今日頭條
官方微信
官方抖音
案例頻道★余夢達,申屠思倩中控技術股份有限公司
關鍵詞:工業信息安全;三級運營防護;數據安全
1 項目概況
1.1項目背景
作為國內首個4000萬噸/年煉油一次性統籌規劃的煉化一體化項目,目前世界上投資最大的單體產業項目,浙江石油化工有限公司(以下簡稱:浙石化)規模龐大且復雜,其配備多家廠家的控制系統,工業數據已經成為其未來智能工廠的重要支柱。為了保障生產穩定運行,浙石化在2022年至2023年開展了工業網絡安全等級保護建設工作,以解決網絡安全合規以及重要工業數據安全問題。浙石化以“固、防、管體系”為指導思想,遵照數據安全法、網絡安全法以及工業企業數據安全防護要求等相關標準,在工控系統安全需求的基礎上,構建了一套運營、預警、防護、檢測、響應自適應閉環的數據安全防護體系。該體系可以全面感知工控系統遇到或可能遇到的數據安全風險,提升了系統的整體安全防御能力。
1.2項目簡介
在工業信息安全三級運營防護體系建設過程中,本項目結合浙石化行業的特點和上級指導政策的要求,提出了可以適配石化行業的解決方案,提供信息資產管理、威脅情報聯動、工業安全實訓驗證、應急處置、工單處理接口、工業安全劇本建設等能力,解決了工業安全防護難題,為智能工廠工業安全打下了堅實基礎。
在整個三級運營體系建設過程中,我們通過多方調研和取證分析,證明了本項目在多維度工業資產、信息統一管理和分析等方面具有創新性的建設。且各個層級的安全防護與數據交互比較容易落地,切合石化行業場景,具有相對不錯的可推廣性。
1.3項目目標
工業信息安全三級運營體系從內到外構成自主可控的多層次“內建安全(固)、縱深防御(防)、安全運維(管)”技術體系。在底層構建內建安全產品體系,確保控制系統本身具有網絡安全“健壯性”;在數據安全方面,采用數據安全檢測、防護、備份恢復等手段,同時規劃數據安全運維體系,確保數據安全的長期、持續有效;在中間層建設包括安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心的縱深防御體系,并遵循“零信任”原則;在最上層,捕獲所有產品的數據,包括資產、日志、事件等,進行集中資產畫像、事前情報聯動等分析,實現本地威脅分析與第三方威脅情報相結合的應急處理機制,實現安全運維與安全運營的目標。
2 項目實施
本方案以工控系統的主機、網絡、數據等為對象,根據信息安全相關服務標準,實施安全檢查及運維服務,并提供高端的全面安全體系建設和細節的技術解決措施,為企業提供全面或部分信息安全解決方案,以實現企業的信息安全。
工業信息安全三級運營體系整體架構如圖1所示。
圖1 工業信息安全三級運營體系整體架構圖
2.1安管中心
安管中心針對不同的裝置及廠區,以終端安全、邊界安全、入侵檢測、日志審計等為核心,建設縱向和橫向的安全防護體系。
(1)為現場工控上位機與服務器配置主機安全衛士專業版,實現對工業主機的全面安全防護;根據白名單列表對可執行文件的執行進行監控,對白名單內的可執行文件允許執行,對白名單外的可執行文件阻止執行,保障工控主機安全。
(2)參照中控技術最新發布的《2020 Q3Windows補丁安裝指南》更新通過兼容性測試的操作系統補丁。
(3)由中控工程師實施安全基線配置服務,關閉上位機不必要的服務,如RDP、SMB等高危服務;關閉上位機不必要的端口,如3389、445等高危端口;禁用網絡交換設備不使用的端口。
(4)在邊界部署工業防火墻,深度解析、智能隔離,使控制網與外網實現隔離;加固網絡結構,實現控制網架構內部分區有效阻止異常數據擴散。
(5)部署工控安管平臺、入侵檢測系統、日志審計系統,同步監測防御計算機病毒攻擊及異常流量,實現網絡診斷功能,實時監控網絡狀態、及時告警和日志記錄,保護系統安全。
(6)配置數據備份恢復系統,智能備份,提高工控信息安全保障及容災恢復能力。
功能簡介:主機安全衛士:采用“白名單+黑名單”防護機制提供多層次安全保護。根據白名單列表對可執行文件的執行進行監控,對白名單外的可執行文件阻止執行,有效阻止病毒、木馬及0-day漏洞的感染和被利用,保障工控主機安全。同時具備強大黑名單功能,可對系統文件進行深度掃描,識別并查殺惡意代碼。主機安全衛士軟件滿足符合性、連續性、可靠性的設計原則,不影響控制系統的正常運行,內存占用和CPU使用率低,具備強大的自身安全性和易管理性。病毒庫由中控服務人員定期更新(或定期寄送光盤,由現場人員自行升級)。
