工业互联网安全防护技术 课件 项目三 工业互联网平台安全

项目三工业互联网平台安全

学习目标了解掌握熟悉熟悉了解工业互联网平台安全概念、原理12熟悉工业互联网平台安全作用、部署熟悉工业互联网平台安全特点34掌握工业互联网平台安全架构目录页3.1态势感知3.2综合管理3.3流量分析3.1态势感知【任务目标】1.了解工业互联网安全态势感知平台的特点。2.掌握工业互联网安全态势感知平台的原理和作用。3.熟练应用AD-ISA/V3.0完成安全态势感知系统的部署。3.1态势感知【知识图谱】【基础知识】一、安全态势感知定义工业互联网安全态势感知指的是工业互联网相关的业务系统、各类设备、网络通道以及数据存储相关的综合性安全监测与感知能力、分析与响应能力。安全态势感知是以数据为基础，贯穿安全风险监控、分析、响应和预测的全过程；具备持续监控能力，能够及时发现各种攻击威胁和异常流量；具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应；能够建立安全预警机制，完善风险控制、应急响应和整体防护水平，实现网络安全的主动防御。3.1态势感知【基础知识】二、安全态势感知平台特点工业互联网安全态势感知平台（AD-ISA/V3.0）是以工业网络安全数据为基础，以资产安全评估和威胁情报为支撑，通过智能分析引擎全面感知工业安全态势。平台的主要特点表现为：（一）工业网络设备兼容工业环境设备小众、版本多、环境封闭，导致生产设备、网络设备、安全设备与平台兼容性、联动性存在挑战。通过在工业网络安全领域持续研发和投入，已经兼容了主流工业环境中绝大部分生产设备、网络设备和安全设备。3.1态势感知【基础知识】二、安全态势感知平台特点（二）威胁情报智能关联分析结合多年的安全经验和实践积累，平台可为用户精准提供威胁情报数据。通过第三方威胁情报厂商提供的数据对恶意IP、域名、URL、MD5、SHA1等进行关联分析，及时预警网络面临的安全风险。（三）未知威胁全方位感知通过网络攻击行为、恶意代码传播、漏洞分布状态、重要系统风险等多种安全属性综合评估全网安全态势。通过深度挖掘等技术对上报的数据进行潜在威胁分析，通过提取异常行为特征与原始日志进行分析比对，全方位感知未知安全威胁。3.1态势感知【基础知识】二、安全态势感知平台特点（四）工业指纹库全面覆盖系统内置超过200个厂商近1000种工控设备指纹，涉及交换机、TV、控制器、网关、PLC、人机页面等设备类型。3.1态势感知【基础知识】三、安全态势感知平台主要功能安全态势感知平台通过结合入侵检测、边界防护、协议分析、行为分析、安全审计、容灾备份、态势感知等各种安全引擎，对工业生产网络进行严密监控，及时预警潜在安全威胁，为应急响应处置提供数据支撑。平台的主要功能有：（一）综合态势感知综合大屏将其他三个态势综合整理，展示系统中的综合态势，让用户清楚掌握整体态势情况。展示当日和本周的数据情况，主要展示内容：资产统计、漏洞统计、告警分布、攻击地图展示、实时告警、威胁类型、攻击次数统计、威胁事件变化。3.1态势感知【基础知识】三、安全态势感知平台主要功能（二）资产态势感知资产态势主要展示资产状态及资产划分情况，各区域间的资产类型以及资产信息。展示系统资产情况，主要展示内容：资产统计、运维设备状态、高危资产分布、资产分布、风险排名、受攻击资产排名、脆弱性风险、资产告警、高位端口分布。（三）告警态势感知告警态势主要对系统中不同维度的告警信息进行可视化展示，用户可以清楚看到告警信息及告警状况。展示系统中的告警情况，主要展示内容：告警统计、告警源IP排名、告警态势、实时告警、告警类型、告警目的IP排名、告警资产排名。3.1态势感知【基础知识】三、安全态势感知平台主要功能（四）威胁态势感知威胁态势主要展示系统中威胁状况及态势分布，全面展示系统中的威胁态势。主要展示内容：威胁类型、攻击者排名、威胁等级态势、威胁统计、威胁分析、威胁类型、受害者排名、威胁阶段。3.1态势感知【基础知识】四、安全态势感知平台工作原理（一）数据采集数据采集是平台进行安全分析、检测和响应的基础，数据的质量直接决定了系统分析的准确性。平台的数据采集包含：网络流量采集、协议识别、网络资产测绘、日志解析、情报数据接入等全要素信息采集。采集方式：1)主动采集的方式部署流量探测器采集局域网内流量信息，终端部署Agent监控设备运行、软硬件配置、检测恶意文件及用户执行指令等；3.1态势感知【基础知识】四、安全态势感知平台工作原理2)被动采集的方式包括通过外部威胁情报数据库获得资产脆弱性信息，通过流量审计分析网络中主机设备、网络设备、安全设备、应用系统，探测网络流量中可能涉及潜在入侵、攻击和滥用的行为；3)此外还可以通过其他设备将态势感知系统可能需要的数据推送导入，满足分析要求。（二）数据处理平台的数据处理主要是针对数据的预处理，包括对不确定数据进行数据清理和数据转换，对非数值型数据进行数值转换，以及对空间数据进行归一化等操作。为了满足安全威胁分析对数据质量的要求，数据预处理一般包括数据清洗、去重、合并、标准化、结构化、关联补齐、添加标签等步骤。3.1态势感知【基础知识】四、安全态势感知平台工作原理（三）数据分析数据分析在海量数据中挖掘和量化安全风险事件以及系统安全特征和指标，主要利用分布式数据库，将存储在内的海量数据进行分析和分类汇总等，平台主要使用了机器学习、行为分析、关联分析、数据融合、数据建模、规则检测、风险评估及威胁情报等分析手段。3.1态势感知【基础知识】四、安全态势感知平台工作原理大数据的知识发现、管理和决策支持服务平台是大数据分析流程中关键的一环。其中包括4个方面的主要内容：1）面向多源异构数据源的知识库构建和融合，将不同的数据源的数据进行有效的整合，形成面向一个领域或者开放领域的完备的知识库；2）海量知识数据的存储和查询等数据管理问题，一个面向海量知识数据的高效的知识库数据管理系统是提供知识服务和支撑上层决策的基础；3.1态势感知【基础知识】四、安全态势感知平台工作原理3）智能知识检索和分析，为用户提供一种基于可视化技术的、交互式的知识数据访问和分析的平台接口，方便平台调用知识库；4）

