★ 杭州安恒信息技術股份有限公司
1 項目概況
1.1 項目背景
某生物技術有限公司是一家上市生物制藥企業,致力于人用疫苗及其相關產品的研究開發、生產和銷售,為疾病預防控制提供服務。
隨著對信息系統的依賴程度不斷增加,原有的信息化設備已經無法滿足業務發展的需要。現需要根據實際業務需求對原有信息化系統進行優化和改造,而信息安全建設作為信息化建設中必不可少的環節,需要同步進行。國內外安全形式日趨嚴峻,為保障網絡安全,《網絡安全法》、關基保護條例、等保2.0標準等相繼發布,對企業的業務合規能力、業務系統安全能力和安全運營能力等提出了新的挑戰。
1.2 項目簡介
該企業在網絡和生產系統設計與建設之初,未考慮到潛在網絡安全風險,未面向生產網絡進行體系化網絡安全建設。隨著企業信息化建設不斷推進,給現有的生產網絡與工控系統帶來很大的風險與挑戰。
本項目對該企業進行網絡安全整體規劃與建設,結合公司的網絡安全現狀,確定其安全建設需求,加強其監測預警系統、終端安全查殺能力、應急響應手段、大數據安全平臺和信息系統等級保護建設的推進工作,全面提升其智能制藥的網絡安全保護及整網安全能力,并建立一個完善的信息安全預防、監測、防御和響應的縱深防御的安全體系,解決其當前面臨的網絡安全風險。
1.3 項目目標
某生物技術有限公司擁有11個廠區,本項目需要在滿足政策合規的前提下,通過建設企業級工業互聯網安全態勢感知與綜合管控服務平臺,實時掌握各生產廠區工業系統的網絡安全態勢,及時通報預警重大網絡安全威脅;形成企業和下屬各生產基地相關部門協調聯動的網絡安全監測預警處置工作機制,構建網絡安全綜合防控體系;最終形成工業安全檢測、工業安全防御、工業安全運維、工業安全響應的閉環體系,如圖1所示。
圖1 總體安全方案設計架構
2 項目實施
2.1 業務應用場景分析
該生物制藥企業工業網絡安全防御體系仍需完善,系統工業安全檢測和感知能力不足,沒有建立相應的工業網絡安全監測、預警和感知系統。工業網絡安全重復檢查、安全風險和漏洞重復通報等問題突出。因此需要具備以下能力:
(1)資產安全集中監測能力;
(2)高級威脅檢測能力;
(3)工業網絡安全監測及處置能力;
(4)可視化溯源分析能力;
(5)工業安全合規管理能力。
該企業具有生物制藥行業的典型特點:廠區分散、網絡結構復雜、各工廠工控系統品牌和型號不統一。項目方案中,根據業務需求規劃安全域并制定詳細的訪問控制策略,部署網絡安全設備構建分域控制與縱深防御的安全防護體系,同時通過全面的工業協議解析能力及多源異構日志分析能力,將安全數據轉換為統一、標準的數據格式,利用工業安全態勢感知平臺進行大數據處理,成功打通各安全域的信息孤島,形成工業安全運營閉環管理體系,做好協同防御。
2.2 技術方案
項目總體設計采用分域控制與縱深防御相結合的方式,如圖2所示。
圖2 項目技術方案示意圖
(1)分域控制:將智能制藥操作系統和外部系統依據系統的應用功能、資產價值及資產所面臨的風險,從結構上劃分為不同的安全區域,并以安全區域為單位進行安全防御技術措施的建設。
(2)縱深防御:智能制藥操作系統圍繞安全管理中心,從安全通信網絡、安全區域邊界、安全計算環境三個維度進行安全技術和措施的設計;通過集中管理,對確認的重大威脅或攻擊進行安全聯動防護,充分考慮各種技術的組合和功能的互補性,從外到內形成一個縱深的安全防御體系。
2.2.1 安全管理中心
(1)新建安全管理域
在服務器區新建安全管理域,在安全管理域內部署工業安全態勢感知平臺、堡壘機、工業安全管理平臺等安全設備,在安全管理域與服務器區之間部署下一代防火墻,實現服務器區與安全管理域的訪問控制。
(2)工業安全管理平臺
