IT與OT網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)聯(lián)合開(kāi)發(fā)技術(shù)與實(shí)踐

01問(wèn)題及需求在建設(shè)層面，網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)作為專業(yè)的網(wǎng)絡(luò)安全管控系統(tǒng)，要求操作和使用人員具備較高的專業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)?zāi)芰?。如果分別建設(shè)IT和OT態(tài)勢(shì)感知平臺(tái)，企業(yè)需要配備兩個(gè)專業(yè)支撐團(tuán)隊(duì)，并分別進(jìn)行運(yùn)行維護(hù)，同時(shí)需要分別建設(shè)兩套獨(dú)立的數(shù)據(jù)分析和顯示平臺(tái)，增加企業(yè)的建設(shè)資金投入，在監(jiān)測(cè)和運(yùn)維方面均增加了工作量，不利于企業(yè)的統(tǒng)一管理和使用。在安全層面，IT系統(tǒng)和OT系統(tǒng)都會(huì)結(jié)合威脅情報(bào)進(jìn)行數(shù)據(jù)分析，并對(duì)海量數(shù)據(jù)進(jìn)行挖掘，以實(shí)現(xiàn)對(duì)安全事件和威脅事件的深度識(shí)別。網(wǎng)絡(luò)威脅情報(bào)就網(wǎng)絡(luò)資產(chǎn)可能存在或出現(xiàn)的風(fēng)險(xiǎn)、威脅，給出相關(guān)聯(lián)的環(huán)境、機(jī)制、指標(biāo)、內(nèi)涵及可付諸行動(dòng)的建議，可為企業(yè)響應(yīng)相關(guān)威脅或風(fēng)險(xiǎn)提供決策幫助。IT和OT網(wǎng)絡(luò)威脅情報(bào)分別揭示了IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)可能面臨的威脅或危險(xiǎn)。對(duì)于企業(yè)而言，IT和OT是企業(yè)的左右手，相輔相成。目前，IT系統(tǒng)和OT系統(tǒng)分別擁有自己的網(wǎng)絡(luò)威脅情報(bào)庫(kù)但無(wú)法共享，不能實(shí)現(xiàn)安全威脅的協(xié)同感知和統(tǒng)一處置。在監(jiān)管層面，國(guó)家監(jiān)管部門需要統(tǒng)一監(jiān)控IT系統(tǒng)或OT系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，最終通過(guò)一套平臺(tái)采集數(shù)據(jù)。綜上，對(duì)于企業(yè)而言，希望擁有IT與OT一體化網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，并能實(shí)現(xiàn)以下功能：（1）能夠使用一種探針采集所有數(shù)據(jù)；（2）能夠統(tǒng)一對(duì)企業(yè)各種異常行為以及日志與告警等數(shù)據(jù)進(jìn)行審計(jì)，并形成完整記錄，以實(shí)現(xiàn)安全事件取證；（3）能夠統(tǒng)一識(shí)別企業(yè)IT/OT網(wǎng)絡(luò)中潛藏的攻擊者；（4）能夠統(tǒng)一研判企業(yè)IT/OT網(wǎng)絡(luò)中受害主機(jī)資產(chǎn)；（5）能夠統(tǒng)一呈現(xiàn)企業(yè)IT系統(tǒng)和OT系統(tǒng)的綜合態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、漏洞態(tài)勢(shì)以及威脅態(tài)勢(shì)等內(nèi)容；（6）能夠?qū)λ袛?shù)據(jù)分析結(jié)果以圖形、圖表和報(bào)告等多種形式在統(tǒng)一的界面上進(jìn)行直觀展示；（7）能夠把IT/OT威脅情報(bào)庫(kù)與漏洞庫(kù)進(jìn)行統(tǒng)一管理，并支持統(tǒng)一更新；（8）能夠兼顧國(guó)家部委網(wǎng)絡(luò)安全監(jiān)管需求，預(yù)留相關(guān)對(duì)接接口，統(tǒng)一上報(bào)數(shù)據(jù)并統(tǒng)一接收威脅情報(bào)。