在上述知识库的构建和分析的基础上，针对复杂的问题提出定性定量综合集成建模体系，从而有效支持相关决策。3.1态势感知【基础知识】五、安全态势感知平台部署方式工业互联网安全态势感知平台在选择部署方式的时候，采用旁路工作模式，无须改变已有网络结构，无须在网络内串接设备，无须在系统上安装代理，可以很方便地完成部署，无论逻辑上还是物理上都采用旁路工作模式，彻底杜绝单点故障。3.1态势感知【基础知识】五、安全态势感知平台部署方式3.1态势感知【任务实践】一、实践环境AD-ISA/V3.0系统部署在硬件平台上，平台正面图和背面图如下所示。

安全态势感知平台硬件正面图

安全态势感知平台硬件背面图3.1态势感知【任务实践】一、实践环境平台具体的硬件规格参数：3.1态势感知产品型号AD-ISA/V3.0硬件指标CPUIntel(R)Core(TM)i7-67003.4GHz4核内存64G磁盘24T尺寸（长×*高×*深）2U(430mm×*88mm×*485mm)电源双电源

300W重量13.6kg平均无故障时间（MTBF）≥50000h业务接口GE电口6【任务实践】一、实践环境平台具体的硬件规格参数：3.1态势感知产品型号AD-ISA/V3.0硬件指标CPUIntel(R)Core(TM)i7-67003.4GHz4核管理接口管理接口同业务接口通用串口1USB口2*USB性能指标日志处理能力EPS≥5000监测对象数量≥1000事件信息处理时间≤500ms采集信息本地存储＞6个月24小时守时误差≤1s【任务实践】二、实践步骤（一）平台登录3.1态势感知【任务实践】二、实践步骤（一）平台登录3.1态势感知【任务实践】二、实践步骤（二）平台配置在对平台设备进行调试时，因账户的权限功能不同，则配置不同的功能时使用的账户也会不同，需分别在管理员账户与操作员账户下进行调试。不同账户下所调试功能如下：3.1态势感知【任务实践】二、实践步骤（二）平台配置管理员账户（administration）：用户管理、系统配置、网卡配置、系统升级等功能需在此账户下进行配置；操作员账户（operator）：区域管理、监测审计管理、日志分析管理、入侵检测管理等功能需在此账户下进行配置；3.1态势感知【任务实践】二、实践步骤（二）平台配置1）网卡配置。3.1态势感知【任务实践】二、实践步骤（二）平台配置2）路由配置。3.1态势感知【任务实践】二、实践步骤（二）平台配置3）入侵检测。3.1态势感知【任务目标】1.了解工业互联网安全综合管理平台的特点。2.掌握工业互联网安全综合管理平台的主要功能。3.熟练应用安全综合管理平台进行安全信息和事件管理。3.2综合管理【知识图谱】3.2综合管理【基础知识】一、安全综合管理平台

在传统运维环境中，查看设备运行状态、告警日志等信息需要分别登录对应设备管理员页面，运维管理员不断重复登录登出流程，操作繁琐、数据分散，极大影响运维效率。管理员需要一种高度集成化的运维平台，满足专业化、标准化、流程化、自动化的运维管理需求，同时能够统一监测网络中资产状态、告警信息，通过数据挖掘、AI分析等手段及时发现潜在威胁，在网络即将面临风险前，及时感知预警，为快速响应处置做决策支撑。3.2综合管理【基础知识】一、安全综合管理平台

鉴于此，网络安全管理的重要性和管理困难的矛盾日益突出。网络安全是动态的系统工程，只有从与网络安全相关的海量数据中实时、准确地获取有用信息并加以分析，及时地调整各安全子系统的相关策略，才能应对目前日益严峻的网络安全威胁。工业互联网安全综合管理平台就是为了解决这些问题而产生的。3.2综合管理【基础知识】二、安全综合管理平台作用

工业互联网安全综合管理平台的核心功能是安全信息与事件管理，将信息管理和事件管理整合到统一系统中。安全信息和事件管理系统的基本原理是汇总来自多个来源的相关数据，识别其与规范定义的偏差并采取适当的措施。系统能够关联分析多种安全信息，当检测到潜在问题时，生成告警并指示其他安全控件停止运行或执行特定的安全操作。3.2综合管理【基础知识】三、安全综合管理平台特点

工业互联网安全综合管理平台可实现全网安全系统的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能。该平台系统可监控安全系统的运行状态，还可以对安全系统进行安全策略配置与调整，总体实现网络安全防护体系的防护效能。3.2综合管理【基础知识】三、安全综合管理平台特点

（一）大数据分析快速高效面对海量的日志信息、威胁告警，利用人工分析手段，很难及时感知风险。经过多年的行业积累和安全研究，结合大数据分析引擎，构建了多种工业网络安全分析模型。能够快速将海量安全数据进行建模分析，高效保障网络安全运营。3.2综合管理【基础知识】三、安全综合管理平台特点

（二）攻击事件还原追溯通过实时追踪感知当前网络攻击情况，关联记录攻击时间、攻击源IP、目标IP、攻击类型、攻击方式、攻击路线等信息，实时监测攻击者当前所处的攻击阶段，还原攻击路径。3.2综合管理【基础知识】三、安全综合管理平台特点

