某省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺——打造省、市級工業(yè)互聯(lián)網(wǎng)安全公共服務生態(tài)體系
1.1.1 方案概述
今年,工信部印發(fā)組織開展2022年工業(yè)互聯(lián)網(wǎng)安全深度行活動,旨在全國范圍內(nèi)深入實施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理工作,要求各地工信廳、通信管理局聯(lián)合第三方專業(yè)機構制定實施方案5月30日前報送工信部,并在11月底前開展本地深度行活動。
針對深度行活動提到的“分類分級管理”內(nèi)容,湖南省工信廳搭建了省級湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺,安恒全程主導并參與平臺建設。2022年5月20日,在湖南省工信廳和省通管局聯(lián)合舉辦“工業(yè)互聯(lián)網(wǎng)安全深度行活動”中平臺正式發(fā)布,預示整個湖南省的分類分級管理工作將在該平臺的支撐下進行深度推廣,為工業(yè)企業(yè)用戶提供服務。
1. 方案背景
(1)工業(yè)互聯(lián)網(wǎng)是數(shù)字經(jīng)濟高質量發(fā)展的國家戰(zhàn)略
工業(yè)互聯(lián)網(wǎng)以數(shù)字化、網(wǎng)絡化、智能化為本質特征的第四次工業(yè)革命正在興起。作為新一代信息技術與制造業(yè)深度融合的產(chǎn)物,通過對人、機、物的全面互聯(lián),構建起全要素、全產(chǎn)業(yè)鏈、全價值鏈全面連接的新型生產(chǎn)制造的新型生產(chǎn)制造和服務體系,是數(shù)字化轉型的實現(xiàn)路徑,是實現(xiàn)新舊動能轉換的關鍵力量。為搶抓新一輪科技革命和產(chǎn)業(yè)變革的重大歷史機遇,世界主要國家和地區(qū)加強制造業(yè)數(shù)字化轉型和工業(yè)互聯(lián)網(wǎng)戰(zhàn)略布局,全球領先企業(yè)積極行動,產(chǎn)業(yè)發(fā)展新格局正孕育形成。
2019年10月18日,習近平總書記向“2019工業(yè)互聯(lián)網(wǎng)全球峰會”發(fā)來賀信。習近平指出,“當前,全球新一輪科技革命和產(chǎn)業(yè)革命加速發(fā)展,工業(yè)互聯(lián)網(wǎng)技術不斷突破,為各國經(jīng)濟創(chuàng)新發(fā)展注入了新動能,也為促進全球產(chǎn)業(yè)融合發(fā)展提供了新機遇。中國高度重視工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展,愿同國際社會一道,持續(xù)提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新能力,推動工業(yè)化與信息化在更廣范圍、更深程度、更高水平上實現(xiàn)融合發(fā)展”。 同時,習近平強調(diào),“深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略,系統(tǒng)推進工業(yè)互聯(lián)網(wǎng)基礎設施和數(shù)據(jù)資源管理體系建設,發(fā)揮數(shù)據(jù)的基礎資源作用和創(chuàng)新引擎作用,加快形成以創(chuàng)新為主要引領和支撐的數(shù)字經(jīng)濟”。習近平關于工業(yè)互聯(lián)網(wǎng)的系列指示體現(xiàn)了對工業(yè)互聯(lián)網(wǎng)發(fā)展的高度重視,彰顯了推進工業(yè)互聯(lián)網(wǎng)發(fā)展的緊迫性和重要性。
(2)工業(yè)互聯(lián)網(wǎng)安全是其發(fā)展的重要保障
工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡、平臺、安全三大體系。其中,網(wǎng)絡體系是基礎,工業(yè)互聯(lián)網(wǎng)將連接對象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價值鏈,可實現(xiàn)人、物品、機器、車間、企業(yè)等全要素,以及設計、研發(fā)、生產(chǎn)、管理、服務等各環(huán)節(jié)的泛在深度互聯(lián)。平臺體系是核心,工業(yè)互聯(lián)網(wǎng)平臺作為工業(yè)智能化發(fā)展的核心載體,實現(xiàn)海量異構數(shù)據(jù)匯聚與建模分析、工業(yè)制造能力標準化與服務化、工業(yè)經(jīng)驗知識軟件化與模塊化,以及各類創(chuàng)新應用開發(fā)與運行,支撐生產(chǎn)智能決策、業(yè)務模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培訓。安全體系是保障,建設滿足工業(yè)需求的安全技術體系和管理體系,增強設備、網(wǎng)絡、控制、應用和數(shù)據(jù)的安全保障能力,識別和抵御安全威脅,化解各種安全風險,構建工業(yè)智能化發(fā)展的安全可信環(huán)境。
(3)工業(yè)互聯(lián)網(wǎng)安全在轉型過程中面臨的挑戰(zhàn)
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,IT與OT不斷融合,使原有的工廠內(nèi)外網(wǎng)絡邊界變的模糊,由于產(chǎn)業(yè)模式的創(chuàng)新發(fā)展,工廠內(nèi)外的信息傳遞更加頻繁,這將使黑客更容易入侵到工廠內(nèi)網(wǎng)絡,攻陷生產(chǎn)設備和系統(tǒng),對生產(chǎn)造成巨大損失。工業(yè)控制系統(tǒng)信息安全目前面臨著信息安全與工控系統(tǒng)自身安全融合的要求。目前工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品還處于產(chǎn)品階段的 1.0 版本的時代,與目前 IT 信息安全和 IT 系統(tǒng)的適配程度相比還有比較大的差距。工業(yè)控制系統(tǒng)安全產(chǎn)品是與業(yè)務應用相關度比較高的產(chǎn)品。目前的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品體現(xiàn)在與業(yè)務的融合度不夠,在深度檢測與業(yè)務相關的攻擊行為的時候往往乏力,缺乏創(chuàng)新性的安全檢測思路,防護思路往往缺乏真正有效的方法。另一方面,隨著工業(yè)領域中的一些新的應用,如工業(yè)云、工業(yè)大數(shù)據(jù)等的普及,工業(yè)控制的業(yè)態(tài)也必將發(fā)生一些變化。而信息安全技術與新的業(yè)態(tài)融合時,必然需要與業(yè)務進行融合。而目前工控信息安全技術的融合還沒有完全展開,需要在技術方向和應用上有所突破。
2. 方案簡介
政策驅動需求:政策文件的下發(fā),為各地方區(qū)域級工業(yè)信息安全監(jiān)管部門具有明確的監(jiān)管工作指導意義,分別從如何對企業(yè)分類分級,如何做好分類分級的安全防護,以及如何做好相關安全監(jiān)測預警工作給出了較為明確的工作行動目標。
業(yè)務驅動需求:形成監(jiān)測預警、信息通報、協(xié)同應急處置的閉環(huán)管理機制;形成工業(yè)企業(yè)分類分級安全監(jiān)管閉環(huán)管理機制;形成面向工業(yè)企業(yè)提供安全服務的生態(tài)體系。
(2)解決方案
方案將工業(yè)互聯(lián)網(wǎng)安全“監(jiān)測預警與協(xié)同應急管理”、“工業(yè)互聯(lián)網(wǎng)企業(yè)安全合規(guī)管理”和“工業(yè)互聯(lián)網(wǎng)安全支撐綜合服務”三大業(yè)務應用融為一體,以“工業(yè)互聯(lián)網(wǎng)安全公共服務”為核心能力,為工業(yè)互聯(lián)網(wǎng)安全監(jiān)管部門和工業(yè)企業(yè)提供“雙向賦能”。打造省、市工業(yè)互聯(lián)網(wǎng)安全公共服務生態(tài)體系,逐步形成集約化工業(yè)互聯(lián)網(wǎng)安全運營服務中心。
圖8-1 集約化工業(yè)互聯(lián)網(wǎng)安全運營服務中心
3. 方案目標
(1)提升、完善全省工業(yè)互聯(lián)網(wǎng)威脅感知能力
工業(yè)互聯(lián)網(wǎng)數(shù)字化轉型過程中,業(yè)務應用場景也越來越多,因此相應的網(wǎng)絡安全監(jiān)測手段也需要進行補充和技術提升。本次建設需要提升全省工業(yè)互聯(lián)網(wǎng)企業(yè)安全整體態(tài)勢感知、分析能力,實時掌握更多、更全面的各類工業(yè)互聯(lián)網(wǎng)場景下的安全動態(tài),在發(fā)生工業(yè)互聯(lián)網(wǎng)安全事件時,也無法進行精準預警。為實時掌握全省工業(yè)互聯(lián)網(wǎng)安全情況及動態(tài),在發(fā)生安全隱患時可以進行快速、精準預警,需依托大數(shù)據(jù)技術建立全省工業(yè)互聯(lián)網(wǎng)安全感知分析能力,實現(xiàn)精準匹配、重點分析,并提供多個維度可視化的大數(shù)據(jù)分析結果,為研判、決策工業(yè)互聯(lián)網(wǎng)安全保障工作提供有效支撐,提升對關鍵目標的管控、風險識別的水平。
(2)建立省級工業(yè)互聯(lián)網(wǎng)安全應急響應協(xié)同指揮體系
根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應急預案》的相關要求,為積極落實責任要求,形成安全事件閉環(huán)管理機制,加快建立省工業(yè)互聯(lián)網(wǎng)安全協(xié)同協(xié)作機制,需要結合實際需要對全省工業(yè)企業(yè)建立監(jiān)測、預警、防范協(xié)同管理機制,建立相應的技術平臺,實現(xiàn)省工信廳、地市工信局、工業(yè)企業(yè)、技術支撐單位級其他監(jiān)管單位等在工業(yè)互聯(lián)網(wǎng)安全安全層面上的協(xié)作、互通,進一步完善監(jiān)測預警、信息通報、應急處置等相關機制的建設。
(3)建立工業(yè)領域網(wǎng)絡安全分類分級合規(guī)管理機制
以《網(wǎng)絡安全分類分級》為依據(jù),完善工業(yè)企業(yè)網(wǎng)絡安全合規(guī)管理機制,打造精細化、差異化的科學管理方式。形成面向工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標識解析企業(yè)等三類工業(yè)互聯(lián)網(wǎng)企業(yè)開展網(wǎng)絡安全分類分級管理工作,參照行業(yè)重要性、企業(yè)規(guī)模、安全風險程度等因素,將企業(yè)網(wǎng)絡安全等級由高到低劃分為三級、二級、一級,并針對不同類型、不同級別的企業(yè)提出差異化安全防護要求。
組建工業(yè)互聯(lián)安全評測機構和專家隊伍,提供專業(yè)化工業(yè)互聯(lián)網(wǎng)安全風險評估工具,開展對工業(yè)企業(yè)的現(xiàn)場安全檢查和信息調(diào)查。針對工業(yè)企業(yè)進行定期及不定期的巡視檢查,通過建立全省工業(yè)互聯(lián)網(wǎng)安全檢查機制,借助線上監(jiān)測加線下檢查形成監(jiān)管合力,摸底全省工業(yè)互聯(lián)網(wǎng)安全狀況。
