IT 與OT 網(wǎng)絡安全態(tài)勢感知平臺聯(lián)合開發(fā)技術與實踐*

李緒國，曹 瑜，王建興，趙 英

（1.中國航空油料集團有限公司，北京 100088；2.衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，北京 100070）

0 引言

網(wǎng)絡安全態(tài)勢感知平臺作為網(wǎng)絡安全的實時守護者，是實現(xiàn)“全天候全方位感知網(wǎng)絡安全態(tài)勢”的主要手段[1]。隨著國內(nèi)網(wǎng)絡安全形勢日漸嚴峻，企業(yè)紛紛建設網(wǎng)絡安全態(tài)勢感知平臺，但目前尚無統(tǒng)一的網(wǎng)絡安全態(tài)勢感知平臺國家標準。國內(nèi)安全廠商有專門針對信息技術（Information Technology，IT）系統(tǒng)開發(fā)的態(tài)勢感知平臺，也有專門針對工控技術（Operation Technology，OT）系統(tǒng)開發(fā)的態(tài)勢感知平臺。對于具有OT 系統(tǒng)的企業(yè)來說，通常分別建設IT 系統(tǒng)和OT 系統(tǒng)兩套網(wǎng)絡安全態(tài)勢感知平臺，容易造成企業(yè)重復投資建設，也不便于網(wǎng)絡安全統(tǒng)一協(xié)同管控。為解決此問題，本文提出一種IT與OT 網(wǎng)絡安全態(tài)勢感知平臺聯(lián)合開發(fā)技術，并在企業(yè)進行應用實踐。

1 問題及需求

在建設層面，網(wǎng)絡安全態(tài)勢感知平臺作為專業(yè)的網(wǎng)絡安全管控系統(tǒng)，要求操作和使用人員具備較高的專業(yè)知識和實踐經(jīng)驗能力。如果分別建設IT和OT 態(tài)勢感知平臺，企業(yè)需要配備兩個專業(yè)支撐團隊，并分別進行運行維護，同時需要分別建設兩套獨立的數(shù)據(jù)分析和顯示平臺，增加企業(yè)的建設資金投入，在監(jiān)測和運維方面均增加了工作量，不利于企業(yè)的統(tǒng)一管理和使用。

在安全層面，IT 系統(tǒng)和OT 系統(tǒng)都會結合威脅情報進行數(shù)據(jù)分析，并對海量數(shù)據(jù)進行挖掘，以實現(xiàn)對安全事件和威脅事件的深度識別。網(wǎng)絡威脅情報就網(wǎng)絡資產(chǎn)可能存在或出現(xiàn)的風險、威脅，給出相關聯(lián)的環(huán)境、機制、指標、內(nèi)涵及可付諸行動的建議[2]，可為企業(yè)響應相關威脅或風險提供決策幫助。IT 和OT 網(wǎng)絡威脅情報分別揭示了IT 網(wǎng)絡和OT 網(wǎng)絡可能面臨的威脅或危險。對于企業(yè)而言，IT 和OT 是企業(yè)的左右手，相輔相成。目前，IT 系統(tǒng)和OT 系統(tǒng)分別擁有自己的網(wǎng)絡威脅情報庫但無法共享，不能實現(xiàn)安全威脅的協(xié)同感知和統(tǒng)一處置。

在監(jiān)管層面，國家監(jiān)管部門需要統(tǒng)一監(jiān)控IT系統(tǒng)或OT 系統(tǒng)的網(wǎng)絡風險，最終通過一套平臺采集數(shù)據(jù)。

綜上，對于企業(yè)而言，希望擁有IT 與OT 一體化網(wǎng)絡安全態(tài)勢感知平臺，并能實現(xiàn)以下功能：

（1）能夠使用一種探針采集所有數(shù)據(jù)；

（2）能夠統(tǒng)一對企業(yè)各種異常行為以及日志與告警等數(shù)據(jù)進行審計，并形成完整記錄，以實現(xiàn)安全事件取證；

（3）能夠統(tǒng)一識別企業(yè)IT/OT 網(wǎng)絡中潛藏的攻擊者；

（4）能夠統(tǒng)一研判企業(yè)IT/OT 網(wǎng)絡中受害主機資產(chǎn)；

（5）能夠統(tǒng)一呈現(xiàn)企業(yè)IT 系統(tǒng)和OT 系統(tǒng)的綜合態(tài)勢、資產(chǎn)態(tài)勢、漏洞態(tài)勢以及威脅態(tài)勢等內(nèi)容；