（三）全局态势个性化呈现支持自定义安全态势呈现方式，可根据关注度个性化配置各项数据展示形式及页面布局。支持数据钻取，可下钻数据进行可视化溯源分析。支持分级分区展示不同维度、不同视角的局部安全态势，满足多级个性化管理需求。3.2综合管理【基础知识】四、安全综合管理平台主要功能

安全综合管理平台通过数据采集平台将各类安全数据采集后，利用人机交互分析、智能分析引擎、关联分析技术、基线算法分析技术实现对海量数据的安全分析，采用规则特征检测手段发现网络中潜在的异常威胁和安全隐患。同时利用平台自身的攻击溯源、安全事件可视化等能力实现对安全事件的调查、管理、溯源、监控、分析、预测等目的。3.2综合管理【任务实践】一、实践环境1）将调试主机IP设置为与工业互联网安全态势感知平台管理口ETH0（默认地址为9，默认允许对该接口进行PING，HTTPS操作）处于IP同网段；3.2综合管理【任务实践】一、实践环境2）用网线连接调试主机与安全态势感知平台ETH0网口，同时按下“WIN+R”键后输入“CMD”，然后再输入回车键，打开命令行页面；输入命令“ping9”，测试网络连接是否正常；如主机无法ping通平台，则需检查网络连接、设备是否上电、计算机网卡IP配置是否有误、网线是否出现损坏；3.2综合管理【任务实践】一、实践环境3）在调试主机上打开Chrome或FireFox浏览器，在地址栏中输入“9”，按下回车键；4）使用管理员用户登录，用户名输入“administrator”，密码“12qwASZX!@”或“qwe123!@#”(如显示密码不正确，则需跟安帝公司工程师咨询)。3.2综合管理【任务实践】一、实践环境3.2综合管理【任务实践】二、实践步骤（一）用户管理在平台添加用户（角色）时通过对“可管控区域”的配置可以对单个区域进行管控，也可对所有区域进行管控。3.2综合管理【任务实践】二、实践步骤（一）用户管理3.2综合管理【任务实践】二、实践步骤（二）区域管理通过“资产管理”→“区域管理”进行添加区域操作，目的为方便后续单个用户账号对单个区域或多个区域的管理。3.2综合管理【任务实践】二、实践步骤（二）区域管理3.2综合管理【任务实践】二、实践步骤（三）监测审计在“资产管理”→“运维管理”→“监测审计”，添加各区域监测审计设备，监测审计IP需按照现场监测审计部署情况添加，避免造成IP冲突。3.2综合管理【任务实践】二、实践步骤（三）监测审计3.2综合管理【任务实践】二、实践步骤（四）日志分析在“资产管理”→“运维管理”→“监测审计”，添加各区域日志分析，日志分析IP需跟各区域负责人确认，避免IP冲突。3.2综合管理【任务实践】二、实践步骤（四）日志分析3.2综合管理【任务实践】二、实践步骤（五）系统升级对平台进行升级操作时，需登录管理员账户，单击右上角框出的图标，单击“系统升级”，然后进行升级操作。3.2综合管理【任务实践】二、实践步骤（五）系统升级3.2综合管理【任务目标】1.了解工业互联网安全流量日志分析平台的特点。2.掌握工业互联网安全流量日志分析平台的主要功能。3.熟练应用安全流量日志分析平台完成系统配置、流量采集及分析。