對各安全域的安全設備進行集中管控、狀態監測、策略配置下發等,及時發現、報告并處理工業控制系統中的網絡攻擊或異常行為,統一調度安全預警、安全監測、安全防護和應急處置。
(3)綜合日志審計平臺
采集各個安全域的日志信息進行審計,支持各類網絡設備、安全設備、主機、應用及數據庫等,滿足政策法規要求的日志留存期限,支撐事件分析與攻擊溯源。
(4)運維審計與風險控制系統(堡壘機)
通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監控、審計回放和自動化運維流程管理等功能,增強運維管理的安全性。
2.2.2 安全通信網絡
工業控制系統與企業其他系統之間應劃分為兩個區域,即在生產網服務器與辦公網服務器之間部署下一代防火墻,通過安全策略實現單向隔離,有效阻隔外部威脅的入侵;
在工業控制系統內部應根據業務特點劃分為不同的安全域。本項目根據工控系統的業務屬性及地理位置等因素,使用工業防火墻將各工廠劃分為獨立安全域。工業防火墻具有bypass功能,可確保生產業務的連續性。
2.2.3 安全區域邊界
在各個工廠的生產設備匯聚交換機數據出口處部署訪問控制設備(工業防火墻),配置訪問控制策略,禁止任何穿越區域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網絡服務,深度解析工業協議,禁止非白名單工業協議傳輸;使用工業安全監測審計平臺及流量分析系統,在工業控制系統安全域內進行異常行為和異常流量監測。
(1)工業防火墻
工業網絡內部安全域間使用工業防火墻進行邊界劃分,并配置訪問控制策略,利用工業防火墻的多業務端口實現橫向隔離,只允許特定設備的特定協議通過(如OPC、Modbus等)。工業防火墻具有bypass功能,可確保生產業務的連續性。
(2)工業安全監測審計平臺
在各工廠的生產設備匯聚交換機上部署工業安全監測審計平臺,實時監測生產過程中產生的所有流量,識別多種工控協議,實現對工業控制系統內的異常流量、異常行為、異常操作、非法接入等安全風險的實時告警。
(3)流量分析系統
在各工廠的終端匯聚交換機上部署流量分析系統,內置海量威脅檢測規則,覆蓋多種安全場景,有效識別各類IT、OT類網絡攻擊行為,實時告警并與工業安全態勢感知系統聯動處置,從而實現高效精準的威脅檢測。
2.2.4 安全計算環境
針對此生物制藥企業應用主機安全及管理系統、數據庫審計系統和工控漏洞掃描平臺,實現主機反病毒、外設管理、數據庫審計、資產脆弱性識別等能力,構建安全計算環境。
(1)主機安全及管理系統
在安全域的計算機部署主機安全客戶端,在安全管理中心部署主機安全及管理系統平臺,對所有主機安全客戶端進行統一管理。集成系統加固與防護、網絡加固與防護等功能,內置文件誘餌引擎對勒索病毒具有專防專殺能力;內核級東西向流量隔離技術,實現網絡隔離與防護;擁有補丁修復、外設管控、文件審計、違規外聯檢測與阻斷等主機安全能力。
(2)數據庫審計與風險控制系統
在生產網服務區內部署數據庫審計與風險控制系統,對數據主機事件、網絡事件、數據庫時間、應用系統事件進行審計,并按照目標標識和事件類型等條件進行統計;通過綜合關聯分析,發現潛在危害和異常事件。
(3)工控漏洞掃描平臺
可對生產網絡內的設備進行漏洞掃描。工控漏掃擁有豐富的漏洞信息庫,支持對傳統IT系統(包括主流操作系統、應用服務、數據庫、網絡設備、安全設備、虛擬化系統)的漏洞掃描與配置核查,以及對工業控制系統的漏洞識別檢測,能夠及時發現安全漏洞,全面掌握當前工業控制網絡及系統中的安全風險,協助管理者進行漏洞修復。
2.2.5 工業安全態勢感知
