態(tài)勢感知平臺在智能制造領域的解決方案研究

閆懷超，徐 超

(上海工業(yè)自動化儀表研究院有限公司，上海 200233)

0 引言

中國智能制造處于初級的發(fā)展階段，特別是在智能化方面，相比在20世紀70年代就已經(jīng)發(fā)力智能制造的西方發(fā)達國家，中國智能制造發(fā)展起步已經(jīng)晚了幾十年[1]。智能制造發(fā)展經(jīng)歷了機械代替人工，到人力輔助的半自動化，再到初步智能化。隨著信息技術和自動化技術的高速發(fā)展，未來會由初步智能化向個性化、定制化的智能制造方向發(fā)展。在我國“互聯(lián)網(wǎng)+”、“中國制造2025”戰(zhàn)略部署和“兩化深度融合”的大趨勢下，發(fā)展智能制造產(chǎn)業(yè)已是必然的趨勢。但是，智能制造系統(tǒng)在開發(fā)設計、部署實施及運行維護階段對安全尤其是信息安全考慮甚少。在系統(tǒng)運行過程中，控制系統(tǒng)運行失效、系統(tǒng)宕機、信息泄露、感染蠕蟲病毒等安全事件時有發(fā)生。智能制造企業(yè)在安全防護方面大多面臨著以下問題。第一，檢測能力不足。對于安全威脅無法做到及時發(fā)現(xiàn)，也會出現(xiàn)誤報甚至可能帶來重大損失。第二，響應能力不足。對于大型企業(yè)來說，網(wǎng)絡邊界的不斷擴大與安全人員的缺乏一直成反比例關系，應急響應能力也是差強人意。第三，應用安全不足。 智能控制系統(tǒng)復雜，如果不及時更新，應用的漏洞得不到及時修補，留下了極大的安全隱患。保障智能制造系統(tǒng)安全運行，減少系統(tǒng)在計劃以外的停機時間，建立更穩(wěn)定、更高效、更安全的工業(yè)體系，已成為當下研究的重要議題。

本文以國內某電氣設備公司建立的智能工廠為例，基于智能工廠已采取的信息安全防護工作的現(xiàn)狀，采用態(tài)勢感知技術，構建了企業(yè)級的態(tài)勢感知平臺。該平臺對現(xiàn)有的信息安全防護體系進行了優(yōu)化，加強了智能工廠在安全預警、漏洞檢測、應急響應等方面的能力，保障了業(yè)務的連續(xù)性。

1 態(tài)勢感知平臺簡介

“態(tài)勢感知”作為近年來的新興詞匯，逐漸展露出其技術的優(yōu)勢。態(tài)勢感知是以信息安全系統(tǒng)收集到的海量數(shù)據(jù)為基礎，從整體的角度提升業(yè)務系統(tǒng)對安全威脅的發(fā)現(xiàn)與識別、理解與分析、響應與處置等能力的一種方式。對于智能制造企業(yè)而言，建設企業(yè)級安全態(tài)勢感知平臺非常重要[2]。平臺的建立可以解決企業(yè)內典型網(wǎng)絡安全設備的安全日志等信息的實時集中匯集、綜合分析、態(tài)勢感知、實時異常報警、人員安全培訓等問題，可有效提升智能制造行業(yè)網(wǎng)絡安全監(jiān)測和態(tài)勢感知能力，實現(xiàn)網(wǎng)絡安全事件和風險的監(jiān)測、分析、審計、追蹤溯源和風險可視化；增強工控網(wǎng)絡安全情報共享和預警通報能力，實現(xiàn)跨部門之間信息共享和預警通報的通道，做到信息共享和預警通報及時、客觀、準確、完整，切實提升智能制造企業(yè)網(wǎng)絡安全的應急指揮和處置能力。

企業(yè)級態(tài)勢感知平臺是一款面向汽車電子、智能制造、石油石化、能源等行業(yè)等客戶，專注于系統(tǒng)風險的分析、發(fā)現(xiàn)、評估、可視化的平臺。企業(yè)級態(tài)勢感知平臺功能如圖1所示。平臺專注于從網(wǎng)絡入侵預警、流量檢測、設備漏洞、高危行為、安全策略優(yōu)化五大部分進行安全態(tài)勢感知，能夠覆蓋各種安全運營場景。