(4)建立工業(yè)企業(yè)與省平臺監(jiān)測數(shù)據(jù)安全共享能力
依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理指南》要求,三級工業(yè)企業(yè)需要在企業(yè)建設安全監(jiān)測分析平臺,并將在企業(yè)內(nèi)監(jiān)測的數(shù)據(jù)信息上報給省級平臺。因此,需要實現(xiàn)工業(yè)企業(yè)安全監(jiān)測分析平臺與省湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺的安全認證與數(shù)據(jù)傳輸共享服務,以保證兩平臺間數(shù)據(jù)傳輸共享的安全性。
(5)建立工業(yè)互聯(lián)網(wǎng)安全公共服務能力
一是加強對省工業(yè)信息安全公共服務能力,通過對工業(yè)企業(yè)資產(chǎn)梳理、安全隱患監(jiān)測、安全事件分析研判、應急響應支持、安全態(tài)勢感知服務、安全運營服務等,提高全省工業(yè)企業(yè)提供網(wǎng)絡安全公共服務的能力。
二是針對信息安全意識、安全技能、熱點安全事件定期組織安全培訓,輻射全省,對各級工信單位、重點工業(yè)企業(yè)進行網(wǎng)絡安全業(yè)務培訓,形成常態(tài)化工控信息安全人才隊伍建設與培養(yǎng)機制,增強各級各部門網(wǎng)絡安全意識和防護水平。
目前省工信廳、通管局等相關單位均對各自負責監(jiān)管領域建設監(jiān)測、存儲系統(tǒng),同時工信部已建設國家級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺,但尚未建設各級信息互通、共享的數(shù)據(jù)交換平臺,數(shù)據(jù)無法連通,工作難以互動。為解決這一問題,需建立共享數(shù)據(jù)機制,互通有無,信息共享,同時保證數(shù)據(jù)的安全性。
1.1.2 方案實施概況
1.總體設計原則和策略
厲行節(jié)約原則:在平臺建設過程中,要盡量利用現(xiàn)有的信息系統(tǒng)、網(wǎng)絡基礎設施、安全監(jiān)控數(shù)據(jù)等,綜合考慮對已有資源的共享和利用,避免重復建設和浪費。
標準規(guī)劃原則:在方案設計和設備選型方面遵循國家以及行業(yè)內(nèi)的相關標準,嚴格按照有關程序組織方案建設,并且建設標準符合國家及行業(yè)提出的接口規(guī)范和技術架構。
重點保護原則:根據(jù)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的重要程度、業(yè)務特點,實現(xiàn)不同強度的安全保護,集中資源優(yōu)先保護重點工業(yè)控制系統(tǒng)。
技術先進原則:平臺設計立足先進技術,采用先進的系統(tǒng)結構、開放的體系架構,使系統(tǒng)在一個周期內(nèi)保持技術領先水平,具備長足的發(fā)展能力,以適應未來網(wǎng)絡技術和安全技術的發(fā)展和系統(tǒng)使用的科學性。
平臺建設堅持三個策略:
“全”。即全源化采集,在現(xiàn)有數(shù)據(jù)采集來源的基礎上擴大數(shù)據(jù)采集范圍和采集數(shù)據(jù)類型,確保平臺數(shù)據(jù)來源的全面性。
“優(yōu)”。即整合優(yōu)勢產(chǎn)品,平臺選用的產(chǎn)品是從眾多安全廠商中優(yōu)中選優(yōu),確保平臺的先進性,并整合各安全設備管理能力,如等流量監(jiān)測引擎、威脅感知引擎、工具箱等設備可實現(xiàn)與平臺業(yè)務系統(tǒng)的無縫對接。
“實”。即實戰(zhàn)化應用,平臺設計涵蓋監(jiān)測、態(tài)勢、通報、處置、情報、應急指揮、攻防演練等功能,最大程度實現(xiàn)工作業(yè)務需求,形成工控安全態(tài)勢監(jiān)管業(yè)務閉環(huán),最大限度服務于實戰(zhàn)。
湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺是為省監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、實時監(jiān)測、通報預警、響應處置、應急指揮等,以及提供工業(yè)企業(yè)分類分級管理和綜合安全服務一體化的服務平臺。
平臺總體架構設計遵照“分層解耦、異構兼容”的原則,分為安全引擎層、安全中臺層和安全應用層三個層次,各層級以及模塊之間的功能設計具有相對的獨立性,從而使得整個系統(tǒng)具有較高的擴展性。安全引擎層作為平臺的基礎能力層,安全中臺實現(xiàn)數(shù)據(jù)的采集處理、挖掘分析和提供統(tǒng)一的數(shù)據(jù)服務,構建數(shù)據(jù)驅動業(yè)務體系。安全應用層通過建設滿足用戶的各類業(yè)務應用,協(xié)助監(jiān)管部門開展工業(yè)互聯(lián)網(wǎng)安全的保衛(wèi)工作。
平臺總體架構如下圖所示:
圖8-2 湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺架構設計
平臺為監(jiān)管人員、企業(yè)人員和安全支撐機構人員提供不同崗位視角的可視化安全態(tài)勢感知大屏,滿足不同角色需求,提供綜合態(tài)勢、預警態(tài)勢、隱患態(tài)勢、事件態(tài)勢、分類分級態(tài)勢、攻擊者溯源態(tài)勢、資產(chǎn)威脅溯源態(tài)勢和網(wǎng)絡星空態(tài)勢。
平臺基于微服務架構,結合用戶實際需求,分別為各級用戶實現(xiàn)各類應用服務能力,平臺由可視化安全態(tài)勢感知、監(jiān)測預警與協(xié)同應急、安全合規(guī)管理和綜合安全服務,打造完整生態(tài),將各級監(jiān)管部門、安全支撐機構、安全專家等人員聯(lián)合起來,一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。
安全中臺層包括安全數(shù)據(jù)中臺、安全業(yè)務中臺和安全能力中臺組成,為上層業(yè)務應用提供安全數(shù)據(jù)服務、業(yè)務流程管理和安全能力服務。
(4)安全引擎層
基礎安全能力層為平臺運行和其他單位提供必要的基礎安全能力和數(shù)據(jù)來源,包括網(wǎng)絡資產(chǎn)測繪引擎、威脅檢測識別引擎、網(wǎng)絡攻擊誘捕引擎、網(wǎng)絡防御引擎、威脅情報管理引擎、云端安全監(jiān)測引擎、網(wǎng)站安全監(jiān)測引擎和安全檢查引擎等。
3.平臺技術路線
(1)分布式存儲技術
分布式存儲技術作為態(tài)勢感知系統(tǒng)最為重要與基礎的支撐技術。分布式存儲技術能夠實現(xiàn)結構化及半結構化數(shù)據(jù)的統(tǒng)一存儲,兼容傳統(tǒng)的關系型數(shù)據(jù)庫以及SQL訪問模型,同時支持對海量數(shù)據(jù)的在線實時流式處理框架和離線分布式計算框架。分布式數(shù)據(jù)庫面向時序數(shù)據(jù)和小文件數(shù)據(jù)存儲進行深度優(yōu)化,支持第三方存儲引擎和傳統(tǒng)關系型數(shù)據(jù)庫的無縫接入;支持海量混合數(shù)據(jù)的統(tǒng)一存儲管理和在線離線一體化查詢;支持可插拔安全算法模塊和主流分布式計算框架;支持跨庫、跨源、異構數(shù)據(jù)庫之間的跨庫訪問和關聯(lián)查詢,解決了多系統(tǒng)交互時對海量混合數(shù)據(jù)統(tǒng)一管控的問題;支持多源異構混搭數(shù)據(jù)間基于規(guī)則導向的高可靠近實時數(shù)據(jù)同步。主要功能包括:
l 大數(shù)據(jù)采集存儲和分析處理。滿足采集海量數(shù)據(jù)儲存需要,如流量信息、設備狀態(tài)、鏈路狀態(tài)等,滿足大規(guī)模結構化流式數(shù)據(jù)的并發(fā)能力、吞吐量、低時延的高要求。
l 分層架構、模塊化設計、多場景支持。采用模塊化的設計思路,在數(shù)據(jù)訪問層、數(shù)據(jù)路由層和數(shù)據(jù)存儲層都提供多種高內(nèi)聚、低耦合的模塊,通過這些模塊的靈活搭配,分布式數(shù)據(jù)庫表現(xiàn)出不同的技術特征,從而能夠適應不同的業(yè)務場景。
l 在線檢索和離線分析一體化。通過配置,分布式數(shù)據(jù)庫可同時支持高速數(shù)據(jù)寫入,在線交互訪問、實時查詢以及高并發(fā)大數(shù)據(jù)集查詢在內(nèi)的各種訪問方式,適應在線檢索和離線分析等不同業(yè)務場景。
l 混合數(shù)據(jù)支持。分布式數(shù)據(jù)庫支持與傳統(tǒng)關系型數(shù)據(jù)庫Oracle、MySQL等聯(lián)合訪問。業(yè)務系統(tǒng)可以把部分表建在Oracle或MySQL上,把部分表建在分布式數(shù)據(jù)庫上,然后透明地訪問這些表,包括在這些表之間進行join、union等操作。
l 跨域、多數(shù)據(jù)中心支持。分布式數(shù)據(jù)庫在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集群之間近實時的跨域數(shù)據(jù)同步復制,實現(xiàn)系統(tǒng)的跨域多中心部署模式。總體處理性能,數(shù)據(jù)讀寫、掃描等,隨集群規(guī)模擴展線性增長。
l 分布式存儲形式主要基于通用/定制化的X86服務器提供存儲,可提供對象、文件和塊存儲,具備低成本、靈活擴容、高并發(fā)訪問等優(yōu)勢,通過軟件保障性能和可靠性。可作為資源池的分級存儲手段,滿足中低端存儲、數(shù)據(jù)歸檔備份、大數(shù)據(jù)存儲等需求。采用X86服務器和分布式塊存儲軟件技術的Server-SAN在I/O能力、部署速度和擴展性方面已驗證優(yōu)于傳統(tǒng)塊存儲技術(例如FC-SAN/IP-SAN)。
分布式存儲技術用于系統(tǒng)架構的大數(shù)據(jù)組件當中,使系統(tǒng)能夠實現(xiàn)高效的數(shù)據(jù)采集和檢索能力。
大數(shù)據(jù)分析的根本是數(shù)據(jù),針對高價值數(shù)據(jù)的分析往往事半功倍。然而測評領域大數(shù)據(jù)分析在數(shù)據(jù)方面所面對的現(xiàn)實問題總結下來主要分為以下三種形態(tài):
來源多:包含服務數(shù)據(jù)、基礎數(shù)據(jù)資源、數(shù)據(jù)交換獲得的私有數(shù)據(jù)資源、以及互聯(lián)網(wǎng)采集的數(shù)據(jù)資源,這些數(shù)據(jù)隨著業(yè)務的變化而變化。
組成亂:數(shù)據(jù)資源包含結構化數(shù)據(jù),如MySQL、Oracle等等;半結構化數(shù)據(jù):XML、CSV等等;以及非結構化數(shù)據(jù)。數(shù)據(jù)結構亂、形式不一。
質量碎:數(shù)據(jù)往往以孤島或碎片化的形式存在、缺少關聯(lián)、語義不明確甚至缺失。
