今日頭條
官方微信
官方抖音
案例頻道★ 新華三信息安全技術有限公司
1 項目概況
1.1 項目背景
針對該輪胎企業各廠工控安全現狀進行風險評估,結合評估結果進行整體方案設計。方案設計后首先對該輪胎各廠發現的高危風險進行消除,借助當前系統內現有安全措施或設備自帶安全機制,通過漏洞修補、安全加固實現系統安全能力加固,并進行安全基礎設施建設。圍繞各類安全基礎設施,逐步建立運行維護制度及應急響應體系,與此同時建立工業企業人員安全教育體系。方案建設完成后,確保工業企業各廠的安全技術、管理體系和人員水平得到提升。
1.2 項目簡介
基于該輪胎工業有限公司及股份有限公司其他下屬企業的工業網絡安全防護需求,依靠工業信息安全保障建設框架,建設網絡安全縱深防御體系框架,設計工業企業網絡安全綜合防護平臺基礎機構,建設安全態勢感知與主動防御平臺,建設工業企業安全運營與管理平臺,提升輪胎制造業安全態勢感知與主動防御能力,提升工業企業安全與運營管理能力,構建多層次、一體化工業網絡安全防御能力,為工業企業的數字化轉型升級提供保障。
1.3 項目目標
通過工業信息安全保障工作中所涉及的安全人員、安全技術、安全管理三個維度內容,從策略制定、評估分析、方案設計、工程實施、運行管理、應急響應和安全教育七個方面,針對企業工控安全建設制定全生命周期的方案。
2 項目實施
方案設計中按照企業工控安全方針策略,結合公司及各下屬企業當前安全現狀,以企業當前安全需求為出發點,為達成目標而合理規劃企業工控安全建設內容、建設重點、建設順序,形成合理的工控安全保障方案。
工程實施是將前期設計的保障方案中各項安全措施進行具體實現的過程,工程實施質量直接影響前期設計方案的實現效果。工程實施過程應由企業項目管理人員進行管理,本項目將委托第三方機構評價實施效果。
建設內容包括:縱深防護體系、綜合防護平臺和仿真驗證體系。
構建基于主機安全、設備安全、網絡安全、數據安全、內生安全的多層次縱深防御體系,形成工業企業安全防護服務能力。針對該企業工業發展現狀,圍繞“本質安全”“架構安全”和“行為安全”三個維度,將企業信息系統劃分為4個不同層級的安全域。網絡層級和安全域根據自身特點和重要性程度制定相應的安全防護策略,并結合安全管理和安全運維,構建全面防護且持續改進的縱深防御體系。
鑒于輪胎制造業企業在工業領域的至關重要性,在智能制造的重塑與改進下,要實施嚴格的訪問控制策略、操作行為監管及審計機制,以確保在不同安全屬性的系統和不同安全級別的安全域間進行安全的信息交換。
本項目通過部署工業安全網關、工業入侵檢測平臺、工業流量審計平臺、主機加固軟件、工業數據安全管理系統、企業互聯互通平臺通訊數據分析平臺、企業互聯互通平臺通訊數據展示平臺、隱私數據分發保障系統、高交互威脅狩獵與溯源系統及工業企業防火墻系統,完成縱深防御體系的建設。
綜合防護平臺的核心目標是提高企業的整體安全水平,提升運維效率,體現安全效果和價值。通過建設包括人員、工具、流程三大體系的安全運營中心,打造感知、分析、決策、響應4個維度的自動安全處置閉環能力。因此,整體思路和理念是:綜合防護平臺通過態勢感知平臺、主動防御平臺和安全運營管理平臺,提高“威脅感知、分析定位、智能決策、響應處置”的快速安全閉環能力,幫助工控企業實現安全效果,提升安全運維和安全管理效率,展現安全成果,最終實現“自動響應閉環、持續安全運營”的目標。
本項目具有實現工業現場威脅感知及主動防御能力,具備針對工業控制系統防惡意軟件傳播、防惡意控制指令、防邊界滲透等安全防護能力。
通過在工業企業網絡出口、工業網絡內部部署工業互聯網安全蜜罐,仿真正常運行的工業互聯網設備或系統,可誘捕惡意網絡攻擊,及時發現在網絡中傳播的惡意代碼病毒,溯源黑客組織,捕獲惡意樣本,提升工業現場威脅感知及主動防御能力。