（6）能夠對所有數(shù)據(jù)分析結果以圖形、圖表和報告等多種形式在統(tǒng)一的界面上進行直觀展示；

（7）能夠把IT/OT 威脅情報庫與漏洞庫進行統(tǒng)一管理，并支持統(tǒng)一更新；

（8）能夠兼顧國家部委網(wǎng)絡安全監(jiān)管需求，預留相關對接接口，統(tǒng)一上報數(shù)據(jù)并統(tǒng)一接收威脅情報。

2 聯(lián)合開發(fā)技術路線

2.1 通用技術架構

綜合分析文獻[3-10]可以看出，不論IT 系統(tǒng)態(tài)勢感知平臺還是OT 系統(tǒng)態(tài)勢感知平臺，常用技術架構均由數(shù)據(jù)采集層、數(shù)據(jù)處理與分析層以及展示層組成，如圖1 所示。

圖1 IT/OT 態(tài)勢感知平臺技術架構

（1）數(shù)據(jù)采集層。通過流量探針采集網(wǎng)絡中的原始流量、監(jiān)測數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、終端行為、審計數(shù)據(jù)和元數(shù)據(jù)等各種信息，構成態(tài)勢感知平臺的大數(shù)據(jù)源。IT 系統(tǒng)和OT 系統(tǒng)的區(qū)別在于采集源和側重點不同。其中，IT 系統(tǒng)主要采集通用網(wǎng)絡設備、安全設備以及終端等數(shù)據(jù)，OT 系統(tǒng)主要采集現(xiàn)場工業(yè)控制設備、自動化設備、控制監(jiān)控系統(tǒng)以及終端等數(shù)據(jù)。

（2）數(shù)據(jù)處理與分析層。數(shù)據(jù)處理與分析層將匯聚到的數(shù)據(jù)進行存儲、清洗以及分析處理。對于數(shù)據(jù)分析的技術和方法，IT 態(tài)勢感知和OT 態(tài)勢感知類同，都會采用關聯(lián)分析、機器學習等技術，根據(jù)各自不同的特征向量和使用場景進行訓練，構建專用規(guī)則模型，再結合各自威脅情報庫對數(shù)據(jù)進行分析和研判。

（3）展示層。展示層主要以可視化方式呈現(xiàn)分析結果，并提供多種措施管理企業(yè)的資產(chǎn)、日志、告警以及漏洞等信息，協(xié)同處置高風險行為。IT 系統(tǒng)和OT 系統(tǒng)展示層均有對系統(tǒng)資產(chǎn)、漏洞、威脅以及態(tài)勢等情況的展示，功能類同。

2.2 聯(lián)合開發(fā)技術路線

通過對IT 和OT 態(tài)勢感知平臺技術架構的分析和研究可以看出，二者在技術架構和功能上均有類同，只是各自實現(xiàn)方式不同。因此，本文提出把IT系統(tǒng)和OT 系統(tǒng)態(tài)勢感知平臺進行技術融合，聯(lián)合開發(fā)統(tǒng)一的態(tài)勢感知平臺（以下簡稱“融合態(tài)勢感知平臺”）。根據(jù)態(tài)勢感知平臺技術架構，聯(lián)合開發(fā)意味著在技術架構的3 個層次上進行融合。

對于數(shù)據(jù)采集層，需要開發(fā)一款采集探針，能夠同時采集IT 和OT 的數(shù)據(jù)。由于IT 與OT 部署的物理位置與數(shù)據(jù)采集內(nèi)容的側重點不同，即使技術融合后也需分開部署。再由于IT 和OT 系統(tǒng)內(nèi)使用協(xié)議和采集數(shù)據(jù)類型不同，數(shù)據(jù)結構差異較大，需要統(tǒng)一數(shù)據(jù)結構和標準后融合，難度較大。

對于數(shù)據(jù)分析層，IT 與OT 采用的技術類同，只是數(shù)據(jù)模型、規(guī)則和協(xié)議不同，可進行數(shù)據(jù)融合分析。對于情報庫，可根據(jù)情報類型和屬性進行分類，融合成統(tǒng)一的情報庫。

對于展示層，主要以可視化界面為主，可融合為統(tǒng)一的展示效果，較易融合。

可以看出，3 個層次融合的難度為采集層＞數(shù)據(jù)分析層＞展示層。本文基于聯(lián)合技術開發(fā)難度和投入成本等因素，提出階段式融合方式。

第一階段，實現(xiàn)最利于企業(yè)操作實踐的部分功能融合。將IT 和OT 兩套態(tài)勢感知平臺展示功能和部分數(shù)據(jù)分析功能融合在一起，實現(xiàn)統(tǒng)一的分析和可視化展示效果，使企業(yè)能夠在融合的展示界面上看到整體風險和威脅情況，并能進行統(tǒng)一的協(xié)同處置。

第二階段，在部分功能融合的基礎上，對數(shù)據(jù)處理與分析層和采集層進行深度融合，最后形成一套統(tǒng)一的平臺，實現(xiàn)IT 和OT 態(tài)勢感知平臺的全面功能融合。

