1. 产品概述
当前工业网络环境中部署的各类安全设备主要实现单点检测,能力有限,很难应对越来越复杂的网络安全环境,安全事件频繁发生,诸如勒索病毒、APT 攻击、数据泄露等事故经常见诸报端。
针对现状,研发了工业安全态势感知平台,利用多种探针实时采集网络中从区域边界、通信网络到计算环境的多维度数据并进行数据范化,采用关联分析和数据挖掘等技术进行数据分析,最后采用安全可视化手段直观地展示工业网络环境的安全态势,包括资产态势、运行态势、脆弱性态势、网络攻击态势等。通过该平台可以理清网络资产家底、实时监测运行状态、及时发现安全威胁、深度挖掘历史事件,为安全运维提供技术支撑,为安全防护提供监测预警,为等保合规提供辅助指导,为安全事故提供溯源能力,达到“事前预警、事中监测、事后回溯”的效果。
2. 产品架构
工业安全态势感知平台的体系架构图如下所示:
工业安全态势感知平台将数据采集能力、分析能力和应用能力充分解耦,从下到上划分为 6 个层面:
数据采集:被动接收或主动采集从边界到网络到计算环境的各类数据,包括网络通信数据、计算环境数据、业务应用数据、资产数据、漏洞数据、安全事件、运行状态数据、审计日志、工控流量日志和威胁情报数据等。
数据处理:对多源异构数据进行清洗和过滤,将无效数据进行剔除,冗余数据进行合并,从原始数据信息中解析出各个不同的属性信息,将原始数据转换为统一的标准化数据,进行字段补齐、二次映射或特征提取,为后续分析处理提供有效的标准化数据结构。
数据存储:分类存储不同类型的数据,以满足智能分析的要求。针对数据来源、数据格式、数据采集频率和使用方式的不同,提供 SQL 数据库、文件系统、NoSQL 数据库、分布式消息系统等多种数据存储组件以及丰富的数据迁移、备份和归档工具。
数据分析:采用大数据计算框架,利用安全知识图谱、机器学习框架、数据挖掘、统计分析、关联分析、图计算等多种算法模型对数据进行分析,从海量数据中自动挖掘出有价值的信息,支撑业务应用。
监测预警:对分析后的数据进行业务组合,实现安全预警、状态监测、态势感知等功能,生成平台所需的资产态势、脆弱性态势、运行态势、攻击态势等基础态势。在态势分析基础上,进行安全预警提醒管理员进行安全运维。
展现/接口:实现数据的可视化展示,通过大屏展示各业务运行状态、各类网络攻击行为及其引起安全事件、整体安全态势,并提供北向接口,通过标准接口向第三方业务系统提供数据服务。
3. 产品功能
系统支持资产自动发现功能,可探测发现接入工业网络的工控设备、IT 设备、网络设备和安全设备等设备资产。
系统支持多种设备、多种协议、多种格式的日志的采集和标准化处理,涵盖国内外主流厂商的安全设备、网络设备、中间件、数据库、主机、应用及服务日志。
主动采集:即平台主动发起采集动作,这种方式主要针对不具备日志发送功能的设备。
被动接收:即平台被动接收日志数据,这种方式主要针对具备日志发送功能的设备。
系统支持和威努特的其他安全产品一起形成整体解决方案,更有效地采集网络安全态势数据。
系统采用流计算、图计算、数据挖掘等大数据计算技术,从采集范化的海量数据中挖掘分析出有价值的信息,理解网络安全态势。系统内置图计算引擎,支持从实时数据和历史数据挖掘数据关系,通过图计算引擎关联安全事件和资产、漏洞、不合规项以及网络拓扑等多维度数据进行计算分析,发现潜在威胁,减少虚警误报。
系统对网络安全态势从不同维度进行汇总分析,包括资产态势、运行态势、脆弱性态势、网络攻击态势、日志告警趋势,定制 6 个大屏展示界面,支持大屏轮播显示。
资产态势:从不同维度统计资产数据,真正达到“摸清家底”的效果,了解各类资产信息及其部署位置。
运行态势:监视资产运行情况,包括 CPU 利用率、内存利用率等,将资产运行情况划分为 5 个状态:正常、异常、危险、离线、未知。
脆弱性态势:采集资产的脆弱性信息,包括漏洞、高危端口、不合规配置项等,并对这些信息进行统计分析。
网络攻击态势:基于攻击链模型对网络攻击态势进行展示,攻击链包括扫描探测、渗透入侵、下载植入、横向扩散、命令控制和攻击生效共 6 个阶段,覆盖攻击的全生命周期。
日志告警趋势:对接收日志和生成告警的数据进行统计分析,发现数据趋势。
综合安全态势:汇总上述安全态势的重要内容,合并在一个大屏展示。