面向工業企業工控設備的被動威脅監測及態勢感知系統分為服務支撐、工控設備及業務仿真、威脅監測三部分。服務支撐部分提供流量重定向、數據采集、訪問控制和數據分析功能;工控設備及業務仿真部分提供設備指紋、業務功能、通信協議和操作指令仿真功能;威脅監測部分提供攻擊來源監測、惡意文件監測、攻擊工具監測和攻擊步驟監測功能。
2.1 入侵檢測
威脅感知傳感器具備入侵檢測功能,可實時監控所有“影子系統”以及虛擬網絡流量,自動檢測可疑行為,分析來自網絡外部的入侵信號和來自網絡內部的非法活動,在攻擊者攻擊關鍵業務系統前發出警告,對攻擊做出實時響應,并提供補救措施,最大程度地保障系統安全。
2.2 工控安全管理平臺
在工業信息網絡環境中做整體的安全防護,勢必要掌握全網的運行狀況與安全狀況,要處理大量設備產生的安全數據和監控信息,要通過集中高效的告警機制快速發現、定位問題,并快速地處置安全故障和威脅,要解決工業企業信息安全集中監控與統一管理問題。
系統為三層的管理架構,最下一層為被保護的工業控制及管理環境設備對象,包括從生產管理層、MES層到控制層的各類設備,比如操作員站、工程師站、RTU、PLC、DCS等。
系統通過采集層對所有被保護對象進行集中的信息采集,包括收集網絡中所部署的各類安全設備的事件及告警信息。該層提供豐富的數據接口,所采集的信息包括:資產、拓撲、性能、事件、漏洞、流量及工控指令等。同時,信息采集裝置可以在復雜網絡中分布式部署,并且對網絡性能影響極小甚至無影響。采集到的所有信息都會進行預處理,將其轉換為統一的內部格式,并提交給上層的核心功能處理層的相應組件進行處理和分析。采集層之上是數據處理與展示層,該層提供了系統的核心處理功能,主要包括了設備監控、安全信息管理、工控威脅管理和統一接口四大功能組塊。設備監控功能組塊主要提供了被監控對象的識別梳理和基礎信息支撐,主要包括設備管理、工控拓撲構建、設備及鏈路性能狀態監控,以及識別監測各工控設備的能力;安全信息管理組塊提供了工控網中安全事件信息與漏洞信息的綜合管理功能,主要包括安全事件的集中管理和查詢、漏洞信息的集中管理、防護產品的安全信息管理及安全知識庫功能;工控威脅管理組塊綜合了設備鏈路的監控以及各類安全信息,形成了面向威脅的展現和分析功能,主要提供了風險管理、工控業務健康度分析、關聯分析以及KPI威脅分析等功能;統一接口組塊綜合了對外的各種接口,主要提供了對企業集中監控輸出的告警接口、第三方防護產品信息采集接口及國家層面監控系統的探針管理與信息交換接口。
工控安全事件與報警管理系統由管理中心和采集器兩部分組成。管理中心主要是數據處理與展示層功能,同時內置了事件采集、性能采集等采集器功能;采集器包括事件(日志)采集器、性能采集器及流量采集器。
2.3 資產發現
資產發現用于發現未在管理系統中的企業資產。通過系統用戶手動、一鍵確認和自動確認,將識別到的資產加入企業新管控的資產。
2.4 資產監控
2.4.1 健康度模型
健康度模型用來評價資產的健康狀態,健康度分為健康、過載和失聯,如圖1所示。健康狀態不言而喻,表示資產運行狀態良好;過載狀態表示資產負載過高,系統持續運行有潛在威脅;失聯代表資產處于不可達狀態,已經無法獲得資產的任何信息。
健康狀態的評估標準因不同類型的資產而不一樣,傳統IT與OT對于資產健康狀態的標準也不一樣。相對而言,傳統IT的資產健康狀態主要聚焦于CPU、內存、磁盤空間和網絡等維度。一般的評估健康度的方法要么片面地依賴某一指標或幾個指標,要么與現實認識有差別。
圖1 資產健康度評估流程圖
本項目中的健康度模型綜合各種維度的評估項,并經過現實驗證,具有一定現實參考意義,評估的資產健康度基本靠近實際認知。
2.4.2 在線狀態模型
系統的在線狀態監控有幾種通用實現模型:
(1)定期掃描或者探測;
(2)通過所接收的日志分析更新設備狀態。
以上兩種模型放置在工業環境中都有一定缺陷:定期掃描或者探測會消耗占用一段時間的網絡帶寬。