工業防火墻:是面向工業控制系統網絡的邏輯隔離類安全防護產品,支持OPC工業協議深度防護,支持指令級白名單的訪問控制。通過對工業控制協議的深度解析,運用“白名單”技術建立工控網絡安全通信模型,可以阻斷一切非法訪問,僅允許可信的流量在網絡上傳輸,為工控網絡與外部網絡互聯、工控網絡內部區域之間的連接提供了安全保障。
工控安全管理平臺:主要用于統一管理全廠工控安全設備,包括審計日志、分析事件行為、統一配置設備參數等。由硬件設備及內置平臺軟件組成。硬件設備含獨立主板,可安裝操作系統和平臺軟件;平臺軟件基于Linux系統運行,可通過WEB客戶端訪問,用于查閱數據或配置參數等。
入侵檢測:旁路部署于可網管交換機上,通過流量鏡像,可以對可能針對DPU、DCS等控制裝置發動的攻擊行為進行有效檢測和預防,可以對工業控制系統可能面臨的攻擊行為進行有效檢測,可以針對工業協議進行深度解析,可以針對工業網絡協議的內容和數據進行細致的合規性檢查,并通過事前告警、事中防護、事后取證三個角度分析事件。
日志審計:核心交換機處配置日志審計系統,通過內置的日志采集功能可對大量分散設備的異構日志進行集中采集,也可以實時采集不同廠商的安全設備、網絡設備、主機、操作系統以及各種應用系統產生的日志信息,然后經過統一的日志管理過程,如日志范式化處理等,將采集來的海量的異構的日志信息進行集中化的解析和存儲,結合資產管理模塊、事件告警模塊的相關規則以及配置,形成事件告警信息。
數據備份恢復系統:在控制系統網絡中部署專用的數據備份服務器,可以對現場重要數據服務器以及工業主機采用自動化的數據備份與恢復服務,確保關鍵數據可以得到安全效率的備份,即使在故障發生時,也能保證快速地恢復,使得生產業務保持連續性。
安全基線配置:開展服務和端口禁用等工業控制網絡安全配置、遠程控制管理、默認賬戶管理等工業主機安全配置、口令策略合規性等工業控制設備安全配置,建立相應的配置清單,方便用戶責任人定期進行管理、維護和配置核查審計。安全基線配置須確保與控制系統軟件完美兼容,否則將影響工控系統運行。
協助建立工控安全管理制度:包括人員安全管理、工業控制系統設備及網絡設備配置清單、訪問權限、訪問日志等方面的審計工作;人員的日常運行、考核培訓、錄用、離職轉崗等管理要求;工業控制系統信息資產的管理(購買、更新、退役等)、數據資產的安全管理、風險評估,數據分級分類管理等;關鍵物理區域、關鍵系統、重要設備的訪問控制管理以及工控主機、服務器的防病毒安全防護。
3 預警中心
預警中心以漏洞掃描、攻擊檢測與入侵檢測、安全事件日志分析等技術為支撐構建廠級的管理中心,實現全廠資產、日志、事件、流量等數據的捕捉與分析,實現全廠風險識別與安全管理。
態勢感知功能:從資產、漏洞、威脅、行為和攻擊五個維度分析用戶安全狀態,資產態勢、漏洞態勢、威脅態勢、行為態勢、攻擊態勢和安全響應五維一體,全方位分析和展示用戶安全態勢,為安全管理和運營維護提供平臺支撐。
資產管理功能:支持從部門、業務、地理位置等視圖維度進行資產維護;平臺內置了主機、網絡設備、安全設備、數據庫、應用服務器等100多種資產類型,覆蓋了市面上大部分主流設備類型。
漏洞管理功能:支持調度漏掃工具、手工增加及文件導入漏洞、漏洞自動關聯資產;支持漏洞檢索、漏洞跟蹤和漏洞處置,涵蓋漏洞管理全生命周期;支持漏洞態勢和細粒度監視,包括新增漏洞、高危漏洞、漏洞資產告警、漏洞分布和漏洞趨勢。
4 運營中心
運營中心部署在集團層級,通過資產管理、日志及事件捕獲、威脅情報分析、工單管理與應急處理等模塊實現對安管中心、預警中心所有安全設備、控制系統設備的資產、狀態、日志、配置等數據的集中管控與分析,并通過大屏等形式進行全數據的集中展示。
用戶分析功能:通過分析對事件的威脅類別、程度、頻度和偏離度,將所有事件表示的活動和行為關聯到資產和用戶,采用多因子風險評分智能算法自動發現異常用戶和行為,無需預定義分析規則。
事件關聯分析功能:事件模塊支持多事件關聯查詢,對于歷史事件可以根據創建的關聯條件和時間段對多個事件進行自動關聯分析,例如用戶可以根據需求將來自不同事件源的事件和日志進行關聯查詢和檢索,幫助安全分析人員發現潛在的高級威脅,查詢檢索的關聯事件可以進行字段詳細對比和進一步下鉆追溯。
