当前位置 > 首页 > 成果发布 > 测试床 > 智能制造安全监测与运营管理平台(EC-IoTTB2018-1003)
智能制造安全监测与运营管理平台(EC-IoTTB2018-1003)
360企业安全技术(北京)集团有限公司
上海威派格智慧水务股份有限公司
Ø 主要目标
“智能制造安全监测与运营管理平台”主要实现对智能制造企业工控系统通信数据和安全日志进行快速、自动化的关联分析,及时发现智能制造行业工控系统异常和针对工控系统的威胁,通过可视化的技术将这些威胁和异常的总体安全态势展现给用户,通过对告警和响应的自动化发布、跟踪、管理实现安全风险的闭环管理。
通过建设智能制造安全监测与运营管理平台,实现企业内网IT和OT安全的统一管理,企业内部通过全网流量监测,提前洞悉企业内部各种工业安全威胁,降低智能制造企业在进行工业互联网转型过程中的安全门槛,促进智能制造相关产业高速发展。
Ø 总体概述
智能制造监测与运营管理平台主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件模块。如下图所示:
平台组成架构
1) 流量传感器
流量传感器的功能主要是采集工控网络中的工业协议流量数据,将原始的工控网络全流量转化为按session方式记录的格式化流量日志,全流量日志会加密传输给分析平台存储用于后期的审计和分析。
2) 日志采集探针
日志采集器的主要功能是对工控网络内工控设备(PLC/DCS/RTU/HMI等)、安全设备、工业以太网、上位机、服务器等设备通过主动采集或被动接收等方式对日志进行采集并进行归一化预处理,方便数据流后面的关联规则和数据分析能够快速使用。同时日志采集器还负责对内网资产进行扫描识别,收集资产数据。
3) 关联规则引擎
关联规则引擎主要负责对来自日志采集器的大量日志信息进行实时流解析,并匹配关联规则,对异常行为产生关联告警。
4) 分析平台
分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。
本平台主要面向智能制造领域,对中小企业建设具有监测、预警的管理平台,利用平台的实时监测能力,有效加强企业的工业互联网安全水平。
为保证智能制造设备的安全运行、预防系统突发性重大事故的发生,并在事故发生后迅速有效地控制和处理,最大限度地减少事故损失和相关系统的影响,在企业内部建立安全运营管理平台,以数据为驱动,以安全分析为工作重点,立足于安全策略防护,充分利用大数据平台的数据收集、查询能力进行持续的监控与分析;在持续监控的基础上,实现安全管理体系、预警监测体系、安全服务体系、纵深安全防护之间的有效协同和共同作用,最终形成可以有效落实的体系化安全解决方案。
(1)工控系统关键资产管理
该平台能够提供对企业内网资产的被动发现、手工管理、资产变更比对、资产信息整合展示等基本功能。同时,提供长期的服务、流量、威胁相关的监控,所有资产相关的监控数据均可在资产详情页查看。
(2)工控系统操作行为监测
该平台能够实时监测工控系统控制器下装、上传、启动、停止等关键操作行为,包括智能制造行业常用西门子S7-300、施耐德昆腾、罗克韦尔Control Logix等系列工控系统。
(3)提升威胁发现能力
利用多种新型威胁监测手段,再结合威胁情报的使用,该平台能够更快的发现隐藏在各类日志中的安全问题。更早的发现威胁,一方面可以帮助企业或单位在安全管理上更为从容,无需面临可能被通报追查的窘境,另一方面可以留下更多挽回损失的机会,为快速的弥补安全问题提供宝贵的时间窗口。
(4)安全运营
该平台可以在多种安全功能基础之上提供安全运营,帮助用户快速的、宏观的了解整个企业的安全情况。对各种威胁采取措施的控制指令下发至控制系统,形成监控,分析,控制的闭环;
通过全网流量监测,发现工业网络中的各类威胁,并进行情报挖掘与云端关联分析,提前洞悉企业内部各种工业安全威胁,并将威胁情报以可机读格式推送到本地系统,供本地威胁检测和分析时使用。
传统工业领域安全防护常用的分层分域的隔离与边界防护思路以及传统的IT安全手段已不能有效识别和抵御所有可能的攻击。安全监测与运营管理平台为智能制造中小企业的工业控制系统信息安全保障提供了一种有效解决方案。通过该平台的部署,可以实时监控企业内网的流量,及时发现智能制造网络空间的可疑行为和风险,大大提高了整个工业控制过程自动化领域的信息安全保障水平,同时提高用户对自己使用的工业控制系统信息安全的自主把控能力。本平台作为智能制造行业工业互联网建设和正常运行的重要支撑和保护,其建设具有良好的经济效益。
智能制造行业工业控制系统在我国经济生产生活中起着举足轻重的作用,如果工业控制的信息被窃取或者被修改,可能造成人身伤亡、财产损失等严重后果,更严重的甚至会影响到国家安全。本平台建成后,将快速面向智能制造中小企业,形成良好的工业互联网和网络安全产业生态,加快工业物联网在工业信息化产业中的布局,降低企业工业控制信息化的复杂度,从而让工业充分享受信息化产业带来的便利,社会效益十分显著。
