河南中烟工业有限责任公司许昌卷烟厂 河南许昌 461000
摘要:目前全国大部分工业企业尚未形成全网统一的有机防护体系,技术种类多,安全防护设备多样,安全防护的系统性、结构性不强。因此通过现场调研,需求分析,设计适用于现场的工厂网络安全态势感知基础平台标准方案,指导建立网络安全态势感知基础平台,整合工控系统终端安全、生产网网络边界安全防护、无线网络安全、管理网终端安全的网络安全数据,形成工业企业基础网安全态势感知能力,从而达到主动感知主动防御的效果。
关键词:工业企业 态势感知 网络安全
Abstract:At present, most industrial enterprises in China have not yet formed a unified organic protection system for the whole network. There are many kinds of technologies, various safety protection equipment, and the systematicness and structure of safety protection are not strong. Therefore, through on-site investigation and demand analysis, the standard scheme of factory network security situation awareness basic platform is designed to guide the establishment of network security situation awareness basic platform, integrate the network security data of industrial control system terminal security, production network border security protection, wireless network security and management network terminal security, and form the industrial enterprise network security situation Perception ability, so as to achieve the effect of active perception and active defense.
Key words: industrial enterprise, situation awareness, network security
●概述
随着工业信息化、网络化、工业物联网技术的快速发展和应用,工业生产网络在自动化、智能化水平上获得快速提升,工业生产过程在质量控制、效率提升上取得进一步得提升,其在技术进步上主要表现在两大方面:一是为了保证生产高效运行、提高生产管理效率,工控系统自身的进一步提升了集成化、集中化管理能力。二是生产网与办公网、互联网的互联互通作为重要的基础性网络支撑前提,为工业企业获取现场设备层大量基础数据,集中到企业资源管理层进行分析,进而形成更加高效的生产经营计划提供了快速、准确、有效的技术手段。
生产网与办公网、互联网的互联互通在保障网络化、智能化水平提升的同时,也为对工业生产网的攻击提供了进攻路径,针对生产网的攻击事件近年呈现快速增长的态势。像2010年震惊世界的伊朗“震网”事件、2017年的Wanacry勒索病毒事件、2018年台积电网络攻击事件等,为工业企业网络化、智能化发展过程中的网络安全保障敲响了警钟。
作为近年在网络攻防演习中显现重要价值的态势感知系统,成为网络安全保障体系建设的重点,习近平总书记在2016年4月19日网信工作座谈会上(4.19讲话)中明确提出了“感知网络安全态势是最基本最基础的工作”,作为积极响应开展网络安全建设的烟草行业,针对自身遇到的网络国安全风险和挑战,结合自身工业生产特点,积极开展态势感知系统建设实践与探索。
●总体设计思路
网络安全态势感知是一种基于环境的动态、整体地洞悉安全风险的能力,是以大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置的一种方法,最终是为决策和行动服务,是安全能力的落地。