圖1 企業(yè)級態(tài)勢感知平臺功能示意圖Fig.1 Enterprise-level security situational awareness platform capabilities

企業(yè)級態(tài)勢感知平臺邏輯架構如圖2所示。

圖2 企業(yè)級態(tài)勢感知平臺邏輯架構圖Fig.2 Enterprise-level security situational awareness platform logical architecture

平臺采用數(shù)據(jù)采集、數(shù)據(jù)存儲、大數(shù)據(jù)分析和應用服務四層邏輯架構設計[3]，以自動化平臺運維系統(tǒng)和安全技術服務體系為保障。

①數(shù)據(jù)采集層。

為實現(xiàn)監(jiān)測平臺的價值，首先需要對安全相關數(shù)據(jù)做到全網(wǎng)采集，形成統(tǒng)一的數(shù)據(jù)池，為應用系統(tǒng)開發(fā)提供基礎支撐。采集數(shù)據(jù)包括安全設備數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、安全事件等信息。

②數(shù)據(jù)存儲層。

數(shù)據(jù)存儲層為整個系統(tǒng)提供了底層的數(shù)據(jù)存儲服務，工業(yè)信息安全集中化監(jiān)測平臺需要采集存儲分析海量數(shù)據(jù)。因此，為了支持本地海量數(shù)據(jù)的存儲與快速查詢，數(shù)據(jù)中心采用Logstash & ElasticSearch(NoSql)的智能檢索引擎，支持大量的數(shù)據(jù)搜索請求和數(shù)據(jù)存儲等需求，從而獲得更高的查詢性能。

③大數(shù)據(jù)分析層。

大數(shù)據(jù)分析層為上層應用系統(tǒng)提供數(shù)據(jù)加工、統(tǒng)計、計算等相關能力[4]。該層根據(jù)數(shù)據(jù)處理方式的不同，又分為實時計算與離線計算兩部分模塊。其中，實時計算主要用于處理大量告警以實現(xiàn)對高價值告警信息的篩選和過濾。同時，該層可以針對這類告警輸出實時的統(tǒng)計分析結論，進行告警歸并處理；并在上層提供多種查詢、分析及計算引擎以支撐不同的應用子系統(tǒng)，為上層應用系統(tǒng)提供數(shù)據(jù)支撐。

④應用服務層。

根據(jù)平臺建設目標和實際業(yè)務需求，應用服務層提供包括工業(yè)安全監(jiān)測、態(tài)勢感知呈現(xiàn)、資產(chǎn)管理、預警通報處理、資產(chǎn)分析管理、情報信息管理、應急資源管理、應急協(xié)調調度等業(yè)務應用模塊[5]。

⑤安全技術服務保障體系。

工控安全綜合管理平臺綜合了本地和云端的安全服務專業(yè)技術人員，需要根據(jù)實際需求對相關服務內容進行選擇，各崗位之間緊密配合。

企業(yè)級態(tài)勢感知平臺可以收集各種安全數(shù)據(jù)，利用大數(shù)據(jù)技術結合威脅情報進行集中處理、關聯(lián)分析，再利用可視化技術，將各種安全事件進行可視化呈現(xiàn)，為安全運營提供可靠的信息數(shù)據(jù)支撐[6]。平臺專注于從網(wǎng)絡入侵、流量檢測、設備漏洞、高危行為、安全策略優(yōu)化五大部分進行安全態(tài)勢感知，能夠覆蓋各種安全運營場景。

2 項目簡介及問題分析

2.1 項目背景

北京某電氣設備公司(以下簡稱“公司”)的智能工廠骨干網(wǎng)是工廠的核心網(wǎng)絡系統(tǒng)。加固后的網(wǎng)絡架構如圖3所示。

圖3 加固后的網(wǎng)絡架構圖Fig.3 Reinforced network architecture diagram

核心網(wǎng)絡系統(tǒng)的基本業(yè)務包括：Internet接入及基本的DNS、Mail等基本網(wǎng)絡服務；對TC卷、TCweb、MES、EP、文件、SVN服務等其他業(yè)務系統(tǒng)的互聯(lián)、承載和傳輸。