3.3流量分析【知识图谱】3.3流量分析【基础知识】一、安全流量日志分析平台工业互联网作为“新基建”建设任务之一，并且随着智能制造和工业互联网推进政策的不断出台，政府及企业开始逐步重视对工业互联网安全的投入，工业互联网市场具有较快的增长率。2018年工业信息市场规模增长率达到55.5%，根据近年中国工业信息安全行业市场规模的增长趋势，前瞻预测行业规模仍将持续扩大，到2024年，中国工业信息安全行业市场规模有望达到70亿元。为满足工业监控系统网络安全监管的需要，因此引入工业安全流量日志分析平台（AD-UBA）。3.3流量分析【基础知识】二、安全流量日志分析平台架构安全流量分析平台按照设备自身感知、分布式采集、管理平台统一管控的原则，构建数据采集、数据处理、数据转发的三层架构的网络安全监管技术体系。3.3流量分析【基础知识】二、安全流量日志分析平台架构3.3流量分析【基础知识】三、安全流量日志分析平台特点1）工业级低功耗硬件架构。采用ARM低功耗工业级硬件架构，硬件低功耗、无风扇的工作模式大大降低运行成本，保证系统在工业环境中长期稳定运行。2）定制化微内核系统安装。采用经过裁减的Linux定制化操作系统，进行最小化安装。支持对用户权限和系统基线等进行加固，同时支持DDoS等攻击防御。3）高自主可控国产化适配。系统软件已完成凝思、麒麟等多个国产化操作系统适配，硬件支持国产化CPU（飞腾、海光）、内存、网卡，支持国产化数据库，全面实现国产化自主可控。3.3流量分析【基础知识】三、安全流量日志分析平台特点4）高可信高实时威胁告警。具备完善、高可信的安全事件告警机制，当监测到工业环境中非法入侵、设备异常、通信中断、对时异常、关键进程异常、非法外联等事件时，将第一时间告警并提示运维人员。5）高级别高可靠安全保障。产品采用C/S架构设计，管理员运维登录采用口令+UKey双因子认证，仅允许合法运维人员登录系统，内置SM2证书，采用国密规范进行身份认证及传输加密，充分保障远程运维安全性、可靠性；同时本地运维采用非http/https协议的私有协议进行通信，保证现场无须频繁升级、打补丁，更加安全可靠。3.3流量分析【基础知识】四、安全流量日志分析平台主要功能安全流量日志分析平台主要针对工业网络中各类主机、服务器、安全设备、网络设备、工业设备以及各类数据库产生的安全事件和流量信息进行采集分析的产品，支持工业全要素数据采集、识别和分析。通过内置关联分析引擎对采集到的日志和流量进行深度溯源分析，及时预警各种异常事件和潜在威胁，有效规避可控安全风险，为管理员应急响应决策提供数据支撑，为生产环境的安全稳定运行提供了有效保障。3.3流量分析【基础知识】五、安全流量日志分析平台部署方式工业安全流量日志分析平台采用旁路部署方式，无须改动网络拓扑，即插即用，同时系统内置了300多种日志解析规则库及丰富多样的审计场景和安全分析场景，提升部署效率,降低实施成本。3.3流量分析【基础知识】五、安全流量日志分析平台部署方式3.3流量分析【任务实践】一、实践平台工业安全流量日志分析系统采集器结构和前面板

