1　背景

在信息化高速发展的今天，网络安全正面临着全新的挑战。近年来以工业环境为目标的恶意攻击出现显著增长。供应链和业务中断的风险在过去三年里一直高居全球企业风险的榜首，而面向生产的网络安全成为能源、制造工业企业首要新兴问题。对于运营关键基础设施的企业，风险日益壮大。

与此同时，工业网络威胁越来越严重，各类安全攻击手段层出不穷，新型威胁发现和处理时间长，缺少梳理工控网内的各类设备和节点，以及集中维护工控网络基本信息、信息安全的解决方案。如何处理各自隔离的工业日志、工业网络流量和业务流程数据，如何直观感受安全态势，如何解决安全事件响应慢，建立生产业务相关联的生产监控网络安全应急响应体系，成为企业面向智能制造考虑的现实需求。

2　概述

工业安全影响远超过商业和名誉保护，在多数情况下，当涉及到工业系统威胁、攻击、破坏时，往往首要考虑生态、社会和宏观经济因素。因此，工业系统等关键基础设施的关键节点和网络保护需要足够高的防护等级才能对抗日益增长的网络安全威胁。同时，工业环境需要一套综合的解决方案通过安全预警响应的策略提升技术流程的可用性。

网络安全供应商只有先了解工业系统于普通的IT业务导向型系统的区别，才能为客户提供满足工业控制系统和工业基础设施独特需求的解决方案。基于国家对工控安全的顶层规划设计，实现测评、管理、组织、运行、技术全流程把控。

工业制造能力开放是企业创新的引擎，连接是行业数字化与智能制造的关键因数，能够大幅提升生产效率，降低能耗，未来， IT场景与工控场景将越加融合，安全成为IT与生产环境融合的现实需求，成为企业面向智能制造考虑的关键因素之一，因此需要整合IT安全和工控安全，从设备安全、网络安全、控制安全、应用安全、数据安全五大安全重点全覆盖，综合构建防护安全技术体系框架。由业务场景的融合，基于工业网络安全方针，以情报驱动，建立一套工业网络安全预警响应防护方案，可准确、高效地感知整个工业系统网络的安全状态以及变化趋势，从而对外部的攻击与危害行为及时发现，并采取相应的措施，保障工业系统网络安全。

3　平台介绍

3.1　Gartner对未来安全管理平台的理解

智能是下一代安全管理平台的核心特征，它能够具备自动防御、检测、响应和预测自适应的体系架构，更能高效地基于特殊的情境上下文和外部情报，协助安全专家发现安全问题，并通过运维手段实现闭环管理。

3.2　系统架构

工业网络安全监测预警平台（Industrial NetworkSecurity Monitoring and Warning Platform）是对工业网络中资产的日志和网络攻击流量数据进行采集和分析、计算，通过数据聚合、去重、标准化、建模、索引和关联，通过数据可视化的方式将分析和计算结果进行展示，建立和完善工业网络安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力，利用情报和智能分析成果，实现企业发布早期预警信息，评估工业企业内部可能受影响的设备或资产，避免核心业务系统遭受的攻击和预防潜在的安全隐患的专用软件安全产品。

工业网络安全监测预警平台主要由数据采集层、数据分析层、系统功能层、可视化展示层共四个部分组成，可以在各种不同场景的工业网络环境中进行灵活的部署和管理。

（1）数据采集层3.5　一站式综合管理

提供多种数据格式的接口，如syslog、snmp等协议格式，收集工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备的日志信息和配置信息。

（2）数据分析层

对采集后，来自不同类型设备的日志、事件、配置信息进行集中分析和处理。

（3）系统功能层

在该层实现系统的应用功能的实现。包括基于工控网络拓扑的综合态势管理和业务行为基线的风险预警管理、基于工控事件库和处置预案库的工控知识库以及其他核心功能模块。

（4）可视化展示层

在该层实现可视化的交互展示，包括工业网络风险全景视图、资产运维监视视图、工控拓扑图、风险仪表盘等可视化模块。

3.3　集中管理

事件（日志、网络流）统一管理，提供安全事件的监控、分析、处置和风险评估的统一平台。基于大数据框架，通过主/被动结合的获取手段，实时地采集用户工业网络中各种不同厂商的工控安全设备、工业网络设备、工业上位机、操作系统，以及各种应用系统产生的日志信息，并将这些信息汇集到中心平台，进行集中化的存储、备份、查询、审计、告警和分析，并出具相应的日志报告，实现日志的全生命周期管理，如图1所示。

图1 事件统一管理

3.4　工业网络资产生命周期管理

基于工业网络安全监测预警平台（如图2所示）可建立企业内网的资产基线，通过持续监控的手段，了解工业内网资产变化情况，对合法资产和非法资产进行有效稽查。

图2 工业网络安全监测预警平台

提供并支持包括Syslog协议等8种数据协议类型数据采集能力，具备包含深度流检测探针在内的多种安全采集工具。如图3所示。

图3 一站式综合管理

3.6　数据采集能力

工业网络安全监测预警平台支持多源异构数据接入，并支持包括Syslog协议等8种数据协议类型数据采集能力，具备包含深度流检测探针在内的多种安全采集工具，为平台的上层分析研判业务提供有力的支撑，如图4所示。各项性能指标如下：

