本文內容有四大塊,第一是背景和政策的支持,另外是設計的方案還有部署的方案,以及我們針對于已經做過的典型案例是怎么部署的,讓大家一起來給我們提一些意見。這些是前面很多專家和大師基本上都講到這一塊,為什么說要有態勢預警的東西,就是因為每年的安全事件是日益突出的,你看到每一年都有大大小小的事情基本上都關乎到工控安全,我們針對最新發生的事情,我們水利為什么要做才是感知平臺?委內瑞拉3月7日安全事件就是針對水利的,所以背景是這么一個背景,連續停了三天的電。攻擊的手段是利用水利電力系統的一些漏洞,所以導致了停電事件,所以后面廠家對可能發生的方式都做了分析,最終的結論就是利用了水利電力系統的安全漏洞所導致的攻擊事件。對于這個事件的本身是前車之鑒又加強國內電力系統的工控安全建設,也就是說如果我們能夠在之前預警到這些能夠知道這些分析到它的漏洞,能夠掃描到漏洞就可以有效的避免這個問題,這就是我們為什么要有預警態勢感知平臺的緯度。
我們剛剛說針對于委內瑞拉的事情利用一些漏洞,我這里統計了近年來安全漏洞的事件,另外一點隨著剛剛前面很多專家都提出了萬物互聯或者說互聯互通工業互聯網,隨著這些關聯技術越來越緊密,這些安全技術漏洞的利用越來越大,在你沒有完整的防護固有的系統情況下,能不能盡早的預警到或者發現到它的問題,這就是態勢預警平臺的意義所在。為什么要建立態勢預警感知平臺是這么一個層面,我們對工業控制系統和工業互聯網系統和工業物聯網系統三個層面,第一個攻擊的方式網絡接觸從可能產生的攻擊幾個層面來分析,第一個是網絡解除從外網訪問和外部設備的接入還有內部的登陸,實際上介子攻擊或者縱向的潛入。另外實時打擊從哪幾個方面,第一個是破壞性的操作,還是植入傳播性的病毒還有干擾系統的運行,還是竊聽涉密信息,它攻擊的準備就會涉及到安全程序運行相應的權限是這么一個平臺,那么對于構建態勢預警感知平臺就提供了非常好的思維,我們要防御這些東西就要及早的開展監測,事先完成對風險預防預控以及在事中對于及早的發現把潛在的風險給消滅掉,這對于公安系統的安全監控,建立在工控網絡的安全攻擊態勢預警平臺,所以這就是我們建立這個平臺的另外分析的緯度。
這里就是我們建立一個針對公安控制系統態勢感知平臺的必要性,我們怎么去分析它的必要性?我們通過一個對比,一般通用的監控技術都是采用流量和報文進行分析,工業互聯網服務器的協議進行監測和分析,對網絡進行隔離。但是對于我們工業控制系統,因為它是一個比較穩定的,網絡服務是有可控的,這個系統明顯不是最佳的選擇,因為從這幾個緯度。
第一、監測的對象來說,官方系統監測的對象主要是工業控制系統當中的各種設備協議日志以及包括傳統信息安全數據報文這幾個緯度,另外監測的手段傳統信息安全是網絡流量及報文內容的分析,對于我們工業控制系統它是被監測對象自身感知的設備級的監測,為什么?就像前面大家說的OT這些網絡就會涉及到OS、CS這些工程師賬戶操作員這些設備,這些都是我們設備自身的東西。而監測的內容就是利用已知漏洞的攻擊行為,對于我們工業控制系統就是外網到網絡訪問外部設備的接入用戶登陸人員操作等這幾個方面的事件,那么對于典型的設備就是IDS防火墻這些,對于工控系統就是網絡安全特殊的監測,包括了感知加密傳輸以及數據采集到展示方方面面的事情。所以這就迫切希望我們研發一套針對工業監控的系統,面向社會事件的網絡安全監測技術的工控網絡安全預警態勢感知平臺,這個就是我們說的監測建立的必要性。