该平台将建设成一个以多种安全问题管理为目标、以智能制造工业数据为核心、威胁情报为特色、打通安全运营中的检测、响应、预警、防御多个领域环节的完整安全体系,能够覆盖安全管理与运营的各个环节,功能架构图如下:
平台功能架构
该平台数据采集部分,除了对智能制造行业传统的Syslog、Flow、各种系统日志和安全设备日志以外还突破性的针对原始流量日志(依赖于流量传感器或360下一代防火墙)和终端日志(依赖于天擎EDR模块)进行采集。依赖于更加原始的日志信息,平台可以发现隐藏更深的各种威胁,同时能够提供完整的事件回溯分析能力。
平台在数据的存储和分析中大量使用大数据相关技术,在标准化组件中可以依赖于分布式全文检索技术提供接近PB级日志量的存储和快速计算,同时能够提供良好的可靠性保证,以解决意外断电、磁盘故障可能对系统带来的可靠性问题。
平台使用多种分析引擎针对不同的管理目标提供相应支撑,关联分析、统计分析、快速搜索等功能相较于传统产品具有明显的性能优势。
平台最外层提供友好、高效的交互管理页面,既满足了使用需求,又能够提升工作效率。再结合威胁情报、安全服务等来自于360特有的安全知识输入,该平台可以极大的提升本地安全运营的效率。
平台主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件模块。通常部署在网络出口交换机旁,或者其他需要监听流量的网络节点旁,接收镜像流量,不会对企业厂区内部生产本身造成影响,
所用设备操作系统为linux。
模块 | 接口 |
流量传感器 | 2×1GE管理口(电),2×1GE监听口(电),2×1GE监听口(光口,可插千兆光模块) |
日志采集探针 | 4×1GE电口 |
关联规则引擎 | 4×1GE电口 |
分析平台 | 4×1GE电口 |
工控通信协议MODBUS/TCP、OPC DA、S7等。
智能制造安全监测与运营管理平台是安全产品,能够连接工控防火墙、工业安全审计、工业主机防病毒软件、工控交换机等设备,统一管理安全事件。
同时,该平台在出厂时已经通过公司内部安全审查和评估。
开发环境为python环境和C环境
边缘计算参考架构2.0
边缘计算参考架构在每层均提供了模型化的开放接口,实现了架构的全层次开放;边缘计算参考架构通过纵向管理服务、数据全生命周期服务、安全服务,实现业务的全流程、全生命周期的智能服务。
安全监测和运营管理平台在边缘计算参考架构中提供安全服务,网络边缘侧接入的终端类型广泛,数量巨大,承载的业务繁杂,被动的安全防御往往不能起到良好的效果。因此,需要采用更加积极主动的安全防御手段,包括基于大数据的态势感知和高级威胁检测,以及统一的全网安全策略执行和主动防护,从而更加快速响应和防护。再结合完善的运维监控和应急响应机制,则能够最大限度保障边缘计算系统的安全、可用、可信。
参考边缘计算产业联盟成果发布——测试床,现有17个测试床,主要集中在智能水务、智慧农业、智慧物流、智能楼宇、照明物联网、智能车辆等方面。现有成果没有从安全角度考虑建设测试床,因此,智能制造安全监测与运营管理平台的部署是非常有必要的,同时需要亟待落实。
智能制造安全监测与运营管理平台架构本身即为边缘计算架构,平台对接360云端威胁情报中心,可对海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释,本地分析平台对原始日志和流量信息进行分析,实现本地处理,分析平台本身可看作边缘节点。
智能制造安全监测与运营管理平台本身是一个系统,提供流量传感器、日志采集探针、关联规则引擎和分析平台四个硬件设备。
智能制造安全监测与运营管理平台建设成功后,可用于工业控制系统安全国家地方联合工程实验室展示,同时用于威派格智慧水务系统的安全监测、分析预警、安全态势展现、威胁情报发布与使用。
1.项目实施过程中所产生的知识产权:
①各方独立完成的成果所有权归各自所有;共同完成的成果所有权,按照参与方的贡献大小进行分配。
②共同完成的项目成果转让,须经参与各方同意的前提下进行,任何一方不得私自开展。
2. 独立完成的知识产权成果各方可独立组织成果鉴定。
3. 共同完成的项目成果申报各级奖项,应根据各方贡献大小排名。具体事宜另行商定。
流量传感器通常部署在网络出口交换机旁,或者其他需要监听流量的网络节点旁,接收镜像流量。关联规则引擎、日志采集器和分析平台部署在流量传感器同一个网段即可,不会对企业厂区内部生产造成影响。
关于联盟
边缘计算作为新兴产业应用前景广阔,产业同时横跨OT、IT、CT多个领域,且涉及网络联接、数据聚合、芯片、传感、行业应用多个产业链角色。为了全面促进产业深度协同,加速边缘计算在各行业的数字化创新和行业应用落地,华为技术有限公司、中国科学院沈阳自动化研究所、中国信息通信研究院、英特尔公司、ARM和软通动力信息技术(集团)有限公司作为创始成员,联合倡议发起边缘计算产业联盟,致力于推动“政产学研用”各方产业资源合作,引领边缘计算产业的健康可持续发展。
加入联盟联系我们