态势感知基础平台的技术模型将PPT模型(人、过程、技术)、风险管理模型、安全三观模型的核心思想融入到模型设计中,从而可以形成工控安全态势感知基础平台技术架构。
实现态势感知需具备相关技术能力,主要包括态势要素提取、对当前态势的理解和对未来态势的预测三个层次;影响态势感知的要素包括实现态势感知能力依赖于各影响要素提供的服务,主要包括人物和环境要素以及个人要素。
网络安全态势感知是大数据技术在网络安全领域的重要应用,其虽然在不同行业有不同的业务要求,但也有很多共通之处。比如,数据采集、数据处理、数据存储、数据服务接口是基础模块,不可或缺;通过数据分析发现安全事件从而进行告警展示也是网络安全态势感知的一致性需求。
要建立网络安全态势感知能力,既需要采集多源异构的数据,也需要相应系统进行检测分析,同时也离不开数据(包括事件、威胁情报等)共享、人工辅助分析。笔者把进行检测分析的系统叫网络安全态势感知平台,主要包括:
1)为了实现态势感知,需要进行技术能力的建设,提出通用的技术要求,如建立一套网络安全态势感知平台,从而对各类数据进行采集、处理、存储、服务接口、分析、展示和告警、资源管理等,并保证系统自身安全。
2)同样需要管理能力的建设,如建立单位的应急处置、数据共享等流程。
3)数据是网络安全态势感知能力建设的基础,数据来源多种多样,可能来源于单位自建的前端探针,也可能来源于第三方探针输出的数据,也可能来源于上报的数据,包括流量探针、服务器探针、日志探针、监测平台等。
●关键技术
依靠互联网的海量安全数据,解决网络安全监控的问题,以大数据技术对这些安全要素信息进行分析,全面、精准的掌握网络安全状态,并以可视化的方式,向用户提供安全管理范范围内的实时感知,针对安全隐患提供通报等手段帮助其完成安全监控的闭环,从而改变当前“黑客主动攻击、企业被动防御”的被动局面。网络安全态势感知对于提高网络的监控能力和应急响应能力,以及网络安全预警能力的发展趋势等具有重要作用。
网络安全态势感知相关关键技术如下。
●工控网络协议的深度识别技术
态势感知需要能对全网流信息进行多维度分析,实时展示网络中各协议分布情况,可识别如modbus协议,opc协议等主流的工控协议。可以使用包括但不限于VFlow流描述语言,定义多个流属性字段,用以存储原始数据包信息,确保数据的完整性。工控态势感知采集完整工控网络数据,将协议内容中识别出相应的业务流,进行工控协议的深度识别与解析。
●流安全检测与分析技术
态势感知通过旁路抓包采集网络流数据,并使用应用程序指纹(协议识别)、NetBIOS、DNS域名查询、操作系统、资产信息、用户身份识别、行为分析和网络性能指标等对这些流数据进行增强,从而形成vflow。以vflow为主体进行分析与安全检测。系统从各种拓扑、虚拟线路、应用和协议采集流量的信息并将其转换成一个共同的格式vflow并存储,支持基于vflow的全流量回溯功能,实现可视化展示历史数据。
●多维度的网络流行为可视化分析技术
态势感知流秩序功能提供流信息的源地址、源网段区域、源端口、目的地址、目的网段区域、目的端口、网络中传输层以上的各种协议、流发生的时间、绘画流量等信息的多维度展示。工业态势感知通过采集网络中的流量信息,能够对全网的流量行为进行多维度透视分析,并可视化展示。
●智能的关联分析模型技术
态势感知采用流量周期性基线与非周期性基线分析,支持设备互联关系自动发现。可预测网络拥挤,支持网络优化决策。同时可将采集到多种设备的事件进行分析。
●多方位安全态势感知技术
态势感知是对数据的综合利用,包含会串联安全事件、漏洞脆弱性、流量监测信息、告警、性能状态信息、外部威胁情报等各类安全数据,使用户把控宏观安全及风险态势,了解当前遭受的攻击态势,综合掌握网络中资产及业务的安全隐患,识别被防护对象受威胁态势,掌握攻击规律趋势,定位攻击源头并预警潜在威胁。其目标是通过安全信息的集中整合分析,使用户从资产安全态势、漏洞安全态势和攻击安全态势三个维度掌握风险威胁态势,把握威胁的发生、发展、危害范围,提升整体资产及业务的防护能力。
●建设思路
通常笔者在工业企业部署实施态势感知平台的实践经验,建议参考以下思路。
针对工业企业进行风险评估
针对工业企业进行风险评估时,笔者通常通过以下几个维度判断是否存在问题:
是否存在安全防护与感知缺失:现场调研工业企业厂区内部是否未进行安全隔离,可能存在各站之间随意互访并引起病毒感染与扩散、生产中断等的风险。