為了加深必要性的了解,我們也列出了現狀,我們在工業控制系統當中我們看到的現狀以及我們實際上建立工業控制系統的態勢預警感知,希望它能夠有效的解決問題索要承擔的一些事情,我們看到的系統大部分會說有沒有安全措施,會說有我們有邊界防火墻這些東西,你這里是否有攻擊行為的黑客電腦在這里攻擊,外面有防火墻縱向加密裝置這些,一旦對于內部可能產生的風險沒有辦法監控,也就是說它是由外到內縱向的攻擊有一些手段,當然對于工業企業來說它這些東西大部分都是好多年沒有更新過的,我們調研過電廠有好幾百個基本上都是這樣子沒有任何的更新,我們要做的態勢預警感知平臺要解決邊界的問題,同時要解決內部的包括數據庫操作系統服務器,還有它邊界的防火墻,以及正反向隔離裝置加密,以及它自身在終端設備的數據庫,以及工業控制系統特有的工控設備它本身的這些行為,這些日志以及它數據報文都能做相應的分析,能夠處置做到真正的預警態勢感知分析。
在這個基礎上,這就是我們說的必要性,那么做這個事情的基礎上大家會問你做這個是不是自己憑空想象的我們需要法律政策的支撐,這個是國家的層面大家可以看到從2014年、2016年、2018年這些都有相應的國家層面相應的政策法規做支撐。另外一個是行業政策的支撐,大家可以看到分析這幾年行業的政策支撐,尤其是在電力能源以及水利一塊,還有工信部這些層面基本上是年年都有相應的政策法規來針對于關鍵技術設施和工業控制系統網絡安全的政策出臺。大家看一下這是水利,為什么提這個?因為我們在水利這一塊參與的比較多,最近招標的是實施國家信息安全專項,丹江口水利關鍵信息基礎設施網絡安全感知工程,這個是影響非常大的也是目前為止在水利國家級層面對工控安全做的比較大的態勢感知防護的東西,也是貫徹落實網絡安全法等級保護條例的示范性工程。
另外一個是能源局,大家可以看到紅色標出了對企業網絡安全態勢的感知平臺,還有建設網絡感知環境也有相應的提到,以及網絡安全自主創新安全可控的內容,這個是國家電網公司設備自身感知監測裝置就地采集以及平臺統一監管這都是態勢感知的內容,所以從這些層面都有相應的政策法規支撐態勢感知平臺的建設。
大家知道了必要性也有相應的政策支撐,大家就會問態勢感知平臺建設的原則和能達到的目標是什么?我們從業務目標功能目標三個緯度來驗證,第一個原則一定要繼承已有的優勢,不能說因為我們去建這個態勢感知的平臺就把已有的安全的東西全部否定,所以我們要鞏固現有的控制系統布防的安全策略和防護手段,通過閉環管理手段進一步的加強。我們剛剛說的大部分的企業已經有邊界的防火墻和隔離裝置,我們不能把它們踢出我們要很好的利用它,我們把它防護以及業務數據分兩個緯度分別采集起來。第一是做分析,第二做業務數據的分析,從兩個緯度分析了網絡安全性,還有一個創新性的發展在用到設備的基礎上我們要做對監測技術分析手段更加豐富,同時具備必要的響應處置手段,這個怎么去講?作為不同的工業系統運營系統是不同的,可能要通過抓業務數據流以及對它的業務模型進行建模,因為我們說有OS、CS這些設備方面的內容,我們可能要做一些相應采集的處理,可能會有一些數據采集抓取的工具,這就是創新性的發展。
另外還有面向設備事件的監視技術,因為我們說有很多新的設備,很多新的系統,所以是基于事件監視技術分布式工業網絡安全管理措施,因為我們大部分的工業控制系統都是分布式的,那么業務的目標就是第一要外部入侵的有效手段,我們建立態勢預警感知,大部分的內容是說在你沒有完整的能夠阻斷所有控制的基礎上,我能夠對它進行預警,比如說第一個車間受到的攻擊馬上能夠預警到第二第三第四個車間也可能出現這個問題,也達到了一種對于外部入侵的有效手段,還有外部干擾的有效隔離,怎么樣隔離這一塊的東西。第三個內部介入有效的遏制,還有安全風險的有效管控,你能夠通過可視化的東西事前分析到可能導致的問題,第三個緯度就是管控的目標支持安全保護措施的閉環管理。我能夠通過日志這種安全產品的日志以及主機產品運行的信息,以及相應的工業控制本身設備數據能夠閉環的分析到可能出現的問題,盡快的展示它可能遇到的風險,從而更好的防護好我的工業控制系統。