机柜采集器前面板外观图

机柜采集器后面板外观图3.3流量分析【任务实践】二、实践步骤（一）平台安装工业安全流量日志分析系统采集器标准1U/19英寸机柜安装。1.提前准备好机柜采集器、浮动螺母及螺钉等安装附件，并明确机柜采集器的安装位置和数量。2.安装机柜采集器的挂耳，使用螺丝刀将挂耳固定在机柜采集器两侧。3.根据规划好的位置，将机柜采集器安装到机架上。3.3流量分析【任务实践】二、实践步骤（二）平台登录3.3流量分析【任务实践】二、实践步骤（三）基础配置此页面下可进行日志输出配置、流量转发配置、流量级联配置、蜂鸣报警、NTP告警控制、外联告警控制；仅管理员具有查看此项的权限，如果以管理员用户的身份登入，可在列表项选择“系统参数→基础配置”。3.3流量分析【任务实践】二、实践步骤（三）基础配置3.3流量分析【任务实践】二、实践步骤（四）事件处理参数配置此页面下可以设置CPU利用率上限阈值、内存使用率上限阈值、磁盘使用率上限阈值、连续登录失败阈值、密码有效期、连续登录失败锁定时间、网口流量越限阈值、事件归并周期、历史事件上报分界时间参数、日志存储容量阈值、会话超时时间；仅管理员具有查看此项的权限，如果以管理员用户的身份登入，可在列表项选择“系统参数→事件处理参数”。3.3流量分析【任务实践】二、实践步骤（四）