面對上述問題,就需要一種能夠處理、整合多源異構等復雜形態(tài)的數(shù)據(jù)歸一化模型,將不同形態(tài)、雜亂無章的數(shù)據(jù)整合成統(tǒng)一的樣式形態(tài)。同時,能夠基于該數(shù)據(jù)整合模型,以“人”、“事”、“物”等數(shù)據(jù)分析為主體、實現(xiàn)數(shù)據(jù)的大串聯(lián)、大融合,將原來孤立的“點”數(shù)據(jù)、“面”數(shù)據(jù)、“條”數(shù)據(jù)融合成為一定空間、時間范圍內(nèi)的“塊”數(shù)據(jù),做到價值的萃取,形成業(yè)務可用的大數(shù)據(jù)。
多源異構的數(shù)據(jù)融合技術運用在系統(tǒng)的數(shù)據(jù)治理融合層,通過體系化的數(shù)據(jù)治理方法論結合基于模型驅動的數(shù)據(jù)治理技術用以提升數(shù)據(jù)質量,便于數(shù)據(jù)分析建模的建立。
全文檢索技術是態(tài)勢感知系統(tǒng)的核心基礎功能,其基礎要求是根據(jù)搜索條件快速、準確的匹配命中數(shù)據(jù)對象,為安全分析人員提供高效準確的分析工具,以便能更加快速的發(fā)現(xiàn)安全風險。因為大數(shù)據(jù)系統(tǒng)往往采用分布式存儲技術,所以全文檢索技術的選擇必須能夠支持主流的分布式存儲系統(tǒng)。同時,分布式并行計算系統(tǒng)的支持也是在技術路線選擇中必須考慮的因素,需能夠做到對并行計算框架的無縫對接。由于測評系統(tǒng)的大數(shù)據(jù)分析功能對數(shù)據(jù)搜索準度、實時性與多樣性的要求,這就要求檢索技術需支持基于關鍵詞,數(shù)值范圍,日期范圍等各種復雜的搜索功能。
全文檢索技術采用倒排索引的結構達到快速全文檢索的目的,倒排檢索是實現(xiàn)“單詞”-“文檔矩陣”的一種具體存儲形式,通過倒排索引可以更加快速的獲取包含這個單詞的文檔列表,倒排索引主要由兩個部分組成“單詞詞典”和“倒排文件”,具體結構如下圖:
圖8-3 全文檢索技術架構圖
全文檢索技術運用在安全監(jiān)測中,主要用于對監(jiān)測數(shù)據(jù)的檢索查詢,通過查詢安全分析人員能夠實現(xiàn)對安全事件的細致分析,并將有效數(shù)據(jù)運用于模型建立當中。
數(shù)據(jù)關聯(lián)分析即線索擴線,是一個從有限的數(shù)據(jù)線索向未知數(shù)據(jù)進行挖掘探索的過程。選用關聯(lián)分析可視化技術主要因為是:數(shù)據(jù)分析人員需要在各類數(shù)據(jù)庫中反復比對、查詢、線索串聯(lián)。運用可視化關聯(lián)分析技術能夠以圖形化界面、流暢交互操作等形式將枯燥的數(shù)據(jù)分析變得生動,能夠在很大程度上提高數(shù)據(jù)分析員的工作效率。在可視化技術選擇上,能夠突出數(shù)據(jù)關聯(lián)關系的特征,便于分析人員理解。同時,數(shù)據(jù)統(tǒng)計等可視化輔助功能能夠幫助分析員理解數(shù)據(jù)含義,提高工作效率。
通過數(shù)據(jù)清洗、要素提取融合,系統(tǒng)實現(xiàn)多要素多維度的關聯(lián)分析,從工控異常行為、工控惡意操作、僵尸網(wǎng)絡、木馬、蠕蟲、勒索軟件、漏洞攻擊、WEB攻擊、DDOS攻擊、惡意通聯(lián)關系、惡意樣本、惡意通信、惡意郵件、惡意域名、APT攻擊等安全事件入手,運用關聯(lián)分析技術完成態(tài)勢可視化展現(xiàn),構建由微觀到宏觀的態(tài)勢分析,形成安全攻擊態(tài)勢變化的能力。
關聯(lián)分析可視化技術用于系統(tǒng)的數(shù)據(jù)分析層,主要作用是將多源異構數(shù)據(jù)通過關聯(lián)分析模型串聯(lián)起來,找到各類數(shù)據(jù)源之間的關系,并通過可視化技術進行最終呈現(xiàn)。
在處理和分析互聯(lián)網(wǎng)事件時往往需要從海量的數(shù)據(jù)里查找有用的線索,這不但是存儲、索引、計算技術的挑戰(zhàn),具體分析工作也面臨著困難:呈現(xiàn)在列表式表格中的大量數(shù)據(jù),難以發(fā)現(xiàn)數(shù)據(jù)的模式、趨勢和關聯(lián)關系等分析重要要點。可視化就是用來解決這些問題的最佳方案。
目前已知的對人類認知最有效的方式就是通過視覺感知,相比其他的交流呈現(xiàn)方式,使用數(shù)據(jù)可視化來交流具有很多的優(yōu)勢,包括:
數(shù)據(jù)可視化能快速的進行復雜信息的交流:可視化在最小化數(shù)據(jù)細節(jié)特征損耗的同時,可以在數(shù)秒鐘快速呈現(xiàn)上百萬個點信息,非常適合與統(tǒng)計信息呈現(xiàn)。具體到本方案,對本地威脅態(tài)勢全局信息的展示就非常適合采用可視化的方法,可以快速的掌握趨勢、熱點等重要信息,對從全局把握網(wǎng)絡安全態(tài)勢有著不可替代的作用。
數(shù)據(jù)可視化能識別潛在模式:一些模式特征通過統(tǒng)計學方法或者掃描數(shù)據(jù)的方式難以發(fā)現(xiàn),卻可能通過可視化方法被揭示出來。而當在可視化展示數(shù)據(jù)的時候,存在于單個變量中的模式或者多個變量之間的關聯(lián)關系就可以呈現(xiàn)出來。數(shù)據(jù)可視化的這個特點特別有利于在網(wǎng)絡事件調(diào)查過程中使用,通過一點線索,利用可視化分析方法,可以發(fā)現(xiàn)、呈現(xiàn)出更多和它有關聯(lián)的其它信息點,達到拓線,進而溯源事件的目的。
溯源分析可視化技術用于數(shù)據(jù)分析層,是態(tài)勢感知系統(tǒng)的一類重要分析技術,主要用于對安全事件的追溯,通過溯源可視化分析方法幫助管理人員準確發(fā)現(xiàn)攻擊背后的真正意圖。
威脅情報的生成是一個復雜的過程,需要具備多種能力才有可能完成,一般可以分為如下圖這樣的八步:
圖8-4 威脅情況流程圖
? 數(shù)據(jù)收集:這是關鍵的一步,決定了產(chǎn)生的情報是否能最全面的覆蓋威脅,因此往往需要聚集多種不同來源的情報數(shù)據(jù)(包括但不限于樣本數(shù)據(jù)、黑客團伙相關數(shù)據(jù)、DNS相關數(shù)據(jù)、WHOIS相關數(shù)據(jù)、僵尸網(wǎng)絡相關數(shù)據(jù)等),以保證情報質量。
? 數(shù)據(jù)清洗:將以上數(shù)據(jù)根據(jù)后續(xù)加工的需要進行整理、去除不可信數(shù)據(jù)、將關鍵數(shù)據(jù)結構化等過程。
? 數(shù)據(jù)關聯(lián):數(shù)據(jù)關聯(lián)是數(shù)據(jù)驗證的前提條件,通過數(shù)據(jù)關聯(lián)梳理不同類型數(shù)據(jù)間的關系,如樣本、樣本不同方式的檢測分析結果、樣本的網(wǎng)絡行為、域名注冊者、域名指向的IP、IP上面的其它域名等。
? 驗證:通過建立了關聯(lián)關系的數(shù)據(jù),再利用機器學習的方式(有可能結合部分的人工分析)對情報的準確性進行驗證,并賦予相應的可信度指標。這也是決定情報質量關鍵的一步。
? 上下文:包括如攻擊類型、樣本家族、攻擊團伙、攻擊目地、傳播渠道、具體危害等報警響應需要的內(nèi)容。
? 優(yōu)先級:根據(jù)攻擊目的、具體危害等信息,確定報警優(yōu)先等級信息;
? 格式化:根據(jù)分發(fā)的要求,將情報以特定的格式輸出,如:STIX、openIOC、JSON、xml等,非MRTI類型的情報還可能以PDF、word等類型提供。
? 情報分發(fā):根據(jù)不同類型情報的用途,可以推送給安全產(chǎn)品、打包供下載、或者郵件發(fā)送。
威脅情報生成技術使用在數(shù)據(jù)治理融合層和數(shù)據(jù)分析層,在數(shù)據(jù)治理融合層主要解決情報信息的收集、格式化、清洗及情報分發(fā)等問題,在數(shù)據(jù)分析層實現(xiàn)情報信息的驗證和關聯(lián)分析。
平臺數(shù)據(jù)庫設計基于海量數(shù)據(jù)采集、處理、存儲及分析挖掘需要,主要包括原始庫、主題庫、資源庫、知識庫和業(yè)務庫等。
原始庫數(shù)據(jù)為前端部署的威脅檢測識別引擎采集的流量數(shù)據(jù),數(shù)據(jù)結構分為結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)。數(shù)據(jù)類型主要包括應用會話識別數(shù)據(jù)、應用會話流量數(shù)據(jù)、網(wǎng)絡傳輸流量數(shù)據(jù)、應用層流量數(shù)據(jù)、用戶登陸行為數(shù)據(jù)、流量審計數(shù)據(jù)和風險告警數(shù)據(jù)等。
主題庫是融合各類原始數(shù)據(jù)、資源數(shù)據(jù)長期積累形成的多維數(shù)據(jù)的公共集合,具有數(shù)據(jù)規(guī)模量大,且頻繁更新等特點。支持通過實時計算和離線分析計算對數(shù)據(jù)執(zhí)行查詢、分析、映射、檢索等操作,支持實現(xiàn)海量數(shù)據(jù)規(guī)模下檢索的秒級響應。數(shù)據(jù)類型主要包括單位畫像數(shù)據(jù)、系統(tǒng)畫像數(shù)據(jù)、IP畫像數(shù)據(jù)、失陷主機數(shù)據(jù)、黑客組織數(shù)據(jù)、重大漏洞數(shù)據(jù)、僵尸網(wǎng)站數(shù)據(jù)和非常規(guī)端口開放數(shù)據(jù)等。
資源庫是存儲各類數(shù)據(jù)資源建立的關鍵要素以及要素之間關聯(lián)關系的公共數(shù)據(jù)集合,包括單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、流量日志數(shù)據(jù)、隱患數(shù)據(jù)、告警數(shù)據(jù)、安全事件數(shù)據(jù)和其他外部數(shù)據(jù)等。
知識庫是指信息安全專業(yè)領域或與信息安全專業(yè)領域相關的特征知識數(shù)據(jù)和規(guī)則方法集合。一般通過管理手段、工作積累、第三方提供、機器學習等方式獲取。數(shù)據(jù)類型包括惡意IP數(shù)據(jù)、惡意域名數(shù)據(jù)、告警規(guī)則數(shù)據(jù)、重大漏洞等。
業(yè)務庫記錄業(yè)務過程,為上層業(yè)務系統(tǒng)提供數(shù)據(jù)支撐。數(shù)據(jù)為結構化類型且數(shù)據(jù)規(guī)模不大,常用的應用場景是查詢和關聯(lián)。主要包括通報預警業(yè)務數(shù)據(jù)、應急指揮業(yè)務數(shù)據(jù)和管理評價業(yè)務數(shù)據(jù)等。
平臺縱向實現(xiàn)與工業(yè)企業(yè)、國家平臺的數(shù)據(jù)貫通和業(yè)務協(xié)同,橫向實現(xiàn)與各行業(yè)主管部門以及社會上從事網(wǎng)絡安全工作的企業(yè)單位的數(shù)據(jù)的數(shù)據(jù)共享交換和工作業(yè)務協(xié)同,并借助安全廠家的威脅情報數(shù)據(jù)能力,提升全省網(wǎng)絡安全監(jiān)管能力。為此需要提供自動化的數(shù)據(jù)接口、制定相關數(shù)據(jù)和接口標準規(guī)范,以實現(xiàn)數(shù)據(jù)的傳輸交換。
傳輸?shù)臄?shù)據(jù)類型主要包括:
ü 安全事件類數(shù)據(jù);
ü 安全隱患類數(shù)據(jù);
ü 網(wǎng)絡資產(chǎn)類數(shù)據(jù);
ü 業(yè)務處理類數(shù)據(jù)。
查詢及業(yè)務類的數(shù)據(jù)支持HTTP協(xié)議傳輸;
