今日頭條
官方微信
官方抖音
案例頻道★ 浙江中控技術股份有限公司
1 項目概況
1.1 項目背景
大數據時代,數據已經成為保障國家穩定和促進社會發展的重要戰略資源。隨著各類數據安全事件的頻繁爆發,對各事發單位造成的影響和結果可謂非常慘烈。數據安全問題已嚴重影響政企聲譽和利益,甚至成為決定企業命運的關鍵問題。本項目是中控技術在工控系統全網防護解決方案中首次重點關注數據安全,并以此為例打造數據安全標桿項目。
1.2 項目目標
工控系統安全與數據安全防護建設的總體目標是參照國內外成熟、先進的工業控制系統安全防護模型和措施,根據浙江安諾芳胺化學品有限公司工控系統的實際特點和安全需求,全面持續提升該公司的安全組織管理、風險控制、專業技術和服務能力,加強工控系統安全防護力度,切實保障企業生產經營活動的正常運行。
(1)通過數據安全治理管控平臺建設,提升數據安全運營能力、數據安全管控能力和數據安全監控能力。
(2)建立全面的工業控制系統網絡與數據安全保障體系,達到等保2.0的網絡安全的技術要求;減少企業的安全事件,保障商業秘密不外泄;完善工控安全風險管理,實現風險管理的機制化運行,使企業管理人員能夠準確掌握自身工控系統面臨的主要安全風險。
(3)基于等保2.0、DSMM及政務信息共享數據安全技術要求,建立以技術保障為基礎、以管理運營為抓手、以監測預警為核心、以協同響應為目標的網絡安全防御體系,并圍繞合規性國家標準四大核心內容,即數據安全標準規范體系、數據安全防護體系、數據安全管理平臺和數據安全運營體系,開展數據安全與等保安全建設工作。
(4)加強數據資源安全運營、數據安全策略運營、數據安全事件運營、數據安全風險運營等能力的建設,為數據安全提供信息化支撐手段。
(5)提升數據安全管控系統(可控)能力,建成全網一體化數據安全體系,量化考核指標,檢查數據安全防護有效性,持續優化數據運營。
(6)強化工控網和信息網的兩網隔離和訪問控制策略,確保工控網和信息網之間互聯互通的安全性,防止安全威脅或風險的滲透和轉移。
(7)提升工控系統對入侵和異常行為的檢測和發現能力,實現安全威脅的可知、可查。
(8)提高工控系統安全的管理和響應效率,實現工控系統安全的可視化與統一管控。
(9)建立相關的工控系統安全制度流程,提升企業應急響應能力和信息安全事件處理效率。
2 項目實施
2.1 設計依據
中控技術的工控系統安全和數據安全技術防護從外到內構成自主可控的多層次“內建安全(固)、縱深防御(防)、安全運維(管)”防護體系。在底層構建內建安全產品體系,確保產品具有網絡安全“健壯性”;在頂層規劃部署數據安全管理及數據安全運維體系,確保數據安全的長期、持續有效;在中間層建設包括安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心的縱深防御體系,并遵循“零信任”原則;在核心側部署數據保護平臺,幫助抵御內外部威脅,保護敏感數據。本建設設計依據如圖1所示。
圖1 建設設計依據
2.2 系統架構和主要內容
2.2.1 數據采集安全設計
(1)數據分類
通過工業數據安全治理平臺敏感數據掃描模塊發現結果,依照工業領域重要數據和核心數據識別規則,標識敏感數據的數據類型、數據位置等,并支持重要數據分類分級結果的報表導出功能。重要數據/核心數據分類模塊由用戶身份和鑒權信息、用戶數據及服務內容信息、用戶服務相關信息及企業運營管理數據組成,如圖2所示。工業數據分類界面展示內容由數據名稱、數據形態、數據支撐的環節、數據來源等組成。采用不同數據分類分級識別手段,識別不同類型數據,并由此進行工業數據的分類分級。
圖2 數據分類示意圖
(2)數據分級
