企业网络设计方案
引用本文:周玉刚, 安成飞. 智能制造企业网络安全建设方案 [J]. 信息安全与通信保密 ,2020( 增刊 1):17-22.
摘 要
本方案以某上市公司智能制造工厂为防护对象,是工业互联网安全建设的标杆和范本。按照“全局统一”的思想,提供工业互联网平台、边缘层工业控制系统、平台与边缘层通讯安全的全方位、一体化的工业互联网安全解决方案。集成安全编排、自动化响应(SOAR) 技术编排安全能力,实现对接入安全能力的统一编排调度与弹性部署;汇聚攻击检测、异常感知、业务特征匹配、漏洞检测等安全 App 的多源异构数据并进行综合分析,实现对接入设备的统一管理与关联分析,做好协同防御。
关键词:
工业互联网平台安全;工业控制系统安全;安全编排;自动化响应;协同防御
内容目录:
0 引 言1 方案设计1.1 总体部署1.2 一般防护说明1.3 关键防护说明2 关键技术2.1 基于机器学习的异常行为检测技术2.2 基于隐患利用路径的威胁预警分析技术2.3 自动化工控资产测绘技术2.4 模块化安全应用场景插件技术3 方案成效3.1 预见性安全维护3.2 平台化运营3.3 安全编排、自动化响应4 结 语
0
引 言
某上市公司经过多年转型实践,打造了全球唯一的互联网个性化定制智能制造生态平台, 真正实现了顾客工厂(Customer to Manufactory, C2M)。整合了美国 3D 打印逻辑、德国工业 4.0 智能概念、大数据驱动、信息化与工业化深度融合,精益管理实现流程和组织再造,运用互联网思维把它们融合一起的全价值链 IIM 管理模式,是工业互联网战略的优秀实践。然而,随着信息化程度不断提高,企业对信息系统的依赖程度不断增加,企业的网络安全防护变得至关重要。同时随着国内外安全形势日趋严峻, 以及网络安全等保 2.0 的实施,无论是合规性、业务系统监管和防护,还是安全运营管理,企业都面临新的挑战。
1
方案设计
1.1 总体部署
根据不同服务功能和安全等级,将数据中心分为边界接入区、核心交换区、DMZ 区、测试区、核心业务区、数据库区、办公终端区、工控安全区八个区域,新建安全管理区。如图 1 所示。
图 1 方案总体部署
1.2 一般防护说明
在边界接入区部署安全网关,解决边界访问控制、网络入侵、病毒防护、上网行为管理等安全问题。
DMZ 区、核心业务区、数据库区、安全管理区、办公终端区分别部署安全网关,解决边界访问控制、网络入侵、病毒防护等安全问题。
在核心交换区旁路部署APT 攻击预警平台, 通过对网络流量进行深度解析,发现流量中的恶意攻击,主要包括:WEB 威胁深度检测、邮件威胁深度检测、病毒木马深度检测、0day 攻击检测、异常行为分析等,提供全面的检测和预警的能力。
在数据库区部署数据库审计与风险控制系统,实现内部数据库的事前安全风险评估、实时行为监控、细粒度操作审计等。
在安全管理区部署运维审计与风险控制系统,能够实现对所有的网络设备、网络安全设备、应用系统的操作行为全面的记录,包括登录 IP、登录用户、登录时间、操作命令全方位细粒度的审计。
在安全管理区旁路部署远程安全评估系统, 能够全面、深层次、快速地对 IT 资产所存在和潜在的安全风险进行评估。
在 Web 服务器、业务服务器、数据库服务器上部署明御主机安全及管理系统,实现病毒查杀、网站后门查杀、漏洞管理、性能监控、登录防护、进程防护、勒索防御、挖矿防御等能力。
通过玄武盾,提供云端监测和防护服务, 对 DMZ 区网站进行统一监管和防护。全面掌握集团业务系统整体安全态势,及时掌握相关网络安全威胁、风险和隐患,及时监测和防护漏洞、后门、网络攻击情况,及时发现网络安全案(事) 件线索,掌握有关情报和情况信息,进而提升酷特智能业务系统监管、防护与安全态势感知能力 。
1.3 关键防护说明
