yè)務(wù),為安全生產(chǎn)提供穩(wěn)定、可靠的威脅發(fā)現(xiàn)與分析能力。滿足工業(yè)互聯(lián)網(wǎng)安全在各場景的安全分析與追蹤溯源能力。
(3)基于閉環(huán)安全管理機(jī)制的多級協(xié)同響應(yīng)處置技術(shù)創(chuàng)新
近兩年,工業(yè)和信息化部相繼發(fā)布了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃2021-2023》以及《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南(試行)》,均強(qiáng)調(diào)了要建立健全工業(yè)互聯(lián)網(wǎng)監(jiān)測預(yù)警的閉環(huán)管理機(jī)制。
首先,當(dāng)前工業(yè)信息安全監(jiān)測預(yù)警技術(shù)體系并不完善,絕大部分只包含了安全監(jiān)測和安全預(yù)警的能力,并沒有包含通過研判分析進(jìn)行調(diào)查取證,無法有效核實(shí)監(jiān)測的安全事件或風(fēng)險(xiǎn)隱患的真實(shí)性,直接或間接造成在進(jìn)行安全預(yù)警和信息通報(bào)的誤報(bào)率。其次,當(dāng)轄區(qū)內(nèi)發(fā)生不同安全級別的事件后,監(jiān)管部門也不能通過技術(shù)手段,開展省、市和企業(yè)級的應(yīng)急響應(yīng)與協(xié)同處置能力,導(dǎo)致相關(guān)信息不能同步,或延遲同步,提高了應(yīng)急過程中最初的關(guān)鍵時(shí)間。最后,大部分監(jiān)測預(yù)警技術(shù)體系并沒有實(shí)現(xiàn)完善的閉環(huán)管理機(jī)制,并沒有形成數(shù)字化安全閉環(huán)管理模式,發(fā)現(xiàn)相關(guān)事件或問題由誰負(fù)責(zé),誰來跟蹤,誰來決定該事件是否需要關(guān)閉,以及全部過程是否有操作行業(yè)記錄進(jìn)行跟蹤。
基于以上的難點(diǎn)與問題,湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)的監(jiān)測預(yù)警與協(xié)同響應(yīng)業(yè)務(wù)應(yīng)用以數(shù)字化安全服務(wù)底座為基礎(chǔ),具備了安全事件和風(fēng)險(xiǎn)隱患的實(shí)時(shí)發(fā)現(xiàn)能力,并提供了多種元數(shù)據(jù)的安全研判分析工具,為安全分析人員提供詳細(xì)的調(diào)查取證工具,從而進(jìn)行高效、精準(zhǔn)備的安全預(yù)警與信息通報(bào)。當(dāng)發(fā)現(xiàn)不同安全級別的事件或風(fēng)險(xiǎn)隱患時(shí),可啟動(dòng)不同的響應(yīng)流程,將省、市、工業(yè)企業(yè)和安全支撐機(jī)構(gòu)開展聯(lián)合協(xié)同響應(yīng),有效提高了應(yīng)急響應(yīng)與處置效率。
圖8-29 多級協(xié)同響應(yīng)處置技術(shù)業(yè)務(wù)邏輯圖
同時(shí),應(yīng)用中的協(xié)同指揮工具實(shí)現(xiàn)“掛圖作戰(zhàn)”的多級協(xié)同應(yīng)急能力,可在重大安全事件或安全活動(dòng)保障過程中組織省、市、工業(yè)企業(yè)和安全支撐機(jī)構(gòu)的工作協(xié)同,也可以通過該應(yīng)用組織各級單位進(jìn)行安全應(yīng)急演練,提升各級的協(xié)同作戰(zhàn)能力,一旦發(fā)現(xiàn)相關(guān)事件,可立即采集相關(guān)行動(dòng),達(dá)到快速響應(yīng)處置的目的。
圖8-30 協(xié)同指揮作戰(zhàn)圖
(4)數(shù)字化工業(yè)企業(yè)安全合規(guī)管理技術(shù)創(chuàng)新
2020年12月,工業(yè)和信息化部印發(fā)了《關(guān)于工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理試點(diǎn)工作的通知》(以下簡稱《通知》),省/市等區(qū)域級是15個(gè)省級部門開展分類分級的管理試點(diǎn)工作的其中之一,《通知》中要求省/市等區(qū)域級的16個(gè)工業(yè)企業(yè)單位參與本次管理試點(diǎn)工作。