0２聯(lián)合開(kāi)發(fā)技術(shù)路線2.1通用技術(shù)架構(gòu)綜合分析文獻(xiàn)[3-10]可以看出，不論IT系統(tǒng)態(tài)勢(shì)感知平臺(tái)還是OT系統(tǒng)態(tài)勢(shì)感知平臺(tái)，常用技術(shù)架構(gòu)均由數(shù)據(jù)采集層、數(shù)據(jù)處理與分析層以及展示層組成，如圖1所示。圖1IT/OT態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)（1）數(shù)據(jù)采集層。通過(guò)流量探針采集網(wǎng)絡(luò)中的原始流量、監(jiān)測(cè)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、終端行為、審計(jì)數(shù)據(jù)和元數(shù)據(jù)等各種信息，構(gòu)成態(tài)勢(shì)感知平臺(tái)的大數(shù)據(jù)源。IT系統(tǒng)和OT系統(tǒng)的區(qū)別在于采集源和側(cè)重點(diǎn)不同。其中，IT系統(tǒng)主要采集通用網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及終端等數(shù)據(jù)，OT系統(tǒng)主要采集現(xiàn)場(chǎng)工業(yè)控制設(shè)備、自動(dòng)化設(shè)備、控制監(jiān)控系統(tǒng)以及終端等數(shù)據(jù)。（2）數(shù)據(jù)處理與分析層。數(shù)據(jù)處理與分析層將匯聚到的數(shù)據(jù)進(jìn)行存儲(chǔ)、清洗以及分析處理。對(duì)于數(shù)據(jù)分析的技術(shù)和方法，IT態(tài)勢(shì)感知和OT態(tài)勢(shì)感知類同，都會(huì)采用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等技術(shù)，根據(jù)各自不同的特征向量和使用場(chǎng)景進(jìn)行訓(xùn)練，構(gòu)建專用規(guī)則模型，再結(jié)合各自威脅情報(bào)庫(kù)對(duì)數(shù)據(jù)進(jìn)行分析和研判。（3）展示層。展示層主要以可視化方式呈現(xiàn)分析結(jié)果，并提供多種措施管理企業(yè)的資產(chǎn)、日志、告警以及漏洞等信息，協(xié)同處置高風(fēng)險(xiǎn)行為。IT系統(tǒng)和OT系統(tǒng)展示層均有對(duì)系統(tǒng)資產(chǎn)、漏洞、威脅以及態(tài)勢(shì)等情況的展示，功能類同。2.2聯(lián)合開(kāi)發(fā)技術(shù)路線通過(guò)對(duì)IT和OT態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)的分析和研究可以看出，二者在技術(shù)架構(gòu)和功能上均有類同，只是各自實(shí)現(xiàn)方式不同。因此，本文提出把IT系統(tǒng)和OT系統(tǒng)態(tài)勢(shì)感知平臺(tái)進(jìn)行技術(shù)融合，聯(lián)合開(kāi)發(fā)統(tǒng)一的態(tài)勢(shì)感知平臺(tái)（以下簡(jiǎn)稱“融合態(tài)勢(shì)感知平臺(tái)”）。根據(jù)態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)，聯(lián)合開(kāi)發(fā)意味著在技術(shù)架構(gòu)的3個(gè)層次上進(jìn)行融合。對(duì)于數(shù)據(jù)采集層，需要開(kāi)發(fā)一款采集探針，能夠同時(shí)采集IT和OT的數(shù)據(jù)。