在安全管理区部署天池云安全管理平台, 构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全资源池,为集团提供一站式的云安全综合解决方案。
在安全管理区部署大数据智能安全平台, 通过日志采集探针、流量采集探针,收集全集团的网络安全数据做集中存储和分析,利用机器学习、聚类分析等手段构建智能的安全检测模型,实时分析发现全集团范围内的安全事件
和攻击行为。并利用海量日志和流量数据的关联分析能力, 进行攻击事件的溯源和攻击者溯源。
本方案最为关键的是大数据智能安全平台以工业互联网安全数据为基础,以安全能力为核心,建设覆盖风险识别、安全防御、安全检测和安全响应能力的安全编排、自动化 响 应(Security Orchestration, Automation and Response,SOAR),接入脆弱性识别、弱点识别、网络层防护、应用层防护、系统层防护、运维层防护、流量检测、入侵检测、日志检测、事件响应等工业互联网安全能力, 确保客户业务的不间断运营安全。总体方案设计如图 2 所示。
图 2 安全编排、自动化响应(SOAR)总体设计
2
关键技术
2.1 基于机器学习的异常行为检测技术
首先,根据企业各系统中用户及网络设备之间访问行为的业务特征,确定行为指标。
其次, 平台的数据预处理模块将系统行为日志中的行为指标提取出来作为多维变量数据。每一条数据在数学上就是一个多维变量。然后利用无监督的算法对数据进行聚类分析,让安全专家对分析结果的正确性进行人工判断并在分析结果上打上标记。标记后的数据再作为训练数据交给有监督的算法进行分析并产生分类规则 。
第三,联合有监督和无监督的算法对行为日志进行分析,经过反复迭代有监督算法的分析,逐渐将专家的经验学习到分析算法中。待分析的数据经过上述算法的分析,可以准确的发现企业各系统中的异常行为,异常行为检测流程如图 3 所示。
图 3 异常行为检测技术流程
2.2基于隐患利用路径的威胁预警分析技术
智能制造企业各系统中,各个信息资产(软硬件设备)都有可能存在隐患(即系统漏洞和配置错误)。由于各信息资产之间存在依赖关系, 一个信息资产上的隐患被利用,成功入侵到该信息资产并取得高优先级的访问权限,进而有可能导致与被攻陷资产有依赖关系的其他信息资产上的隐患也被利用。
利用推理分析算法, 可以推导出以某个被攻陷的设备当跳板,可能渗透到企业网络其它系统中。这种攻击预警是一个基于理论推理的可能性结果,利用可视化功能,可以将这些可能的结果用可视化方式即攻击图谱的方式呈现出来,更加直观的提示出攻击事件的可能发生过程,威胁预警分析过程如图 4 所示。
图 4 威胁预警分析技术流程
2.3 自动化工控资产测绘技术
研究采集设备部署与网络进行连接后,需要能够主动对指定网络范围内的设备进行设备信息探测,基于设备指纹库主要进行主机类型、端口扫描、版本侦测、操作系统侦测,探测技术具有防火墙与 IDS 的规避技巧,可以综合应用到四个基本功能的各个阶段。对于不能识别的设备,将设备信息传输到大数据平台并对设备进行进一步分析,另外提供强大的脚本引擎功能,脚本可以对基本功能进行补充和扩展。
图 5 探测流程
全流量数据与其他相比,具有数据量大、特征变量多的特点,大数据平台利用机器学习的方法从大规模流量中提取有价值的安全威胁特征,从而发现设备的异常。作为机器学习预处理阶段的特征筛选算法,其效率主要受限于数据集的容量和特征变量的数目 。平台利用计算机的并行计算能力从两个层面(数据层面和算法层面)对流量特征筛选技术进行研究。
在数据层面,利用数据分割策略,在多处理器上实现特征的并行提取方法;利用投票策略优化多个特征子集的方法。在算法层面,充分利用计算机并行处理的能力,研究如何并行随机搜索策略,加快启发式搜索的收敛时间,探测流程如图 5 所示。
2.4 模块化安全应用场景插件技术