系统按照攻击链模型对告警实现分场景展示和处置,结合内部知识库以及网络中资产的信息,针对每一条告警信息进行详细分析,包括告警生成的原因、告警可能产生的影响,针对不同类型的告警提供相对的处理建议。
系统采用业界先进的拓扑绘制组件,通过 Web 页面,绘制展示工业网络真实的拓扑结构:支持工业网络的分层分区结构以及各种工业网络设备;支持工业生产组件,比如锅炉、风机、冷却装置等;支持工业厂房、车间等多种建筑实体。
系统支持对已经发生的安全事件进行回溯追查。系统采集记录了大量历史数据,包括网络拓扑结构、用户登录日志、网络会话日志、外设接入日志等。安全事件发生后,系统支持从海量数据中挖掘统计,查找相关的日志记录,回溯攻击发生的历史过程,追查攻击源头、入侵路径和攻击时间轴,最终可以对整个攻击事件进行溯源追踪。
系统支持对目标区域系统进行合规评测,系统通过采集主机终端的配置信息,结合国标或行标的安全要求,检查识别不合规配置,自动计算合规指数,并记录每个区域或系统的合规指数和其变化趋势。
系统支持生成形式多样、图文并茂的专业报表,汇总指定时间期间内的多种安全统计信息,包括资产信息、漏洞信息、合规信息、告警信息等,并给出专业的指导建议,协助安全管理员进行下一步的安全加固。
系统支持完善的数据备份和恢复机制,备份方式包括本地备份和远程备份,全量备份和增量备份,手动备份和自动备份。系统支持从备份数据一键恢复为当时的状态。
4. 产品特点
工业安全态势感知平台,采用无状态并行化扫描技术,支持对网络空间进行高效扫描探测。系统内置超过 500 种国内外主流工控系统厂商的设备指纹,可实现对常见工控资产的无损探测。系统内置工控漏洞库,采用模式匹配的技术实现漏洞识别,基于资产的型号、版本信息,与漏洞详细信息进行比对,在识别资产的同时,自动发现工控设备漏洞,并提供专业的漏洞修补解决方案。
工业安全态势感知平台,配套多种采集探针,支持在各种典型工业场景进行数据采集。针对工业网络中分区隔离的场景,系统支持按规范通过单向隔离装置传输数据,确保可以采集到隔离区域的态势数据。系统拥有强大的日志范化引擎,内置超过 500 条范化规则,可采集处理主机、数据库、网络设备、安全设备等多个厂家多种设备的异构日志,统一进行多维度关联分析。
工业安全态势感知平台,拥有强大的智能分析引擎。平台的关联分析引擎,通过流计算技术对多维度数据进行实时关联分析,迅速识别安全威胁。系统内置超过 100 条关联分析规则,覆盖常见的安全威胁类型和场景。平台采用数据挖掘技术和图计算引擎对资产、拓扑、漏洞、攻击事件及相关历史日志进行分析挖掘,将资产作为图的节点,挖掘相关的安全事件作为有向图中节点的连接关系,自动绘制攻击路径图,并根据时间顺序,以图形化的形式展示基于时间轴的网络攻击过程。
工业安全态势感知平台,采用安全可视化技术,将安全态势以简单直观的图形方式展示出来,让安全管理者对安全态势一目了然。系统将网络拓扑数据、流量会话数据、资产脆弱性数据、时间序列数据等不同类型的数据有机地整合到一起进行可视化展示,采用多种不同的可视化方案,从多个角度全面、准确、直观地展示网络安全态势。
5.客户价值
工业安全态势感知平台,既可以帮助用户满足网络安全等级保护和关键信息基础设施网络安全保护的相关要求,又可以帮助用户检查安全合规要求。
工业安全态势感知平台,采集网络中多种设备的安全日志,将资产、漏洞、不合规项、运行状态、安全威胁等各类数据进行多维关联分析,综合判定系统安全风险,帮助客户快速宏观的了解企业的整体安全态势。系统提供 6 个展示大屏,包括综合安全态势、资产态势、运行态势、脆弱性态势、网络攻击态势、日志告警趋势,从多个维度展示网络安全态势。
工业安全态势感知平台,通过对企业工控网络中的安全设备、网络设备和主机系统等各类资产的统一管理,实时监视网络和资产的运行状态、健康状态和安全状态,以图形化的形式集中展示出来,极大地减少安全管理人员的运维工作量,提高了安全运维效率。
工业安全态势感知平台,通过对海量历史数据的挖掘分析,查找相关的日志记录,回溯攻击发生的历史过程,追查攻击路径和和攻击时间轴,最终实现对整个攻击事件进行溯源分析。对攻击事件的回溯可以发现网络防护的薄弱环节,采取针对性的补救措施,避免同类事件再次发生。