由于IT與OT部署的物理位置與數(shù)據(jù)采集內(nèi)容的側(cè)重點(diǎn)不同，即使技術(shù)融合后也需分開(kāi)部署。再由于IT和OT系統(tǒng)內(nèi)使用協(xié)議和采集數(shù)據(jù)類型不同，數(shù)據(jù)結(jié)構(gòu)差異較大，需要統(tǒng)一數(shù)據(jù)結(jié)構(gòu)和標(biāo)準(zhǔn)后融合，難度較大。對(duì)于數(shù)據(jù)分析層，IT與OT采用的技術(shù)類同，只是數(shù)據(jù)模型、規(guī)則和協(xié)議不同，可進(jìn)行數(shù)據(jù)融合分析。對(duì)于情報(bào)庫(kù)，可根據(jù)情報(bào)類型和屬性進(jìn)行分類，融合成統(tǒng)一的情報(bào)庫(kù)。對(duì)于展示層，主要以可視化界面為主，可融合為統(tǒng)一的展示效果，較易融合?？梢钥闯?，3個(gè)層次融合的難度為采集層＞數(shù)據(jù)分析層＞展示層。本文基于聯(lián)合技術(shù)開(kāi)發(fā)難度和投入成本等因素，提出階段式融合方式。第一階段，實(shí)現(xiàn)最利于企業(yè)操作實(shí)踐的部分功能融合。將IT和OT兩套態(tài)勢(shì)感知平臺(tái)展示功能和部分?jǐn)?shù)據(jù)分析功能融合在一起，實(shí)現(xiàn)統(tǒng)一的分析和可視化展示效果，使企業(yè)能夠在融合的展示界面上看到整體風(fēng)險(xiǎn)和威脅情況，并能進(jìn)行統(tǒng)一的協(xié)同處置。第二階段，在部分功能融合的基礎(chǔ)上，對(duì)數(shù)據(jù)處理與分析層和采集層進(jìn)行深度融合，最后形成一套統(tǒng)一的平臺(tái)，實(shí)現(xiàn)IT和OT態(tài)勢(shì)感知平臺(tái)的全面功能融合。2.2.1部分功能融合（1）技術(shù)路線。部分功能融合為保留兩個(gè)平臺(tái)各自獨(dú)立的數(shù)據(jù)采集層和數(shù)據(jù)分析層，在展示層面融合部分核心功能，在保持主題風(fēng)格、操作邏輯等可視化內(nèi)容統(tǒng)一的前提下整合技術(shù)架構(gòu)，把IT與OT各自的特色功能統(tǒng)一展示。在數(shù)據(jù)與功能層面，融合IT和OT數(shù)據(jù)分析功能及分析結(jié)果，并對(duì)分析結(jié)果結(jié)合IT和OT大環(huán)境再次進(jìn)行關(guān)聯(lián)分析和深度挖掘，能夠?qū)魵湹?個(gè)步驟進(jìn)行更深層次探測(cè)，精準(zhǔn)識(shí)別風(fēng)險(xiǎn)。在系統(tǒng)運(yùn)行層面仍為兩個(gè)獨(dú)立運(yùn)行的平臺(tái)，不融合情報(bào)庫(kù)和采集探針。技術(shù)融合部分如圖2中粗線框圖所示。圖2部分功能融合技術(shù)路線（2）實(shí)現(xiàn)方式。繼承IT和OT系統(tǒng)已有的態(tài)勢(shì)感知產(chǎn)品的技術(shù)和功能，進(jìn)行IT和OT態(tài)勢(shì)感知呈現(xiàn)和展示功能的統(tǒng)一化設(shè)計(jì)，分兩步實(shí)現(xiàn)。第1步：以其中一個(gè)態(tài)勢(shì)感知平臺(tái)的前端業(yè)務(wù)處理為基礎(chǔ)，在繼承和沿用IT和OT態(tài)勢(shì)感知平臺(tái)的主要功能和模型算法的基礎(chǔ)上，通過(guò)實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)交互接口和統(tǒng)一的用戶認(rèn)證授權(quán)接口，實(shí)現(xiàn)兩個(gè)態(tài)勢(shì)感知分析數(shù)據(jù)和前端業(yè)務(wù)的融合。