引言:
奇安信科技集團股份有限公司(以下簡稱“奇安信”)是中國最大的網絡安全公司之一,專門為政府、軍隊、企業,教育、金融等機構和組織提供企業級網絡安全技術、產品和服務,已覆蓋90%以上的中央政府部門、中央企業和大型銀行,已在印度尼西亞、新加坡、加拿大、中國香港等國家和地區開展了安全業務。
奇安信工業互聯網安全事業部基于自身在大數據、威脅情報、防病毒、安全攻防、態勢感知等方面的突出優勢,創新性的提出了“數據驅動工業安全”的技術發展理念,構建了層次清晰、定位明確、融合聯動的工業信息安全產品體系。
石油天然氣管道承擔國家戰略物資的傳輸任務,其工控系統屬于國家關鍵基礎設施。奇安信通過本項目的實施,幫助客戶對管道工控系統整體安全態勢進行監測和響應處置,提升了其安全與可靠性運營水平。
一、 項目概況
1. 項目背景
近年來石油天然氣基礎設施已經成為黑客組織的攻擊目標,2017年發生的針對沙特某石油天然氣裝置功能安全儀表系統(SIS)的攻擊為各國網絡安全主管機構和基礎設施運營企業敲響了警鐘。
本項目用戶負責長距離輸油氣管道的運營管理、建設和科研, 承載著國家重大戰略物資輸送的任務,擁有集油氣管道輸送技術研發、服務、培訓、檢測和監測為一體的專業科研機構,科研力量雄厚,科研設施完備,擁有管道核心技術研發能力,在油氣儲運工藝、管道完整性管理 、管道化學添加劑、管道規劃、信息與經濟等研究領域整體處于國內領先水平。
2. 項目簡介
本項目實現對客戶轄區內工業網絡全方位、全天候的安全監測,對工控系統的資產進行實時發現和監測,幫助用戶實現工控系統的“可視化”,及時發現各類網絡安全風險以及非法訪問事件,實現工業信息安全的閉環管理,全面提高管道公司工業安全防護的整體水平。
3. 項目目標
用戶承擔著國家重大戰略物資輸送的任務,其油氣調控系統屬于國家關鍵信息基礎設施,一旦遭受攻擊,損失極大。為貫徹、落實習總書記4.19講話精神,按照《網絡安全法》及相關標準要求,本項目建設油氣調控系統分控中心工控系統安全監測與態勢感知平臺,協助運營人員及時進行處置響應,提升油氣傳輸可靠性。
二、項目實施概況
通過前期調研了解到,各廠站端的工業流量匯聚到分控中心。為能夠實時采集流量、不影響現有工業網絡,采取了在交換機旁路部署工業安全監測系統(ISD)進行安全監測,在分控中心采用工業安全監測控制平臺(ISDC)進行整體態勢感知的解決方案。
1. 項目總體架構和主要內容
根據普渡模型,ISD和ISDC總體部署模式如下圖所示:
圖1 基于普渡模型的產品部署模式
工業安全監測系統(ISD)是針對工控系統網絡環境進行異常監測、威脅發現和安全審計的一體化產品。產品通過旁路方式部署,對工控系統的運行數據進行被動無損采集,實時發現信息安全威脅和其造成的系統運行異常。產品可部署于生產管理層、過程監控層、現場控制層,協助運營人員及時發現問題并響應處理,提升工業生產連續性水平。
工業安全監測控制平臺(ISDC)采集分布式部署在工業控制系統中的工業安全監測系統(ISD)、工業主機防護,工控防火墻相關數據,以可視化方式集中展示資產、拓撲、威脅、脆弱性和工控系統安全運行狀況,對安全事件進行場景化分析、集中管理和處置跟蹤。
2. 網絡、平臺或安全互聯架構
本項目工控系統安全監測與態勢感知平臺部署示意如下圖所示,工業安全監測系統(ISD)采用交換機旁路部署模式,工業安全監測控制平臺對系統安全進行整體安全監測與態勢感知。
圖2 現場工業安全監測部署示意圖
3. 具體應用場景和應用模式
本項目在油氣調控行業背景下實現以下安全功能:
(1)自動資產發現
基于被動流量發現資產,支持多種廠商型號控制器,包括西門子,施耐德,羅克韋爾等。通過自動學習建立工控通信模型,形成資產白名單,監測非法設備接入。支持資產管理,可管理廠商名稱、設備類型、設備型號、IP地址、MAC地址、使用協議、重要性等。
(2)無損漏洞識別
對識別后的資產進行脆弱性檢查,包括資產所對應的漏洞信息、開放的端口和不安全的協議。其中漏洞識別支持3大漏洞庫CVE,CNVD,CNNVD,覆蓋220+廠商,3300+條漏洞。由于是被動的流量識別,相對于主動漏洞掃描的方式安全無損。
(3)網絡威脅檢測
系統內嵌IDS入侵檢測引擎和AV反病毒引擎,實時檢測工控系統網絡中的威脅行為。IDS引擎支持緩沖區溢出、跨站腳本、拒絕服務、惡意掃描、SQL注入、WEB攻擊等。AV引擎支持對傳統IT協議中傳輸的文本、附件內容進行解析提取。對提取后的數據進行病毒掃描,支持的協議包括HTTP、FTP、SMTP、POP3、IMAP、SMB等。
同時內置攻擊檢測模塊,支持對Flood攻擊、掃描、畸形包攻擊、應用層攻擊的實時檢測。用戶通過啟用對應防護模塊,有效的檢測工控網絡中非正常報文,提升防護能力。
(4)異常操作監測
通過搭載的數據包解析引擎對關鍵事件進行檢測,如:工程師站組態變更、操控指令變更、PLC下裝、固件升級等。本功能同時支持對OPC、Modbus TCP、S7、IEC104、CIP協議的白名單檢測,可以針對各類數據包進行快速有針對性的捕獲與深度解析,能夠檢測出數據包的有效指令、數據內容和負載信息,并結合白名單對不符合規則的流量進行告警。