（1）各类日志采集性能，4万/秒；

（2）原始数据包采集性能，7万/秒；

（3）网络流量数据采集性能，15万/秒。

图4 数据采集

3.7　迅捷的预警通报能力

利用事件理解模型实现多元数据关联分析，基于攻击模型实现事件的正反向推理，结合威胁情报模型实现威胁验证和预警，最终借助风险评估模型为工业网络安全防护决策提供有力支撑。站在威胁视角，以网络入侵切入点，做到知己知彼。站在脆弱性视角，以工业系统漏洞和系统安全态势为切入点，做到知己，提供全方位的工业网络态势感知能力。

3.8　高效的应急响应体系

应急响应体系以大数据框架为基础，结合威胁情报系统，通过攻防场景模型的大数据分析及可视化展示等手段建立和完善工业网络安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。通过独有的自适应的体系架构，高效地结合情境上下文分析，协助安全专家快速发现和分析安全问题，并能通过实际的运维手段实现安全闭环管理，同时弱化工业信息孤岛导致不能关联分析的问题。利用情报和智能分析成果，对企业发布早期预警信息，评估工业企业内部可能受影响的设备或资产，避免核心业务系统遭受的攻击和预防潜在的安全隐患。

4　创新与优势

4.1　创新

（1）PB级的日志处理能力

平台使用Spark技术，在并发内存内处理机制方面能够带来数倍于其它采用磁盘访问方式的解决方案，借助离线计算引擎在小时级别内，即可完成对PB数量级的数据挖掘。可以为大规模、超大规模网络提供高性能的日志采集，存储和审计功能。例如：6个月内的安全事件之间的相关性，安全事件之间的影响程度，安全事件之间的规律性等并以报表形式进行输出。

（2）独家数据强化技术

根据绿盟科技对攻防研究的长期积累，提供一套简洁有效的日志统一分类，使用独有的技术将日志快速标准化，并基于安全分析需要进行数据的过滤和强化，丢弃无法用的噪音信息，提升日志查询和分析效率。

（3）强大的分析引擎

平台中预制关联分析引擎，预制引擎构成分析平台的核心功能并且对专项分析提供基础能力，如风险分析、脆弱性分析、态势分析、资产分析、攻击分析等。

分析引擎采用分布式设计能够进行横向扩展，面临工业网络数据量时能够实现按需扩展，将分析引擎分散到其他更多的机器中，实现按需进行计算资源扩展。

（4）面向业务的插件化设计

采用全新大数据框架，将上层业务模块插件化处理，使业务模块与平台功能进行一对一设计，业务模块的改善和增加就不会造成其他模块或平台功能的调整，也就是将业务模块抽象并与平台功能实现分离，从而提高研发效率，降低企业维护成本。

（5）可靠性

采用大数据组件，对数据对象弹性分布存储3个存储节点中，并采用线程级监控，一旦发现问题，可迅速恢复并告警，同时3个节点备份可以提供完整的灾难恢复功能。

（6）多地部署

针对大型多组织的企业和机构，采集器可以部署在异地站点或二级单位（保持网络可达），分析中心部署在总部节点，异地站点将采集到的数据定时通过FTP或SFTP上传到上级分析中心，供本地留存和查询服务。

4.2　优势

（1）实现安全事件分析的统一化，集约化；

（2）能够综合多种数据来源进行未知威胁分析；

（3）减少威胁发现和响应时间；

（4）上至业务层网络，下达生产现场，全局把控；

（5）能够帮助安全人员简化工业网络安全运维难度；

（6）可以构建企业整体安全态势感知中心；

（7）能够应对多项监管合规要求。

5　结语

由于工业控制系统所覆盖的行业重要性，比如油化、电力、核电厂、水利、交通、市政、军事、高端制造业等，其安全性问题也越发重要，并牵涉到国计民生。对于这些关键信息基础设施，如何进行安全监测及预警，如何及时有效地进行事前防范，事中监测以及事后追溯，正成为工控安全领域亟待解决的问题。

基于全生命周期的工控系统安全综合保障手段的建设，为传统的单点安全防护提供了新的思路。将功能安全、信息安全进行深度融合的工业网络安全监测预警平台，连接了孤军奋战的单个结点，融入了故障诊断、异常告警、态势感知、攻击检测等持续可运营的安全防护理念，最大限度地保障工业控制系统的稳定、高效、安全运行。

作者简介

杨　伦（1992-），男，贵州人，高级产品经理，现就职于北京神州绿盟信息安全科技股份有限公司，主要研究方向为面向APT（AdvancedPersistentThreat）的下一代威胁防御技术（NextGenerationThreatProtection），以及数据挖掘、数据分析、机器学习在工业控制信息安全的应用。曾服务过公安部、国家电网国际发展公司、上汽通用、长江电力、国家核安保、神华集团、华润电力、IBM（国际商业机器公司）等单位、企业，长期从事信息安全咨询服务。

摘自《工业控制系统信息安全专刊（第五辑）》