原始數(shù)據(jù)的交換共享支持kafka和syslog等方式進行大流量網(wǎng)絡傳輸;
若有特定的傳輸需求,支持通過協(xié)商的方式進行其他協(xié)議或組件進行數(shù)據(jù)傳輸。
平臺縱向實現(xiàn)與工業(yè)企業(yè)和國家平臺的數(shù)據(jù)共享,橫向實現(xiàn)與行業(yè)主管單位的數(shù)據(jù)共享,并通過全面采集接入全省網(wǎng)絡安全監(jiān)管數(shù)據(jù)和第三方安全廠商威脅情報數(shù)據(jù),形成平臺數(shù)據(jù)存儲中心。
圖8-5 數(shù)據(jù)共享交換圖
4.平臺建設內(nèi)容
湖南省工業(yè)信息安全公共服務平臺是為湖南省工信廳工業(yè)信息安全監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、安全監(jiān)測、通報預警、響應處置、應急指揮等,以及提供工業(yè)企業(yè)安全合規(guī)管理和綜合安全支撐服務一體化的服務平臺。
? 工業(yè)企業(yè)數(shù)據(jù)采集
多源異構日志數(shù)據(jù)采集
對主流安全設備、網(wǎng)絡設備、主機、數(shù)據(jù)庫、中間件、應用系統(tǒng)和虛擬化系統(tǒng)等設備異構日志進行全面采集,實現(xiàn)資產(chǎn)日志數(shù)據(jù)統(tǒng)一管理。同時為滿足日志數(shù)據(jù)共享需求,提供收集日志轉發(fā),當原始日志設備無法設置多個日志服務器時,可通過本系統(tǒng)進行日志轉發(fā)將日志轉發(fā)到其他日志存儲設備。
異構日志數(shù)據(jù)采集覆蓋Syslog、SNMP、OPSec、XML、FTP及本地文件等多種協(xié)議,對安全對象屬性、運行狀態(tài)、安全事件、評估與檢測等異構數(shù)據(jù)進行采集,針對不同類型數(shù)據(jù)能夠自動適配協(xié)議。同時為提升采集性能,降低數(shù)據(jù)冗余噪音,可自定義配置日志過濾功能,對采集的重復日志進行自動聚合歸并,減少日志量。
全流量數(shù)據(jù)采集
對網(wǎng)絡流量數(shù)據(jù)進行采集,并將捕獲的通信數(shù)據(jù)轉換為數(shù)據(jù)分組報文格式遞交給上層組件,作為上層特征檢測引擎分析處理的原始數(shù)據(jù)。通過雙向流量檢測對網(wǎng)絡流量行為進行判定(例如數(shù)據(jù)報文惡意特征匹配、資源使用情況、使用者的訪問行為等),識別病毒、木馬、敏感信息等異常行為。
? 威脅情報數(shù)據(jù)采集
提供云端采集、接口采集、本地累計以及本地導入共4種方式進行威脅情報采集和累計。
云端采集
提供針對外界的威脅情報采集、展示和利用功能。
接口同步
支持動態(tài)采集開源威脅情報,也可以采集第三方商用威脅情報,至少提供一家商業(yè)威脅情報廠家接口;
提供豐富的云端采集更新接口,支持安恒自身威脅情報庫、第三方商用威脅情報庫以及開源的威脅情報庫,網(wǎng)絡威脅情報包含惡意IP、URL、Domain、Email等。
本地威脅情報積累設計
支持將本地發(fā)現(xiàn)的安全事件和惡意IP、域名、文件、釣魚網(wǎng)站、E-MAIL等事件轉化為威脅情報。
本地導入
支持通過本地離線包導入情報,支持通過使用離線威脅情報數(shù)據(jù)包更新情報數(shù)據(jù)。
? 網(wǎng)絡空間掃描探測數(shù)據(jù)采集
采用云端網(wǎng)絡空間資產(chǎn)探測雷達對全省網(wǎng)絡資產(chǎn)進行偵測以及漏洞掃描和分析趨勢分析,快速識別全省以公網(wǎng)IP接入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設備、工控設備、應用系統(tǒng)、網(wǎng)絡設備的存活情況、開放端口、組件等信息。通過對互聯(lián)網(wǎng)資產(chǎn)、郵箱資產(chǎn)、監(jiān)控設備資產(chǎn)、工控設備資產(chǎn)等各類資產(chǎn)進行探測,識別其指紋信息、漏洞信息以及可能受攻擊情況,摸清全省資產(chǎn)底數(shù),為監(jiān)測、預警、溯源等提供基礎數(shù)據(jù)支撐。
? 現(xiàn)場檢查數(shù)據(jù)采集
現(xiàn)場檢查數(shù)據(jù)是通過工業(yè)控制系統(tǒng)安全檢查工具箱對企業(yè)進行安全檢查過程中所采集的數(shù)據(jù),主要包括企業(yè)安全合規(guī)自查數(shù)據(jù)、資產(chǎn)漏洞、流量分析、配置核查、惡意代碼等檢查數(shù)據(jù)。
采用離線采集方式,將工業(yè)控制系統(tǒng)安全檢查工具箱的檢查數(shù)據(jù)導出后,再通過工業(yè)企業(yè)分類分級模塊的進行數(shù)據(jù)導入,以完成采集動作。
? 第三方平臺數(shù)據(jù)采集
鑒于本地監(jiān)測存在單點監(jiān)測的局限性和高級威脅監(jiān)測的不足,平臺將接入第三方威脅情報數(shù)據(jù),按一定的時間規(guī)則推送到本地平臺大數(shù)據(jù)中心,并利用大數(shù)據(jù)平臺機器學習能力,結合互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為進行實時追蹤分析以及事前預測。
? 數(shù)據(jù)采集管理
采集部署
數(shù)據(jù)采集引擎實現(xiàn)個性化數(shù)據(jù)采集,支持配置不同采集策略,如動態(tài)配置采集周期,清洗過濾策略等。采集部署支持如下功能:
? 支持分布式多節(jié)點部署;
? 支持多采集節(jié)點存活、健康狀態(tài)監(jiān)控,發(fā)現(xiàn)節(jié)點異常后,及時告警;
? 支持對采集節(jié)點進行性能監(jiān)控,保證采集性能與數(shù)據(jù)量匹配,防止數(shù)據(jù)丟失;
? 支持對采集策略進行管理,包括采集頻率、采集協(xié)議、采集目標、過濾策略等;
? 支持流量數(shù)據(jù)鏡像采集,支持在多個機房交換機上復制鏡像,分布式部署分光器和DPI進行采集,并將多余接口關閉;
? 支持主機終端數(shù)據(jù)采集,支持數(shù)據(jù)庫審計分析數(shù)據(jù)采集;
? 支持數(shù)據(jù)匯聚,綜合考慮專網(wǎng)傳輸性能的基礎上,滿足將多個機房采集到的數(shù)據(jù)傳輸匯聚。
采集協(xié)議和頻率管理
適配各種采集數(shù)據(jù)源,需要支持多種采集協(xié)議,以實現(xiàn)對各類數(shù)據(jù)的采集,包括不限于安全對象屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)。為實現(xiàn)對包括安全對象的屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)的采集,針對不同類型的數(shù)據(jù)以及對應的適配協(xié)議
(2)平臺安全中臺建設方案
安全中臺層包括安全數(shù)據(jù)中臺、安全能力中臺和安全業(yè)務中臺。
? 安全數(shù)據(jù)中臺設計
安全數(shù)據(jù)中臺實現(xiàn)對所有監(jiān)管數(shù)據(jù)、威脅情報庫數(shù)據(jù)的整合、歸檔、應用以及對上層提供數(shù)據(jù)服務能力;包括安全大數(shù)據(jù)中心和安全大數(shù)據(jù)分析引擎兩部分。其中,安全大數(shù)據(jù)中心主要提供數(shù)據(jù)集成、數(shù)據(jù)管理、數(shù)據(jù)目錄等功能,通過統(tǒng)一的數(shù)據(jù)接口為上層提供數(shù)據(jù)服務。安全大數(shù)據(jù)分析包括實時分析、離線分析,為上層提供統(tǒng)一的安全大數(shù)據(jù)分析能力。
架構設計
安全數(shù)據(jù)中臺的總體目標是建設一個完善的信息資源共享服務技術體系,建立信息共享的標準和規(guī)范,為平臺上層業(yè)務應用提供統(tǒng)一、開放、標準、完整的信息資源服務;全面開展內(nèi)外部數(shù)據(jù)歸集、整合、重新組織、共享等工作,建立完整的信息共享資源目錄和信息資源服務能力;提供統(tǒng)一的大數(shù)據(jù)處理服務能力,提升信息資源服務能力,解決平臺對海量數(shù)據(jù)的深度挖掘、分析、應用的迫切需求。大數(shù)據(jù)服務平臺是基于平臺建設,以服務應用為根本目標,建立信息資源服務能力和大數(shù)據(jù)處理能力,實現(xiàn)數(shù)據(jù)集成、數(shù)據(jù)整理、數(shù)據(jù)共享、數(shù)據(jù)分析等數(shù)據(jù)處理及服務能力。
功能架構
安全數(shù)據(jù)中臺遵從數(shù)據(jù)安全和數(shù)據(jù)標準的規(guī)范,并按照數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)治理、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)服務和數(shù)據(jù)運維幾個方面進行有機結合。全方位打造集“采集”、“融合”、“服務”于一體的數(shù)據(jù)服務平臺。
圖8-6 安全數(shù)據(jù)中臺功能架構圖
技術架構
大數(shù)據(jù)中心是大數(shù)據(jù)存儲和計算的基礎,對外提供統(tǒng)一的各類型數(shù)據(jù)存儲、計算、分析等能力,可滿足多源異構海量數(shù)據(jù)存儲、查詢、計算。
數(shù)據(jù)采集包括實時采集、自定義接口采集和離線采集,支持各類數(shù)據(jù)源數(shù)據(jù)
接入,如日志數(shù)據(jù)、流量還原數(shù)據(jù)、syslog數(shù)據(jù)及用戶自定義數(shù)據(jù)等。
數(shù)據(jù)預處理實現(xiàn)數(shù)據(jù)消息緩存和ETL。
數(shù)據(jù)存儲實現(xiàn)外部數(shù)據(jù)保存至大數(shù)據(jù)服務平臺。數(shù)據(jù)存儲需支持結構化數(shù)據(jù)、
半結構化數(shù)據(jù)、非結構化數(shù)據(jù)等多種數(shù)據(jù)類型。數(shù)據(jù)存儲中包含兩大主要部分,非結構化存儲系統(tǒng)、半/結構化存儲系統(tǒng)。
安全大數(shù)據(jù)分析引擎實現(xiàn)安全數(shù)據(jù)中臺的計算功能。數(shù)據(jù)計算能夠對所有已保存的數(shù)據(jù)進行計算,并且提供相應的計算調(diào)用接口,能夠滿足外部分析系統(tǒng)的調(diào)用。數(shù)據(jù)計算中包含實時流分析和離線分析兩部分。
運維管理包括大數(shù)據(jù)管理系統(tǒng)和大數(shù)據(jù)交互系統(tǒng),支持數(shù)據(jù)平臺的所有組件集中安裝、部署。支持對數(shù)據(jù)平臺各個組件的配置管理、動態(tài)調(diào)整配置實時生效。
圖8-7 安全數(shù)據(jù)中臺技術架構圖
? 安全業(yè)務中臺設計
構建工作流引擎,快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務流程:一是可以通過引擎完成業(yè)務流程的節(jié)點編排,支持用戶完成通報、預警、通知、檢查等業(yè)務流程的構建;二是通過引擎對參與到業(yè)務流程的用戶權限進行合理的配置,包括審核權、回退權、處置權、辦結權等,需能通過引擎合理的進行賦權,且支持用戶級的權限變更和刪除;三是通過引擎將流程與資源庫、業(yè)務庫中的相關表單進行關聯(lián),并通過引擎支撐業(yè)務流程中掛載業(yè)務、處置表單的自定義,完成業(yè)務數(shù)據(jù)和流程的動態(tài)結合,真正將流程與業(yè)務緊密捆綁。
