工业互联网安全态势感知助力石油石化行业安全防护

工业互联网是与人民群众生活息息相关的重要基础设施，关系着国计民生的钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、水利水电、民航等重要行业。为了保障石油石化行业的安全运营，及时发现和处置运营过程中的潜在威胁风险点，新华三信息安全与石油石化行业用户共同研发并上线了面向石油石化行业的工业互联网安全态势感知平台。

01

应用需求

近年来，新型攻击组织化、目标定向化、手段专业化，让用户往往防不胜防，新型信息安全事件频发。石油石化行业原有的安全防护策略侧重分区隔离、数据加密和边界防护，这些传统的防护措施在有针对性的攻击中存在一定的不足，主要表现在以下方面:

■ 数据采集能力不足

目前石油石化行业信息系统中安全数据采集采用传统模式，数据来源单一，无法支持多维度的大数据分析，不能支撑有效决策。虽然目前已经构建了边界防御为主、兼顾纵深防护的网络安全防护体系，并且内网安全监视平台也将安全设备告警日志进行了收集，但由于使用传统的技术架构、存储的数据量和数据类型限制，防御系统数据源主要以单纯的安全设备为主，没有实现全网流量采集和分析，仅依靠安全设备的日志数据，很难发现潜在风险和未知威胁。

■ 数据分析能力不足

随着网络规模的爆发式增长，石油石化领域网络安全爆发出来的问题越来越多，但网络安全分析还是局限于传统的规则库和黑名单技术，缺乏大数据关联分析和机器学习技术，效率低，费时费力，主要表现在：对重要资产的监控遗漏将导致宕机或业务中断；重要资产出现故障时很难从海量运维指标中迅速找到故障根因；对资产的海量告警信息极大地干扰了故障资产定位问题的速度。目前资产的故障恢复速度基本依赖于人工操作速度，如何有效地对网络中的资产进行异常检测、精准告警、故障定位和故障预测成为亟待解决的问题。

■ 可视化能力不足

网络流量可视化与安全可视化能力不足，不能直观高效地展示、呈现石油石化行业的安全问题。比如，实时了解哪些用户是最活跃，最活跃用户访问了哪些业务系统，访问的流量趋势，需要展示的TOP20关键用户流量，关键业务系统TOP流量及户访问流量趋势，并高亮显示用户访问的业务系统及其流量趋势和任一业务系统高亮显示其被访问的用户。除了攻击类型、攻击趋势、攻击源和攻击目的TOP分析呈现外，还需要展示安全漏洞利用、病毒、蠕虫、木马和恶意代码等风险检测情况。

02

技术特点

针对日益严峻的石油石化行业网络安全运行和管理需求，工业互联网安全态势感知平台基于大数据及人工智能等技术，通过安全分析平台将各安全组件有机结合在一起，对各个组件进行全局统筹和协同响应，构建“云-网-端”协同立体防御体系。同时，建立知识库进行策略管理，根据实时场景自适应决策响应，快速生成应急响应预案，主动将安全策略推送给全网关键安全设备。通过云端检测与边界防御相结合，实时预警和响应安全事件，实现对外部威胁的主动发现。

工业互联网安全态势感知平台系统架构图

该项目的上线实现了实时感知石油石化行业生产系统、设备、平台的安全状况、风险隐患及企业安全管理运行情况等信息，实现对网络安全监测信息的分类汇聚、精准研判；覆盖对云、网、端的工业互联网监测防御，通过多手段、全流程的信息采集和多维度分析，形成工业互联网关键信息基础设施安全自适应监测体系，该项目的主要技术特点如下：

■ 工业互联网智能安全引擎

通过智能工业互联网安全AI模型分析发现威胁，通过机器学习建立操作行为、工控资产及工控流量基线模型，发现异常操作、异常行为、异常流量及恶意攻击流量，通过分类、聚类、回归、深度学习等算法进行模型训练，提供相应的安全AI能力，提升深度防护能力，实现从被动监测到主动防御的跨越，提前预警安全风险。

■ 大数据安全分析技术及平台

在传统数据分析的基础上，构建融合新一代分析技术的安全态势感知分析平台，基于大数据计算及存储模型支撑海量数据的实时及历史分析，建立安全威胁分析模型，实现从传统的静态特征匹配发现威胁到主动关联分析发现威胁，实现海量安全数据的检测，提升深度安全防护能力。

