交通建设企业网络安全综合防护平台建设与应用
摘 要:为支撑交通建设企业深度数字化转型升级,落实国资安全监管“横向到边、纵向到底”的战略部署要求,围绕企业集团总部、二级单位及所属工业企业的网络安全建设需求,探索建设企业网络安全综合防护平台,形成覆盖集团总部、二级单位、工业企业等多层级纵深防御堡垒,实现企业网络安全事件的实时监测、预警、通报、分析和处置闭环管控,提升网络安全风险感知能力,保障公司数字化转型发展。
内容目录:
1 现状分析
2 建设思路与目标
2.1 建设思路
2.2 建设目标
3 网络安全综合防护平台的体系架构
3.1 功能架构
3.2 主要功能
4 应用效果
4.1 部署应用
4.2 效益分析
5 结 语
交通建设企业支撑综合交通数字化和现代城市数字化建设,在数字化转型升级过程中,普遍面临着网络安全建设起步晚、底子薄、基础差等问题,网络安全防护体系不健全与数字化转型发展不匹配的矛盾日益突出。因此,加快构建企业网络安全综合防护能力迫在眉睫。一是落实国家网络安全法律法规和标准规范需要 。随着《网络安全法》《密码法》《数据安全法》、等保 2.0 等法律法规和相关标准的陆续发布,网络安全管控由合规向合法转变,亟待全面构建网络安全综合防护与监测能力。二是支撑产业数字化转型需要。交通建设企业积极探索将“互联网 + 智能制造”“数字化 + 智慧建筑”“数字化 + 智慧市政”等引入交通基础设施建设、运营等领域,生产全过程的数字化管理使得所属装备制造企业、装配式预制厂、管片厂等企业的网络安全日益受到重视。三是提升企业安全管理需要。国际网络安全形势复杂,国外敌对黑客组织持续对交通建设企业及其子公司 / 分公司发起高级持续性威胁(Advanced Persistent Threat,APT)攻击,试图窃取我国重要战略工程秘密信息 。
为有效应对集团总部、二级单位和子公司 /分公司所面临的各类网络安全攻击事件,亟须构建网络安全纵深防护体系,搭建网络安全综合防护平台,通过采集汇聚各类网络安全数据,进行安全大数据分析,实现对安全事件的实时监测、预警分析和联动处置,提升企业网络安全综合防护能力。
1现状分析
随着交通建设企业数字化转型工作不断深入,交通建设领域诸如预制厂、管片厂、制梁场等业务场景下自动化程度越来越高,网络安全风险日益严峻,交通建设领域工业控制系统面临的网络安全攻击也愈加频繁,安全事件发生的组织性和针对性也越来越强,企业所面临的风险问题日益突出,特别是涉及国计民生的交通建设领域,已经成为某些国家和组织瞄准的重要攻击对象。
交通建设领域诸如预制厂、管片厂、制梁场等业务场景的工厂化、标准化作业水平日益成熟,拌合站、盾构机、龙门吊和升降机等生产控制设备被广泛使用,工厂现场各类可编程逻辑控制器(Programmable Logic Controller,PLC)、应用服务器通过有线网络,与项目部、上级单位和监管单位的网络连接,数据传输需求日益增长。但是,网络安全建设仍存在诸多安全挑战:体系化网络安全防护措施缺乏、数据泄露事件时有发生、物联网智能终端安全防护手段缺失、各类工业控制系统安全防护水平参差不齐、网络数据传递过程中的网络威胁问题(如拒绝服务、中间人攻击等)以及网络安全态势感知能力不足等 。
因此,为进一步加强交通建设企业网络安全体系建设,探索从集团总部、二级单位和工业企业多层级构筑网络安全纵深防御能力,通过构建一个全面的企业网络安全防护平台,打造多层级、深层次的防御体系,实现集团总部、二级单位和工业企业网络安全事件的实时监测、预警通报、分析和处置闭环管控,及时防范与监测各类网络安全风险,提升企业自身的网络安全防护能力和态势感知能力,确保企业网络的安全稳定运行。
2建设思路与目标
2.1 建设思路
通过部署下一代防火墙、入侵诱捕平台、服务器加固系统、终端杀毒软件、漏洞管理平台、威胁情报中心和大数据日志平台等软硬件设备,形成企业网络安全、主机安全、应用安全和数据安全等安全防护能力,并与集团总部部署的网络安全综合防护平台协同联动。通过在子公司 / 分公司部署轻量级数据采集探针和分析引擎,利用企业广域网专线将子公司 / 分公司(含工业企业)各类系统安全运行数据、流量数据和日志数据等传输并汇聚到集团总部网络安全综合防护平台,利用安全大数据分析技术进行安全事件的实时监测、智能分析和可视化展示,提升网络安全态势感知、运营管控和应急处置能力,并能够将安全数据汇总到上级监管部门。具体平台逻辑架构如图 1 所示。
2.2 建设目标
