南京中新赛克科技有限责任公司

基于《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》精神，南京中新赛克科技有限责任公司聚焦工业网络安全产品，通过标准化产品和行业定制化开发相结合的模式，开发推出具有自主产权的基于人工智能和大数据分析技术的工业互联网安全态势感知平台，利用大数据分析技术，将主动威胁检测与被动流量分析相结合，实现对工业互联网安全事件的实时监测与预警。

1 项目概况

通信管理局担负协调管理省内通信网、互联网、工业互联网网络信息安全的重要职责。为进一步规划统筹省内工业企业网络安全建设，推进“两化融合”进程，实现工业网络向数字化、网络化、智能化转变，某省通信管理局与中新赛克独家合作，通过在监管侧部署工业互联网安全监测与态势感知平台，实现对设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。

1.1 项目背景

近年来，我国从法律法规、战略规划、标准规范等多个层面对工业互联网安全做出了一系列工作部署，提出了一系列工作要求。某通信管理局在对管局侧信安系统“专线资源”进行审核时发现，省内企业基数大、工业资产类型繁杂难以实现有效地统一监管，主要存在以下几种典型的安全问题：

·部分基础企业对互联网专线信息存在漏报、误报等问题，导致管局对专线数据监管不全，且缺少核验机制；

·对于专线的使用仅仅存在于数据统计，缺乏数据资源获取手段和对专线数据进行深入挖掘分析的技术手段，无法发现数据的潜在价值；

·缺少对工业互联网协议与设备的识别能力、缺少对专线中存在的工业互联网安全事件的监测预警、处置溯源能力、安全态势分析能力；

·针对专线接入的重点用户、关键基础设施缺少安全监管和保障手段。

因此，为规范对专线监管的内容和范围，省通信管理局希望通过部署工业互联网安全监测与态势感知平台，实现对违法开办互联网信息服务进行管控、黑灰产业链监测预警、防范互联网诈骗、为工业互联网安全等工作打下基础。

1.2 项目简介

本项目提出的工业互联网安全联动解决方案以工业网络安全数据、关键基础设施行业数据为基础，以包含工控设备资产指纹、漏洞信息、安全设备信息、物联网传感数据及工业网络模型等海量数据的资源池为支撑，运用自主知识产权的云计算、大数据及人工智能安全感知技术，精准定位暴露在网上的工业系统、工业云平台以及工业设备，进行全面的漏洞扫描，并通过AI分析网络安全威胁态势、流量分析关联技术实现完整的网络攻击溯源取证，并具有高度可视化的界面，帮助相关主管部门对关键基础设施进行设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。

本项目将公司的工业互联网探针系统与大数据安全态势感知系统联动，工业互联网流量的接入侧部署工业互联网探针设备，部署方式可串接部署也可以旁路部署。工业互联网探针支持多达30多种工业协议识别，支持用户自定义协议识别和元数据提取，支持协议特征库在线升级，支持实时生成工控设备流量日志，工控设备终端设备应用、行为日志，以及工控设备网关或后台管理中心日志/操作系统日志/数据库等日志。工业互联网流量在经过工业互联网探针后，工业互联网探针将生成的日志送到安全态势感知系统进行数据的分析挖掘与融合，这样可以大大减轻安全态势感知系统的处理压力，提高安全态势感知系统的性能。

1.3 项目目标

本项目以进一步做好省内基础通信企业专线业务管理，强化属地网络信息安全技术监管，根据前期企业调研情况结合工作实际，扩大相关企业专线技术手段建设范围，有效完善体系化的技术保障能力为总体目标。

·全量：全量端口全量数据，实现对省内基础运营商的数据专线类型的全量端口、全量数据全覆盖；

·准确：准确的技术核验手段，实现对省内专线流量和企业上报数据的准确的技术核验手段，有效防止企业漏报、错报；

·多维：多维度的数据分析，实现对省内专线流量多维度的数据分析，形成统一资源池；

·开放：开放的能力平台，实现省通管局统一能力平台的建设，开放端口，能够为其他业务部门提供相应的业务数据支撑；

·安全：安全保障重点用户，对省内政府、化工、能源、工控等关键行业网站的域名、IP、APP、资产信息进行重点保障。

2 项目实施

本项目方案提供工业互联网流量采集、流量清洗、大数据分析与挖掘、工业设备和工业系统资产暴露情况监测、工业互联网安全漏洞扫描、异常流量分析、木马病毒等网络攻击检测与溯源等一站式的解决方案，使工业互联网安全态势感知系统更专业、更高效、更系统。

2.1 项目总体架构和主要内容

（1）总体技术架构

图1 工业互联网安全态势感知系统总体技术架构

·数据源：通过大范围、深层次的数据采集，以及异构数据的协议转换与边缘处理，构建工业互联网平台的数据基础；

·IaaS：IaaS层提供数据导入/导出管理、数据存储、数据标准、元数据管理、血缘分析、数据质量管理等服务；

·PaaS：PaaS层提供资产指纹库、漏洞资源库、研判资源库、安全知识库、业务数据库、专题数据库、以及原始数据库，为DaaS层的数据分析提供数据库；

·DaaS：DaaS层引入人工智能、机器学习以及神经网络等先进大数据分析技术对数据进行分析；

·SaaS：工业互联网对外开放的接口，通过SaaS层对工业互联网的网络安全态势进行安全监测、安全态势分析以及预警处置。

本项目充分利用中新赛克现有技术优势，创新性地将工业互联网探针与智能大数据系统联动使用，开发了工业互联网安全联动解决方案。其中工业互联网探针部署在工业互联网接入侧，利用其高性能的接入和处理能力，灵活的日志和流量内容识别能力，对工业互联网流量进行实时的清洗，分析与转化，将生成的日志信息提供给后面的大数据分析系统，日志的输出比大概为千分之五，即1T的工业互联网数据流量，经过第一级的工业互联网探针处理后，只有5G的流量送给后面的智能大数据分析系统进行网络安全态势的感知。此种方案解决了大数据系统普遍存在的接入能力差，处理性能较弱的问题，此外由于流量已经经过清洗与转换，大大提高了大数据分析系统的处理效率，从而提高了网络安全态势感知的实时性。