2.2.1 部分功能融合

（1）技術路線。部分功能融合為保留兩個平臺各自獨立的數(shù)據(jù)采集層和數(shù)據(jù)分析層，在展示層面融合部分核心功能，在保持主題風格、操作邏輯等可視化內(nèi)容統(tǒng)一的前提下整合技術架構，把IT與OT 各自的特色功能統(tǒng)一展示。在數(shù)據(jù)與功能層面，融合IT 和OT 數(shù)據(jù)分析功能及分析結果，并對分析結果結合IT 和OT 大環(huán)境再次進行關聯(lián)分析和深度挖掘，能夠對攻擊殺傷鏈[11]的7 個步驟進行更深層次探測，精準識別風險。在系統(tǒng)運行層面仍為兩個獨立運行的平臺，不融合情報庫和采集探針。技術融合部分如圖2 中粗線框圖所示。

圖2 部分功能融合技術路線

（2）實現(xiàn)方式。繼承IT 和OT 系統(tǒng)已有的態(tài)勢感知產(chǎn)品的技術和功能，進行IT 和OT 態(tài)勢感知呈現(xiàn)和展示功能的統(tǒng)一化設計，分兩步實現(xiàn)。

第1 步：以其中一個態(tài)勢感知平臺的前端業(yè)務處理為基礎，在繼承和沿用IT 和OT 態(tài)勢感知平臺的主要功能和模型算法的基礎上，通過實現(xiàn)統(tǒng)一的數(shù)據(jù)交互接口和統(tǒng)一的用戶認證授權接口，實現(xiàn)兩個態(tài)勢感知分析數(shù)據(jù)和前端業(yè)務的融合。此步的關鍵點在于把IT 和OT 各自的安全分析結果數(shù)據(jù)通過關聯(lián)分析模型，從攻擊鏈、攻擊源以及時間關聯(lián)性等角度進行二次分析，為最終的綜合態(tài)勢提供數(shù)據(jù)支撐。同時，為了使IT 和OT 兩個平臺結合為一個有機的整體，需要把前端頁面整合在同一個前端框架中，而后端的數(shù)據(jù)分布在兩個分析平臺上。所以，需要進行統(tǒng)一數(shù)據(jù)交互接口、統(tǒng)一用戶認證授權接口等融合性開發(fā)，以實現(xiàn)數(shù)據(jù)分析功能分布式部署、前端管理呈現(xiàn)高度集成的效果。

第2 步：把IT 和OT 的分析結果統(tǒng)一匯總并進行關聯(lián)分析后，在統(tǒng)一設計的界面上呈現(xiàn)IT 和OT融合的態(tài)勢分析效果。

（3）實現(xiàn)功能。第一，能夠統(tǒng)一識別企業(yè)IT和OT 網(wǎng)絡中潛藏的攻擊者；第二，能夠統(tǒng)一研判企業(yè)IT 和OT 網(wǎng)絡中受害主機資產(chǎn)；第三，能夠統(tǒng)一對企業(yè)各種異常行為、日志與告警數(shù)據(jù)進行審計，形成完整記錄，實現(xiàn)安全事件取證；第四，能夠統(tǒng)一呈現(xiàn)企業(yè)IT 系統(tǒng)和OT 系統(tǒng)綜合態(tài)勢、資產(chǎn)態(tài)勢、漏洞態(tài)勢以及威脅態(tài)勢等內(nèi)容；第五，能夠對所有數(shù)據(jù)分析結果以直觀的圖形、圖表和報告等多種形式呈現(xiàn)在統(tǒng)一的界面上。

2.2.2 全面功能融合

（1）技術路線。在部分功能融合的基礎上，實現(xiàn)IT 和OT 兩個態(tài)勢感知平臺系統(tǒng)層、數(shù)據(jù)處理層、采集層以及威脅情報庫的全面融合。以任一方態(tài)勢感知平臺系統(tǒng)層為基準，重新開發(fā)另一方態(tài)勢感知平臺系統(tǒng)層并進一步全面對接，最終形成統(tǒng)一的平臺。優(yōu)先把平臺系統(tǒng)層和數(shù)據(jù)分析層進行融合，再把采集探針和情報庫進行融合。融合部分如圖3中粗線框圖所示。

圖3 全面功能融合技術路線

（2）實現(xiàn)方式。采用共用平臺和共用技術架構統(tǒng)一IT 和OT 態(tài)勢感知的技術平臺、數(shù)據(jù)采集器、數(shù)據(jù)采集和存儲架構、數(shù)據(jù)分析引擎、情報庫和業(yè)務邏輯。分3 步實現(xiàn)全面融合。

