引言：

奇安信科技集團股份有限公司（以下簡稱“奇安信”）是中國最大的網(wǎng)絡(luò)安全公司之一，專門為政府、軍隊、企業(yè)，教育、金融等機構(gòu)和組織提供企業(yè)級網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)，已覆蓋90%以上的中央政府部門、中央企業(yè)和大型銀行，已在印度尼西亞、新加坡、加拿大、中國香港等國家和地區(qū)開展了安全業(yè)務(wù)。

奇安信工業(yè)互聯(lián)網(wǎng)安全事業(yè)部基于自身在大數(shù)據(jù)、威脅情報、防病毒、安全攻防、態(tài)勢感知等方面的突出優(yōu)勢，創(chuàng)新性的提出了“數(shù)據(jù)驅(qū)動工業(yè)安全”的技術(shù)發(fā)展理念，構(gòu)建了層次清晰、定位明確、融合聯(lián)動的工業(yè)信息安全產(chǎn)品體系。

石油天然氣管道承擔國家戰(zhàn)略物資的傳輸任務(wù)，其工控系統(tǒng)屬于國家關(guān)鍵基礎(chǔ)設(shè)施。奇安信通過本項目的實施，幫助客戶對管道工控系統(tǒng)整體安全態(tài)勢進行監(jiān)測和響應(yīng)處置，提升了其安全與可靠性運營水平。

一、 項目概況

1. 項目背景

近年來石油天然氣基礎(chǔ)設(shè)施已經(jīng)成為黑客組織的攻擊目標，2017年發(fā)生的針對沙特某石油天然氣裝置功能安全儀表系統(tǒng)（SIS）的攻擊為各國網(wǎng)絡(luò)安全主管機構(gòu)和基礎(chǔ)設(shè)施運營企業(yè)敲響了警鐘。

本項目用戶負責長距離輸油氣管道的運營管理、建設(shè)和科研, 承載著國家重大戰(zhàn)略物資輸送的任務(wù)，擁有集油氣管道輸送技術(shù)研發(fā)、服務(wù)、培訓、檢測和監(jiān)測為一體的專業(yè)科研機構(gòu)，科研力量雄厚，科研設(shè)施完備，擁有管道核心技術(shù)研發(fā)能力，在油氣儲運工藝、管道完整性管理 、管道化學添加劑、管道規(guī)劃、信息與經(jīng)濟等研究領(lǐng)域整體處于國內(nèi)領(lǐng)先水平。

2. 項目簡介

本項目實現(xiàn)對客戶轄區(qū)內(nèi)工業(yè)網(wǎng)絡(luò)全方位、全天候的安全監(jiān)測，對工控系統(tǒng)的資產(chǎn)進行實時發(fā)現(xiàn)和監(jiān)測，幫助用戶實現(xiàn)工控系統(tǒng)的“可視化”，及時發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風險以及非法訪問事件，實現(xiàn)工業(yè)信息安全的閉環(huán)管理，全面提高管道公司工業(yè)安全防護的整體水平。

3. 項目目標

用戶承擔著國家重大戰(zhàn)略物資輸送的任務(wù)，其油氣調(diào)控系統(tǒng)屬于國家關(guān)鍵信息基礎(chǔ)設(shè)施，一旦遭受攻擊，損失極大。為貫徹、落實習總書記4.19講話精神，按照《網(wǎng)絡(luò)安全法》及相關(guān)標準要求，本項目建設(shè)油氣調(diào)控系統(tǒng)分控中心工控系統(tǒng)安全監(jiān)測與態(tài)勢感知平臺，協(xié)助運營人員及時進行處置響應(yīng)，提升油氣傳輸可靠性。

二、項目實施概況

通過前期調(diào)研了解到，各廠站端的工業(yè)流量匯聚到分控中心。為能夠?qū)崟r采集流量、不影響現(xiàn)有工業(yè)網(wǎng)絡(luò)，采取了在交換機旁路部署工業(yè)安全監(jiān)測系統(tǒng)（ISD）進行安全監(jiān)測，在分控中心采用工業(yè)安全監(jiān)測控制平臺（ISDC）進行整體態(tài)勢感知的解決方案。