隨著工信安全業(yè)務的快速發(fā)展,通報、預警、檢查等業(yè)務流程越來越精細化、人性化,其相關的流程、表單也不斷在進行迭代優(yōu)化,因此在這種快速發(fā)展的環(huán)境下,需要有一套工作流引擎高效、人性化地支撐變化的業(yè)務。
需要構建工作流引擎,快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務流程,滿足以下三方面:一是可以通過引擎完成業(yè)務流程的節(jié)點編排,支持用戶完成通報、預警、通知、檢查等業(yè)務流程的構建;二是通過引擎對參與到業(yè)務流程的用戶權限進行合理的配置,包括審核權、回退權、處置權、辦結權等,需能通過引擎合理的進行賦權,且支持用戶級的權限變更和刪除;三是通過引擎將流程與資源庫、業(yè)務庫中的相關表單進行關聯(lián),并通過引擎支撐業(yè)務流程中掛載業(yè)務、處置表單的自定義,完成業(yè)務數(shù)據(jù)和流程的動態(tài)結合,真正將流程與業(yè)務緊密捆綁實現(xiàn)用戶的管理需求。
自動化辦公引擎
工信安全管理業(yè)務中涉及到安全專家、安全管理員、安全審核員、安全聯(lián)絡員等眾多角色和人員,這些角色需要參與到不同流程的不同環(huán)節(jié)中,為了提升業(yè)務流程的處置時效性,需要實現(xiàn)業(yè)務的多端發(fā)起、多端觸達和匯聚呈現(xiàn),需求通過相應引擎使得業(yè)務多端自動流轉貫通。
需要構建自動化辦公引擎,實現(xiàn)業(yè)務的多端通信、匯聚,滿足以下兩方面:一是通過引擎將PC端和移動端發(fā)起的業(yè)務自動的向另一端實時同步,滿足用戶隨時通過移動端發(fā)起、辦理相應業(yè)務的需求;二是需求通過引擎從平臺所有業(yè)務模塊中獲取當前用戶待辦事宜,提供給PC端或者移動端的門戶頁面,支持客戶在一個頁面中就能完整的了解當前待辦事務,提升處置效率。
工信在應急活動保障期間和重大事件應急處置中需要快速的傳達信息到相應的值班專家、安全管理員處,因此需要制定相應的值班排班表,并根據(jù)排班表進行高效的人員調(diào)度。
需要構建值班排班調(diào)度引擎,實現(xiàn)以下功能:一是通過引擎,支持用戶在相應重保活動或應急處置保障期間,對安全專家等角色的值班工作進行排班,且自動化的通知到相關人員;二是通過引擎,自動向相應業(yè)務流程發(fā)布排班信息,使得值班期間相應業(yè)務可自動派單值值班人員;三是支持通過引擎調(diào)度短信網(wǎng)關、移動端應用通知等通知通道,將值班安排、業(yè)務流程等第一時間送達相應的用戶處;四是支持引擎將平臺用戶登錄、操作情況與值班表自動進行匹配、關聯(lián),定期生成值班分析報告,供用戶進行后續(xù)工作考評和優(yōu)化。
工信安管工作由眾多角色、廠商參與支撐,旨在推進了轄區(qū)內(nèi)被監(jiān)管單位提升網(wǎng)絡安全工作質量。為了對平臺人員/廠商的支撐績效進行科學合理的評價,同時也對轄區(qū)內(nèi)被監(jiān)管單位的網(wǎng)絡安全工作效果進行評估,需要績效管理引擎進行自動化的初始績效輸出。
績效管理引擎需要實現(xiàn)以下功能:一是通過引擎,可以對平臺內(nèi)已有的資源庫、業(yè)務庫中的相應指標項進行提取,支持用戶結合實際績效考核方案對指標進行自由的遴選、組合,進而生成符合工作實際場景的績效評價表和評價方案;二是確定評價表和評價方案后,通過引擎周期性或按指令對全平臺相應數(shù)據(jù)進行采集、統(tǒng)計、核算,并自動統(tǒng)分,輸出相應的績效報告;三是支持客戶對平臺外的數(shù)據(jù)進行錄入后作為績效考核項,進而更加全面、科學的給出績效報告。
? 安全能力中臺設計
安全能力中臺包括安全能力中心和安全能力管理,可將各種安全能力服務化,形成安全服務目錄,實現(xiàn)安全資源的靈活調(diào)度,從而對基礎安全能力進行統(tǒng)一管理。安全能力中心約定系統(tǒng)建設的安全能力目錄,包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。安全能力管理約定系統(tǒng)建設的安全能力調(diào)度和實用能力,例如能力編排、能力調(diào)度、策略管理以及場景管理功能。
架構設計
安全能力中心約定本次建設的安全能力目錄,包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。
安全能力管理約定了建設的安全能力調(diào)度和實用能力,包括能力編排、能力調(diào)度、策略管理以及場景管理功能。
圖8-8 安全能力中臺功能架構圖
安全檢測能力
安全檢測能力主要包括基礎安全能力中的威脅識別能力、關聯(lián)檢測能力接入和統(tǒng)一管理。主要依賴安全基礎安全能力中的資產(chǎn)發(fā)現(xiàn)識別、漏洞掃描和深度流量威脅檢測等產(chǎn)品來實現(xiàn)多維安全檢測能力。
通過對各種安全基礎安全能力的封裝和編排,終端、邊界等實體防護對象提供安全檢測服務,快速發(fā)現(xiàn)已知和未知的安全威脅。安全檢測能力能夠通過安全能力管理對安全檢測能力管理、數(shù)據(jù)分析、規(guī)則管理、安全基礎資源管理實現(xiàn)自動化編排和協(xié)同聯(lián)動。
安全檢測能力結合大數(shù)據(jù)相關技術和智能算法,從資產(chǎn)角度出發(fā),重點關注資產(chǎn)管理,提供基線核查配置,并結合多種角度維度分析攻擊,全局化地安全態(tài)勢感知能力,智能感知攻擊中的安全事件,為用戶信息系統(tǒng)安全識別、威脅檢測和安全業(yè)務管理提數(shù)據(jù)支撐。
智能安全分析能力
智能安全分析能力主要包括流量關聯(lián)分析、情報碰撞分析、攻擊畫像和原始日志檢索。
態(tài)勢感知能力
態(tài)勢感知能力主要在全局監(jiān)測數(shù)據(jù)、檢測數(shù)據(jù)、智能分析數(shù)據(jù)等多維數(shù)據(jù)的綜合態(tài)勢分析之上,形成綜合態(tài)勢、攻擊態(tài)勢、威脅態(tài)勢、預警態(tài)勢等多種態(tài)勢感知能力。
風險隱患調(diào)查能力
隱患調(diào)查功能是安全監(jiān)測的核心功能,實現(xiàn)獨立的安全事件采集、分析和集中管理功能。主要提供如下功能:
安全設備告警事件管理。為用戶提供集中的安全設備告警事件管理功能,支持事件分析和處置及誤報標記;
風險隱患統(tǒng)計。提供以資產(chǎn)維度和攻擊鏈維度的安全事件統(tǒng)計功能,支持根據(jù)資產(chǎn)和攻擊鏈進行事件檢索和攻擊影響范圍分析;
風險隱患溯源。提供安全事件一鍵溯源和關聯(lián)攻擊鏈功能,可關聯(lián)威脅情報、安全告警、安全原始數(shù)據(jù)上下文等信息,極大的方便安全事件調(diào)查和分析;
資產(chǎn)管理調(diào)查。提供以資產(chǎn)為維度的安全威脅調(diào)查,以攻擊鏈的方式展示資產(chǎn)受攻擊的過程和正處于的被攻擊狀態(tài);提供的調(diào)查維度包括資產(chǎn)間訪問關系、行為畫像、服務/請求的端口以及弱點等信息;
攻擊知識圖譜調(diào)查。提供通過全流量數(shù)據(jù)生產(chǎn)的企業(yè)網(wǎng)絡安全攻擊知識圖譜,為用戶提供單個資產(chǎn)為視角出發(fā)的攻擊知識圖譜和全網(wǎng)絡的攻擊圖譜,支持圖譜的向下鉆取和關系擴展, 圖譜信息包括攻擊鏈階段、協(xié)議、端口等信息。
安全能力管理
基于構建的能力體系,通過劇本編排,對分析、響應處置過程中各種復雜的分析流程和處理平臺進行整合,形成自動化的能力集成,實現(xiàn)從靜態(tài)事件響應到動態(tài)工作流跟蹤的轉變,提升整體的協(xié)調(diào)及決策能力。
劇本以原始數(shù)據(jù)或安全事件作為輸入,結合統(tǒng)計分析以及統(tǒng)計模型、情報模型、關聯(lián)模型進行分析,并實現(xiàn)追蹤溯源、聯(lián)動阻斷等響應動作,最終上報監(jiān)控單位并通知管理員。具體流程如下圖所示:
圖7 能力編排流程圖
(3)平臺業(yè)務應用建設方案
平臺基于微服務架構,結合用戶實際需求,分別為各級用戶實現(xiàn)各類應用服務能力,平臺由于三個業(yè)務應用模塊構成,分別是工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預警與協(xié)同應急業(yè)務應用、安全支撐綜合服務業(yè)務應用和企業(yè)合規(guī)管理業(yè)務應用,打造完整生態(tài),將企業(yè)、安全廠商、監(jiān)管機構聯(lián)合起來,一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。
? 監(jiān)測預警與協(xié)同應急
監(jiān)測預警與協(xié)同應急為工業(yè)互聯(lián)網(wǎng)企業(yè)監(jiān)管部門提供一套具備工業(yè)互聯(lián)網(wǎng)企業(yè)安全數(shù)據(jù)采集、數(shù)據(jù)處理、存儲、分析,以及對安全事件實時監(jiān)測、通報、預警、處置的一體化解決方案。主要業(yè)務應用包括實時監(jiān)測、態(tài)勢感知、分析研判、通報預警、威脅情報、應急指揮等,全面提高工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測、預警與應急響應水平。
實時監(jiān)測
實時監(jiān)測針對工控系統(tǒng)、工控設備、服務系統(tǒng)、網(wǎng)絡設備、終端、物聯(lián)網(wǎng)設備等在線網(wǎng)絡資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進行掃描探測和統(tǒng)一管理,摸清區(qū)域資產(chǎn)底數(shù)。及時發(fā)現(xiàn)各類網(wǎng)絡攻擊、風險隱患、安全事件以及網(wǎng)絡資產(chǎn)。實時臨測主要包括驗證中心、成果中心、搜索中心和監(jiān)測任務中心。
圖8-9 實時監(jiān)測界面
分析研判
分析研判利用大數(shù)據(jù)關聯(lián)分析技術,結合機器學習算法,自動對流量、情報、攻擊等數(shù)據(jù)進行分析;分析研判提供對平臺匯總的各類監(jiān)測服務威脅信息的專家核驗功能。并為威脅分析人員提供包括情報關聯(lián)分析和模型算法分析功能。為平臺業(yè)務人員提供各類統(tǒng)計分析能力和模型,可實現(xiàn)基于平臺威脅告警信息和統(tǒng)計分析模型生成的預警信息,為湖南省網(wǎng)絡安全預警業(yè)務提供基礎能力,主要包括模型中心、追蹤溯源、可視化中心、報告中心和知識庫。
圖8-10 分析研判界面
威脅情報
威脅情報是一種基于證據(jù)的知識,包含了上下文、機制、指示標記、啟示和可行的建議。威脅情報描述了現(xiàn)存的或者是即將出現(xiàn)針對網(wǎng)絡資產(chǎn)的威脅,并可以用于通知主體針對相關威脅或危險采取某種響應。高級威脅尤其APT攻擊手法隱蔽,危害巨大,主要針對掌握有重要數(shù)據(jù)和信息的特定人群,攻擊一經(jīng)發(fā)生就會導致國家重要價值資產(chǎn)的泄密流失,而且后續(xù)定位、追查、定性都會遇到技術難度。高級威脅情報可以對APT攻擊事件的定位、發(fā)現(xiàn)、定性、溯源提供良好的支撐,可以強化安全保障部門對各個重點保護企業(yè)的監(jiān)控力度和防護強度。