根據敏感數據掃描發現結果,依照相關工業領域重要數據和核心數據識別規則,標識敏感數據的重要級別、敏感數據位置等,并支持工業數據分類分級結果的報表導出功能。工業數據分級模塊由極敏感級(核心數據)、敏感級(重要數據)、較敏感級及低敏感級(普通數據)組成,如圖3所示。工業數據分級模塊展示內容包括級別、定位、管控規則等信息。采用不同敏感數據識別手段,識別不同類型數據,并由此進行工業數據的分類分級。
圖3 數據分級示意圖
(3)訪問控制
訪問控制策略為全域數據提供了統一數據訪問策略統計、分析、稽核和展示,包括對所有上層應用的訪問進行細粒度授權。通過限制對數據資產的訪問操作,防止非法用戶的侵入、用戶越權或合法用戶的不慎操作而造成的數據泄漏、篡改、損毀,保證數據資產受控地、合法地使用。
訪問控制策略能夠對目錄、關系型、非關系型數據庫中的表進行細粒度的授權策略定義;能夠對關系型、非關系型數據庫表中某一列進行細粒度授權策略定義;能夠對數據庫或文件系統的不同操作(如查詢、增刪、創建等)進行授權策略定義;能夠對數據導入、導出的權限進行細粒度授權策略定義;能夠對從其他平臺收集的訪問控制策略進行統一查詢和展示。
2.2.2 數據傳輸安全設計
數據中心內部業務系統之間的數據(流式數據、數據庫、文件等類型的數據)在傳輸過程中,需要從數據傳輸安全、網絡數據防泄漏、數據檢測保護等多個方面來保障業務系統數據的機密性和完整性。
(1)數據傳輸安全
在數據傳輸過程中,數據從控制室和控制站傳輸到數據庫階段,數據存在網絡層面的非控制網絡威脅等風險,在傳輸過程中的數據無法判斷其安全性。
(2)數據可靠性安全
在數據傳輸過程中采用雙向安全域,在兩個不同安全區域之間形成隔離防護屏障,防止數據雙向交互。經過數據庫中的數據,通過入侵檢測、靜態脫敏等操作保障其安全性。
2.2.3 數據存儲安全設計
(1)數據加密存儲
當重要數據被明文存儲時,一旦發生拖庫事件,所有數據將被泄漏,所以數據加密存儲是十分必要的安全防護手段。對數據庫各種常用數據類型在字段層面進行加密,被加密的數據庫數據以密文形態存儲在磁盤上。同時為提高數據安全性,還應對數據庫的重要日志文件、數據庫rman備份、索引數據等相關數據加密保護,并對BLOB數據、CLOB數據、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等特殊數據類型和索引類型的加密正常讀寫、相等和范圍查詢。
如果使用可移動介質存儲普通/重要數據或個人身份可識別信息,則應對存儲在介質上的數據進行加密,以防止數據受到未經授權的訪問。
(2)數據備份恢復
數據備份是一種有效的數據保護手段,是最基礎的數據保護措施。通過配置相應的數據備份軟件、磁帶庫等軟、硬件系統,防止因為硬件損壞、邏輯錯誤、人為誤操作等故障引起計算機系統的數據丟失與數據損壞。
完全備份:備份定義的所有數據,數據恢復速度快,但是備份數據量大,數據多時可能做一次全備份需要很長時間。
增量備份:備份自上一次備份以來更新的所有數據,每次備份的數據量少,恢復時需要全備份及多份增量備份。差分備份:備份自上一次全備份以來更新的所有數據,每次備份的數據量比較少,恢復時需要全備份及差分備份。
(3)服務器數據防勒索
勒索軟件可能是工業領域最廣為人知的威脅,可以參考伊朗震網和北美輸油管道運營的例子。暴利驅動使得勒索事件層出不窮,存在的漏洞總會被發現和利用,加密核心數據是黑客的主要手段。當其對文件、數據加密和修改時,往往無法恢復,導致遭受巨大的損失。
因此需要通過搭配服務器加固或者EDR殺毒來建立勒索防護機制,從人員意識、合規制度等角度考慮,防范勒索病毒帶來的危害。
2.2.4 數據使用安全設計
(1)數據防泄漏
部署網絡DLP設備后,數據DLP策略將為全域工業數據提供統一的數據泄露防護策略的統計、分析、復核和展示。工業數據泄露防護策略主要包含檢測文檔類型、檢測算法、解析協議、數據敏感級別、數據風險監測規則、數據處置動作等內容。數據DLP策略能夠按照相關法律、法規、標準以及業務要求準確定義敏感信息。系統可按關鍵字、正則表達式、數據標識符、文件名稱、文件大小、文件名、文件指紋、結構化數據指紋等信息采用邏輯與、或、非的方式進行敏感數據定義。基于以工業協議解析為核心的深度內容識別能力,不同組件相互配合,實現對采集、使用、流轉、存儲以及數據的實時發現和監控,構建工業數據安全閉環。
