今日頭條
官方微信
官方抖音
案例頻道★敖翔中國煙草總公司遼寧省公司
關鍵詞:網絡安全監測;網絡安全防護;網絡安全管理;網絡安全服務
1 項目概況
1.1 項目背景
近些年來,網絡安全環境逐漸惡化,基于工業網絡的獨特性和脆弱性,針對工控系統的網絡攻擊已經愈演愈烈,安全威脅已經蔓延至工業信息系統。我單位下屬13個地市公司各建設了一個物流分揀系統,均是由工控設備和工控協議構成的工業控制網絡系統,在兩化融合趨勢下,下屬地市公司的工控網絡與辦公網絡互聯互通是必然之勢。兩化融合在極大地提升生產效率和管理便利性的同時,也帶來了一系列的安全隱患。隨著行業網絡安全建設的不斷深入,行業頭部先后發布了一系列網絡安全建設指導規范,我單位基于業務現狀出發,積極響應國家及行業頭部號召,“腳踏實地、大膽創新”,緊密貼合業務實際需求開展工業系統網絡安全監測防護體系建設,形成了獨有的“1+N”安全監測及服務支撐模式,有效保障了我單位工業信息系統的穩定運行。
1.2 項目簡介
中國煙草總公司遼寧省公司基于業務現狀出發,經充分調研論證以“1+2+2+13”為建設思路建成省公司+13個地市公司的工業安全監測防護體系。
1個目標:物流分揀系統網絡安全穩定運行;
2個思路:安全運行技術監測、安全管理服務支撐;
2個體系:工業安全監測技術體系、工業安全服務支撐體系;
13個地市:覆蓋13個地市公司的工業安全監測防護體系。
依托“1+2+2+13”建設思路,我單位通過技術與服務相結合,在13個地市公司物流分揀系統內部署安全設備,將安全監測數據實時上報至省公司工業態勢感知平臺,并通過安全服務支撐體系,依托省公司技術團隊為主體實現對下屬13個地市公司的安全服務支撐及安全周期檢查。我單位以安全監測體系為基礎,以安全服務體系為支撐,以安全監管和安全檢查為驅動力,推動了“1+N”工業安全監測防護體系的運行,保障了全省物流分揀系統網絡運行安全。
1.3 項目目標
中國煙草總公司遼寧省公司“1+N”工業安全監測防護體系建設自規劃之初就充分調研安全現狀及安全運維問題,現主要歸結為以下三點:
(1)網絡攻擊風險:物流分揀系統高度自動化、智能化,同時需要同辦公網絡聯接來接收生產信息,因為物流分揀系統自身的脆弱性與防護能力欠缺等問題,其時刻承受著來自辦公網絡以及其他未知的網絡安全攻擊的可能性。
(2)運維安全風險:物流分揀系統運行環境復雜,運維技術要求較高,13個地市公司距離較遠,在安全運維、安全監測、應急響應處理等方面帶來了技術難度與建設成本的多方面挑戰。
(3)不足監管風險:省公司安全監管能力無法下沉至物流分揀系統,只能依靠下屬地市公司自行運維自行管理,安全運維及安全基線難以統一,無法在頂層視角基于13個地市公司做統一安全監測與規劃,進而導致地市公司網絡安全隱患頻發。
基于上述隱患,為提升物流分揀系統網絡安全防御能力、加強安全風險監測與識別能力、提升安全運維水平及地市公司應急響應能力,我單位特開展“1+N”工業安全監測防護體系建設,力求實現工業安全全局監管、防護水平穩步提升、安全監測降低風險、應急機制規避事故、培訓體系夯實“底線”。
2 項目實施
2.1 系統架構(如圖1所示)
圖1 系統架構圖
2.2 技術方案
2.2.1 安全建設思路
基于中國煙草總公司遼寧省公司現狀及安全需求,我單位針對13個地市公司物流分揀系統的安全建設從兩個思路出發做統一規劃:
(1)安全運行技術監測:基于工業控制系統的特殊性和復雜性,安全建設主要以安全監測和應急響應為主。為確保物流分揀系統穩定運行,我單位構建了安全運行技術監測體系,形成了“1+13”模式,一盤棋、一張圖展現13個地市公司物流分揀系統的運行狀況,一旦發生安全問題,省公司安全運行中心可以及時應急預警與響應。