圖8-11 威脅情報界面
通報預警
通報預警提供對安全事件、風險進行及時預警、通報和處置的功能。當監(jiān)測到工業(yè)控制系統(tǒng)存在重大風險隱患,或產(chǎn)生重大安全事件時,通過平臺進行通報,被通報的工業(yè)企業(yè)按期反饋處置結果。平臺需具備多種通報方式,包括釘釘、短信和郵件等。在發(fā)生嚴重情況時,可立即通過短信、釘釘?shù)确绞竭M行通報;當系統(tǒng)監(jiān)測到輕微安全隱患時,可進行預警提醒或限期整改,被通報單位須及時反饋處置結果。
圖8-12 通報預警界面
應急指揮基于掛圖作戰(zhàn)理念,基于GIS系統(tǒng)的可視化特性,同業(yè)務系統(tǒng)進行數(shù)據(jù)對接,通過直觀圖形化點擊拖拽等方式支撐各級單位、人員的活動監(jiān)控和應急指揮兩個應用場景。其中活動監(jiān)控是通過可視化技術直觀展示活動的實時情況,包含:當前活動的進度,活動的資源、活動的威脅情況、活動的值守情況、活動的各項業(yè)務開展情況等信息。應急指揮將活動要素在地圖上展示,在發(fā)生突發(fā)事件時,支持指揮中心“掛圖作戰(zhàn)”,依據(jù)地圖展示的資源來對事件的處置。
圖8-13 應急指揮界面
態(tài)勢感知
態(tài)勢感知中心提供網(wǎng)絡安全威脅可視化的入口,基于平臺獲取的各類監(jiān)測數(shù)據(jù)及日常業(yè)務流轉產(chǎn)生的業(yè)務數(shù)據(jù),以網(wǎng)絡安全事件與威脅風險監(jiān)測為驅動,對網(wǎng)絡空間安全相關信息進行匯聚融合,從不同視角感知網(wǎng)絡安全態(tài)勢。
態(tài)勢感知系統(tǒng)以單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、網(wǎng)絡安全事件與威脅風險監(jiān)測為驅動,基于多維態(tài)勢可視化技術,對網(wǎng)絡空間安全相關信息進行匯聚融合,從不同視角出發(fā)感知網(wǎng)絡安全態(tài)勢。
圖8-14 態(tài)勢感知界面
? 工業(yè)企業(yè)安全合規(guī)管理
工業(yè)企業(yè)安全合規(guī)管理,首先可以服務于參與分類分級工作的主管部門、工業(yè)互聯(lián)網(wǎng)企業(yè)和工業(yè)互聯(lián)網(wǎng)安全評估機構等用戶,功能覆蓋工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級工作的全部環(huán)節(jié),提供企業(yè)定級管理、合規(guī)自查、風險評估、安全整改和檔案管理等相關功能。其次可滿足工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級工作信息化管理要求,將各參與方的工作納入規(guī)范流程中,并做到工作留痕,推進相關工作的規(guī)范化、常態(tài)化、便捷化。
定級管理
根據(jù)《管理指南》要求,工業(yè)互聯(lián)網(wǎng)企業(yè)需要開展自主定級工作,主管部門需要定期對工業(yè)互聯(lián)網(wǎng)企業(yè)開展抽查,指導企業(yè)準確定級,為主管部門更好指導企業(yè)準確定級,分類分級業(yè)務應用提供定級核查功能,主管部門可對工業(yè)互聯(lián)網(wǎng)企業(yè)提交的自主定級信息進核查,并將核查情況反饋給工業(yè)互聯(lián)網(wǎng)企業(yè)。同時,針對已定級的企業(yè)提供定級清單管理及統(tǒng)計分析功能,主管部門可掌握管轄范圍內(nèi)工業(yè)互聯(lián)網(wǎng)企業(yè)定級情況。
圖8-15 定級管理概況界面
安全合規(guī)自查
監(jiān)管部門定期對企業(yè)開展合規(guī)自查工作,便于落實與自身安全級別相適應的防護措施。提供符合性管理和企業(yè)安全自評估功能。
圖8-16 企業(yè)合規(guī)自查界面
符合性評估任務管理
符合性評估任務管理為監(jiān)管部門提供對工業(yè)企業(yè)的在線評估工作,評估內(nèi)容主要依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護規(guī)范》、《工業(yè)互聯(lián)網(wǎng)平臺企業(yè)安全防護規(guī)范》和《工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)安全防護規(guī)范》開展對企業(yè)的符合性評估工作。
監(jiān)管部門通過從基礎庫調(diào)用符合性評估模板建立評估任務,可從企業(yè)定級清單中先擇要評估的對象,根據(jù)不同的企業(yè)類型和級別對企業(yè)進行在線下發(fā)評估任務,可選擇評估任務的跟蹤人,包括監(jiān)管部門、安全支撐單位;能夠對評估任務的保存、下發(fā)和刪除,以及任務的狀態(tài)跟蹤;能夠對符估的任務設置限時完成評估的時間;能夠對企業(yè)名稱、任務跟蹤人等進行查詢。
企業(yè)用戶接收到任評任務后,按時間要求進行評估,評估后可自動生成評估報告并提供下載功能,該報告也同時會展示給監(jiān)管部門提供查看與下載。
安全自評估
安全自評估是提供給企業(yè)進行自我評估的方法,自我評估的結果不會上傳給監(jiān)管部門用戶,目的是讓企業(yè)能夠通過自評估發(fā)現(xiàn)自身存在的問題,做好提前整改的工作。
安全自評估為企業(yè)提供自評估模板,企業(yè)可根據(jù)自身企業(yè)類型和等級選擇評估模板進行自查,同時提供自評估的進度狀態(tài)、結果和報告查看與下載功能。
圖8-17 安全自評估界面
風險評估
工業(yè)企業(yè)應基于工業(yè)互聯(lián)網(wǎng)安全相關標準,定期開展評估評測工作,便于落實與自身安全級別相適應的防護措施。分類分級業(yè)務應用提供對企業(yè)的安全估計管理,安全評估用于監(jiān)管部門開展對企業(yè)的風險評估與情況上報上給主管部門。
監(jiān)管部門通過下發(fā)安全評估任務,實現(xiàn)對各企業(yè)的安全評估工作,安全評估是通過評估對使用的安全評估工具開展對企業(yè)的評估工作,當完成評估工作后,可將評估數(shù)據(jù)上傳至平臺,監(jiān)管部門查看報告,如果報告查看不滿足安全要求,則要求企業(yè)限期整改,同時支持對企業(yè)整改工作的跟蹤工作。
圖8-18 風險評估界面
安全整改
工業(yè)企業(yè)根據(jù)監(jiān)管部門安全檢查和評估工作過程中發(fā)現(xiàn)的重大安全隱患,開展網(wǎng)絡安全整改工作,并將安全整改情況報送給主管部門,安全整改報送內(nèi)容包括整改名稱、整改企業(yè)、整改依據(jù)、整改內(nèi)容、整改建議和限期整改信息。
主管部門查看各企業(yè)報送的網(wǎng)絡安全整改信息,了解存在網(wǎng)絡安全隱患的企業(yè)安全整改工作落實情況并及時跟蹤整改進度。
圖8-19 安全整改界面
檔案管理
企業(yè)檔案針對終端、監(jiān)控、工控、在線業(yè)務系統(tǒng)等在線網(wǎng)絡資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進行統(tǒng)一管理,摸清企業(yè)資產(chǎn)底數(shù),形成統(tǒng)一的資產(chǎn)立體化監(jiān)管,形成更加細化的信息系統(tǒng)資產(chǎn)數(shù)據(jù):按所屬行業(yè)、機關橫向分類;按所屬地域、行政歸屬橫向分類;按工業(yè)互聯(lián)網(wǎng)企業(yè)類型、等級縱向分級;按信息系統(tǒng)重要、敏感程度縱向分級;按信息系統(tǒng)脆弱程度、可用程度縱向分級。
以資產(chǎn)管理為核心,以資產(chǎn)數(shù)據(jù)為基礎,與隱患、事件、攻擊、情報、單位信息等數(shù)據(jù)進行深度分析,支撐考核評價、信息共享、安全專項、數(shù)據(jù)安全監(jiān)管、APP監(jiān)測等核心業(yè)務,共同構建指揮駕駛艙。
圖8-20 檔案管理界面
圖8-21 企業(yè)安全畫像界面
? 安全支撐綜合服務
安全支撐綜合服務是湖南省工業(yè)信息安全公共服務平臺的門戶,是為工業(yè)企業(yè)、監(jiān)管機構、安全廠商提供統(tǒng)一安全服務,主要包括培訓服務、檢測服務、監(jiān)控服務、工業(yè)云安全服務、工業(yè)APP安全服務、安全運營服務、安全咨詢服務和安全保險服務,同時將監(jiān)測與態(tài)勢感知各業(yè)應模塊、工業(yè)企業(yè)分類分級各應用模塊作為統(tǒng)一的服務入口,提升日常運營效率。
圖8-22 安全支撐綜合服務界面
5.配套管理機制
多級協(xié)同安全預警與應急響應管理機制是根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應急預案》的相關要求、流程進行設計。提供對安全事件、風險進行及時預警、通報和應急處置的功能。當監(jiān)測到工業(yè)企業(yè)存在重大風險隱患,或產(chǎn)生重大安全事件時,通過平臺進行通報,被通報的工業(yè)企業(yè)按期反饋處置結果。平臺需具備多種通報方式,包括釘釘、短信和郵件等。在發(fā)生嚴重情況時,可立即通過短信、釘釘?shù)确绞竭M行通報;當系統(tǒng)監(jiān)測到輕微安全隱患時,可進行預警提醒或限期整改,被通報單位須及時反饋處置結果。
總體應急處置流程為《湖南省工業(yè)控制系統(tǒng)信息安全事件應急預案》中的“監(jiān)測預警和應急處置流程圖”,具體流程詳見下圖所示:
圖8-23 監(jiān)測預警和應急處置流程圖
同時,還根據(jù)總體流程,制定了監(jiān)測預警流程與應急處置響應流程。
如下圖所示:
圖8-24 監(jiān)測預警流程圖
圖8-25 應急響應處置流程圖
6.技術升級與動態(tài)更新方案
本方案充分考慮未來技術發(fā)展,整體平臺才有用分層解耦的方式設計,使用模塊化、集群化編程思想,整體平臺天然具備功能模塊擴展能力和系統(tǒng)架構擴展能力,提供了完善的技術升級和動態(tài)更新解決方案。
采用Storm集群進行實時流數(shù)據(jù)分析計算,提供方便的可擴展處理能力;采用Spark進行高性能的離線處理,利用Spark的底層框架作為其執(zhí)行基礎。基于模塊動態(tài)擴展技術,平臺將每個計算、分析功能作為一個功能模塊,可以實現(xiàn)模塊級別的擴展,比如需要增加一些新的安全分析檢測功能,只需將新開發(fā)功能按照一定規(guī)則和接口動態(tài)的納入到分析計算引擎中,就可以動態(tài)的實現(xiàn)分析功能的擴展。
? 實時分析插件模塊化技術
目前主流的傳統(tǒng)大數(shù)據(jù)平臺提供Hadoop架構對大規(guī)模數(shù)據(jù)的計算進行分解,然后交由眾多的計算節(jié)點分別完成,再統(tǒng)一匯總計算結果。Hadoop架構通常的使用方式為批量收集輸入數(shù)據(jù),批量計算,然后批量吐出計算結果。然而在安全大數(shù)據(jù)分析的應用場景下,通常對告警的實時性要求較高,需要對海量的原始數(shù)據(jù)進行實時流式處理和持續(xù)處理,Hadoop架構難以處理實時性要求較高的業(yè)務。針對這一難題,安恒采用運行拓撲(topology)的strom架構,極大的降低了安全事件的告警延遲。