安全編排功能:安全編排自動化及響應簡單地說就是通過可編輯的自動化操作實現事件關聯、威脅告警、相關驗證、聯動響應等安全運營全流程。通過安全編排,在一個工作流程中關聯協同各類安全產品和管理系統,結合威脅情報,可以發現真正的威脅事件,并自動執行處置任務快速進行安全響應。安全編排可以根據預定義的安全場景創建相關規則劇本,規則劇本啟用后實時運行,按照定義的安全編排劇本自動關聯分析相關事件、情報、資產、用戶等數據,觸發告警并執行相應的處置動作。
數據模型與數據視圖功能:針對行業業務應用的不同,平臺提供了可定制的數據模型,根據業務需求可對事件、告警、資產等重要數據自定義數據模型,包括自定義數據字段、字典表、日志解析模式等,能夠自動適配儀表板、大屏展示、事件探查、告警和報表等。根據業務需求可對事件、告警、資產定義多維數據視圖,數據視圖能被儀表板、大屏展示和報表引用。
supSSOC工業信息安全運維服務:依托中控在全國上百家5S店長期服務保障,中控工控網絡安全技術團隊長期支持,提供supSSOC工業信息安全運維服務。通過專業服務,對搜集到的服務器日志、網絡設備日志、安全設備日志進行分析,主動發現服務器及設備運行中可能存在的異常,并借助已有的網絡、安全管理平臺對攻擊類型、攻擊來源、流量趨勢等進行分析,了解系統面臨的主要威脅,并針對該威脅提出建設性的建議。該服務實現了動態預警并能及時處理工業信息安全風險,為生產穩定運行保駕護航。
安管中心+預警中心+運營中心通過部署及設備多級管控實現了集團層級工業信息安全資產的集中管控、統一管理,構建了IT+OT相結合的解決方案案例,在實現了控制系統內部安全建設及橫向域間安全的同時,也實現了IT+OT的縱向安全防護,保證了整個網絡的安全。
5 案例亮點及創新性
項目建成后,安管中心+預警中心+運營中心的三級運營體系有效提高了浙石化工業現場的安全防護能力,方案相對比較容易落地,切合石化行業業務場景,具有相對不錯的可推廣性。
(1)構建了縱深防御的網絡安全架構體系
本項目貫徹以人為本的管理理念,引進國際先進的安全管理技術體系、管理標準,補充和完善所需的設備和系統,以ISO27001、等保要求為建設基準,構筑了立體化、縱深、可追溯的網絡安全預警防控系統,形成了安全、合規、全面、穩定、高效的網絡安全縱深防御體系,充分發揮和全面提升了存量系統的作用,夯實了網絡安全的基本防線。
(2)建立了全面完整的網絡安全防控體系
本項目引進國際領先的DFI、DPI技術體系,建立了網絡安全態勢感知和攻擊溯源系統,形成了縱深、立體化、可追溯的網絡安全預警防控體系,全面提升了存量系統、增量系統安全設備的整體能力,有效解決了每天數百萬計的入侵檢測日志看不了、不會看的問題,全面提高了網絡安全風險評估、風險排查,以及網絡安全事件,特別是蠕蟲病毒、APT等未知類型的網絡攻擊的溯源能力,全面解決了全時段、全流量、全端口的網絡流量日志長期保存的問題。
(3)建立了適度保密的信息安全防控體系
本項目建立了可以靈活地根據特定時間、敏感數據、特殊群體、重點終端進行管理的信息安全態勢感知和安全事件追蹤溯源系統,形成了“進不來、出不去、改不了、賴不掉、查得到”的信息安全體系。該體系可以根據重點人員、特殊終端、敏感時期、應用系統等提供按需分配的信息安全追蹤溯源手段和技術,解決了傳統的信息安全保護技術受制于網絡和組織架構、受制于終端和人員數量、受制于應用系統的變化等一系列問題,有效防控了信息化建設和發展過程中大量使用B/S架構體系帶來的新的安全風險。
(4)建立了全面完整的運行維護防控體系
本項目構建了以關鍵資產為運維中心的全面、完整和可視化的預警防控系統,可以全面、完整、及時地掌控網絡和安全設備,以及賬號、業務應用等安全運行態勢,一攬子解決了已經建立的存量系統,以及在建、擬建的增量系統的智能運維問題,有效防范了管理人員、運維人員利用賬號口令管理漏洞造成的安全風險,形成了IT基礎設施賬號安全管理、設備穩定運行、系統安全運維全面完整的運維防控體系。
綜上,本項目通過裝置級、廠級、集團級的多層級安全防護架構,完成了全面的縱深防御的網絡安全架構體系、信息安全防控體系、運行維護防控體系的建設,實現了整個集團工業信息安全設備的安全防護建設,完成了縱深安全防御的目標,切實保障了方案貼合企業業務場景,使方案具有強大的監測能力和落地性。
作者簡介
余夢達(1990-),男,浙江寧波人,高級工程師,學士,現就職于中控技術股份有限公司,主要從事工業信息安全方面的研究。
申屠思倩(1995-),女,浙江金華人,中級工程師,學士,現就職于中控技術股份有限公司,主要從事工業信息安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號