根據(jù)業(yè)務類型，可以把該核心網(wǎng)絡的功能分為以下三個部分。

①互聯(lián)網(wǎng)接入服務：通過電信專線接入方式，向移動接入用戶提供訪問互聯(lián)網(wǎng)接入服務，向內部員工提供Internet接入服務，并為集團用戶提供VPN接入服務[7]。另外，為了配合接入業(yè)務的需要，網(wǎng)絡還提供了DNS、Mail等基本服務。

②業(yè)務承載服務：提供內部業(yè)務系統(tǒng)之間的互聯(lián)互通。目前，核心網(wǎng)絡上承載的業(yè)務系統(tǒng)主要包括：TeamCenter、ERP、MES、WMS、OA、CRM、SVN、IP-GUARD、FTP、FAB等系統(tǒng)不同網(wǎng)元的互聯(lián)互通[8]。

③網(wǎng)絡互聯(lián)：該層網(wǎng)絡作為集團網(wǎng)絡的一部分，提供了與集團下游公司、其他系統(tǒng)的互聯(lián)。

通過對公司信息安全基本現(xiàn)狀放進行科學、全面的調研分析，準確了解了各單位各信息系統(tǒng)的功能作用、系統(tǒng)架構以及在安全方面存在的隱患和弱點[9]；按照“分區(qū)分域、邊界防護”的原則，最終完成了頂層信息安全設計和基礎安全加固工作。現(xiàn)有網(wǎng)絡架構主要實現(xiàn)以下功能。

①按照不同區(qū)域，劃分VLAN，實現(xiàn)辦公網(wǎng)和服務器區(qū)之間的邏輯隔離。

②在外網(wǎng)和辦公網(wǎng)之間增設邊界防護，包括防火墻、上網(wǎng)行為管理。

③移動用戶如需接入公司W(wǎng)iFi熱點，需要先通過身份認證后，才可連入。

2.2 問題分析

雖然公司對信息安全基本現(xiàn)狀進行了科學、全面的調研分析，并針對安全方面存在的隱患和弱點作了相應的信息安全加固，但經(jīng)過對資產(chǎn)、脆弱性和威脅進行識別，重新進行信息安全風險評估，發(fā)現(xiàn)公司智能制造系統(tǒng)仍存在以下問題。

①應用系統(tǒng)對安全控制措施的要求不明確。

②業(yè)務連續(xù)性層面的制度不完備。

③部分服務器有管理員密碼一致的情況。

④缺乏手段對監(jiān)控人員進行行為審計。

⑤對日志中的異常行為的跟蹤和分析不完善。

⑥缺乏對應急預案的定期演練和測試。

⑦IPS等網(wǎng)關型設備缺乏有效的配置、管理和維護，導致鏈路中斷。

⑧服務器和終端都直接連接核心H3C交換機上，存在比較大的安全風險。

⑨在內部核心系統(tǒng)，沒有網(wǎng)絡入侵監(jiān)控措施，對內外網(wǎng)非法用戶的入侵行為以及蠕蟲感染活動不能及時檢測和控制。

此外，各集團系統(tǒng)各子系統(tǒng)的安全控制與措施大多獨立考慮，部分系統(tǒng)甚至缺少基本的安全策略。安全主線和安全規(guī)劃只解決了局部問題，而未能從整體解決安全問題，從而降低了整體的安全效率，造成多個信息安全孤島的出現(xiàn)。

由以上總結可看出，目前公司的安全技術架構、安全技術手段的使用效率、管理和運維體系的完備性和執(zhí)行程度上都還有很大的改進、提升、完善空間。

3 解決方案設計

根據(jù)公司風險評估發(fā)現(xiàn)的問題，提出以態(tài)勢感知系統(tǒng)為核心，安全策略、管理體系、技術體系和運維體系共同支撐公司信息安全保障體系框架。

在安全策略方面，應用態(tài)勢感知平臺的監(jiān)測信息庫、現(xiàn)場環(huán)境庫與威脅情報庫的信息資源，結合自身的安全環(huán)境，制訂完善的信息安全策略體系文件，解決公司應用系統(tǒng)對安全控制措施、安全主線和安全規(guī)劃不足的問題。