Storm集群提供控制節(jié)點(master node)和工作節(jié)點(worker node)。控制節(jié)點上面運行一個叫Nimbus后臺程序,負責在集群里面分發(fā)代碼,分配計算任務和監(jiān)控狀態(tài)。每一個工作節(jié)點上面運行一個Supervisor的進程,監(jiān)聽分配給它那臺機器的工作,根據(jù)需要啟動/關閉工作進程worker,多個工作進程worker組成拓撲(topology)。數(shù)據(jù)流交互如圖所示。
圖8-26 數(shù)據(jù)交互示意圖
工作進程worker中每一個spout/bolt(數(shù)據(jù)處理單元)的線程稱為一個task(任務),使用Spout/Bolt編程模型來對消息進行流式處理。Spout組件是消息生產(chǎn)者,支持從多種異構數(shù)據(jù)源讀取數(shù)據(jù),并發(fā)射消息流,Bolt組件負責接收Spout組件發(fā)射的信息流,并完成具體的處理邏輯。在復雜的業(yè)務邏輯中可以串聯(lián)多個Bolt組件,在每個Bolt組件中編寫各自不同的功能,從而實現(xiàn)整體的處理邏輯,只需將不同的實時分析數(shù)據(jù)處理任務按照一定的規(guī)則和接口納入和封裝到Bolt組件中,就可以動態(tài)的實現(xiàn)實時分析功能的模塊擴展。
? 離線批處理分析模塊化技術
目前在離線數(shù)據(jù)批處理應用中,主流使用的是基于Hadoop架構的MapReduce分布式計算框架,在安全事件溯源分析應用場景中,需要關聯(lián)多維、多源的數(shù)據(jù),如日志、流量、漏洞數(shù)據(jù)以及威脅情報,甚至其他檢測模型的分析結果等數(shù)據(jù),計算和處理邏輯比較復雜,MapReduce的copy階段要求每個計算節(jié)點從其它所有計算節(jié)點上抽取其所需的計算結果,copy操作需要占用大量的網(wǎng)絡帶寬,十分耗時,從而造成Reduce任務整體計算速度較慢。
在實踐過程中使用自主研發(fā)的任務調(diào)度系統(tǒng)取代MapReduce框架,使用ElasticSearch集群存儲需要進行離線分析的數(shù)據(jù),解決MapReduce的copy階段的占用大量的網(wǎng)絡資源的問題。如圖所示,每個Job中含有1個或多個Stage,Stage一般在獲取外部數(shù)據(jù)和shuffle之前產(chǎn)生),然后以Stage(或者稱為TaskSet)提交給Task Scheduler,Task Scheduler負責將Task分配到相應的Worker,最后提交執(zhí)行,從而從而實現(xiàn)整體的處理邏輯。當有新的離線分析和數(shù)據(jù)批處理的需求是時,只需將不同的離線批處理分析數(shù)據(jù)的任務按照一定的規(guī)則和接口納入和封裝到TaskSet中,然后就可以動態(tài)的實現(xiàn)批處理功能的模塊擴展。
圖8-27 任務調(diào)度系統(tǒng)架構示意圖
系統(tǒng)間通訊的透明化。系統(tǒng)通過采用分布式系統(tǒng),利于系統(tǒng)的簡便易行的分布式部署,同時實現(xiàn)對開發(fā)人員的通訊透明,簡化了定制開發(fā)的難度,確保了系統(tǒng)的可擴展性。
? 系統(tǒng)間模塊的耦合性低
通過使用面向消息的中間件作為應用架構的主干有效降低系統(tǒng)間各模塊的耦合性,模塊直接的接口通用化,能方便的實現(xiàn)各模塊接口的重用,便于分塊開發(fā)、調(diào)試和除錯。
實現(xiàn)系統(tǒng)的熱部署能力。系統(tǒng)可以在運行狀態(tài)中加入新的組件或者卸除已有組件(非核心組件),整個過程都不影響系統(tǒng)的運行。系統(tǒng)的各重要模塊可以運行在不同的進程中,有效的隔離錯誤。
? 靈活的分布式部署
系統(tǒng)的各模塊不僅可以分布在不同的進程中,同時可以透明分布在不同的主機中,以通過分布式計算提供系統(tǒng)的處理能力。無需額外開發(fā),部署成本低。能適應復雜環(huán)境下的部署。
當服務器的某中狀態(tài)崩潰時,狀態(tài)能夠被透明的復制到其它服務器,并支持集成部署到其他的大數(shù)據(jù)平臺。
本系統(tǒng)支持模塊集群。橫向擴展的系統(tǒng)確保了系統(tǒng)運行的高效性。服務提供和調(diào)用的無關性,系統(tǒng)中關聯(lián)規(guī)則、過濾器等都可以資源方式被調(diào)用,極大提高的系統(tǒng)的分析能力和數(shù)據(jù)查詢展現(xiàn)效率。
1.1.3 下一步實施計劃
為落實工信部印發(fā)的《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理指南(試行)》要求,平臺以工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理為核心,平臺在完成建設后,需要湖南省內(nèi)各地市/州工信局,協(xié)同市/州網(wǎng)絡安全支撐單位,對工業(yè)企業(yè)開展工業(yè)企業(yè)分類分級活動,形成企業(yè)清單,以便開展精細化、差異化的安全管理,做到有目標、有計劃、有行動的目的,為更好地運用平臺,依據(jù)平臺提供的各類服務能力,安排了如下步驟。
1.平臺發(fā)布
完成平臺實施搭建,滿足三級等保要求;
完成平臺對外的域名申請和備案,可以通過互聯(lián)網(wǎng)側訪問平臺;
組織工業(yè)企業(yè)、各地市/州工信局和安全支撐單位進行平臺使用的培訓;
平臺試運行,組織試點企業(yè)、地市工信局和安全支撐單位進行小范圍試點;
對外發(fā)布通知,平臺正式發(fā)布。
2.企業(yè)分類分級
湖南省廳領域組織湖南省各地市/州工信局依托平臺公共服務能力,開始對外公外征集遴選工業(yè)企業(yè)參與分類分級活動,對參與活動的工業(yè)企業(yè)開展自主定級和定級審核活動,通過審核的企業(yè)最終形成定級清單。
3.企業(yè)自評估
根據(jù)企業(yè)定級清單,平臺為聯(lián)網(wǎng)企業(yè)、平臺企業(yè)和標識解析企業(yè)提供在線安全自評估,自評估內(nèi)容根據(jù)平臺的不同類和安全級別進行有針對性的評估,同時,平臺可委托安全支撐單位協(xié)助企業(yè)完成安全自評估,企業(yè)評估完成后,最終自動生成評估報告,讓湖南省廳領域及各地市/州工信局管理人員及時掌握當前企業(yè)清單中的合規(guī)狀況。
4.應急演練
根據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級安全管理指南(試行)》要求,三級企業(yè)每年必須完成一次應急演練,及時上報預急預案。
省廳領導組織各地市州管理人員依托平臺SaaS化攻防演練平臺和協(xié)同應急模塊,開展三級企業(yè)的應急演練,及時匯總企業(yè)演練情況,總結演練結果,給出合理化的安全防護建議。
5.安全整改
工業(yè)企業(yè)在完成安全評估與應急演練后,通過經(jīng)驗總結,發(fā)現(xiàn)自身安全防護問題,企業(yè)結合自身安全現(xiàn)狀,輸出安全整改方案,并提交所屬轄區(qū)工信局進行審核,工信局可委托安全支撐機構進行技術審核,以確定該整改方案的技術合理性,待審核通過后,企業(yè)可根據(jù)方案內(nèi)容開展整改建設工作。支持對整改建設企業(yè)的審核狀態(tài)進行統(tǒng)計分析。
6.驗收檢查
工業(yè)企業(yè)完成整改建設后,向所屬轄區(qū)工信局提交整改落實情況報告,工信局審核通過后提交省級監(jiān)管單位進行復審,省級監(jiān)管單位可依據(jù)實際情況委托安全專家對整改內(nèi)容進行技術復審,同時支持對驗收檢查審核狀態(tài)進行統(tǒng)計分析。
安全專家可通過工控安全檢查工具箱開展對企業(yè)的現(xiàn)場檢查,并輸出報告,同時可將安全檢查數(shù)據(jù)內(nèi)容作為輸入對企業(yè)進行專業(yè)化的風險評估工作,以便掌握企業(yè)安全整改后的真實防護情況。在企業(yè)通過安全專家的復審后,省級監(jiān)管單位可發(fā)布驗收成果,對于整改效果好的企業(yè)進行鼓勵。
7.重點企業(yè)監(jiān)測
在完成以上六大步聚后,省廳及各地市州主管部門可清晰地掌握轄區(qū)范圍內(nèi)工業(yè)企業(yè)的類別、安全等級、合規(guī)現(xiàn)狀、整改情況,能夠有效針別哪些企業(yè)需要重點監(jiān)測。
對于要重點監(jiān)測的企業(yè),部署監(jiān)測設備,以便能夠實時掌握安全現(xiàn)狀,及時協(xié)同地方工信局和安全支撐單位共同幫助企業(yè)完成安全監(jiān)測預警工作,形成閉環(huán)管理能力。
8.完善服務能力
依據(jù)湖南省內(nèi)當前現(xiàn)狀,組建各地工信局管理人員和安全支撐機構,完善當前平臺安全支撐服務資源,以便進一步提升省內(nèi)工業(yè)企業(yè)的安全監(jiān)測預警、安全防護與響應處置能力。
本方案計劃今年要完成前六大步驟,形成全省范圍內(nèi)的定級清單,并針對這些企業(yè)開展安全評估、應急演練、安全整改和驗收檢查等工作,掌握清單中工業(yè)企業(yè)的安全合規(guī)現(xiàn)狀,為開展后續(xù)對重點企業(yè)開展監(jiān)測預警與協(xié)同應急奠定基礎。
1.1.4 方案創(chuàng)新點和實施效果
1.方案先進性及創(chuàng)新點
(1)集約化、數(shù)字化和服務化的公共服務技術創(chuàng)新
我國工業(yè)企業(yè)當前產(chǎn)業(yè)規(guī)模,技術實力參差不齊,尤其是在面對中小工業(yè)企業(yè),這些企業(yè)的安全防護能力有限,有的在安全防護方面甚至處于“裸奔”狀態(tài),這些企業(yè)沒有能力,也沒有意識去解決其內(nèi)部的安全隱患與風險問題。
建設省/市等區(qū)域級工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺,利用平臺的“雙向賦能”的服務特點,建立集約化安全支撐服務資源隊伍,同時面向監(jiān)管部門和企業(yè)用戶提供“一站式”SaaS化安全服務,幫助監(jiān)管部門提高日常安全監(jiān)測預警、研判分析能力,以及響應處置效率;幫助工業(yè)企業(yè)提高安全防護意識,顯著提高安全防護水平。間接降低轄區(qū)內(nèi)安全監(jiān)管部門的管理成本。同時,利用平臺制定對安全服務供應商和工業(yè)企業(yè)的考核規(guī)則,通過定期考核,使兩者不斷優(yōu)化安全服務能力與安全防護能力,形成良好的生態(tài)體系。
圖8-28 省/市等區(qū)域級工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺“一站式”服務業(yè)務運行流程
(2)工業(yè)互聯(lián)網(wǎng)場景的安全數(shù)據(jù)采集與融合分析技術創(chuàng)新
工業(yè)互聯(lián)網(wǎng)場景具有網(wǎng)絡結構復雜、業(yè)務系統(tǒng)和設備類型多的特點,因此需要具備可更多應用場景的安全數(shù)據(jù)采集能力,以及大數(shù)據(jù)智能分析能力。