■ 多源异构安全数据采集与处理

通过多源异构安全数据，实现从被动防御到主动监测的数据集合的跨越，数据采集对象范围包括IT基础设施运行状态数据、网络流量数据、日志数据、资产数据、安全告警数据、威胁情报数据、业务数据等，进行内部、外部、情报相关安全数据的全面采集，使安全数据可以反映出所有时段、各个安全层面。

■ 多维度安全态势可视化

通过态势多维监测，实现从被动防御到主动监测的跨越，建立主动防御体系，基于机器学习/人工智能和专家系统，对大范围样本数据进行安全分析，并可视化呈现安全态势、行为审计和设备运维态势。可以非常直观地看到被攻击最频繁的区域、攻击类型分布及趋势、攻击源攻击目的和实时的攻击事件；用户的内网应用流量分布、内网用户访问流量模型；设备的状态，包括高危资产、资产漏洞分布、关键服务器性能监控、关键网络设备负载监控和最新的告警信息。

■ 异常流量多维检测与预警

基于动态流量基线对异常流量进行检查，是提升网络安全的重要手段，通过分析主机流量访问、内网流量访问、互联网出口用户的流量访问以及用户主机的各种流量传输行为，结合机器学习和人工智能算法，准确找到用户与流量之间的基线关系，通过机器学习等算法对潜在的流量异常行为进行挖掘和判断，确保安全合规和信息泄露防护的需求，实现对用户和业务访问的精细化管理

■ 资产/业务安全运维管理

对用户、资产和业务进行关联，聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断，结合大数据的分析方法，全面感知和监控资产的运营状态和安全指数，为运维决策并联动响应处置提供可视化的呈现和简易化的操作。

03

实施效果

石油石化环境下的安全态势感知平台，利用大数据技术对网络安全态势信息进行关联分析、数据挖掘和可视化展示，绘制关键信息基础设施网络安全态势地图，为石油石化行业各项系统安全提供支持。

■ 全网资产监控

为了有效监控在网资产运行及风险状态，快速处置故障及风险事件，系统基于云计算和容器技术进行微服务的自动部署和动态管理，对关键对象状态进行实时监控，对重要资产进行风险分析，能够快速生成配置策略和任务工单，实现运维的响应和处置；同时支持工单的作业化管理，实现工单的自动触发、派发、跟踪、提醒和关闭。

全网资产监控效果图

■ 异常流量检测

基于动态流量基线对异常流量进行检查，是提升网络安全的重要手段，通过分析主机流量访问、内网流量访问、互联网出口用户的流量访问以及用户主机的各种流量传输行为，结合机器学习和人工智能算法，准确找到用户与流量之间的基线关系，通过机器学习等算法对潜在的流量异常行为进行挖掘和判断，确保安全合规和信息泄露防护的需求。

异常流量检测效果图

■ 业务安全运维

聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断，结合大数据的分析方法，全面感知和监控资产的运营状态和安全指数，通过对用户网络安全策略体系与业务系统进行针对性分析，实现安全策略合规矩阵的可视化展示，为运维决策和联动响应提供可视化的呈现和简易化的操作；同时也可以实现对用户的远程代维代管，为后续的安全云运维增值业务的开展提供帮助。

业务安全运维效果图

04

经验总结

本项目主要针对日益严峻的工业互联网安全运行和管理需求，研究应用大数据和机器学习等技术解决工业互联网安全防御面临的监测、分析、决策、响应等问题，为工业互联网网络防御中基于知识的态势管理和智能决策带来新的方法和理念。项目实施过程中的主要经验体会如下：

（2）项目的复杂程度超乎想象，需要找准切入点，分布实施。工业互联网底层有各类工业控制设备；中间层有各类工程师工作站设计，工艺工序编制等系统；上层有各类物料、管理、监控等各类业务系统，在横向上又分为不同的操作区域，使得项目实施、部署、调试、测试都异常复杂，在实施过程中需要找准切入点，先分区分域进行产品部署调试、再进行总体集成联调。返回搜狐，查看更多