(5)系統狀態監測
進行流量審計,實時監測工控系統網絡通信情況。可識別多種主流工業控制協議,支持2000+種IT常用應用協議識別,可識別工控系統內的違規IT應用,例如游戲、視頻、社交應用。基于網絡基線模塊監測偏離基線的異常流量,識別設備斷線、非法連接等異常。
(6)響應工單處置
在發現高危告警后,安全管理員可將告警內容和響應建議通過工單方式發送給指定的安全事件處置人員,對告警的處理進行閉環管理、統計和分析。
(7)自動報表生成
提供靈活的報表管理功能,可以支持快速報表,實時的輸出期望的報表內容,也可按照客戶指定的周期自動生成報表以幫助用戶周期回顧安全情況。同時系統提供了報表模板的靈活編輯,用戶可以根據自身需要在數十個預置報表展示內容中選擇自身需要內容,調整順序以形成自身需要的報表。對于用戶定制化的報表內容,安全團隊可以根據情況進行報表定制以應對中國式報表需要。
(8)動態大屏展示
為用戶提供了大屏展示模塊和儀表盤功能,提供全面實時的信息展示。從資產、協議流量、網絡威脅等多個視角,結合實時曲線、動態占比、動態排行等顯示模塊,對工控系統網絡安全狀況進行直觀展示。
4. 方案特點
(1)以資產為中心
產品通過資產自動識別、資產管理、資產網絡關系圖繪制,提供了以資產為中心的安全管理視角。工業生產流程比較固定,相較于以告警事件為中心的威脅分析方案,以資產為中心的漏洞發現與風險分析更符合工業環境管理習慣。級聯無損部署方式,不影響生產。
(2)多功能合一
ISD集流量審計、AV檢測、IDS檢測、白名單監測、工控關鍵操作監測引擎于一體,全面檢測工業網絡的病毒傳播、入侵行為。兼備傳統IT網絡與工控網絡安全檢測能力,適合IT/OT混合網絡環境。同時滿足合規要求和安全監測的要求。
(3)直觀的可視化效果
工業安全監測控制平臺ISDC利用可視化技術,將收集的數據進行直觀的可視化展現,包括2D/3D地圖,條形統計圖等各種形式,通過對數據的直觀展示,用戶可以清晰的了解到當前網絡安全態勢。
三、項目創新點和實施效果
1. 項目先進性及創新點
(1)以“大數據分析”為核心的威脅發現和溯源技術
大數據時代的到來為工業信息安全提供了新的技術手段,對工業企業的業務數據和安全數據進行統一管理,將工業大數據和信息安全分析技術相結合,實現對數據的采集、分析并從功能維度進行匯總、查看、統計及處置。基于大數據處理的工業態勢感知成為對工控系統安全威脅和系統狀態異常分析的有力武器。利用大數據分析能夠對安全態勢、攻擊源、攻擊事件和工控資產進行可視化展示,并通過可視化界面進行數據關聯查詢,及時對工控環境中未來風險進行預測、預防。最終做到“四得”:看得清用戶、抓得住行為、報得準風險和響應得及時。
(2)以“積極防御”為核心的縱深防御技術
為了實現持續的安全風險管理目標,企業需要建立能夠隨著時間不斷演進的安全架構和技術支撐體系。本平臺基于網絡安全滑動標尺模型進行安全防護。該標尺模型共包含五大類別,分別為架構安全、被動防御、積極防御、情報和進攻。這五大類別之間具有連續性關系,并有效展示了防御逐步提升的理念,形成縱深防護體系。
圖3 網絡安全滑動標尺模型
架構安全:在系統規劃、建立和維護的過程中充分考慮安全防護。
被動防御:在無人員介入的情況下,附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統。
積極防御: 分析人員對處于所防御網絡內的威脅進行監控、響應、學習(經驗)和應用知識(理解)的過程。
情報:收集數據、將數據利用轉換為信息,并將信息生產加工為評估結果以填補已知知識缺口的過程。
進攻:在友好網絡之外對攻擊者采取的直接行動(按照國內網絡安全法要求,對于企業來說主要是通過法律手段對攻擊者進行反擊)。
現階段大多數企業的信息安全工作都聚焦于“架構安全”和“被動防御”對“積極防御”和“情報”則涉及較少,本項目建設以 “情報”驅動的“積極防御”縱深防御平臺,提高企業的網絡安全防護能力。
(3)以“人+機器”為核心的安全運營技術
新形勢下的網絡安全,本質是“三人”的對抗:人與人的對抗、人與機器的對抗、人工智能的對抗。人工智能時代,機器人可以替代一切,但不能替代網絡安全工程師,因為網絡安全是逆向思維、是不走尋常路,而人工智能是經驗的決定。只有采用“人+機器”的方法,把人的知識驅動和機器的數據驅動結合起來,才能真正做到“誰進來?做什么?拿了什么?”,從而掌控全局。
2. 實施效果
本項目采用奇安信工業安全監測系統(ISD)和工業安全監測控制平臺(ISDC)對油氣調控系統進行集中監測,該項目為中石油管道系統首套大型工控系統安全監測與態勢感知平臺應用,提升了油氣傳輸可靠性,降低安全運營成本,為下一步在中石油及其它大型工業企業推進奇安信倡導的工業安全監測和響應體系建設奠定基礎。