(2)安全管理服務檢查:13個地市公司距離較遠,運維及安全建設省公司統一規劃后真正落地成效不一,因此在安全監測體系之外我單位創新構建了安全管理及服務檢查體系,并制定了針對工業控制系統的安全應急響應標準、安全運行基線、資產變更上報制度,同時依托安全監測體系的技術能力及安全運營中心的技術團隊,對13地市公司進行安全周期檢查、網絡變更風險稽查、網絡安全培訓。我單位在安全監測技術體系之外以安全管理體系與安全服務體系為驅動力,促使13地市公司物流分揀系統網絡安全防護水平穩步提升。
2.2.2 安全建設方案
(1)安全監測體系
本項目在13個地市公司物流分揀系統同辦公網絡交界處部署工業安全網關,在物流分揀系統內部旁路部署工業入侵監測系統,實現公司物流分揀系統同辦公網絡的嚴格訪問控制及物流分揀系統的網絡安全監測。在省公司安全運營中心部署工業態勢感知系統,13地市公司安全設備日志通過專網將日志及告警信息上報至工業態勢感知系統,實現13地市物流分揀系統整體安全監控。
在省公司運營中心部署工控漏洞掃描系統,周期性地對13個地市公司物流分揀系統進行漏洞掃描,發現安全威脅,省公司運營中心第一時間做應急通告及安全處置。13個地市的工業安全網關通過省公司運營中心堡壘機可進行運維操作,如發生安全事件地市公司無法第一時間應急響應,省公司運營中心監測人員第一時間將物流分揀系統同辦公網絡進行隔離,確保安全威脅在可控區域被有效控制。
依托1+13的安全監測體系,本項目構建應急監測和應急響應與處置于一體的安全防護模式,以監測數據對13地市安全狀況做整體考核,推動各地市公司網絡安全工作的有序推進和整體提升,最終實現安全態勢清晰掌控、安全應急快速響應、安全運維考核驅動。
(2)安全服務支撐體系
基于安全管理與服務檢查的安全建設思路,我單位在省公司安全運營中心部署工業漏洞掃描設備及安全建設工具箱,做安全檢查支撐;制定安全應急響應標準、安全運行基線、資產變更上報制度,依托安全監測體系的技術能力及安全運營中心的技術團隊,對13地市公司進行安全周期檢查、網絡變更風險稽查、網絡安全培訓。具體方案如下:
安全檢查
·每周漏洞掃描:運營中心通過專網對物流分揀系統進行漏洞掃描,識別安全隱患,建立漏洞問題閉環機制,識別漏洞下發地市公司,規定時間內修復,技術人員核驗漏洞修復結果。
·安全周期檢查:針對地市公司物流分揀系統,運營中心組建技術團隊采用安全檢查工具箱每月對地市公司進行抽查,針對安全管理制度、安全運維執行情況、物流分揀系統安全隱患等進行檢查,以技術+管理兩個維度進行安全檢查。
·資產變更上報:任何同物流分揀系統相關網絡變動產生資產變更情況強制要求上報審核,確保資產變更無風險方可做變更操作,同時針對變更結果同安全監測體系監測到的資產信息做比對,確保資產變更風險可控。
·網絡變更核查:因工業控制系統特殊性,不宜改變其原有結構及引入未知風險,任何同物流分揀系統相關網絡變動產生資產變更情況強制要求進行變更稽查,變更資產進行風險評估,各地市公司在風險評估后無問題后新資產方可變更上線。
安全服務
·安全運行基線:參考等級保護相關要求并結合業務特性針對物流分揀系統建立安全運行基線,從安全計算環境、安全通信網絡、安全區域邊界等不同維度建立安全運行基線,要求地市公司自查整改,同時作為安全周期檢查重要指標。
·安全應急響應:建立雙向應急響應機制,運營中心監測發現問題第一時間通告地市公司并提供遠程應急能力,視情況現場支持。同時地市技術人員發現安全隱患可直接匯報至運營中心。以運營中心技術人員為核心成員、以地市公司技術人員為小組成員組建安全應急響應支撐小組,實現應急能力高效流轉、應急水平穩步提升、安全風險同知同查。
·網絡安全培訓:以應急響應小組為核心,針對所有技術人員及物流分揀系統相關人員開展不同類型的安全培訓,從應急響應、安全運維、安全基線要求、安全意識等不同維度做知識傳遞與考核。車間工人定期進行安全意識考核,考核通過方可上崗。
2.2.3 項目應用效果