第二個支持工業控制系統安全事件的全方位監視和控制有一個強有力的UI或者相應分析的模塊能夠更好的展示相應的防護能力。第三個點支持工業控制系統網絡安全的態勢職能分析,能夠轉向它的職能能夠從多個緯度展現出相應的安全風險安全隱患。通過這幾點為了貫徹網絡安全法以及等級保護相關的規范要求,所做出的一個分析。這是構建預警態勢感知平臺的技術路線,剛剛開始也給大家講了,做的主要檢測和管理預警,主要的特點是認為任何的網絡安全事件總是從接觸控制的第一臺設備開始發展蔓延,做好網絡安全監管必須監測從網絡邊界到服務器到工作站以及交換網絡設備這些具體的設備入手,從每一臺設備的訪問設備接入人員登陸設備操作以及程序的運行這幾個方面統一的監管,只有把這些監管了才能更好的處置網絡攻擊病毒感染這些事件。
所以通過這點我們可以從三個緯度,第一個是采用感知采集管控三個層面對工業控制系統進行感知平臺的建設,大家也可以看一下我這個圖,大概是這樣標的。對于技術路線大概的框架是什么?第一是我們的監測,我們說我們工控的態勢感知一定是基于設備的,你要把設備本身的那些感知信息能夠采集到。第二個是傳統信息安全把業務數據能夠采上來,所以第一個層面就是我們自身的感知涉及到交換網絡設備安全設備安防設備,防火墻、IDS縱向加密還有主機設備終端設備服務器工程師站,以及數據庫以及工控系統特有的IDS這些,這些是怎么去采集的?這方面是采集相應的數據,另一方面如果對于服務器我們是會裝一些工具把相應的數據采集上來,到上一層就要做分層分區域的采集,就是網絡安全的行為分析系統這個是我們自己定義的,其實就是數據采集器,通過加密比如說在電力系統電網系統可能就是61850或者通過別的DMP3這些協議一級級往上傳,因為不同的業務系統走的協議是不同的,這也是我們工業控制系統和信息安全系統極大的差別,這也是我們態勢感知系統建設的必要性。所以大家看這就是我們介紹的三層怎么做的,第一層是把它自己的數據以及業務數據往上傳,第二層從車間廠級分區做數據綜合匯總,第三層做一個綜合的態勢感知預警的展示模塊化分析。
在這個基礎上我們有相應產品的框架,可以分為這三層的框架,第一層屬于數據采集層,使用各種采集數據采集流量日志各種資產信息規劃處理傳輸到核心層,核心層就會涉及到相應的各種數據加工處置,模塊化的分析處置,第三層就是數據展示層,完全以用戶之間的交互達到安全預警事件的監控安全運行的監控這樣一個目的,這是我們說的基本架構,也是我們當時在設計之初的初衷。它達到的功能我們認為針對于工控網絡態勢感知平臺應該有一些功能,大概有這九個方面。
首先你能夠對你的資產進行管控,那么在發生任何的攻擊事件之后,至少能夠對于斷網或者說設備的故障關閉狀態能夠有一個展示,比如說以打問號打差的方式顯示沒有連上的這種方式也是預警態勢。另外一個可管理,能夠很輕松的展現整個場的網絡拓補結構,第三點安全事件的管理,你發生了任何的安全事件以及各種的威脅能夠做相應查詢以便于規避責任和事件的統計。第四點說的告警管理又涉及到五個點網絡狀態的檢測,網絡流量的檢測,USB的插拔這一塊的東西,還有在主機上裝本身運行的一些監測。