1. 項目總體架構(gòu)和主要內(nèi)容

根據(jù)普渡模型，ISD和ISDC總體部署模式如下圖所示：

圖1  基于普渡模型的產(chǎn)品部署模式

工業(yè)安全監(jiān)測系統(tǒng)（ISD）是針對工控系統(tǒng)網(wǎng)絡(luò)環(huán)境進行異常監(jiān)測、威脅發(fā)現(xiàn)和安全審計的一體化產(chǎn)品。產(chǎn)品通過旁路方式部署，對工控系統(tǒng)的運行數(shù)據(jù)進行被動無損采集，實時發(fā)現(xiàn)信息安全威脅和其造成的系統(tǒng)運行異常。產(chǎn)品可部署于生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層，協(xié)助運營人員及時發(fā)現(xiàn)問題并響應(yīng)處理，提升工業(yè)生產(chǎn)連續(xù)性水平。

工業(yè)安全監(jiān)測控制平臺（ISDC）采集分布式部署在工業(yè)控制系統(tǒng)中的工業(yè)安全監(jiān)測系統(tǒng)（ISD）、工業(yè)主機防護，工控防火墻相關(guān)數(shù)據(jù)，以可視化方式集中展示資產(chǎn)、拓撲、威脅、脆弱性和工控系統(tǒng)安全運行狀況，對安全事件進行場景化分析、集中管理和處置跟蹤。

2. 網(wǎng)絡(luò)、平臺或安全互聯(lián)架構(gòu)

本項目工控系統(tǒng)安全監(jiān)測與態(tài)勢感知平臺部署示意如下圖所示，工業(yè)安全監(jiān)測系統(tǒng)（ISD）采用交換機旁路部署模式，工業(yè)安全監(jiān)測控制平臺對系統(tǒng)安全進行整體安全監(jiān)測與態(tài)勢感知。

圖2  現(xiàn)場工業(yè)安全監(jiān)測部署示意圖

3. 具體應(yīng)用場景和應(yīng)用模式

  本項目在油氣調(diào)控行業(yè)背景下實現(xiàn)以下安全功能：

（1）自動資產(chǎn)發(fā)現(xiàn)

基于被動流量發(fā)現(xiàn)資產(chǎn)，支持多種廠商型號控制器，包括西門子，施耐德，羅克韋爾等。通過自動學習建立工控通信模型，形成資產(chǎn)白名單，監(jiān)測非法設(shè)備接入。支持資產(chǎn)管理，可管理廠商名稱、設(shè)備類型、設(shè)備型號、IP地址、MAC地址、使用協(xié)議、重要性等。

（2）無損漏洞識別

對識別后的資產(chǎn)進行脆弱性檢查，包括資產(chǎn)所對應(yīng)的漏洞信息、開放的端口和不安全的協(xié)議。其中漏洞識別支持3大漏洞庫CVE，CNVD，CNNVD，覆蓋220+廠商，3300+條漏洞。由于是被動的流量識別，相對于主動漏洞掃描的方式安全無損。

（3）網(wǎng)絡(luò)威脅檢測

系統(tǒng)內(nèi)嵌IDS入侵檢測引擎和AV反病毒引擎，實時檢測工控系統(tǒng)網(wǎng)絡(luò)中的威脅行為。IDS引擎支持緩沖區(qū)溢出、跨站腳本、拒絕服務(wù)、惡意掃描、SQL注入、WEB攻擊等。AV引擎支持對傳統(tǒng)IT協(xié)議中傳輸?shù)奈谋?、附件?nèi)容進行解析提取。對提取后的數(shù)據(jù)進行病毒掃描，支持的協(xié)議包括HTTP、FTP、SMTP、POP3、IMAP、SMB等。

同時內(nèi)置攻擊檢測模塊，支持對Flood攻擊、掃描、畸形包攻擊、應(yīng)用層攻擊的實時檢測。用戶通過啟用對應(yīng)防護模塊，有效的檢測工控網(wǎng)絡(luò)中非正常報文，提升防護能力。