此步的關(guān)鍵點(diǎn)在于把IT和OT各自的安全分析結(jié)果數(shù)據(jù)通過(guò)關(guān)聯(lián)分析模型，從攻擊鏈、攻擊源以及時(shí)間關(guān)聯(lián)性等角度進(jìn)行二次分析，為最終的綜合態(tài)勢(shì)提供數(shù)據(jù)支撐。同時(shí)，為了使IT和OT兩個(gè)平臺(tái)結(jié)合為一個(gè)有機(jī)的整體，需要把前端頁(yè)面整合在同一個(gè)前端框架中，而后端的數(shù)據(jù)分布在兩個(gè)分析平臺(tái)上。所以，需要進(jìn)行統(tǒng)一數(shù)據(jù)交互接口、統(tǒng)一用戶認(rèn)證授權(quán)接口等融合性開(kāi)發(fā)，以實(shí)現(xiàn)數(shù)據(jù)分析功能分布式部署、前端管理呈現(xiàn)高度集成的效果。第2步：把IT和OT的分析結(jié)果統(tǒng)一匯總并進(jìn)行關(guān)聯(lián)分析后，在統(tǒng)一設(shè)計(jì)的界面上呈現(xiàn)IT和OT融合的態(tài)勢(shì)分析效果。（3）實(shí)現(xiàn)功能。第一，能夠統(tǒng)一識(shí)別企業(yè)IT和OT網(wǎng)絡(luò)中潛藏的攻擊者；第二，能夠統(tǒng)一研判企業(yè)IT和OT網(wǎng)絡(luò)中受害主機(jī)資產(chǎn)；第三，能夠統(tǒng)一對(duì)企業(yè)各種異常行為、日志與告警數(shù)據(jù)進(jìn)行審計(jì)，形成完整記錄，實(shí)現(xiàn)安全事件取證；第四，能夠統(tǒng)一呈現(xiàn)企業(yè)IT系統(tǒng)和OT系統(tǒng)綜合態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、漏洞態(tài)勢(shì)以及威脅態(tài)勢(shì)等內(nèi)容；第五，能夠?qū)λ袛?shù)據(jù)分析結(jié)果以直觀的圖形、圖表和報(bào)告等多種形式呈現(xiàn)在統(tǒng)一的界面上。2.2.2全面功能融合（1）技術(shù)路線。在部分功能融合的基礎(chǔ)上，實(shí)現(xiàn)IT和OT兩個(gè)態(tài)勢(shì)感知平臺(tái)系統(tǒng)層、數(shù)據(jù)處理層、采集層以及威脅情報(bào)庫(kù)的全面融合。以任一方態(tài)勢(shì)感知平臺(tái)系統(tǒng)層為基準(zhǔn)，重新開(kāi)發(fā)另一方態(tài)勢(shì)感知平臺(tái)系統(tǒng)層并進(jìn)一步全面對(duì)接，最終形成統(tǒng)一的平臺(tái)。優(yōu)先把平臺(tái)系統(tǒng)層和數(shù)據(jù)分析層進(jìn)行融合，再把采集探針和情報(bào)庫(kù)進(jìn)行融合。融合部分如圖3中粗線框圖所示。圖3全面功能融合技術(shù)路線（2）實(shí)現(xiàn)方式。采用共用平臺(tái)和共用技術(shù)架構(gòu)統(tǒng)一IT和OT態(tài)勢(shì)感知的技術(shù)平臺(tái)、數(shù)據(jù)采集器、數(shù)據(jù)采集和存儲(chǔ)架構(gòu)、數(shù)據(jù)分析引擎、情報(bào)庫(kù)和業(yè)務(wù)邏輯。分3步實(shí)現(xiàn)全面融合。第1步：開(kāi)發(fā)一款采集探針，既能采集IT數(shù)據(jù)又能采集OT數(shù)據(jù)，完成數(shù)據(jù)采集分析功能和數(shù)據(jù)格式的統(tǒng)一。此步的關(guān)鍵點(diǎn)在于研究分析IT和OT數(shù)據(jù)在資產(chǎn)、事件、漏洞以及告警等方面的共性與特性，設(shè)計(jì)一套兼容IT和OT數(shù)據(jù)的數(shù)據(jù)標(biāo)準(zhǔn)，定義統(tǒng)一的數(shù)據(jù)格式，并依此標(biāo)準(zhǔn)開(kāi)發(fā)IT和OT數(shù)據(jù)采集探針，對(duì)采集的數(shù)據(jù)進(jìn)行統(tǒng)一清洗、入庫(kù)。