數(shù)據(jù)采集能力:實現(xiàn)工業(yè)互聯(lián)網(wǎng)全場景的數(shù)據(jù)采集能力,通過在設備、控制、網(wǎng)絡、數(shù)據(jù)、平臺、應用的安全數(shù)據(jù)采集,覆蓋聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)和標識解析企業(yè)在5G、標識、平臺、物聯(lián)網(wǎng)、工控網(wǎng)、信息網(wǎng)、工業(yè)云、邊緣計算等全場景應用。
大數(shù)據(jù)智能分析能力:將工業(yè)互聯(lián)網(wǎng)場景下的IT、OT、CT和DT數(shù)據(jù)進行集中采集,對這些場景下的用戶、系統(tǒng)、設備、網(wǎng)絡和操作行為融合在一起進行分析,將各場景可能發(fā)生的安全現(xiàn)象進行總結分析,形成工業(yè)互聯(lián)網(wǎng)專有的威脅分析模型,同時可根據(jù)用戶實際業(yè)務場景自定義模型,更貼合用戶業(yè)務,為安全生產(chǎn)提供穩(wěn)定、可靠的威脅發(fā)現(xiàn)與分析能力。滿足工業(yè)互聯(lián)網(wǎng)安全在各場景的安全分析與追蹤溯源能力。
(3)基于閉環(huán)安全管理機制的多級協(xié)同響應處置技術創(chuàng)新
近兩年,工業(yè)和信息化部相繼發(fā)布了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃2021-2023》以及《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理指南(試行)》,均強調(diào)了要建立健全工業(yè)互聯(lián)網(wǎng)監(jiān)測預警的閉環(huán)管理機制。
首先,當前工業(yè)信息安全監(jiān)測預警技術體系并不完善,絕大部分只包含了安全監(jiān)測和安全預警的能力,并沒有包含通過研判分析進行調(diào)查取證,無法有效核實監(jiān)測的安全事件或風險隱患的真實性,直接或間接造成在進行安全預警和信息通報的誤報率。其次,當轄區(qū)內(nèi)發(fā)生不同安全級別的事件后,監(jiān)管部門也不能通過技術手段,開展省、市和企業(yè)級的應急響應與協(xié)同處置能力,導致相關信息不能同步,或延遲同步,提高了應急過程中最初的關鍵時間。最后,大部分監(jiān)測預警技術體系并沒有實現(xiàn)完善的閉環(huán)管理機制,并沒有形成數(shù)字化安全閉環(huán)管理模式,發(fā)現(xiàn)相關事件或問題由誰負責,誰來跟蹤,誰來決定該事件是否需要關閉,以及全部過程是否有操作行業(yè)記錄進行跟蹤。
基于以上的難點與問題,湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺的監(jiān)測預警與協(xié)同響應業(yè)務應用以數(shù)字化安全服務底座為基礎,具備了安全事件和風險隱患的實時發(fā)現(xiàn)能力,并提供了多種元數(shù)據(jù)的安全研判分析工具,為安全分析人員提供詳細的調(diào)查取證工具,從而進行高效、精準備的安全預警與信息通報。當發(fā)現(xiàn)不同安全級別的事件或風險隱患時,可啟動不同的響應流程,將省、市、工業(yè)企業(yè)和安全支撐機構開展聯(lián)合協(xié)同響應,有效提高了應急響應與處置效率。
圖8-29 多級協(xié)同響應處置技術業(yè)務邏輯圖
同時,應用中的協(xié)同指揮工具實現(xiàn)“掛圖作戰(zhàn)”的多級協(xié)同應急能力,可在重大安全事件或安全活動保障過程中組織省、市、工業(yè)企業(yè)和安全支撐機構的工作協(xié)同,也可以通過該應用組織各級單位進行安全應急演練,提升各級的協(xié)同作戰(zhàn)能力,一旦發(fā)現(xiàn)相關事件,可立即采集相關行動,達到快速響應處置的目的。
圖8-30 協(xié)同指揮作戰(zhàn)圖
(4)數(shù)字化工業(yè)企業(yè)安全合規(guī)管理技術創(chuàng)新
2020年12月,工業(yè)和信息化部印發(fā)了《關于工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理試點工作的通知》(以下簡稱《通知》),省/市等區(qū)域級是15個省級部門開展分類分級的管理試點工作的其中之一,《通知》中要求省/市等區(qū)域級的16個工業(yè)企業(yè)單位參與本次管理試點工作。
省/市等區(qū)域級廳面臨的主要問題是,沒有形成體系化、流程化、數(shù)字化的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級的技術實現(xiàn)工具,雖然本次試點單位不多,但面對未來大量的工業(yè)企業(yè)將接入其中,將給監(jiān)管部門用戶帶來更多的安全合規(guī)管理工作事項。
基于以上的難點與問題,湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務平臺的工業(yè)企業(yè)安全合規(guī)管理業(yè)務應用,結合安全監(jiān)管主管部門、工業(yè)企業(yè)主管部門和安全支撐機構三大用戶角色,以及“定級管理、合規(guī)自查、風險評估、安全整改和檔案管理”五大流程化管理應用,幫助監(jiān)管部門實現(xiàn)了工業(yè)企業(yè)數(shù)字化、流程化的安全合規(guī)閉環(huán)管理機制,形成了對工業(yè)企業(yè)的精細化和差異化的安全合規(guī)管理模式。
2.實施效果
根據(jù)“下一步實施計劃”章節(jié),當前平臺已完成前兩個步聚,實施效果如下:
平臺完成實施,確保達到等保三級防護水平,并發(fā)通知組織平臺的試運行,見下圖所示:
圖8-31 平臺試運行通知
湖南省電子信息產(chǎn)業(yè)研究院作為省級安全技術單位,組織開展平臺使用的培訓工作,見下圖:
圖8-32 組織召開平臺培訓通知
經(jīng)過對試點企業(yè)的測試,以及完成平臺的培訓工作后,由湖南省工信廳和省通管局聯(lián)合舉辦的湖南工業(yè)互聯(lián)網(wǎng)安全深度行活動中,正式發(fā)布了平臺,見下圖:
圖8-33 湖南省工業(yè)互聯(lián)網(wǎng)安全深度行-平臺發(fā)布現(xiàn)場圖
在本次深度行活動中,為省內(nèi)優(yōu)秀工業(yè)領域網(wǎng)絡和數(shù)據(jù)安全支撐機構頒發(fā)證書,如下圖所示:
圖8-34 辦法工業(yè)領域網(wǎng)絡和數(shù)據(jù)安全支撐機構證書
湖南省工信廳在官網(wǎng)發(fā)布開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理工作的通知,征集省內(nèi)各地方工業(yè)企業(yè)開展相關工作,見下圖:
圖8-35 湖南省工信廳開展分類分解管理工作的通知
平臺于2022年10月22日完成省內(nèi)工業(yè)企業(yè)的定級工作,并對外公布,目前正處于安全自評估階段,見下圖:
形成工業(yè)企業(yè)定級清單,是對不同類型和安全級別的工業(yè)企業(yè)開展“精細化、差異化”安全管理措施。
平臺可為各工業(yè)企業(yè)提供在線安全自評估服務,評估內(nèi)容以《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級防護系列規(guī)范》和《湖南省工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理評估指標體系》為依據(jù),為了保障企業(yè)能夠順利完成評估,平臺提供委托安全支撐機構提供遠程或現(xiàn)場評估服務,下圖為在線安全評估圖:
圖8-36 在線安全評估圖
當完成在線安全評估,為了進一步掌握工業(yè)企業(yè)安全現(xiàn)狀,現(xiàn)委托安全支撐機構技術人員對工業(yè)企業(yè)進行現(xiàn)場檢查,通過工控安全檢查工具箱,識別企業(yè)風險隱患,并生成安全檢查分析報告上傳至平臺,地方主管部門根據(jù)情況對部分存在安全風險的企業(yè)開展安全整改工作,并督導其在限期時間內(nèi)完成整改。安全整改提供流程化管理方式,如下圖:
圖8-37 安全整改圖
平臺可對重點工業(yè)企業(yè)開展安全監(jiān)測,實時掌握企業(yè)安全現(xiàn)狀,提供一系列閉環(huán)管理工具,當發(fā)現(xiàn)相關問題時,需要實時發(fā)現(xiàn)問題-安全驗證-通報預警,才可對相關事件進行發(fā)布,所有動作均提供流程化處理方式,全程留痕,實時如下圖所示:
圖8-38 實時監(jiān)測界面
圖8-39 分析研判界面
圖8-40 通報預警界面
當發(fā)生重大安全事件時,根據(jù)湖南省應急要求,需要由省級應急辦協(xié)同地方人員一起進行響應急,需要組織事件發(fā)生地應急相關人員、安全支撐機構人員和行業(yè)領域安全專家共同解決問題,如下圖所示:
圖8-41 協(xié)同應急指揮界面
平臺為各級部門主管人員提供工業(yè)企業(yè)全息數(shù)字檔案,將企業(yè)基本信息、資產(chǎn)信息、定級信息、安全評估信息、安全整改信息、風險隱患信息和安全事件等數(shù)據(jù)進行有效整理,以安全監(jiān)管者為視角,提供卡片式,報告式的界面,讓安全監(jiān)管人員通過一張卡片,一頁報告掌握工業(yè)企業(yè)的全面現(xiàn)狀,為安全趨勢預判提供有效數(shù)據(jù)支撐。下圖為企業(yè)數(shù)字檔案界面:
圖8-42 企業(yè)數(shù)字檔案界面
1.1.5 單位基本信息
1.牽頭單位基本信息
本次方案申報的牽頭單位是中國聯(lián)合網(wǎng)絡通信有限公司研究院(簡稱中國聯(lián)通研究院)。
中國聯(lián)通研究院作為聯(lián)通集團科技創(chuàng)新的主體,立足國家戰(zhàn)略、公司戰(zhàn)略和產(chǎn)業(yè)服務,成為公司戰(zhàn)略決策的參謀者、公司技術發(fā)展的引領者、產(chǎn)業(yè)發(fā)展的助推者。內(nèi)設一個綜合支撐板塊和智庫研究、網(wǎng)絡研究、應用技術研究三個技術研究板塊,具備智庫的專業(yè)咨詢能力、網(wǎng)絡技術的自主核心能力、前瞻技術的研究能力、技術與業(yè)務融合的應用能力。現(xiàn)有員工近700多人,平均年齡36歲,享受國務院政府特殊津貼專家10名、教授級高工26名、博士后9名、博士62名、碩士占比75%以上。
2.參與單位基本信息
本次方案申報的參與單位是杭州安恒信息技術股份有限公司(簡稱安恒信息)。
安恒信息主營業(yè)務為網(wǎng)絡信息安全產(chǎn)品的研發(fā)、生產(chǎn)及銷售,并為客戶提供專業(yè)的網(wǎng)絡信息安全服務,制定了云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、智慧城市安全、工業(yè)控制系統(tǒng)安全及工業(yè)互聯(lián)網(wǎng)安全五大市場戰(zhàn)略。安恒信息憑借強大的研發(fā)實力和持續(xù)的產(chǎn)品創(chuàng)新,入選Gartner 《2020年中國ICT技術成熟度曲線》,成為中國云安全“標桿供應商”;AiLPHA大數(shù)據(jù)智能安全平臺榮獲2019“世界人工智能產(chǎn)業(yè)安全十大創(chuàng)新實踐”;榮獲首個全球工業(yè)互聯(lián)網(wǎng)大獎——“湛盧獎”等。
AII微信公眾號
AII頭條號