通過安全“1+N”工業安全監測防護體系的建設,本項目實現了從安全全局監管、安全統一監測、安全運維驅動、安全應急響應等多個維度的能力塑造,填補了我單位工業安全領域的安全能力缺口;創新事件技術與服務結合模式,在大幅降低物流分揀系統威脅告警數量的同時,實現了安全風險閉環管理。同時將安全基線、安全培訓、安全檢查等安全手段應用于工業安全領域,有效提升了綜合防護水平,降低了風險隱患,規避了重大事故,夯實了“安全底線”,為中國煙草總公司遼寧省公司整體網絡安全建設工作補齊了安全短板,創造了穩定運行條件,支撐了業務發展。
2.3 項目成果
2.3.1 安全監測體系成果展示
本項目基于工業安全監測體系的構建,實現對13個地市公司物流分揀系統的安全監測。本項目從綜合態勢感知、脆弱性威脅、安全威脅分析等多個維度實現一盤棋、一張圖展現13個地市公司物流分揀系統的運行狀況,并清晰展示了13個地市公司物流分揀系統的工業安全數據(如:資產風險統計、威脅類型TOP5、重點安全事件、風險資產分布、主要威脅分析等)。
安全監測體系針對工業信息系統主要威脅(非法外聯、僵木蠕、工控行為)開發了監測模塊,實現針對物流分揀系統內部主機非法外聯的安全監測及統計分析能力,并能及時發現、定向處理,確保了主機及系統安全;針對僵木蠕做7×24實時監測,結合非法外聯管控實現從根本上杜絕針對工業信息系統常見的僵木蠕及勒索軟件攻擊;同時基于工業流量及工控行為建立了安全監測模塊,可以從行為(不局限于攻擊)維度分析工業信息系統運行態勢,確保了系統穩定運行。監測成果如圖2~圖6所示。
圖2 脆弱性態勢感知大屏
圖3 威脅分析大屏
圖4 非法外聯監測模塊
圖5 僵木蠕監測模塊
圖6 工控行為監測模塊
2.3.2 安全服務支撐體系成果展示
我單位采用技術+服務結合的模式,監測為主服務為輔,依托安全服務支撐體系,以應急響應、安全培訓為支撐點,提升了地市公司技術能力,配合了安全檢測技術體系監測成果,并以監管為驅動,實現漏洞數量、異常行為、攻擊事件、非法外聯、僵木蠕等事件的連續降低,切實提升了地市公司安全建設成效,提升了地市公司防護水平,降低了風險隱患,規避了重大事故,夯實了“安全底線”。同時依托漏洞安全設備,實現對體系內所有漏洞信息的統一概覽及漏洞閉環。
3 案例亮點及創新性
3.1 1+N工業體系創新
我單位基于現狀,在多分支(13個地市公司)、覆蓋廣(地理位置廣)、技術弱(地市技術能力弱)的情況下大膽探索勇于創新,建成了集工業安全監測和工業安全服務支撐為一體的“1+N”工業安全監測防護體系,并從安全全局監管、安全統一監測、安全運維驅動、安全應急響應等多個維度為“1+N”業務模式提供了創新思路。
3.2 技術+服務結合
傳統安全多采用服務輔助安全建設的模式,在工業信息安全領域多以監測為主,而安全監測在安全運維過程中成效較低,難以發揮實際應用效果。我單位創新采用技術+服務結合的模式,監測為主服務為輔,實現了基線建設提升防護水平、安全監測降低風險隱患、應急機制規避重大事故、培訓體系夯實“安全底線”。服務驅動技術保障為工業信息安全建設創造了新模式。
3.3 監管+考核驅動
工業信息系統通常都是多分支、多車間、系統分散,安全建設成本高成效低,并且沒辦法實現安全統一化,無法從高層視角去做統一監管與考核,進而往往以合規建設為主要思路。我單位打破常規,改變思路,以安全監管為切入視角,建立安全監測體系實現全局監管并可對不同分支進行考核評價,以考核結果推動合規建設及問題閉環,進而實現安全全局化、全局標準化、標準統一化,有效提升了安全建設成效。
作者簡介
敖 翔(1980-),男,內蒙古自治區人,中級工程師,學士,現就職于中國煙草總公司遼寧省公司,主要從事研究信息安全、數據安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號