在管理體系方面，將“安全策略方面”提出的目標和原則形成具體的、可操作的信息安全管理制度，組建信息安全組織機構；結合態(tài)勢感知平臺在應用服務層中部署的態(tài)勢感知呈現(xiàn)、資產(chǎn)管理的功能，加強對人員安全的管理，提高全行業(yè)的信息安全意識和人員的安全防護能力，解決運維人員操作不規(guī)范、信息安全意識不足的問題。

態(tài)勢感知平臺解決方案如圖4所示。態(tài)勢感知平臺將在互聯(lián)網(wǎng)接入服務、業(yè)務承載服務以及網(wǎng)絡互聯(lián)等關鍵節(jié)點處部署采集服務器，對核心交換設備、服務器進行數(shù)據(jù)采集并上傳至數(shù)據(jù)處理庫。經(jīng)過數(shù)據(jù)的預處理、數(shù)據(jù)格式化、數(shù)據(jù)過濾、數(shù)據(jù)歸并操作，進入大數(shù)據(jù)分析層，經(jīng)過大數(shù)據(jù)的分析，最終通過態(tài)勢感知呈現(xiàn)功能，展示給用戶。用戶基于本平臺，可高效地實現(xiàn)資產(chǎn)安全狀況的統(tǒng)一管理和安全風險的智能分析，使工業(yè)企業(yè)的利益受損風險降低，從而有效解決公司因缺乏相關信息安全預警與防護設備帶來的風險和問題。

在運維體系方面，制訂和完善各種流程規(guī)范，制訂階段性工作計劃，結合態(tài)勢感知平臺應用服務層的檢測評估、預警通報處理、應急協(xié)調調度、應急資源管理等功能，開展信息安全風險評估，規(guī)范產(chǎn)品與服務采購流程；同時，堅持做好日常維護管理、應急計劃和事件響應等方面的工作，以保證安全管理措施和安全技術措施的有效執(zhí)行。

公司建成的態(tài)勢感知平臺包含了以下三方面：第一，態(tài)勢感知平臺安全設備運維模塊，實現(xiàn)對所屬工控安全設備的統(tǒng)一集中管理，提升運維人員工作效率，降低出錯風險；第二，態(tài)勢感知平臺智能分析模塊，實現(xiàn)對企業(yè)或行業(yè)的工業(yè)信息安全整體安全感知；第三，態(tài)勢感知平臺可視化監(jiān)管模塊，實現(xiàn)了安全風險從發(fā)現(xiàn)到預警到處置的流程閉環(huán)，通過貼近用戶場景的顯示屏，能夠全方位地了解當前網(wǎng)絡的資產(chǎn)分布和威脅態(tài)勢[9-10]。

圖4 態(tài)勢感知平臺解決方案Fig.4 Situational awareness platform solution

4 結論

企業(yè)級態(tài)勢感知平臺采用安全可控的技術，對生產(chǎn)系統(tǒng)、設備、平臺的安全狀況、風險隱患及企業(yè)安全管理運行情況等信息進行實時監(jiān)測與安全趨勢預測，實現(xiàn)對網(wǎng)絡安全監(jiān)測信息的分類匯聚、精準研判。平臺能有效幫助公司提高對自己業(yè)務系統(tǒng)的安全監(jiān)測能力，切實保障智能制造過程的連續(xù)性和可靠性。對于中小企業(yè)來說，網(wǎng)絡安全需求主要還是運行可靠性和對降本增效、節(jié)能環(huán)保方面帶來的影響。企業(yè)級態(tài)勢感知平臺讓企業(yè)在少投入，甚至不投入的情況下，就可以對自身業(yè)務系統(tǒng)有一定安全風險認識。在發(fā)生工業(yè)信息安全問題或事件時，該平臺能對企業(yè)進行及時和正確的安全引導，從而避免因為信息安全而導致的生產(chǎn)、運營事故的發(fā)生，降低對企業(yè)自身的經(jīng)濟損失和社會影響，確保企業(yè)的品牌和聲譽。未來可通過開展智能制造網(wǎng)絡安全試點示范，不斷提煉和總結有效的經(jīng)驗和模式，形成行業(yè)的最佳實踐經(jīng)驗，保障智能制造的安全發(fā)展。