對于工業終端而言其較脆弱的協議棧以及處理能力,即使是簡單的ICMP或者SYN探測都有可能導致其故障引發事故。
而通過日志分析更新設備狀態,這就是一種M*N級別的低效分析,導致性能整體下降。而直接通過探針攜帶資產狀態的方案,在一個資產被多個探針所管理時會出現狀態不一致的錯亂,進而導致一些異常分析。
本項目提出的是一種高低在線狀態保護期的模型。通過探針攜帶設備心跳,設備分為在線、離線、脫管三種資產狀態,分別代表設備在線、設備離線、設備已屬無探針管理狀態。從前到后,狀態變遷優先級遞減,而從后至前優先級遞增,保證了在一定窗口保護期,有任何一個探針在管理這些資產時就能評估出更接近事實的狀態。
2.5 互聯監控
系統可對資產互聯及區域互聯情況進行監控。
(1)資產互聯
資產互聯展示的是所監控資產間的網絡互聯關系,并且可根據統計信息決策為黑名單(禁止)訪問或白名單(允許)訪問,如圖2所示。
圖2 資產互聯
(2)區域互聯
區域互聯展示的是所監控邏輯區域間的網絡互聯關系,并且可根據統計信息決策為黑名單(禁止)訪問或白名單(允許)訪問,如圖3所示。
圖3 區域互聯
2.6 資產畫像
工控安全事件與報警管理系統可對資產進行畫像。資產畫像力圖對所管控資產就資產的基礎屬性、運行信息、日志信息和異常信息建立全面的知識庫,一目可了解資產的歷史和當前信息狀態。
(1)合規監控
依據工信部頒布的《工業控制系統信息安全防護指南》,以合規能力監控為目標系統逐項予以安全評估,并最終給予評分。參考防護指南評估引擎,數據來源于靜態防護指南日志以及動態評估的防護指南相關日志予以評估后的數據,如圖4所示。
圖4 合規監控
(2)告警監控
工控安全事件與報警管理系統可對告警進行監控,通過告警行為發現系統的異常。系統為避免重復告警導致待處理告警數目過多,對告警數據做了聚合,同時兼顧了時間要素,保證最新觸發的告警排序靠前。告警需進行確認后才會消失,如圖5所示。
圖5 告警監控
(3)大屏監控
大屏監控以大屏監控全網為視角,動態體現全網、廠區、資產信息以及防護信息日志和告警日志,如圖6所示。
圖6 大屏監控
2.7 工業探針管理
工控安全事件與報警管理系統可對主機探針、PLC探針、網絡探針、遠程探針以及多源探針進行管理。
(1)主機探針管理
主機探針管理提供了主機探針的主動注冊(自動發現探針)、軟件上傳及下載。
(2)PLC探針管理
發現探針),關聯或注冊所采集資產。PLC探針主要提供了PLC探針的主動注冊(自動
(3)網絡探針管理
網絡探針主要提供了網絡探針的主動注冊(自動發現探針)、資產間網絡互聯黑白名單管理、區域間網絡互聯黑白名單管理。
(4)遠程探針管理
遠程探針主要提供了遠程探針的主動注冊(自動發現探針),關聯資產。
(5)多源探針管理
多源探針主要提供了多源探針的主動注冊(自動發現探針),以關聯資產。
2.8 工業日志聚合
(1)多源日志收集
工控安全事件與報警管理系統通過主機、PLC、網絡、遠程以及多源探針進行工控系統內各類設備日志收集并進行歸一化處理,供后續分析、處理、記錄。
(2)日志審計
工控安全事件與報警管理系統可對工控系統內各類設備日志進行審計。通過日志查詢系統可以查詢到資產名、資產IP、資產類型、事件時間、分類、等級、摘要等日志信息。
(3)日志管理
日志管理主要提供對存儲的審計日志導出、導入,設定磁盤空間閾值清理日志,定期自動備份日志。
(4)日志異常分析
工控安全事件與報警管理系統可對日志異常進行分析,包括潛在危害、異常行為等。
3 案例亮點及創新性
安全基礎設施建設完成后,進入運行維護階段。工控安全運維工作可通過建設安全運營管理平臺提高運維團隊運行維護能力。
安全運營管理平臺包括以下功能:工控設備管理、安全事件管理、日志管理、脆弱性管理等。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號