在這個基礎上又有第五點知識庫的管理,分別有數據收集庫用戶數據庫知識數據庫三個緯度,以及第六但就是認知采集和管理,我們說的對于我們已有的網絡設備防火墻縱向加密裝置這些,本身又帶有安全裝置不能拋棄它,我們怎么樣去做把它的安全日志能夠采上來,對于前期沒有注意的,但是是工業控制系統特有的主機OS、CS這些操作系統能夠采集上來,同時能夠支持多種協議采集上來這就是我們說的日志采集和管理,還有關聯性的分析,一旦出現了本身在拓展不應該出現的相互之間的通信也能夠有關聯性的分析,以及各種前期出現的同樣攻擊事件是不是有同樣的關聯性做一些模塊化的分析。工業控制系統行為監測分析,對于我們說的有的那些DCS,因為我們有相應的知識庫能夠知道它的起停關機以及預警狀態比較關鍵的操作行為,那么就能夠檢測到工業控制系統行為的一些異常。第九大應急處置是怎么處置的問題,在這里知道了產品的一些功能,以及它能做的一些事情一些架構,大家就會問你們這個產品到底生產出來了嗎?這個是肯定的。大家可以看到我們的態勢感知平臺也就是通過以國網模板做的升級板,大家可以看到我們把它定義為網絡安全的行為分析系統,我們通俗的說是采集系統,另外一個是網絡行為的管理平臺綜合匯總平臺,大家會問你不是要采集主機的設備以及操作信息這個是白名單化的,我們可以用市面上通用的,也可以用自己本身有的,這就是對于我們設備大概的配置。
在這個基礎上大家會問你這個產品主要實現了哪些功能,這邊是功能的圖,這邊是我們實現的性能。能力一安全可視,做了資產的識別業務的識別行為的識別安全的識別,第二個動態的感知做了資產變動的動態感知還有安全風險的動態感知,以及我們安全事件的持續感知,還有異常行為的持續感知。當然這是我們最初比較老的版本新的版本已經比個豐富了非常多的內容,大家最關心的你這個是怎么部署的?因為對于我們的安全這一套東西不會給本身的業務系統帶來隱患,這個對于單獨成網的,上面這一層是單獨自己成了一個網絡有自己的網絡行為分析系統,自己的防火墻自己的交換機自己的采集器自己的網閘以及交換機這些東西自成一個網絡,當然下面這些交換機我們廠里面已經有的匯集交換機以及它的業務系統,但是我們自己是一個單獨成網,同時我們又是安全分區的,不會對你區域之間互聯互通產生相應的影響。
大家看到合乎就會問你到底做了哪些工作?這就是我們能做的一些事,安全事件類、操作類、運行信息類,其實我們還有一個工控行為類,這一塊是沒歸類出來,對于每一產品做了哪些處置也是我們可以看到的。對于裝置本身我們自己的數據采集也能做一些信息的采集,咱們裝上的東西不應該給系統帶來隱患的,所以我們自己也會帶來監控。另外主機設備就是CS、OS這些東西,以及PLC、DCS這些東西,都會做一些相應的處置,這是我們的設備。這是我們的安全設備,大家說為什么只有防火墻和隔離裝置?其他的也有,其他的沒有列出來。這個是態勢感知平臺,因為現在互網行動很多設備一下斷掉之后我們能展示的就是有相應的拓展,但是就是連不上了這個是受到攻擊之后的展示下面有分析。
這個是典型的案例,大家可以看到自己成網的在火電廠,火電廠分為一期二期三期,還有生產控制大區和管理大區的東西,我們通過隔離的網站每一次采集都有相應的隔離網把它隔離出來然后通過匯總做到綜合態勢預警分析。當然在我們的主機上也裝了相應的白名單軟件自己的東西,做相關日志操作的采集,然后傳到監管平臺,這個是水電站這些也是同樣的道理分三個區。大家就會問這是已經建好的系統,我現在建怎么做這個系統?這個是我們針對智能制造的系統,我們把它各個車間區域分好,對于相應的分區域的東西統一的采集到一級級的數據做數據的采集,最終傳到態勢預警的分析平。