北京启明星辰信息安全技术有限公司 北京市 100085
摘要:近年来在“互联网+先进制造业”时代背景下,船舶行业尤其船舶制造工业方面的信息化与工业化不断进行深度融合,朝着智能化、信息化和数字化方向发展提高的同时,也面临这由于开放而带来的网络安全威胁,工信部、交通运输部和国防科工局2018年底印发的《智能船舶发展行动计划》也提及了“要充分利用相关行业科研基础和科技成果,加强网络与链路安全、系统硬件与软件安全、数据安全等方面应用安全研究,全面提升智能船舶网络信息安全防护能力,确保安全、可靠、可控”。船舶制造企业做为重点行业企业为了确保生产安全,打造工控安全态势感知能力必将是构建企业安全防护体系的重要一环。
关键字:信息安全;船舶行业;态势感知
1 船舶制造工控网络脆弱性分析
1.1资产梳理困难
在船舶行业工控网络中,工业控制系统管理者和使用者有可能分数不同部门,系统建设完成后基本就没有相关人员进行资产梳理和拓扑更新,且工业控制系统大多位于现场,资产的梳理就比较困难。
1.2工控漏洞逐年增加
近年来工业控制系统软件、硬件以及协议层面的漏洞数量呈现逐年增加的趋势,工控网络的漏洞修复速度难以跑赢攻击者的漏洞利用速度,船舶制造工控网络安全脆弱性将长期存在。
1.3威胁感知能力偏弱
船舶制造企业由于安全人才缺乏和相关制度不完善,导致企业对自身当前的安全态势不了解,这就造成了船舶制造企业工控网络安全防护工作攻防严重不对等,那么可以预见在船舶制造工控网络发生安全威胁事件后,其响应处理机制会明显无法适应网络威胁攻击的节奏,网络威胁造成的经济破坏或敏感数据外泄的后果可能也无法评估,更无法有效评估安全威胁事件对企业整体的影响情况。
1.4安全事件发现能力差
在船舶制造企业的信息安全设备品牌不同或第三方实施人员在实施过程中仅满足了安全设备可用的目的,导致各安全设备之间处于各自为战的状态,网络中未统一对设备及日志进行统一管理,使得各类安全事件不能统一收集、分析、不易关联分析安全设备间的事件和日志,难以及时发现复杂的问题,无法形成协同安全防护的体系。
2 工控安全态势感知系统在船舶制造行业的应用
针对船舶制造工控网络面临的安全威胁,通过在船舶制造工控网络中部署工控安全态势感知系统可以帮助企业实时全局掌握工控网络安全态势,工控安全态势感知系统通过部署的网络探针可以实现对船舶制造行业工控网络的资产感知、威胁感知、脆弱性感知、流安全感知、风险感知及整体的安全态势帮助船舶制造企业能够及时发现工控网络异常行为,并能够有效协助运维人员快速解决故障和事件。与此同时能够让企业工控网络安全融入“国家-省-企业”三级架构中,为实现 “全国一盘棋”的工业互联网安全风险实时监测、动态感知、快速预警的监测保障体系贡献企业力量和提升船舶制造工控网络自身安全防护能力。工控安全态势感知系统在船舶制造工控网络中主要作用如下:
2.1工业资产管理
工业资产管理主要指船舶制造网络中信息安全相关的物理资产,船舶企业在舰船生产建造过程涉及钢材分类加工处理、结构件分段制造、结构焊接装配、结构检验、涂装、系泊试验等多种流程和工艺,各道流程工艺均需要专门的工作场,并且位置分散。采用了数控机床、工控信息采集、检测工业设备、工控焊接设备、工控吊装设备、工控试验等工控系统。通过对船舶制造网络流量的梳理,资产管理内提供多种工控设备图标,用户可以自定义配置。资产的分类可以按车间、部门等进行分类,并对资产提供标签备注功能。
资产感知也会融合工控安全态势感知系统所收集的各类攻击威胁信息和脆弱性信息,形成被保护资产及业务对象视角的安全态势。
2.2脆弱性感知
船舶制造网络脆弱性感知的信息来源自各类无损脆弱性扫描器的扫描结果信息,船舶制造网络与传统IT网络不同,在船舶制造网络中的必须使用无损扫描技术,以防止对生产环境的破坏,经过对各类脆弱性信息的分析处理,结合安全对象信息,漏洞感知可以从资产类型、安全域和业务系统维度进行漏洞态势的呈现。
2.3威胁感知
威胁感知系统主要是通过收取对接来自于外部的威胁情报信息以及船舶制造网络环境中的日志和流量等信息,经过比对分析来发现对船舶制造网络及安全对象可能的潜在威胁,包括潜在的漏洞威胁和潜在的攻击威胁。
威胁感知包括态势信息的获取和船舶制造自身网络情况的威胁分析。工控安全态势感知系统可分别对获取到的威胁情报信息和威胁分析后的结果进行呈现。
2.4风险感知
船舶网络风险感知综合资产价值、安全属性、脆弱性、攻击威胁等风险要素,基于风险模块内置的风险计算模型,进行全网、各安全域及各业务系统的风险量化评估和风险赋值。风险感知是从风险的角度来衡量船舶制造工控网络的安全态势,在平台的态势呈现过程中,通过在各维度中为对应的目标给定风险值来帮助船舶企业户把握安全态势,例如在资产感知中,通过风险视图呈现船舶制造网络各资产类型、安全域及业务系统的风险值,在态势总览中通过风险视图给出全网的风险等级。
2.5业务流量分析
业务流量分析的可以梳理出当前网络中的工控设备访问行为状况,对违反访问控制规则的事件生成告警信息,并汇总到违规行为事件中作对应统计。该部分主要通过NetFlow技术实现,NetFlow是一种用于流量轮廓监控的技术,可以记录每个TCP/IP流的信息,流量行为分析同时基于业务行为规则的白名单式的精准检测、基于船舶制造各业务流量行为入侵分析的预警、通过与船舶制造网络中的防火墙等安全设备联动达到智能、柔性的防御,通过与系统其他功能的结合,可以实现对业务健康度指标分析,实现一般日志与业务流量检测结果的精确关联分析。
2.6安全事件监控
安全事件监控包括对船舶制造网络中的工业防火墙、防病毒、工控异常监测系统、运维审计系统、无线安全设备、网络设备、操作系统事件、工控设备漏洞等发生的安全报警和安全日志进行监控。对这些事件进行单事件、多事件关联分析,基于设备的情境关联、基于弱点的情境关联、基于网络告警的情境关联、基于拓扑的情境关联等,以发现隐藏在网络中深层次的攻击行为。
3 结语
在政策层面持续推进工业信息安全建设的时代背景下,在船舶制造行业部署使用工控安全态势感知系统可以帮助企业实时全局掌握工控网络安全态势,及时发现工控网络异常行为,提升信息安全处置效率,提升智能船舶网络信息安全防护能力,确保安全、可靠、可控。
参考文献
[1]三部门发布《智能船舶发展行动计划(2019~2021年)》[J].船舶标准化与质量,2019(01):61.
[2]赵贵成. 基于工业控制网络流量分析的入侵检测平台与算法研究[D].浙江大学,2019.
[3]杨佳宁,陈柯宇,曹凯,郭娴.工业互联网安全态势感知核心技术分析[J].网络空间安全,2019,10(04):61-66.
[4]郑浩楠. 基于网络流量分析的业务安全态势感知技术研究[D].华北电力大学(北京),2019.
[5]王飞,张川,付强.态势感知技术在智能炼化厂工控安全方面的应用[J].仪器仪表用户,2020,27(01):25-29.