（4）異常操作監(jiān)測

通過搭載的數(shù)據(jù)包解析引擎對關(guān)鍵事件進行檢測，如：工程師站組態(tài)變更、操控指令變更、PLC下裝、固件升級等。本功能同時支持對OPC、Modbus TCP、S7、IEC104、CIP協(xié)議的白名單檢測，可以針對各類數(shù)據(jù)包進行快速有針對性的捕獲與深度解析，能夠檢測出數(shù)據(jù)包的有效指令、數(shù)據(jù)內(nèi)容和負載信息，并結(jié)合白名單對不符合規(guī)則的流量進行告警。

（5）系統(tǒng)狀態(tài)監(jiān)測

進行流量審計，實時監(jiān)測工控系統(tǒng)網(wǎng)絡(luò)通信情況?？勺R別多種主流工業(yè)控制協(xié)議，支持2000+種IT常用應(yīng)用協(xié)議識別，可識別工控系統(tǒng)內(nèi)的違規(guī)IT應(yīng)用，例如游戲、視頻、社交應(yīng)用。基于網(wǎng)絡(luò)基線模塊監(jiān)測偏離基線的異常流量，識別設(shè)備斷線、非法連接等異常。

（6）響應(yīng)工單處置

在發(fā)現(xiàn)高危告警后，安全管理員可將告警內(nèi)容和響應(yīng)建議通過工單方式發(fā)送給指定的安全事件處置人員,對告警的處理進行閉環(huán)管理、統(tǒng)計和分析。

（7）自動報表生成

提供靈活的報表管理功能，可以支持快速報表，實時的輸出期望的報表內(nèi)容，也可按照客戶指定的周期自動生成報表以幫助用戶周期回顧安全情況。同時系統(tǒng)提供了報表模板的靈活編輯，用戶可以根據(jù)自身需要在數(shù)十個預(yù)置報表展示內(nèi)容中選擇自身需要內(nèi)容，調(diào)整順序以形成自身需要的報表。對于用戶定制化的報表內(nèi)容，安全團隊可以根據(jù)情況進行報表定制以應(yīng)對中國式報表需要。

（8）動態(tài)大屏展示

為用戶提供了大屏展示模塊和儀表盤功能，提供全面實時的信息展示。從資產(chǎn)、協(xié)議流量、網(wǎng)絡(luò)威脅等多個視角，結(jié)合實時曲線、動態(tài)占比、動態(tài)排行等顯示模塊，對工控系統(tǒng)網(wǎng)絡(luò)安全狀況進行直觀展示。

4. 方案特點

（1）以資產(chǎn)為中心

產(chǎn)品通過資產(chǎn)自動識別、資產(chǎn)管理、資產(chǎn)網(wǎng)絡(luò)關(guān)系圖繪制，提供了以資產(chǎn)為中心的安全管理視角。工業(yè)生產(chǎn)流程比較固定，相較于以告警事件為中心的威脅分析方案，以資產(chǎn)為中心的漏洞發(fā)現(xiàn)與風險分析更符合工業(yè)環(huán)境管理習慣。級聯(lián)無損部署方式，不影響生產(chǎn)。

（2）多功能合一

ISD集流量審計、AV檢測、IDS檢測、白名單監(jiān)測、工控關(guān)鍵操作監(jiān)測引擎于一體，全面檢測工業(yè)網(wǎng)絡(luò)的病毒傳播、入侵行為。兼?zhèn)鋫鹘y(tǒng)IT網(wǎng)絡(luò)與工控網(wǎng)絡(luò)安全檢測能力，適合IT/OT混合網(wǎng)絡(luò)環(huán)境。同時滿足合規(guī)要求和安全監(jiān)測的要求。

（3）直觀的可視化效果

工業(yè)安全監(jiān)測控制平臺ISDC利用可視化技術(shù)，將收集的數(shù)據(jù)進行直觀的可視化展現(xiàn)，包括2D/3D地圖，條形統(tǒng)計圖等各種形式，通過對數(shù)據(jù)的直觀展示，用戶可以清晰的了解到當前網(wǎng)絡(luò)安全態(tài)勢。

三、項目創(chuàng)新點和實施效果

1. 項目先進性及創(chuàng)新點

（1）以“大數(shù)據(jù)分析”為核心的威脅發(fā)現(xiàn)和溯源技術(shù)