图2 工业互联网安全态势感知平台架构

（2）安全解决方案

中新赛克工业互联网安全态势感知系统总体技术方案目标是构建工业互联网安全共同体，如图3所示，以行业/区域监管部门(GOV)为中心，将企业侧工控系统数据、暴露在公网的工业数据以及工业云平台数据接入政府监管部门工业互联网态势感知平台并建立工业安全漏洞数据库，进行实时分析和风险预防，对相关的工业互联网安全风险及漏洞等及时通报给各企业和平台，同时可以通过工业安全漏洞数据库将最新的漏洞、安全风险同步通知各企业、平台做好安全防护工作，从而构建工业互联网共同体。

·在运营商核心路由器上做规则过滤，筛选出工业专线流量，并通过镜像方式将流量接入到工业互联网探针；

·工业互联网探针支持工业协议的解析、工业设备指纹的提取等，对接入的流量进行预处理生成全息日志；

·工业互联网安全监测与态势感知平台对全息日志进行数据治理、数据分析，并结合人工智能等技术进行工业资产、工控漏洞、工业云平台、安全事件的监测。

图3 工业互联网安全联动解决方案网络架构

2.2 安全及可靠性

（1）安全性

系统设计保障用户、业务、数据解耦，确保原始数据安全，同时硬件配备高性能防火墙，身份证识别设备、指纹识别设备、杀毒软件严格防护系统和网络的安全。严格控制数据访问权限，做到“事前申请、事中监控、事后备案”。建立严格的安全授权管理机制。

（2）可靠性

系统设计选用工作性能稳定的软、硬件。保证系统可靠连续7×24小时的无故障运行。数据备份存储，且存储系统布置容灾系统，确保数据存储可靠。

本系统可支持7×24小时稳定运行，软件系统全年无故障率不低于99.999%。

3 未来实施规划

该项目已在某省通信管理局进行部署与实施，从实施效果来看，该项目经受住了实战考验，且基本达到了预期设定的目标，得到了有关主管部门的高度认可，为工业互联网的安全保障提供了有力的支撑。下一步建设的主要内容有：

·完善工业互联网安全联动解决方案在项目实施过程中遇到的问题，进一步的优化此防御体系；

·探索利用区块链、物联网等新技术在工业互联网安全防护的创新应用，有效推动解决设备、控制、网络、平台和数据等多层次安全问题；

·进一步优化可视化界面，做到资产可视、威胁可视、攻击可视、路径可视。

4 项目创新点和实施效果

4.1 项目先进性及创新点

（1）项目的先进性

数据采集设备采用专用硬件，采用业界领先的硬件平台架构，在硬件集成度、处理性能方面处于业界领先水平。

系统软件设计采用当前最新的分布式并行技术，使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、Tensorflow等组件，代表了未来一段时期的技术和方案的发展趋势。系统充分利用目前先进的云计算和海量数据处理关键技术，保证系统技术的前瞻性和先进性。

（2）项目的创新点

·通过建立被动监测为主、主动监测为辅的采集手段、数据核验校正手段，提升省内工业资产数据的准确性、完整性，从而支撑省主管部门摸清家底，了解省内工业设备资产的真实情况；

·该系统行为分析建模能力支持50多种数据建模模型、20多种工业场景模型和机器学习自主建模，具备不依赖规则而检测低概率威胁的能力，有效检测APT攻击和潜伏在网络内部的未知威胁，提升整体网络安全能力；

·海量的数据支撑：PB级海量数据，为各类服务与分析提供了丰富的数据支持。

4.2 实施效果

（1）工业控制系统与设备暴露情况监测实施效果

本项目开发的工业互联网安全联动解决方案通过全面采集和分析工控设备信息，对互联网上的工业控制系统进行扫描探测，定位工控设备位置，最小粒度可定位到某省份的具体某一企业/单位，并进行高度可视化界面呈现，有利于主管部门摸清省内的资产家底。

（2）工业控制系统及设备漏洞态势感知实施效果

省通信管理局通过部署该平台，对全网的工业控制系统以及设备进行全面的扫描，捕捉开放的工控端口， PLC设备漏洞、上位机软件漏洞与弱点、摄像头漏洞、应用程序SQL漏洞、系统文件上传漏洞，并将这些漏洞信息反馈给相关主管部门，再传达到企业进行漏洞的修复，部署之后，企业的网络攻击次数下降非常明显，有效地保护了企业资产，也为相关主管部门做相关决策提供支撑。

（3）木马病毒攻击态势感知与溯源分析实施效果

随着工业互联网的发展，暴露在公网上的工业设备以及控制系统会越来越多，这样就给了一些不法分子通过植入病毒或者木马入侵设备和控制系统的机会。该系统的部署成功拦截了多达几十次的木马与病毒入侵事件，并且威胁溯源分析模块将终端与网关病毒信息日志进行大数据关联分析，进行病毒源精确溯源定位，抓获不法分子，从源头上快速精准消除病毒隐患，大大提高了省内的安全保障能力。

（4）企业安全运维成本实施效果

企业可将暴露在公网上的外部网络的安全维护工作交与本系统，不仅可以节约大量安全运维成本，且安全质量有保障。

摘自《自动化博览》2020年2月刊