(2)數據脫敏
脫敏策略為定義統一的數據脫敏策略統計、分析、稽核和展示。
驅動動態脫敏網關實時動態脫敏及靜態脫敏能力,脫敏策略包括動態脫敏和靜態脫敏策略。動態脫敏策略主要通過定義數據訪問場景、訪問賬號角色、訪問數據內容、需要脫敏的內容和脫敏算法等來完成策略的定義;靜態脫敏策略主要通過定義處理數據對象、數據脫敏算法和脫敏參數來完成批量數據脫敏策略。
2.2.5 數據提供/公開設計
(1)安全運維流程
數據安全運營的核心是定崗定責、責任到人、可驗證、可追溯,貫穿安全監測、安全分析、安全處置和安全運維流程,全面覆蓋安全運營工作及不同類型、不同等級安全事件的監測、分析、響應、處置流程。
(2)數據安全合規管理
數據安全合規管理支撐相關部門和單位內部合規檢查要求,對合規工作進行統一核查和展示。其內容包括:
①日常合規檢查;②頁面脫敏合規;③權限管理合規;④訪問控制合規;⑤事件行為合規;⑥數據流轉合規。
(3)數據安全預警
數據安全預警是對數據安全分析結果的異常行為事件進行的相關預警,包括如下方面內容:
①批量查詢/下載;②違規接入外部設備;③數據庫操作偏離基線;④應用操作偏離基線;⑤高風險指令;⑥異地訪問;⑦越權訪問;⑧高頻次訪問;⑨敏感數據過量外發;⑩敏感內容未模糊化。
(4)數據安全態勢
以數據為中心動態展示相關數據態勢信息。
①數據資產態勢;②數據訪問態勢;③數據流轉趨勢;④風險賬號態勢;⑤數據風險事件態勢;⑥數據不合規態勢。
(5)事件流程管理
①應急響應分析
根據數據安全事件的動態數據,匯總數據安全事件的相關信息,分析可能的影響程度、影響范圍,并對數據安全事件進行綜合分析,形成能夠支撐應急指揮的基礎數據。
②指揮決策
基于應急響應分析數據,進一步分析研判數據安全事件信息及影響和制約處置決策結果的指標,從而形成輔助決策模型,為應急指揮提供決策支持。
③資源調度
可對特定的負責人派發工單,針對網絡、系統、安全系統等進行資源調度,協調必要的處置措施資源。
2.2.6 數據銷毀安全設計
在一般數據全生命周期安全保護中,要求明確數據銷毀對象、規則、流程技術等,對銷毀活動進行記錄和留存。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,增加了設置人員、不可恢復原則、完全清除、上報更新等要求(如:設置數據銷毀相關監督人員;保證在數據完全刪除后再銷毀存儲介質;應完全清除緩存數據;及時向地方工業和信息化主管部門更新重要數據目錄備案)。
2.2.7 數據出境安全設計
在一般數據全生命周期安全保護中,數據出境要強調開展自評估和安全管理(如應結合實際開展數據出境安全自評估和安全管理)。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,強化了安全評估要求,增加了安全監測、風險防范、出境技術支持等要求。
2.2.8 數據轉移安全設計
在一般數據全生命周期安全保護中,需形成數據轉移方案,并通知受影響用戶(如通過電話、短信、郵件、公告等方式通知)。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,增加了應及時向地方工業和信息化主管部門更新備案的要求。
2.2.9 數據委托處理安全設計
在一般數據全生命周期安全保護中,強調應通過簽訂合同協議等方式,明確數據安全保護要求和責任落實要求,規范數據使用權限、內容、范圍及用途,對合作方數據使用情況進行監督管理。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,強調了應對被委托方的數據安全保護能力、資質進行評估或核實。