以核心业务、数据、平台和网络为重点保护对象,探索构建集团总部、二级单位、工业企业等多层级安全纵深防御体系,实现企业网络安全事件监测、预警、通报、分析和处置的闭环管控,促进企业网络安全建设从“被动防御”向“主动防御”转变,形成“态势感知、协同联动、追踪溯源、纵深防御”等能力,支撑构筑交通建设企业网络安全纵深防御防线。
3网络安全综合防护平台的体系架构
3.1 功能架构
按照网络安全监管“横向到边、纵向到底”的总体要求,探索构建企业总部、二级单位、工业企业等多层级网络安全纵深防御体系,在交通建设企业总部部署网络安全综合防护平台,有利于提升企业网络安全综合防护水平。网络安全综合防护平台涵盖了集团(含集团总部及其下属单位)IT 场景和工业企业(OT 场景)下的网络安全防护,能够实现集团总部、二级单位及其所属工业企业的安全事件的监测、告警、通报、处置等。平台功能架构如图 2 所示。
图 2 功能架构
(1)采集层:通过主动探测、被动诱捕、流量采集、离线采集和企业内网采集等手段获取企业 IT 网络和工业企业 OT 网络内各类安全数据,包括但不限于漏洞数据、资产数据、日志数据、流量数据和安全威胁数据等,将数据采集并传输到数据存储层。
(2)存储层:对采集的数据进行安全可靠的传输,保障采集数据的可靠性和完整性。通过构建数据仓库,并将数据经过清洗、过滤、提取、打标签、归一化后汇聚到平台的安全存储组件,实现分布式检索和分布式计算。
(3)分析层:通过构建契合应用的数据库、资产库、情报库等基础库和数据分析引擎等,利用大数据分析组件设计网络威胁分析、用户行为分析、流量回溯分析和威胁情报分析等业务分析场景,能够提供包括威胁攻击态势分析、资产风险态势分析、趋势分析与监控、安全事件分析等安全能力。
(4)展示层:能够提供全局风险态势、业务安全态势、外部攻击态势、内网安全态势和子公司 / 分公司安全态势等多维度安全态势。
3.2 主要功能
按照网络安全整体保障工作要求,基于企业网络安全、主机安全、数据安全和应用安全等安全基础设施防护能力,平台通过汇聚各类安全系统或设备的安全数据、网络流量数据以及日志数据等,实现 IT 网络和 OT 网络安全事件监测、预警、分析和处置响应,形成企业网络安全监测预警与防护中心,主要功能如下文所述。
3.2.1 安全数据采集功能
(1)流量数据采集:通过网络流量捕获技术实现采集集团互联网出口网络流量,集团总部数据中心及各安全区域、二级单位数据中心网络流量数据,工业企业工控网络流量数据等,利用 IT 流量采集探针和工控流量采集探针进行预处理。
(2)日志数据采集:通过 Syslog 技术采集汇聚网络安全设备、网络设备、服务器、域名系统(Domain Name System,DNS)等设备日志数据,汇聚到日志大数据平台。
(3)安全告警数据采集:通过 API 技术采集云防护平台、服务器安全加固系统、杀毒软件管理系统、工业流量审计与监测系统、入侵诱捕系统等各类安全系统的脆弱性数据与告警数据等。
(4)基础库数据采集:通过 API 技术采集威胁情报库数据、安全漏洞库和资产库数据,用于与网络安全综合防护平台进行对接,能够支持研判网络安全事件的准确性。
3.2.2 安全事件分析功能
(1)数据汇聚功能:在总部及二级单位数据中心部署 IT 流量采集设备,对 IT 类流量数据、各类安全告警数据、IT 类日志数据、安全基础库数据等进行汇聚;在工业企业部署 OT 数据采集设备,对工业企业网络中的工控安全设备与系统及工业主机的各类日志数据进行统一汇聚,将本地形成的各类告警数据在总部平台进行统一汇聚。
(2)数据分析功能:通过对原始流量行为的还原与采集,使用专有的流量采集设备对流量中的会话行为、事务、应用动作进行还原并形成相关日志,进行威胁攻击态势分析,逐步实现对集团 IT 资产、重要安全数据和安全信息统一汇聚分析,进而全面掌握集团安全态势。
针对工控网络场景,通过对工控网络内采集的数据进行分析和处理,围绕工业企业网络中的 PLC、远程终端单元(Remote Terminal Unit,RTU)、 分 布 式 控 制 系 统(Distributed Control System,DCS)、工业主机、网络设备、工业软件以及网内安全设备等单元的数据流量信息、系统日志、操作日志、安全日志等数据进行融合分析处理,并通过共同特性、依赖关联、事件差异性、知识推导等方法实现数据的挖掘分析,得到系统威胁、系统安全态势未来走势等潜在安全信息。
对审计日志进行分析,分析结果包括告警来源、告警等级、告警类型、协议类型、源设备名称、目的设备名称、源 IP、目的 IP、告警状态、开始时间、结束时间等。通过多维度的分析,为安全事件调查提供依据。
3.2.3 安全联动功能