第1 步：開發(fā)一款采集探針，既能采集IT 數(shù)據(jù)又能采集OT 數(shù)據(jù)，完成數(shù)據(jù)采集分析功能和數(shù)據(jù)格式的統(tǒng)一。此步的關鍵點在于研究分析IT 和OT 數(shù)據(jù)在資產(chǎn)、事件、漏洞以及告警等方面的共性與特性，設計一套兼容IT 和OT 數(shù)據(jù)的數(shù)據(jù)標準，定義統(tǒng)一的數(shù)據(jù)格式，并依此標準開發(fā)IT 和OT 數(shù)據(jù)采集探針，對采集的數(shù)據(jù)進行統(tǒng)一清洗、入庫。

第2 步：以IT 或OT 一方平臺為基礎，在其上完成另一方特性功能模塊開發(fā)與數(shù)據(jù)融合。例如，以OT 態(tài)勢感知平臺為基礎作為融合平臺，在其上增加如IT 網(wǎng)處置機制、監(jiān)管機構對接接口以及IT網(wǎng)智能檢測等功能，并進行適應性研發(fā)。

第3 步：完成兩套情報庫的融合。分析IT 和OT 兩套情報庫的情報類別、條目以及數(shù)據(jù)結構等內(nèi)容，設計一套兼容IT 和OT 情報的數(shù)據(jù)結構，對兩套情報庫的數(shù)據(jù)根據(jù)統(tǒng)一的數(shù)據(jù)結構進行格式轉換，并進行統(tǒng)一的存儲和發(fā)布，形成一套情報庫。

（3）實現(xiàn)功能。在部分功能融合開發(fā)實現(xiàn)功能的基礎上，增加下列功能：能夠使用一種探針采集所有數(shù)據(jù)；能夠將IT 和OT 威脅情報庫與漏洞庫進行統(tǒng)一管理，并支持統(tǒng)一更新；能夠兼顧國家部委網(wǎng)絡安全監(jiān)管需求，預留相關對接接口，統(tǒng)一上報數(shù)據(jù)并統(tǒng)一接收威脅情報。

3 應用實踐

本文設計的IT 與OT 網(wǎng)絡安全態(tài)勢感知平臺聯(lián)合開發(fā)技術已在中國航空油料集團有限公司成功進行建設實踐。前期先進行部分功能融合，最終采用全面融合方式實現(xiàn)該企業(yè)管理信息系統(tǒng)與工業(yè)控制系統(tǒng)網(wǎng)絡安全態(tài)勢感知平臺的全面功能融合，形成了統(tǒng)一高效的網(wǎng)絡安全通報預警和協(xié)同響應工作機制。

采用部分功能融合形式，在該企業(yè)使用一套統(tǒng)一的網(wǎng)絡安全態(tài)勢感知界面對管理信息系統(tǒng)和工業(yè)控制系統(tǒng)的網(wǎng)絡安全威脅情況進行統(tǒng)一的分析和處置，呈現(xiàn)效果如圖4 所示。

圖4 中國航油融合態(tài)勢感知平臺應用效果

應用融合態(tài)勢感知平臺后，整合中國航油現(xiàn)網(wǎng)存量網(wǎng)絡安全資源，使“安全防御孤島”產(chǎn)生協(xié)同效應，建立了管理信息系統(tǒng)和工業(yè)控制系統(tǒng)綜合的大數(shù)據(jù)處理、威脅研判、應急響應、信息共享以及協(xié)同工作機制。

4 技術創(chuàng)新性

（1）采用多元數(shù)據(jù)采集技術，統(tǒng)一IT 系統(tǒng)與OT 系統(tǒng)數(shù)據(jù)標準，為關聯(lián)分析提供泛化的數(shù)據(jù)源；

（2）構建IT 系統(tǒng)和OT 系統(tǒng)關聯(lián)分析的數(shù)據(jù)模型和綜合研判檢測規(guī)則，兼顧IT 系統(tǒng)和OT 系統(tǒng)的攻擊特征，能夠更深層次地探測攻擊殺傷鏈的7個步驟，更精準地識別企業(yè)網(wǎng)絡中存在的安全風險和威脅；

（3）實現(xiàn)IT 系統(tǒng)與OT 系統(tǒng)情報庫的統(tǒng)一分類和融合；

（4）實現(xiàn)IT 系統(tǒng)和OT 系統(tǒng)一體化網(wǎng)絡安全風險管控。

5 結語

本文提出的IT 與OT 網(wǎng)絡安全態(tài)勢感知平臺聯(lián)合開發(fā)技術，借助統(tǒng)一的態(tài)勢感知平臺實現(xiàn)企業(yè)辦公網(wǎng)安全和工業(yè)控制系統(tǒng)網(wǎng)絡安全的關聯(lián)分析和綜合態(tài)勢感知呈現(xiàn)，建立形成覆蓋企業(yè)信息系統(tǒng)和工控系統(tǒng)的“感知—預警—評估—處置”閉環(huán)管控機制，有力提升了企業(yè)的網(wǎng)絡安全整體防御能力。