大數(shù)據(jù)時代的到來為工業(yè)信息安全提供了新的技術(shù)手段，對工業(yè)企業(yè)的業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)進行統(tǒng)一管理，將工業(yè)大數(shù)據(jù)和信息安全分析技術(shù)相結(jié)合，實現(xiàn)對數(shù)據(jù)的采集、分析并從功能維度進行匯總、查看、統(tǒng)計及處置?；诖髷?shù)據(jù)處理的工業(yè)態(tài)勢感知成為對工控系統(tǒng)安全威脅和系統(tǒng)狀態(tài)異常分析的有力武器。利用大數(shù)據(jù)分析能夠?qū)Π踩珣B(tài)勢、攻擊源、攻擊事件和工控資產(chǎn)進行可視化展示，并通過可視化界面進行數(shù)據(jù)關(guān)聯(lián)查詢，及時對工控環(huán)境中未來風險進行預(yù)測、預(yù)防。最終做到“四得”：看得清用戶、抓得住行為、報得準風險和響應(yīng)得及時。

（2）以“積極防御”為核心的縱深防御技術(shù)

為了實現(xiàn)持續(xù)的安全風險管理目標，企業(yè)需要建立能夠隨著時間不斷演進的安全架構(gòu)和技術(shù)支撐體系。本平臺基于網(wǎng)絡(luò)安全滑動標尺模型進行安全防護。該標尺模型共包含五大類別，分別為架構(gòu)安全、被動防御、積極防御、情報和進攻。這五大類別之間具有連續(xù)性關(guān)系，并有效展示了防御逐步提升的理念，形成縱深防護體系。

圖3  網(wǎng)絡(luò)安全滑動標尺模型

架構(gòu)安全：在系統(tǒng)規(guī)劃、建立和維護的過程中充分考慮安全防護。

被動防御：在無人員介入的情況下，附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)。

積極防御： 分析人員對處于所防御網(wǎng)絡(luò)內(nèi)的威脅進行監(jiān)控、響應(yīng)、學習（經(jīng)驗）和應(yīng)用知識（理解）的過程。

情報：收集數(shù)據(jù)、將數(shù)據(jù)利用轉(zhuǎn)換為信息，并將信息生產(chǎn)加工為評估結(jié)果以填補已知知識缺口的過程。

進攻：在友好網(wǎng)絡(luò)之外對攻擊者采取的直接行動（按照國內(nèi)網(wǎng)絡(luò)安全法要求，對于企業(yè)來說主要是通過法律手段對攻擊者進行反擊）。

現(xiàn)階段大多數(shù)企業(yè)的信息安全工作都聚焦于“架構(gòu)安全”和“被動防御”對“積極防御”和“情報”則涉及較少，本項目建設(shè)以 “情報”驅(qū)動的“積極防御”縱深防御平臺，提高企業(yè)的網(wǎng)絡(luò)安全防護能力。

（3）以“人+機器”為核心的安全運營技術(shù)

新形勢下的網(wǎng)絡(luò)安全，本質(zhì)是“三人”的對抗：人與人的對抗、人與機器的對抗、人工智能的對抗。人工智能時代，機器人可以替代一切，但不能替代網(wǎng)絡(luò)安全工程師，因為網(wǎng)絡(luò)安全是逆向思維、是不走尋常路，而人工智能是經(jīng)驗的決定。只有采用“人+機器”的方法，把人的知識驅(qū)動和機器的數(shù)據(jù)驅(qū)動結(jié)合起來，才能真正做到“誰進來？做什么？拿了什么？”，從而掌控全局。

2. 實施效果

本項目采用奇安信工業(yè)安全監(jiān)測系統(tǒng)（ISD）和工業(yè)安全監(jiān)測控制平臺（ISDC）對油氣調(diào)控系統(tǒng)進行集中監(jiān)測，該項目為中石油管道系統(tǒng)首套大型工控系統(tǒng)安全監(jiān)測與態(tài)勢感知平臺應(yīng)用，提升了油氣傳輸可靠性，降低安全運營成本，為下一步在中石油及其它大型工業(yè)企業(yè)推進奇安信倡導的工業(yè)安全監(jiān)測和響應(yīng)體系建設(shè)奠定基礎(chǔ)。