今日頭條
官方微信
官方抖音
案例頻道★敖翔中國煙草總公司遼寧省公司
關(guān)鍵詞:網(wǎng)絡(luò)安全監(jiān)測;網(wǎng)絡(luò)安全防護;網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全服務(wù)
1 項目概況
1.1 項目背景
近些年來,網(wǎng)絡(luò)安全環(huán)境逐漸惡化,基于工業(yè)網(wǎng)絡(luò)的獨特性和脆弱性,針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊已經(jīng)愈演愈烈,安全威脅已經(jīng)蔓延至工業(yè)信息系統(tǒng)。我單位下屬13個地市公司各建設(shè)了一個物流分揀系統(tǒng),均是由工控設(shè)備和工控協(xié)議構(gòu)成的工業(yè)控制網(wǎng)絡(luò)系統(tǒng),在兩化融合趨勢下,下屬地市公司的工控網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)互聯(lián)互通是必然之勢。兩化融合在極大地提升生產(chǎn)效率和管理便利性的同時,也帶來了一系列的安全隱患。隨著行業(yè)網(wǎng)絡(luò)安全建設(shè)的不斷深入,行業(yè)頭部先后發(fā)布了一系列網(wǎng)絡(luò)安全建設(shè)指導(dǎo)規(guī)范,我單位基于業(yè)務(wù)現(xiàn)狀出發(fā),積極響應(yīng)國家及行業(yè)頭部號召,“腳踏實地、大膽創(chuàng)新”,緊密貼合業(yè)務(wù)實際需求開展工業(yè)系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測防護體系建設(shè),形成了獨有的“1+N”安全監(jiān)測及服務(wù)支撐模式,有效保障了我單位工業(yè)信息系統(tǒng)的穩(wěn)定運行。
1.2 項目簡介
中國煙草總公司遼寧省公司基于業(yè)務(wù)現(xiàn)狀出發(fā),經(jīng)充分調(diào)研論證以“1+2+2+13”為建設(shè)思路建成省公司+13個地市公司的工業(yè)安全監(jiān)測防護體系。
1個目標:物流分揀系統(tǒng)網(wǎng)絡(luò)安全穩(wěn)定運行;
2個思路:安全運行技術(shù)監(jiān)測、安全管理服務(wù)支撐;
2個體系:工業(yè)安全監(jiān)測技術(shù)體系、工業(yè)安全服務(wù)支撐體系;
13個地市:覆蓋13個地市公司的工業(yè)安全監(jiān)測防護體系。
依托“1+2+2+13”建設(shè)思路,我單位通過技術(shù)與服務(wù)相結(jié)合,在13個地市公司物流分揀系統(tǒng)內(nèi)部署安全設(shè)備,將安全監(jiān)測數(shù)據(jù)實時上報至省公司工業(yè)態(tài)勢感知平臺,并通過安全服務(wù)支撐體系,依托省公司技術(shù)團隊為主體實現(xiàn)對下屬13個地市公司的安全服務(wù)支撐及安全周期檢查。我單位以安全監(jiān)測體系為基礎(chǔ),以安全服務(wù)體系為支撐,以安全監(jiān)管和安全檢查為驅(qū)動力,推動了“1+N”工業(yè)安全監(jiān)測防護體系的運行,保障了全省物流分揀系統(tǒng)網(wǎng)絡(luò)運行安全。
1.3 項目目標
中國煙草總公司遼寧省公司“1+N”工業(yè)安全監(jiān)測防護體系建設(shè)自規(guī)劃之初就充分調(diào)研安全現(xiàn)狀及安全運維問題,現(xiàn)主要歸結(jié)為以下三點:
(1)網(wǎng)絡(luò)攻擊風險:物流分揀系統(tǒng)高度自動化、智能化,同時需要同辦公網(wǎng)絡(luò)聯(lián)接來接收生產(chǎn)信息,因為物流分揀系統(tǒng)自身的脆弱性與防護能力欠缺等問題,其時刻承受著來自辦公網(wǎng)絡(luò)以及其他未知的網(wǎng)絡(luò)安全攻擊的可能性。
(2)運維安全風險:物流分揀系統(tǒng)運行環(huán)境復(fù)雜,運維技術(shù)要求較高,13個地市公司距離較遠,在安全運維、安全監(jiān)測、應(yīng)急響應(yīng)處理等方面帶來了技術(shù)難度與建設(shè)成本的多方面挑戰(zhàn)。
(3)不足監(jiān)管風險:省公司安全監(jiān)管能力無法下沉至物流分揀系統(tǒng),只能依靠下屬地市公司自行運維自行管理,安全運維及安全基線難以統(tǒng)一,無法在頂層視角基于13個地市公司做統(tǒng)一安全監(jiān)測與規(guī)劃,進而導(dǎo)致地市公司網(wǎng)絡(luò)安全隱患頻發(fā)。
基于上述隱患,為提升物流分揀系統(tǒng)網(wǎng)絡(luò)安全防御能力、加強安全風險監(jiān)測與識別能力、提升安全運維水平及地市公司應(yīng)急響應(yīng)能力,我單位特開展“1+N”工業(yè)安全監(jiān)測防護體系建設(shè),力求實現(xiàn)工業(yè)安全全局監(jiān)管、防護水平穩(wěn)步提升、安全監(jiān)測降低風險、應(yīng)急機制規(guī)避事故、培訓(xùn)體系夯實“底線”。
2 項目實施
2.1 系統(tǒng)架構(gòu)(如圖1所示)
圖1 系統(tǒng)架構(gòu)圖
2.2 技術(shù)方案
2.2.1 安全建設(shè)思路
基于中國煙草總公司遼寧省公司現(xiàn)狀及安全需求,我單位針對13個地市公司物流分揀系統(tǒng)的安全建設(shè)從兩個思路出發(fā)做統(tǒng)一規(guī)劃:
(1)安全運行技術(shù)監(jiān)測:基于工業(yè)控制系統(tǒng)的特殊性和復(fù)雜性,安全建設(shè)主要以安全監(jiān)測和應(yīng)急響應(yīng)為主。為確保物流分揀系統(tǒng)穩(wěn)定運行,我單位構(gòu)建了安全運行技術(shù)監(jiān)測體系,形成了“1+13”模式,一盤棋、一張圖展現(xiàn)13個地市公司物流分揀系統(tǒng)的運行狀況,一旦發(fā)生安全問題,省公司安全運行中心可以及時應(yīng)急預(yù)警與響應(yīng)。
(2)安全管理服務(wù)檢查:13個地市公司距離較遠,運維及安全建設(shè)省公司統(tǒng)一規(guī)劃后真正落地成效不一,因此在安全監(jiān)測體系之外我單位創(chuàng)新構(gòu)建了安全管理及服務(wù)檢查體系,并制定了針對工業(yè)控制系統(tǒng)的安全應(yīng)急響應(yīng)標準、安全運行基線、資產(chǎn)變更上報制度,同時依托安全監(jiān)測體系的技術(shù)能力及安全運營中心的技術(shù)團隊,對13地市公司進行安全周期檢查、網(wǎng)絡(luò)變更風險稽查、網(wǎng)絡(luò)安全培訓(xùn)。我單位在安全監(jiān)測技術(shù)體系之外以安全管理體系與安全服務(wù)體系為驅(qū)動力,促使13地市公司物流分揀系統(tǒng)網(wǎng)絡(luò)安全防護水平穩(wěn)步提升。
2.2.2 安全建設(shè)方案
(1)安全監(jiān)測體系