2.2.10 數據安全計算環境
(1)工控主機安全
隨著近年來針對工控系統的APT攻擊增加,工控系統內部網絡安全問題的嚴重性也逐漸增加。因此對控制系統內部操作員站、服務器、網絡交換機等設備節點的防護已成為企業工控系統安全的基礎環節,并可為企業控制系統提供基礎的防御與保護。
(2)安全基線加固
安全基線服務通過對工業網絡開展服務和端口禁用等工業控制網絡安全配置,限制遠程控制管理、默認賬戶管理等工業主機安全配置,以及口令策略合規性等工業控制設備安全配置,建立相應的配置清單,方便用戶責任人定期進行管理、維護和配置核查審計。安全基線配置須確保與控制系統軟件完美兼容,否則會影響工控系統運行。
對工控上位機、服務器、網絡安全設備進行安全加固,加固內容至少應包括以下內容:①加密保存系統賬戶口令;②采用SSH進行遠程管理;③限制遠程管理地址;④啟用賬戶口令復雜度策略;⑤啟用賬戶登錄失敗處理策略;⑥修改默認賬戶、刪除多余賬戶。
(3)敏感數據發現
敏感數據發現可以從海量數據中自動發現、分析敏感數據的分布及使用情況,及時發現數據資產是否存在安全違規并進行風險預警,幫助用戶防止數據泄漏和滿足合規要求。
系統可根據預先定義的敏感數據特征,通過內置敏感數據發現規則對數據資產內容進行隨機抽樣敏感字段的發現和識別,實現敏感數據識別打標功能。
(4)資產風險分析
資產風險報警可以從海量數據資產中快速發現和定位敏感數據資產,追蹤敏感數據的使用情況,并根據安全管理規則,實時推送資產風險信息,以確保能實時了解資產數據的安全狀態并制定相應防護方案。對于敏感資產的動態變化形成的異常事件的提醒,系統提供緊急、重要、警告、提醒4個等級報警事件,由高到低依次用紅色、橙色、黃色和藍色標示。報警查詢支持通過時間段、報警等級、報警類型、報警來源等條件進行歷史報警的檢索查詢。
(5)資產安全報表
資產安全報表提供豐富的資產報表形式。其通過內嵌的報表功能為用戶提供豐富的數據資產專項報表,如整體資產統計報表、敏感數據梳理報表等供用戶分析審核。
2.3 技術方案
2.3.1 技術原理和內容
本方案以“固、防、管體系”為指導思想,遵照數據安全法、網絡安全法以及工業企業數據安全防護要求等相關標準,在工控系統安全需求的基礎上,建立預警、防護、檢測、響應自適應閉環的數據安全防護體系,同時為工控系統提供可定制的數據安全服務,全面感知工控系統遇到或可能遇到的數據安全風險,提升系統的整體安全防御能力,構建單位可信、可控、可管的數據安全防護體系。根據數據安全與網絡安全等級保護與的總體思想,結合工控系統的特點,中控技術提出數據安全自主可控技術體系模型如圖4所示,建設邏輯圖如圖5所示。
圖4 中控技術網絡安全等級保護技術防護體系模型
圖5 工業數據安全防護邏輯圖
2.4 應用需求分析
2.4.1 傳統信息安全體系無法保護數據安全
有別于傳統信息安全防護體系,在工業領域,由于數據安全防護體系將保護對象聚焦在“數據資產”這樣的無形資產上,因此數據資產的機密性、完整性以及可用性與硬件資產存在著巨大差別,這導致傳統信息安全防護體系通常不具備對數據安全的有效保護能力。
2.4.2 靜態防護策略無法保護數據安全
通常一個信息系統中的硬件資產數量是有限的,且在沒有重大的系統變更時不會發生顯著變化,所以傳統信息安全體系的安全策略的設計思路往往是靜態的。而在工業環境中,企業數據存儲、處理平臺所承載的數據量正在以極快的速度爆炸式增長,若仍以靜態的視角看待數據資產勢必無法應對數據量急劇增長帶來的數據泄漏、數據損壞、數據篡改以及對數據主體造成影響等安全問題。并且由于數據資產對流動性的要求,僅考慮當前主體的靜態防護策略顯然無法有效保證數據的安全。
2.4.3 數據資產的權責不一致