工業安全態勢感知平臺是生物制藥行業工業互聯網安全解決方案的大腦,采用安全大數據技術對工業安全數據進行深度分析,形成安全監測、安全分析、安全運營能力,并提供可視化安全態勢感知呈現。工業安全態勢感知打通了信息固定,將各個安全設備與系統進行聯動,構建了一體化動態響應的工業信息安全防御體系,如圖3所示。
圖3 工業安全態勢感知平臺示意圖
(1)數據采集
·支持多源異構數據采集,收集安全設備、網絡設備、主機和應用系統等日志;
·支持流量采集,可采集全流量信息,深度解析工業協議與傳統IT協議,識別異常通信行為;
·支持資產信息探測,可通過主動探測、流量識別、安全設備上報等方式,精準識別資產信息;
·支持漏洞信息采集,能夠采集各類IT資產與工控資產漏洞及不安全配置等風險。
(2)安全數據分析
平臺結合IT與OT應用場景,內置1300多種安全分析模型,包括180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權限檢測類模型、210多種命令控制檢測類模型和30多種資產破壞類檢測模型,覆蓋Intrusion Kill Chain的各個維度,能有效識別各類網絡攻擊。
此外,平臺支持自定義工業安全模型,可根據用戶實際業務場景,將安全生產指標與網絡安全指標進行融合分析,從中發現威脅與風險,并進行有效的處置。當前支持規則模型、統計模型、情報模型、關聯模型和AI模型等自定義模型。
(3)業務應用
·資產管理:提供資產底數管理能力,可在線監控網內資產,并識別資產基礎信息、網絡環境、安全事件、安全隱患等信息,將資產、事件、人員/單位相關聯,為應急響應提供基礎。
·安全監測:可實時監測資產、安全事件、安全隱患、工控系統生產指標及其他用戶關注的信息,通過多種可視化方式進行呈現。
·安全分析:平臺通過內置規則實時分析安全事件與安全風險,用戶可查看事件級別、范圍、攻擊手段、處置建議等信息,并提供追蹤溯源能力,協助人員開展處置工作。
·安全運營:平臺提供通報預警與工單管理,形成流程化的閉環安全管理機制,確保責任落實到人。此外,平臺通過SOAR技術,可聯動防火墻、主機安全及管理系統等設備,自動處置安全事件,顯著加強應急處置效率。
3 案例亮點及創新性
(1)經濟效益
此生物制藥行業工業互聯網安全一體化運營解決方案在確保安全生產運營的基礎上,進行網絡安全建設,提高生物制藥生產運營安全性以及生產數據的可用性、完整性和保密性;通過從OT網絡到IT網絡多重防護措施,從外到內形成一個縱深的安全防御體系,保障系統整體的安全保障能力;保護企業重要資產,有效提升企業工業網絡安全技術水平,減少和避免因網絡安全事故對生產能力和生產效率的影響,減少和避免經濟損失,有助于降低成本、提高生產效率、保障產能。
本項目幫助某生物技術有限公司滿足政策法規的技術要求,為其11個廠區及總部構建了以工業安全態勢感知為核心的工控安全防護體系,解決了生產網數據共享的安全問題,具備了對安全事件溯源分析和問題定位的能力,提高了安全運維人員的工作效率,有顯著的經濟效益。同時,本項目建成后迅速實現了相關安全技術落地,并在集團生產基地進行了應用,保障了基地制造工廠安全,促進了集團業務的快速發展。
(2)社會效益
該方案應用具有免疫特征的安全防護體系、機制和關鍵技術在保證合規性建設的同時,可以持續解決新技術、新應用所帶來的安全問題。同時該項目在行業內具有較高的創新性,建設完成后可以適配大多數生物制藥企業及泛制造企業場景,促進了工業控制網絡安全技術的發展、安全企業價值的提升和安全產業的規模化發展。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》