第2步：以IT或OT一方平臺(tái)為基礎(chǔ)，在其上完成另一方特性功能模塊開(kāi)發(fā)與數(shù)據(jù)融合。例如，以O(shè)T態(tài)勢(shì)感知平臺(tái)為基礎(chǔ)作為融合平臺(tái)，在其上增加如IT網(wǎng)處置機(jī)制、監(jiān)管機(jī)構(gòu)對(duì)接接口以及IT網(wǎng)智能檢測(cè)等功能，并進(jìn)行適應(yīng)性研發(fā)。第3步：完成兩套情報(bào)庫(kù)的融合。分析IT和OT兩套情報(bào)庫(kù)的情報(bào)類別、條目以及數(shù)據(jù)結(jié)構(gòu)等內(nèi)容，設(shè)計(jì)一套兼容IT和OT情報(bào)的數(shù)據(jù)結(jié)構(gòu)，對(duì)兩套情報(bào)庫(kù)的數(shù)據(jù)根據(jù)統(tǒng)一的數(shù)據(jù)結(jié)構(gòu)進(jìn)行格式轉(zhuǎn)換，并進(jìn)行統(tǒng)一的存儲(chǔ)和發(fā)布，形成一套情報(bào)庫(kù)。（3）實(shí)現(xiàn)功能。在部分功能融合開(kāi)發(fā)實(shí)現(xiàn)功能的基礎(chǔ)上，增加下列功能：能夠使用一種探針采集所有數(shù)據(jù)；能夠?qū)T和OT威脅情報(bào)庫(kù)與漏洞庫(kù)進(jìn)行統(tǒng)一管理，并支持統(tǒng)一更新；能夠兼顧國(guó)家部委網(wǎng)絡(luò)安全監(jiān)管需求，預(yù)留相關(guān)對(duì)接接口，統(tǒng)一上報(bào)數(shù)據(jù)并統(tǒng)一接收威脅情報(bào)。0３應(yīng)用實(shí)踐本文設(shè)計(jì)的IT與OT網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)聯(lián)合開(kāi)發(fā)技術(shù)已在中國(guó)航空油料集團(tuán)有限公司成功進(jìn)行建設(shè)實(shí)踐。前期先進(jìn)行部分功能融合，最終采用全面融合方式實(shí)現(xiàn)該企業(yè)管理信息系統(tǒng)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的全面功能融合，形成了統(tǒng)一高效的網(wǎng)絡(luò)安全通報(bào)預(yù)警和協(xié)同響應(yīng)工作機(jī)制。采用部分功能融合形式，在該企業(yè)使用一套統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢(shì)感知界面對(duì)管理信息系統(tǒng)和工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全威脅情況進(jìn)行統(tǒng)一的分析和處置，呈現(xiàn)效果如圖4所示。圖4中國(guó)航油融合態(tài)勢(shì)感知平臺(tái)應(yīng)用效果應(yīng)用融合態(tài)勢(shì)感知平臺(tái)后，整合中國(guó)航油現(xiàn)網(wǎng)存量網(wǎng)絡(luò)安全資源，使“安全防御孤島”產(chǎn)生協(xié)同效應(yīng)，建立了管理信息系統(tǒng)和工業(yè)控制系統(tǒng)綜合的大數(shù)據(jù)處理、威脅研判、應(yīng)急響應(yīng)、信息共享以及協(xié)同工作機(jī)制。0４技術(shù)創(chuàng)新性（1）采用多元數(shù)據(jù)采集技術(shù)，統(tǒng)一IT系統(tǒng)與OT系統(tǒng)數(shù)據(jù)標(biāo)準(zhǔn)，為關(guān)聯(lián)分析提供泛化的數(shù)據(jù)源；（2）構(gòu)建IT系統(tǒng)和OT系統(tǒng)關(guān)聯(lián)分析的數(shù)據(jù)模型和綜合研判檢測(cè)規(guī)則，兼顧IT系統(tǒng)和OT系統(tǒng)的攻擊特征，能夠更深層次地探測(cè)攻擊殺傷鏈的7個(gè)