安全编排、自动化响应(SOAR)的核心是大数据关联分析引擎提供的实时分析模块和离线批处理分析模块组成。设计并实现交互式分析模块、模块动态扩展技术,平台将每个计算、分析功能作为一个功能模块,可以实现模块级别的扩展,从而快速实现安全分析场景的扩充和嵌入各种仿真攻击模型。平台从几个方面实现分析场景的插件化扩展,如图 6 所示。
图 6 模块化架构
虚拟化资源高效利用技术。在虚拟化资源分配的过程中,往往存在分配不均,造成资源浪费和计算步骤繁琐等问题,针对这一难题, 大数据平台实现智能认知的虚拟网络资源管理模型,设计一种将动态资源感知与虚拟网络流量特性和要求相结合的有效方法,可以通过资源自动调整来自动分配虚拟机的容量,从而在不增加计算开销的情况下实现虚拟资源的高效利用,使得平台可扩展的安全分析和计算得以实现。
实时分析插件模块化技术。大数据平台通过在集群控制节点上面运行一个叫 Nimbus 的后台程序,负责在集群里面分发代码,分配计算任务和监控状态。复杂的业务逻辑中可以串联多个任务组件,在每个任务组件中编写各自不同的功能,从而实现整体的处理逻辑,就可以动态的实现实时分析功能的模块扩展。
离线批处理分析模块化技术。大数据平台使用 ElasticSearch 集群存储需要进行离线分析的数据,使用任务调度系统整体协调和调度不同的离线分析任务,当有新的离线分析和数据批处理的需求时,只需将不同的离线批处理分析数据的任务按照一定的规则和接口纳入和封装到任务集中,然后就可以动态的实现批处理功能的模块扩展。
3
方案成效
3.1 预见性安全维护
本方案提供了预见性安全维护,有助于减少意外停机、改善生产运营动态。该解决方案帮助维护了一个智能制造架构网络安全的集中运营中心,以创建智能的、按优先级排列的维护作业顺序。同时,可以检测潜在不良网络安全现象、提供潜在网络攻击警示。
预见性安全维护,可以有效提高预见性维护与修复性维护的比率,降低生产中断频率, 大幅度减少因恶意攻击造成的经济损失。通过减少意外停机时间,将资产可用率提高 3%-5%, 库存需求减少 10%-20%。
3.2 平台化运营
本方案建立安全管理中心,采用大数据平台用无监督的算法对数据进行智能判断,并在分析结果上打上标记。平台针对每天大量的日志,提炼出安全预警、安全漏洞、攻击态势等信息为用户展示和汇报 , 大大较少了运维人员的工作量 , 以前需要几个人来完成的工作,目前只需一个人就能完成整个智能平台的安全运维。
3.3 安全编排、自动化响应
工业企业生产线中的工控系统被成功攻击往往会造成巨大的损失。本方案大数据平台针对工业互联网底层的工业控制系统安全检测技术的研究,开发基于控制组态智能解析的工控安全检测技术、基于多元信息聚合的工业未知威胁监控技术、基于策略自主排布的工业企业安全应急技术,实现全方位、多层次的工业互联网工控系统安全联动检测和事故应急处理。使安全检测设备可以第一时间检测到底层控制器和工作站的异常行为并进行应急响应,降低损失并避免破坏性安全事故发生,可以有效保障企业生产安全,降低企业安全运维管理成本, 间接提高企业经济效益。
4
结 语
工业互联网的发展使得现实世界和网络世界深度联通,导致网络空间的攻击穿透虚拟空间,直接影响到工业运行安全并扩散、渗透到人身安全、关键基础设施安全、城市安全,乃至国家安全。随着大量关键信息基础设施接入互联网,工控系统成为国家关键基础设施的重要组成部分,广泛应用于各个重要领域。本方案的工业互联网安全编排、自动化与响应平台可以统一编排调度安全能力,加强基础设施抗风险能力和应急处置能力,对促进和提高我国国家和社会安全具有重要意义。
作者简介 >>>
周玉刚,学士,工程师,主要研究方向为工业信息安全;
安成飞,学士,工程师,主要研究方向为工业信息安全。
选自《信息安全与通信保密》2020年第9月增1期(为便于排版,已省去原文参考文献)网络强国建设的思想库
安全产业发展的情报站
创新企业腾飞的动力源
投稿网址:http://www.txjszz.com
合作热线:010-88203306