平台与总部互联网出口防火墙、各单位广域网边界防火墙、统一 DNS 等安全设备或系统进行集成,针对平台关联分析后的失陷主机、恶意 IP 和恶意域名等信息,通过平台下发联动处置任务,实现协同安全联动防护能力。
3.2.4 资产安全监控功能
从资产维度来看,首先,对接入网络中的设备进行分析统计,对设备的 MAC 地址、IP 地址等设备识别信息进行记录并录入资产库中;其次,建立设备白名单,对新接入设备进行更改、调试,通过集成主动资产探查和被动资产发现等能力,实现根据设备白名单对非法接入的设备进行识别告警;最后,对接入设备进行资产风险态势分析,包括对资产安全状态监测、分析、溯源、响应等场景的呈现及编排,从而为企业提供一个清晰、全面的资产安全风险管理视图。
3.2.5 威胁情报功能
平台与威胁情报库联动,实现情报管理、情报关联分析、情报检索、情报推动等功能,为安全态势分析提供不同的分析维度。
支持对情报中心信息的检索查询,旨在满足平台的情报需求,快速定位需要的情报信息。可利用数据挖掘、可视化分析等手段对情报信息进行分析推理,追踪情报信息来源,挖掘情报信息内涵,预测情报信息发展趋势,从而实现针对情报信息的实时推动展示,并利用信息展示、短信等方式向平台推送所需的情报信息。支持对历史情报信息的管理,可通过检索情报名称、时间等方式进行查询,可对历史情报进行备份。
3.2.6 安全管理功能
通过将安全通报、安全预警、事件上报等网络安全管理工作转移到线上,简化安全工作的管理流程。平台支持用户进行机构设置,设定上下级关系,同时跟进实时动态,通过可视化方式对用户进行展现。通过平台,下级单位会向上级上报一些特定事件信息,上级单位会向下级单位通报相关预警信息,便于下级单位及时采取相应的防御措施,平台会跟进通报、预警信息落实情况,及时跟踪工作进度,实现安全工作可视化管理,让整个工作过程“可知、可管、可查”。
3.2.7 安全态势展示功能
平台通过汇聚各类安全数据,利用大数据分析技术预测安全态势情况,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成高维度的可视化方案,安全运营人员可以通过安全态势直观了解集团总部及各下属单位(含工业企业)的网络安全情况,进而实现及时预警和主动防御。
4应用效果
4.1 部署应用
围绕集团总部、二级单位、工业企业等的安全防护需求,中国交建在总部数据中心部署了网络安全综合防护平台,在二级单位部署了IT 流量采集探针,在部分工业企业部署了 OT 流量采集探针等设备,汇聚全集团的 IT 网络流量、OT 网络流量和安全日志等数据并进行综合分析,实现了安全事件的实时监测、告警、通报、分析、处置,提升企业网络安全监测能力。网络安全综合防护平台应用效果如图 3 所示。
图 3 网络安全综合防护平台应用效果
该平台已推广覆盖 50 家二级单位,纳管集团所有统建系统及互联网发布系统、试点单位内网流量,全年监测防御 3.68 亿次网络攻击,处理超过 100 万次告警,处置近 3 000 次疑似攻击事件,累计处理各类安全事件 4.5 万件,有效支撑了集团总部的网络安全保障工作。
4.2 效益分析
在管理效益方面,平台汇聚全集团的流量数据、日志数据、资产数据并进行分析,实现全集团安全数据综合分析、安全风险集中监控、安全事件高效处置、资产漏洞统一管理、安全服务统筹管理和安全态势统一展示等。
在经济效益方面,通过集成化建设和统一运维,能够大大降低集团总部、二级单位及子公司 / 分公司(含预制厂、管片厂等企业)在网络安全方面的投入,预计每年为工业场景节省30 万~ 50 万的网络安全投入。另外,可面向交通建设领域企业网络安全纵深防御体系提供典型解决方案。
在社会效益方面,平台能够为交通建设行业企业数字化发展和网络安全建设提供借鉴,有效助力交通建设行业装备制造企业数字化转型发展。
5结 语
本文围绕交通建设领域企业集团总部、二级单位及下属工业企业的网络安全建设需求,深入研究构建企业网络安全综合防护平台的建设方案。平台旨在构建多层级的深度防御体系,全面覆盖总部、二级单位和工业企业,确保对企业网络安全事件的实时监测、预警、通报、分析和处置,实现高效的闭环管理。目前,平台正逐步推广覆盖到集团所有二级单位与子公司,但是在物联网与工控网络场景下安全覆盖范围还不足,安全监测能力尚弱。下一步,将研究建设物联网安全监测能力和优化工控安全态势感知能力。未来,可面向交通建设领域中小企业输出网络安全综合防护解决方案。
作者:查雅行、舒方法、冯 森
文章来源:选自《信息安全与通信保密》2023年第11期
等保测评咨询