是否事件追踪溯源难:考虑生产工控网络内部存在的非法操作、误操作和恶意行为,缺乏审计手段。
是否有操作员站管控措施不到位:工厂内工控系统中的工程师站和操作员站等是否多采用老旧Windows系统,存在大量漏洞,同时USB等外部接口考虑缺乏有效管理措施。
是否对标工控防护标准规范偏差较大:在配置和补丁管理、边界安全防护、身份认证、远程安全访问、安全监测和应急预案演练等诸多方面有待进一步提升。
是否存在安全管理与运营缺失:为被动响应事件型组织,未形成常态的安全运营机制,无法定期开展事件分析、安全运维、安全培训等工作。
总体来讲,进行风险评估要从管理、技术两大维度去评估现场存在的风险,尽可能全的发现问题。
优先解决关键问题
通过风险评估发现的问题需要进行分析整理,分离出关键问题和非关键问题,优先解决的关键问题建议如下。
解决加强安全防护与增强威胁感知问题。笔者在工厂网络边界划分清楚且在不影响业务的前提下,考虑增加边界隔离和内网威胁监测措施。
解决安全协调分析与处理问题。考虑解决加强对工控资产状态梳理,并随时了解资产存在的风险、设备的运行状态,提高监管运行效果的问题。
解决网络安全实战防护能力问题。考虑借助大数据与人工智能的分析手段,实时有效地发现、预测威胁,以安全监控与安全运维一体化为目的,增加网络安全自动化监测水平。
解决强化网络安全监管问题。考虑提升智能安全运维以及违规操作监管力度,尤其是生产网现场U盘滥用、非法外联与内联、无线热点、违规操作等。
解决规范化安全监控问题。考虑制定安全运营感知业务流程与技术规范,用以指导生产运营的持续有序进行。
综上,整理关键核心问题时,也需要本着“管理+技术”的思路来梳理,落实“三分技术,七分管理”。
●针对工业企业特点实现态势感知建设思路
工业信息安全防护结合其自身特点,以及上述优先解决的关键问题,采用基于“分区分域、边界防控、策略优化、综合审计”纵深防御策略,通过态势感知平台的分析呈现能力,最终实现“全天候”“全方位”持续不间断地对受保护网络进行监测和感知。其中“全天候”是指7*24,“全方位”是指要从资产感知、运行感知、漏洞感知、威胁感知、攻击感知和风险感知6个维度去全面感知网络态势。
与此同时,结合国家标准和法律条例对工业互联网规范性的要求,梳理态势感知部署架构如下:
基础层,实现工业企业基础信息采集,实现工控流量分析、配置核查、资产管理、边界防护。帮助工业企业用户,实现协议分析、流量识别、资产识别、风险识别等基础信息全要素的采集。
数据层,实现工业企业基础数据汇聚,通过工控日志采集与审计、数据采集汇聚。实现日志采集、范式化、监视、审计追踪、调查取证能力实现。
平台层,实现用户的安全事件闭环和安全态势决策,实现基于基础层和数据层的支撑,实现工控流量可见、安全事件分析、告警通报、工单流转、报表报告、安全事件闭环和安全态势决策,构建机器学习、行为建模、场景构建等分析能力,实现态势感知和安全事件闭环,掌控网络威胁态势。 除了这三层架构之外,平台层应需具备开放性,为其他安全产品的接入提供API接口,以便适配不同的安全态势数据接受需要。
结论
态势感知平台可以帮助工业企业实现综合的安全监控与管理需求,在当前日益复杂的网络威胁与挑战环境之下,保证网络安全管理有效、系统、完整并可持续改进地进行。一方面解决了工业企业当前快速建立工控安全保障体系框架,在动态、可视、可监、可管等方面提供平台支撑,另一方面为工业企业客户转变安全难管理被动状态,为以后扩展应用新技术、新能力提供统一接入的开放接口,能够有效满足工业企业合规性建设和实际业务需求的双重管理目标所需。
参考文献
[1] (GB/T 22239-2019)《信息安全技术 网络安全等级保护基本要求》
[2] 《中华人民共和国网络安全法》
[3] 《网络安全态势感知技术标准化白皮书(2020版)》
[4]国家计算机网络应急技术处理协调中心.中国互联网网络安全报告[Z].2018.
[5]陈秀真等.网络化系统安全态势评估的研究[J].西安交通大学学报,2004,38(4):404-408.
[6]龚俭,臧小东,苏琪等.网络安全态势感知综述[J].软件学报,2017,28(4):1010-1026.
[7]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012(8):41-43.
[8]肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.