本項目在13個地市公司物流分揀系統(tǒng)同辦公網(wǎng)絡(luò)交界處部署工業(yè)安全網(wǎng)關(guān),在物流分揀系統(tǒng)內(nèi)部旁路部署工業(yè)入侵監(jiān)測系統(tǒng),實現(xiàn)公司物流分揀系統(tǒng)同辦公網(wǎng)絡(luò)的嚴格訪問控制及物流分揀系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測。在省公司安全運營中心部署工業(yè)態(tài)勢感知系統(tǒng),13地市公司安全設(shè)備日志通過專網(wǎng)將日志及告警信息上報至工業(yè)態(tài)勢感知系統(tǒng),實現(xiàn)13地市物流分揀系統(tǒng)整體安全監(jiān)控。
在省公司運營中心部署工控漏洞掃描系統(tǒng),周期性地對13個地市公司物流分揀系統(tǒng)進行漏洞掃描,發(fā)現(xiàn)安全威脅,省公司運營中心第一時間做應(yīng)急通告及安全處置。13個地市的工業(yè)安全網(wǎng)關(guān)通過省公司運營中心堡壘機可進行運維操作,如發(fā)生安全事件地市公司無法第一時間應(yīng)急響應(yīng),省公司運營中心監(jiān)測人員第一時間將物流分揀系統(tǒng)同辦公網(wǎng)絡(luò)進行隔離,確保安全威脅在可控區(qū)域被有效控制。
依托1+13的安全監(jiān)測體系,本項目構(gòu)建應(yīng)急監(jiān)測和應(yīng)急響應(yīng)與處置于一體的安全防護模式,以監(jiān)測數(shù)據(jù)對13地市安全狀況做整體考核,推動各地市公司網(wǎng)絡(luò)安全工作的有序推進和整體提升,最終實現(xiàn)安全態(tài)勢清晰掌控、安全應(yīng)急快速響應(yīng)、安全運維考核驅(qū)動。
(2)安全服務(wù)支撐體系
基于安全管理與服務(wù)檢查的安全建設(shè)思路,我單位在省公司安全運營中心部署工業(yè)漏洞掃描設(shè)備及安全建設(shè)工具箱,做安全檢查支撐;制定安全應(yīng)急響應(yīng)標準、安全運行基線、資產(chǎn)變更上報制度,依托安全監(jiān)測體系的技術(shù)能力及安全運營中心的技術(shù)團隊,對13地市公司進行安全周期檢查、網(wǎng)絡(luò)變更風險稽查、網(wǎng)絡(luò)安全培訓(xùn)。具體方案如下:
安全檢查
·每周漏洞掃描:運營中心通過專網(wǎng)對物流分揀系統(tǒng)進行漏洞掃描,識別安全隱患,建立漏洞問題閉環(huán)機制,識別漏洞下發(fā)地市公司,規(guī)定時間內(nèi)修復(fù),技術(shù)人員核驗漏洞修復(fù)結(jié)果。
·安全周期檢查:針對地市公司物流分揀系統(tǒng),運營中心組建技術(shù)團隊采用安全檢查工具箱每月對地市公司進行抽查,針對安全管理制度、安全運維執(zhí)行情況、物流分揀系統(tǒng)安全隱患等進行檢查,以技術(shù)+管理兩個維度進行安全檢查。
·資產(chǎn)變更上報:任何同物流分揀系統(tǒng)相關(guān)網(wǎng)絡(luò)變動產(chǎn)生資產(chǎn)變更情況強制要求上報審核,確保資產(chǎn)變更無風險方可做變更操作,同時針對變更結(jié)果同安全監(jiān)測體系監(jiān)測到的資產(chǎn)信息做比對,確保資產(chǎn)變更風險可控。
·網(wǎng)絡(luò)變更核查:因工業(yè)控制系統(tǒng)特殊性,不宜改變其原有結(jié)構(gòu)及引入未知風險,任何同物流分揀系統(tǒng)相關(guān)網(wǎng)絡(luò)變動產(chǎn)生資產(chǎn)變更情況強制要求進行變更稽查,變更資產(chǎn)進行風險評估,各地市公司在風險評估后無問題后新資產(chǎn)方可變更上線。
安全服務(wù)