數據通常來自于企業的業務部門,在業務部門使用,并且數據的所有權也常常屬于業務部門。但由于數據安全策略有時會限制業務部門對數據使用的權限,而數據安全體系建設工作由安全部門主導,因此數據安全防護體系的建設很有可能會受到來自于業務部門的阻力,導致數據安全體系建設工作推動困難。
2.5 安全應用
2.5.1 通過“兩化融合”形成數據防護體系
改變傳統以特征和規則匹配為基礎的技術保障體系,建立以“兩化融合”為驅動的智能化技術保障體系,通過互聯網匯聚全網安全數據進行協同分析,將微小的線索聯系起來,由點及面,發現安全攻擊和風險。同時基于業務對數據流進行節點建模,對數據流轉的所有節點及節點之間的數據流進行安全畫像和安全基線建立,并利用對大數據的實時在線分析、離線綜合分析及智能分析等方法,發現異常行為及安全風險。
2.5.2 構建以數據為核心的安全監管能力
改變傳統以信息系統為防護對象的設計思路,構建以數據為保護對象的安全防護體系。從敏感數據分布、數據接口安全、特權人員運維、特定業務場景數據流動態勢等角度對非法采集、未授權訪問、數據濫用、數據泄漏等數據安全事件進行監控、預警和審計,通過數據分析和直觀的態勢來支撐有效的安全、合規決策,建立通報預警體系并與應急響應和運維支撐體系進行有效整合,實現各單位數據安全事件的統一預警通報和應急指揮與協同處置,使用戶具備數據安全專項監管能力。
2.5.3 解決數據流動環境的安全管控難題
工業數據在流動中責任邊界變得模糊,工業數據的處理活動以及產生的安全風險變得難以控制,各地各部門技術能力和安全意識參差不一,出現“發現不了,通報不及時,整改不會”的問題,導致客戶對工業數據使用中的風險問題難以進行靈活、及時地應對。工業數據安全管理平臺的建設從傳統的單點的安全防護向全面的安全監控預警轉變,通過匯聚全網的安全工業數據,形成安全數據大腦,并利用大數據和人工智能分析引擎,在數據層面建立了資產識別→風險分析→監測預警→響應處置→安全合規的工業數據安全監督管控閉環,解決了工業數據流動下的管控難題。
2.5.4 建設常態化的安全運營支撐能力
打造以工業數據安全管控平臺為核心的常態化的數據安全運營中心,構建工業數據安全保障體系。通過建立“縱向監督、橫向聯動”的安全管理及運營機制,利用SSOC安全運維平臺等技術,匯聚全網工業數據并形成安全數據大腦,利用“實時、全樣、精準”的工業大數據建立全程在線、全域覆蓋、實時反饋的“工業數據安全態勢地圖”,從而快速有效地感知、預警、調度和處置相關工業數據安全風險,提高管理決策的科學性和精準性,提升管理效率和應急響應能力,有效實現全網風險控制與應急支撐。
3 案例亮點和創新點
本項目是浙江省首個工業數據安全試點項目,中控技術依托于豐富的工控領域產品研發和工程實踐經驗,響應國家《數據安全法》的政策引領,依據《工業數據分級分類指南》,將“數據安全”引入工業領域,并結合成熟的工控全網防護方案,實現工業生產各環節數據產生、收集的安全防護,實現數據的傳輸保護,實現數據的使用、存儲保護,實現數據在不同網絡區域的隔離和交換保護。
構建了工業數據的全生命周期防護體系,在數據安全的整體防護中,重點解決工業數據安全難點;在整體設計上,從工業數據安全組織管理、工業數據安全標識、工業數據分類分級分域、工業數據安全審計與追溯以及工業數據的生命周期安全防護等方面綜合考慮,并從數據風險評估的角度構建了整體工業數據安全全生命周期防護解決方案。
深度結合“固、防、管”理念,打造由內建安全為核心的工控網防護體系。在核心側部署工業數據安全防護系統,根據《工業企業重要數據防護(草案)》要求,完成對數據整體的生命周期防護。并且引入了“零信任”的思想,旨在在源頭貼身保護存儲在任何位置的關鍵數據資產。借助本數據安全防護體系,可加強運維團隊分析工業數據環境中發生的各種狀況,從而有效防范風險,幫助抵御內外部威脅,保護敏感數據,滿足工業數據安全合規需求。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號