省/市等區(qū)域級廳面臨的主要問題是,沒有形成體系化、流程化、數(shù)字化的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級的技術(shù)實(shí)現(xiàn)工具,雖然本次試點(diǎn)單位不多,但面對未來大量的工業(yè)企業(yè)將接入其中,將給監(jiān)管部門用戶帶來更多的安全合規(guī)管理工作事項(xiàng)。
基于以上的難點(diǎn)與問題,湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)的工業(yè)企業(yè)安全合規(guī)管理業(yè)務(wù)應(yīng)用,結(jié)合安全監(jiān)管主管部門、工業(yè)企業(yè)主管部門和安全支撐機(jī)構(gòu)三大用戶角色,以及“定級管理、合規(guī)自查、風(fēng)險(xiǎn)評估、安全整改和檔案管理”五大流程化管理應(yīng)用,幫助監(jiān)管部門實(shí)現(xiàn)了工業(yè)企業(yè)數(shù)字化、流程化的安全合規(guī)閉環(huán)管理機(jī)制,形成了對工業(yè)企業(yè)的精細(xì)化和差異化的安全合規(guī)管理模式。
2.實(shí)施效果
根據(jù)“下一步實(shí)施計(jì)劃”章節(jié),當(dāng)前平臺(tái)已完成前兩個(gè)步聚,實(shí)施效果如下:
平臺(tái)完成實(shí)施,確保達(dá)到等保三級防護(hù)水平,并發(fā)通知組織平臺(tái)的試運(yùn)行,見下圖所示:
圖8-31 平臺(tái)試運(yùn)行通知
湖南省電子信息產(chǎn)業(yè)研究院作為省級安全技術(shù)單位,組織開展平臺(tái)使用的培訓(xùn)工作,見下圖:
圖8-32 組織召開平臺(tái)培訓(xùn)通知
經(jīng)過對試點(diǎn)企業(yè)的測試,以及完成平臺(tái)的培訓(xùn)工作后,由湖南省工信廳和省通管局聯(lián)合舉辦的湖南工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)中,正式發(fā)布了平臺(tái),見下圖:
圖8-33 湖南省工業(yè)互聯(lián)網(wǎng)安全深度行-平臺(tái)發(fā)布現(xiàn)場圖
在本次深度行活動(dòng)中,為省內(nèi)優(yōu)秀工業(yè)領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全支撐機(jī)構(gòu)頒發(fā)證書,如下圖所示:
圖8-34 辦法工業(yè)領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全支撐機(jī)構(gòu)證書
湖南省工信廳在官網(wǎng)發(fā)布開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理工作的通知,征集省內(nèi)各地方工業(yè)企業(yè)開展相關(guān)工作,見下圖:
圖8-35 湖南省工信廳開展分類分解管理工作的通知
平臺(tái)于2022年10月22日完成省內(nèi)工業(yè)企業(yè)的定級工作,并對外公布,目前正處于安全自評估階段,見下圖:
形成工業(yè)企業(yè)定級清單,是對不同類型和安全級別的工業(yè)企業(yè)開展“精細(xì)化、差異化”安全管理措施。
平臺(tái)可為各工業(yè)企業(yè)提供在線安全自評估服務(wù),評估內(nèi)容以《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級防護(hù)系列規(guī)范》和《湖南省工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理評估指標(biāo)體系》為依據(jù),為了保障企業(yè)能夠順利完成評估,平臺(tái)提供委托安全支撐機(jī)構(gòu)提供遠(yuǎn)程或現(xiàn)場評估服務(wù),下圖為在線安全評估圖:
圖8-36 在線安全評估圖
當(dāng)完成在線安全評估,為了進(jìn)一步掌握工業(yè)企業(yè)安全現(xiàn)狀,現(xiàn)委托安全支撐機(jī)構(gòu)技術(shù)人員對工業(yè)企業(yè)進(jìn)行現(xiàn)場檢查,通過工控安全檢查工具箱,識別企業(yè)風(fēng)險(xiǎn)隱患,并生成安全檢查分析報(bào)告上傳至平臺(tái),地方主管部門根據(jù)情況對部分存在安全風(fēng)險(xiǎn)的企業(yè)開展安全整改工作,并督導(dǎo)其在限期時(shí)間內(nèi)完成整改。安全整改提供流程化管理方式,如下圖:
圖8-37 安全整改圖
平臺(tái)可對重點(diǎn)工業(yè)企業(yè)開展安全監(jiān)測,實(shí)時(shí)掌握企業(yè)安全現(xiàn)狀,提供一系列閉環(huán)管理工具,當(dāng)發(fā)現(xiàn)相關(guān)問題時(shí),需要實(shí)時(shí)發(fā)現(xiàn)問題-安全驗(yàn)證-通報(bào)預(yù)警,才可對相關(guān)事件進(jìn)行發(fā)布,所有動(dòng)作均提供流程化處理方式,全程留痕,實(shí)時(shí)如下圖所示:
圖8-38 實(shí)時(shí)監(jiān)測界面
圖8-39 分析研判界面
圖8-40 通報(bào)預(yù)警界面
當(dāng)發(fā)生重大安全事件時(shí),根據(jù)湖南省應(yīng)急要求,需要由省級應(yīng)急辦協(xié)同地方人員一起進(jìn)行響應(yīng)急,需要組織事件發(fā)生地應(yīng)急相關(guān)人員、安全支撐機(jī)構(gòu)人員和行業(yè)領(lǐng)域安全專家共同解決問題,如下圖所示:
圖8-41 協(xié)同應(yīng)急指揮界面
平臺(tái)為各級部門主管人員提供工業(yè)企業(yè)全息數(shù)字檔案,將企業(yè)基本信息、資產(chǎn)信息、定級信息、安全評估信息、安全整改信息、風(fēng)險(xiǎn)隱患信息和安全事件等數(shù)據(jù)進(jìn)行有效整理,以安全監(jiān)管者為視角,提供卡片式,報(bào)告式的界面,讓安全監(jiān)管人員通過一張卡片,一頁報(bào)告掌握工業(yè)企業(yè)的全面現(xiàn)狀,為安全趨勢預(yù)判提供有效數(shù)據(jù)支撐。下圖為企業(yè)數(shù)字檔案界面:
圖8-42 企業(yè)數(shù)字檔案界面
1.1.5 單位基本信息
1.牽頭單位基本信息
本次方案申報(bào)的牽頭單位是中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院(簡稱中國聯(lián)通研究院)。
中國聯(lián)通研究院作為聯(lián)通集團(tuán)科技創(chuàng)新的主體,立足國家戰(zhàn)略、公司戰(zhàn)略和產(chǎn)業(yè)服務(wù),成為公司戰(zhàn)略決策的參謀者、公司技術(shù)發(fā)展的引領(lǐng)者、產(chǎn)業(yè)發(fā)展的助推者。內(nèi)設(shè)一個(gè)綜合支撐板塊和智庫研究、網(wǎng)絡(luò)研究、應(yīng)用技術(shù)研究三個(gè)技術(shù)研究板塊,具備智庫的專業(yè)咨詢能力、網(wǎng)絡(luò)技術(shù)的自主核心能力、前瞻技術(shù)的研究能力、技術(shù)與業(yè)務(wù)融合的應(yīng)用能力。現(xiàn)有員工近700多人,平均年齡36歲,享受國務(wù)院政府特殊津貼專家10名、教授級高工26名、博士后9名、博士62名、碩士占比75%以上。
2.參與單位基本信息
本次方案申報(bào)的參與單位是杭州安恒信息技術(shù)股份有限公司(簡稱安恒信息)。
安恒信息主營業(yè)務(wù)為網(wǎng)絡(luò)信息安全產(chǎn)品的研發(fā)、生產(chǎn)及銷售,并為客戶提供專業(yè)的網(wǎng)絡(luò)信息安全服務(wù),制定了云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、智慧城市安全、工業(yè)控制系統(tǒng)安全及工業(yè)互聯(lián)網(wǎng)安全五大市場戰(zhàn)略。安恒信息憑借強(qiáng)大的研發(fā)實(shí)力和持續(xù)的產(chǎn)品創(chuàng)新,入選Gartner 《2020年中國ICT技術(shù)成熟度曲線》,成為中國云安全“標(biāo)桿供應(yīng)商”;AiLPHA大數(shù)據(jù)智能安全平臺(tái)榮獲2019“世界人工智能產(chǎn)業(yè)安全十大創(chuàng)新實(shí)踐”;榮獲首個(gè)全球工業(yè)互聯(lián)網(wǎng)大獎(jiǎng)——“湛盧獎(jiǎng)”等。
AII微信公眾號
AII頭條號