·安全運行基線:參考等級保護相關(guān)要求并結(jié)合業(yè)務(wù)特性針對物流分揀系統(tǒng)建立安全運行基線,從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界等不同維度建立安全運行基線,要求地市公司自查整改,同時作為安全周期檢查重要指標。
·安全應(yīng)急響應(yīng):建立雙向應(yīng)急響應(yīng)機制,運營中心監(jiān)測發(fā)現(xiàn)問題第一時間通告地市公司并提供遠程應(yīng)急能力,視情況現(xiàn)場支持。同時地市技術(shù)人員發(fā)現(xiàn)安全隱患可直接匯報至運營中心。以運營中心技術(shù)人員為核心成員、以地市公司技術(shù)人員為小組成員組建安全應(yīng)急響應(yīng)支撐小組,實現(xiàn)應(yīng)急能力高效流轉(zhuǎn)、應(yīng)急水平穩(wěn)步提升、安全風險同知同查。
·網(wǎng)絡(luò)安全培訓(xùn):以應(yīng)急響應(yīng)小組為核心,針對所有技術(shù)人員及物流分揀系統(tǒng)相關(guān)人員開展不同類型的安全培訓(xùn),從應(yīng)急響應(yīng)、安全運維、安全基線要求、安全意識等不同維度做知識傳遞與考核。車間工人定期進行安全意識考核,考核通過方可上崗。
2.2.3 項目應(yīng)用效果
通過安全“1+N”工業(yè)安全監(jiān)測防護體系的建設(shè),本項目實現(xiàn)了從安全全局監(jiān)管、安全統(tǒng)一監(jiān)測、安全運維驅(qū)動、安全應(yīng)急響應(yīng)等多個維度的能力塑造,填補了我單位工業(yè)安全領(lǐng)域的安全能力缺口;創(chuàng)新事件技術(shù)與服務(wù)結(jié)合模式,在大幅降低物流分揀系統(tǒng)威脅告警數(shù)量的同時,實現(xiàn)了安全風險閉環(huán)管理。同時將安全基線、安全培訓(xùn)、安全檢查等安全手段應(yīng)用于工業(yè)安全領(lǐng)域,有效提升了綜合防護水平,降低了風險隱患,規(guī)避了重大事故,夯實了“安全底線”,為中國煙草總公司遼寧省公司整體網(wǎng)絡(luò)安全建設(shè)工作補齊了安全短板,創(chuàng)造了穩(wěn)定運行條件,支撐了業(yè)務(wù)發(fā)展。
2.3 項目成果
2.3.1 安全監(jiān)測體系成果展示
本項目基于工業(yè)安全監(jiān)測體系的構(gòu)建,實現(xiàn)對13個地市公司物流分揀系統(tǒng)的安全監(jiān)測。本項目從綜合態(tài)勢感知、脆弱性威脅、安全威脅分析等多個維度實現(xiàn)一盤棋、一張圖展現(xiàn)13個地市公司物流分揀系統(tǒng)的運行狀況,并清晰展示了13個地市公司物流分揀系統(tǒng)的工業(yè)安全數(shù)據(jù)(如:資產(chǎn)風險統(tǒng)計、威脅類型TOP5、重點安全事件、風險資產(chǎn)分布、主要威脅分析等)。
安全監(jiān)測體系針對工業(yè)信息系統(tǒng)主要威脅(非法外聯(lián)、僵木蠕、工控行為)開發(fā)了監(jiān)測模塊,實現(xiàn)針對物流分揀系統(tǒng)內(nèi)部主機非法外聯(lián)的安全監(jiān)測及統(tǒng)計分析能力,并能及時發(fā)現(xiàn)、定向處理,確保了主機及系統(tǒng)安全;針對僵木蠕做7×24實時監(jiān)測,結(jié)合非法外聯(lián)管控實現(xiàn)從根本上杜絕針對工業(yè)信息系統(tǒng)常見的僵木蠕及勒索軟件攻擊;同時基于工業(yè)流量及工控行為建立了安全監(jiān)測模塊,可以從行為(不局限于攻擊)維度分析工業(yè)信息系統(tǒng)運行態(tài)勢,確保了系統(tǒng)穩(wěn)定運行。監(jiān)測成果如圖2~圖6所示。
