今日頭條
官方微信
官方抖音
案例頻道★北京圣博潤高新技術股份有限公司
1 項目概況
1.1 項目背景
國防軍工行業是國家安全的支柱,承擔國防科研生產任務,為國家武裝力量提供各種武器裝備研制。
由于軍工企業的特殊性,其內部系統嚴格按照分級保護的要求進行監督管理,確保系統和信息安全。禁止內部辦公網與工控網的直接連接,始終保持內部辦公網與工控網之間的物理隔離狀態,內部辦公網系統與工控網絡的信息交換主要是依賴“光盤擺渡”的方式。
而武器裝備生產過程中的研發和協同等工作主要依賴內部辦公網系統,而生產、實驗和測試離不開工控系統。內部辦公網絡和工控網絡的信息孤島和信息交換滯后問題已嚴重制約武器裝備科研生產效率的提高,所以實現內部辦公網與工控網絡的安全互聯,消除武器裝備的科研與生產環節的瓶頸,提高生產效率,實現武器裝備生產的數字化、智能化勢在必行。
1.2 項目簡介
圣博潤股份作為軍工行業信息安全領域領軍廠商,參與了十余家軍工單位的兩網互聯及工控安全防護項目的咨詢規劃和建設工作。在兩網安全互聯、工控網絡防護方面擁有豐富經驗以及完善的解決方案。
圣博潤股份參與了某軍工企業的兩網安全互聯及工控安全防護提升項目建設。通過對生產工藝和系統流程進行摸底和梳理,以及對內部辦公網和工控網絡的風險評估,總結如下現狀問題:
(1)兩網間交互數據量大、交換頻次高。
目前采用光盤刻錄擺渡方式完成一次數據交互平均用時約30分鐘,且需要同時執行多個業務流程,數據交換流程繁瑣,嚴重影響業務工作效率。工藝系統、生產執行、物流配送和在線智能檢測等系統數據需要快速同步,生產過程質量控制數據需要實時監測。工藝生產銜接若存在失控風險,對生產質量會產生較大影響,使生產計劃難以快速高效地下達到生產現場,導致計劃執行情況無法實時反饋,調度不能實時開展,將極大影響生產效率和設備利用率,對整個生產計劃的準確性也會產生重大影響。
(2)工控系統存在脆弱性且安全防護較為薄弱。
工控系統在其自身安全性上存在“先天不足”,工控網絡中應用的各類工控系統更新換代周期長,普遍存在弱口令、漏洞等安全缺陷;生產車間中使用高端進口機床裝備,存在后門安全隱患;工控網絡內未按功能或區域劃分安全域且未設置ACL訪問控制策略;部分工控上位機病毒庫過期未及時更新等問題。長久以來,工控系統建設與使用管理重可用性,輕安全性,工業控制系統信息安全管理意識薄弱,管理體系不健全。
基于上述現狀,在兩網之間建立安全高效的信息交換平臺,構建內部辦公網與工控網之間的自動化數據傳輸通道已迫在眉睫。但網絡互聯后,工控網自身防護不健全可能給內部辦公網帶來新的信息安全威脅。因此在構建兩網互聯的同時,還需要通過技術手段提升工控網絡整體安全性。
1.3 項目目標
通過搭建雙單向信息交換平臺實現內部辦公網與工業控制系統之間的數據安全可控的實時交互,滿足生產需求,保障內部辦公網數據安全、可靠、可控、穩定的下發到工控網;工控網制造數據及時、快速地反饋到內部辦公網,調整、優化加工參數,加快產品定型和產品量產,有效提升企業生產效益和綜合運營效率,為推動智能制造技術落地構建基礎。
圣博潤股份以“統一規劃、分步實施、不斷完善”為指導思想,將本項目分為三個重點內容進行建設,實現上述目標:
(1)實現內部辦公網系統與工業控制系統間的安全數據交換
為了將工控網的信息快速地導入內部辦公網,同時需要將內部辦公網內特定格式的數據安全可控地導出到工控網中,圣博潤股份重點考慮了信息傳輸可能帶來的安全風險,確保整個智能制造“數字化車間”運行安全可靠,并確保滿足信息傳輸來源的真實性、內容的合規性、過程中的單向性、數據可追溯可審計性及系統自身具備的安全性等要求。
(2)對工業控制系統進行安全防護建設
對工控網有針對性地進行安全防護提升,在邊界安全防護、入侵檢測、惡意代碼防護、身份鑒別、訪問控制、安全審計和安全管理等方面進行提升建設。并確保滿足國家相關安全和保密建設要求。
(3)對內部辦公網進行安全補充建設
為確保通過信息交換平臺交換數據來源可靠,需通過打標系統實現在跨網交換過程中,打標系統的標簽和電子數據的不可分離。并在內部辦公網內統一記錄數據交換日志和安全日志。
2 項目實施
2.1 安全區域劃分
根據密級、業務屬性及所屬功能的不同,將網絡規劃為圖中所示的三個大區。大區中包含有獨立的安全域來細化各自功能屬性。
2.2 整體設計思路