圖2 脆弱性態(tài)勢感知大屏
圖3 威脅分析大屏
圖4 非法外聯(lián)監(jiān)測模塊
圖5 僵木蠕監(jiān)測模塊
圖6 工控行為監(jiān)測模塊
2.3.2 安全服務(wù)支撐體系成果展示
我單位采用技術(shù)+服務(wù)結(jié)合的模式,監(jiān)測為主服務(wù)為輔,依托安全服務(wù)支撐體系,以應(yīng)急響應(yīng)、安全培訓(xùn)為支撐點,提升了地市公司技術(shù)能力,配合了安全檢測技術(shù)體系監(jiān)測成果,并以監(jiān)管為驅(qū)動,實現(xiàn)漏洞數(shù)量、異常行為、攻擊事件、非法外聯(lián)、僵木蠕等事件的連續(xù)降低,切實提升了地市公司安全建設(shè)成效,提升了地市公司防護水平,降低了風險隱患,規(guī)避了重大事故,夯實了“安全底線”。同時依托漏洞安全設(shè)備,實現(xiàn)對體系內(nèi)所有漏洞信息的統(tǒng)一概覽及漏洞閉環(huán)。
3 案例亮點及創(chuàng)新性
3.1 1+N工業(yè)體系創(chuàng)新
我單位基于現(xiàn)狀,在多分支(13個地市公司)、覆蓋廣(地理位置廣)、技術(shù)弱(地市技術(shù)能力弱)的情況下大膽探索勇于創(chuàng)新,建成了集工業(yè)安全監(jiān)測和工業(yè)安全服務(wù)支撐為一體的“1+N”工業(yè)安全監(jiān)測防護體系,并從安全全局監(jiān)管、安全統(tǒng)一監(jiān)測、安全運維驅(qū)動、安全應(yīng)急響應(yīng)等多個維度為“1+N”業(yè)務(wù)模式提供了創(chuàng)新思路。
3.2 技術(shù)+服務(wù)結(jié)合
傳統(tǒng)安全多采用服務(wù)輔助安全建設(shè)的模式,在工業(yè)信息安全領(lǐng)域多以監(jiān)測為主,而安全監(jiān)測在安全運維過程中成效較低,難以發(fā)揮實際應(yīng)用效果。我單位創(chuàng)新采用技術(shù)+服務(wù)結(jié)合的模式,監(jiān)測為主服務(wù)為輔,實現(xiàn)了基線建設(shè)提升防護水平、安全監(jiān)測降低風險隱患、應(yīng)急機制規(guī)避重大事故、培訓(xùn)體系夯實“安全底線”。服務(wù)驅(qū)動技術(shù)保障為工業(yè)信息安全建設(shè)創(chuàng)造了新模式。
3.3 監(jiān)管+考核驅(qū)動
工業(yè)信息系統(tǒng)通常都是多分支、多車間、系統(tǒng)分散,安全建設(shè)成本高成效低,并且沒辦法實現(xiàn)安全統(tǒng)一化,無法從高層視角去做統(tǒng)一監(jiān)管與考核,進而往往以合規(guī)建設(shè)為主要思路。我單位打破常規(guī),改變思路,以安全監(jiān)管為切入視角,建立安全監(jiān)測體系實現(xiàn)全局監(jiān)管并可對不同分支進行考核評價,以考核結(jié)果推動合規(guī)建設(shè)及問題閉環(huán),進而實現(xiàn)安全全局化、全局標準化、標準統(tǒng)一化,有效提升了安全建設(shè)成效。
作者簡介
敖 翔(1980-),男,內(nèi)蒙古自治區(qū)人,中級工程師,學士,現(xiàn)就職于中國煙草總公司遼寧省公司,主要從事研究信息安全、數(shù)據(jù)安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號