圣博潤股份的軍工兩網互聯及工控安全防護設計思路嚴格按照國家保密相關要求,并結合《工業控制系統信息安全防護指南》進行整體設計。總體設計思路按“主動防御、實時監測、快速響應、及時恢復”的方針,開展內部辦公網與工控網安全事件的防護、檢測、預警和應急處置等工作;采用“管技并重”相結合的安全防護理念構建安全防護體系。
安全保密方面,以嚴防數據“高密低流”為主旨,在保障信息完整性、可靠性和安全性的基礎上,以兩路單向數據傳輸技術為核心搭建雙單向信息交換平臺,實現內部辦公網和工控網絡之間的數據安全交換。
2.3 整體架構設計
圖1是軍工兩網互聯信息交換平臺及工控安全防護體系總體設計架構。
圖1 軍工兩網互聯信息交換平臺及工控安全防護體系總體設計架構
2.4 數據交換安全
在內部辦公網與工控網之間的信息交換區中部署上、下行兩個方向的單向光閘設備。利用單向光閘物理單向特性,保障文件傳輸絕對單向無反饋傳輸。
單向光閘兩側設置的獨立安全域中配置邊界防火墻,形成單向導入傳輸通道與單向導出傳輸通道的邊界防護。采用最小化授權原則配置訪問控制策略,并細化至IP地址和服務端口級,實現數據流的控制。
2.5 邊界隔離及訪問控制
工控防火墻部署在工控設備安全域與網絡核心交換的交界處,通過訪問控制策略和隔絕等技術分割網絡,防護來自外部網絡的入侵行為傳播。并在重點數控設備、智能裝備前端通過專用安全防護設備對關鍵生產設備的網口、串口、USB口進行安全防護。
2.6 身份鑒別與運維審計
通過運維堡壘機的運維審計能力,實現對交換機、安全設備、服務器登錄的二次身份進行鑒別認證,并對訪問人員的權限進行控制,對操作人員的操作行為進行監測審計,對違規行為進行溯源取證。
2.7 入侵檢測與工控審計
通過對工控網絡流量進行檢測,檢出工控網絡內部可能存在的溢出類攻擊、后門類攻擊、掃描類攻擊、暴力破解等攻擊或異常行為進行實時檢測告警。
工控安全審計通過特有的工控協議深度解析和流量基線白名單功能,建立基于工控協議功能碼、指令的工控流量的白名單模型。有效識別出白名單流量以外的工控協議異常事件和網絡攻擊行為,并進行實時告警。
2.8 網絡接入管控
通過網絡接入控制系統配合交換機ACL策略,及時發現并記錄網絡中的私建網中網、違規設備接入、雙網互聯、IP地址沖突等違規事件,實時定位終端的接入位置,發現非授權接入工控網設備。
2.9 主機安全防護
工控主機防護軟件采用“白名單機制”,未列入白名單的軟件和可執行程序會在啟動之前被攔截。規避了防病毒軟件不能及時更新病毒庫帶來的殺毒能力降低問題。保障工業上位機中關鍵業務相關軟件穩定運行,提升了主機安全防護能力和合規管理水平。
2.10 漏洞及脆弱性管理
在網絡內通過漏洞掃描系統基于CVE、CNVD、CNNVD等漏洞數據庫,對操作系統、應用服務、網絡設備等IT資產以及工控上位機、PLC、RTU、數據采集模塊、變頻器等工控資產進行檢查,對已發現的漏洞及脆弱性進行查漏補缺。
2.11 集中管理與安全審計
工控集中安全管理平臺實現對工控網絡中的邊界防火墻、工控安全監測審計、工控主機防護等產品進行集中監視和安全策略統一管理,通過安全事件關聯分析及安全趨勢風險預警,有助于降低運維成本、提高事件響應效率。
在兩網交換過程中的交換日志和安全日志信息,統一導入保存至內部辦公網的安全審計系統中進行統一記錄存儲與大數據分析。同時對交換過程中的異常事件時間、違規事件進行分析和處理。
3 案例亮點及創新性
圣博潤股份通過為某軍工單位建設兩網安全互聯及工控安全提升項目,既有效解決了該企業內部辦公網與工控網數據安全交互的問題,又通過安全防護技術手段對工控網絡進行全面安全防護,保障了工控網絡數控和其他工控系統與的正常安全運行。
(1)為工控系統安全提供了有效的保障
在信息化系統建設中,安全是一個至關重要的問題。軍工工業控制系統承載著國防安全重任,一旦工控系統出現安全事故將會造成較大的負面效應。開展工控系統安全防護建設,是為工控系統建設提供安全高效的運行保障,具有非常重要的社會意義。
(2)助力軍工行業信息化建設向更高層次推進隨著信息化建設的推進
通過網絡進行信息共享和數據交互的力度大大加強,對兩網數據傳輸中的安全性、保密性和完整性提出了更高要求。只有對軍工內部辦公網和工控網進行科學的評估,規劃和建設一個集物理安全、網絡安全、應用安全、系統安全和數據保密安全等于一體的信息防護體系,才能為軍工信息化的大力推進提供充分的安全保障。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號