今日頭條
官方微信
官方抖音
案例頻道★周圍北京惠而特科技有限公司
關鍵詞:白名單自學習;實戰化;輕量級信任
1 項目概況
1.1 項目背景
在“兩化”融合的行業發展需求下,現代工業控制系統的技術進步主要表現在兩大方面:一是信息化與工業化的深度融合;二是為了提高生產高效運行和生產管理效率,國內眾多行業大力推進工業控制系統自身的集成化、集中化管理。系統的互聯互通性逐步加強,工控網絡與辦公網、互聯網也存在千絲萬縷的聯系。
德國的工業4.0標準、美國的“工業互聯網”以及“先進制造業國家戰略計劃”、日本的“科技工業聯盟”、英國的“工業2050戰略”、中國的“互聯網+”和“中國制造2025”等相繼出臺,它們對工業控制系統的通用性與開放性提出了更高的要求。未來工業控制系統將會有一個長足發展,工業趨向于自動化、智能化,系統之間的互聯互通也更加緊密,面臨的安全威脅也會越來越多。
習酒作為自動化程度較高的醬香白酒生產企業,在享受自動化、數字化帶來的產能提升、人力釋放的收益的同時,也會面臨因生產工業設備聯網而帶來的網絡安全風險。
1.2 項目簡介
參照《信息安全技術網絡安全等級保護基本要求》、《工業控制系統信息安全防護指南》等國家標準要求,在現有安全保護措施的基礎上,我們全面梳理分析安全保護需求,并結合風險評估和調研過程中發現的問題隱患,按照“一個中心(安全管理中心)、三重防護(安全通信網絡、安全區域邊界、安全計算環境)”的要求,開展網絡安全建設和整改加固,全面落實安全保護技術措施,并依據《工業互聯網企業網絡安全分類分級管理指南》做好企業自身分級分類自評及備案準備。
加強網絡安全管理,建立完善人員、教育培訓、系統安全建設和運維等管理制度,加強機房、設備和介質安全管理,強化重要數據和個人信息保護,制定操作規范和工作流程,加強日常監督和考核,確保各項管理措施有效落實。
1.3 項目目標
白酒行業的工業化進程,分別在制曲機械化、發酵工藝機械化、蒸餾工業機械化、調酒計算機集成制造技術和灌裝、包裝、成品庫智能管理五個領域展開,將推進我國白酒傳統生產方式的機械化升級,進而推動整個行業向信息化、智能化轉型。
習酒工業生產線包括了半自動生產線和全自動化生產線,工藝內容包括準備酒瓶、清洗、吹干、灌裝、瓶蓋、打標、漏液檢測、液位測試、水平傳輸、噴碼、分瓶、分盒、AI識別、裝盒、垂直傳輸、機械手搬運、裝箱、打捆、機械手臂分揀、AGV小車搬運、立體倉庫等自動化控制內容。
但習酒工控系統在防護措施中和在缺少防護措施時系統所具有的弱點,而工控系統內部的脆弱性問題是導致系統易受攻擊的主要因素。脆弱性問題的根源可概括為以下幾個方面:通信協議漏洞、操作系統漏洞、應用軟件漏洞、工控設備后門和漏洞、網絡結構漏洞、安全策略和管理流程漏洞、外部風險來源、商業外部滲透。
本項目工控安全建設將依據網絡安全等級保護相關標準和指導規范,對習酒工業控制網絡按照“整體保護、綜合防控”的原則進行安全建設方案的設計,按照等級保護三級的要求進行安全建設的規劃,并對安全建設進行統一規劃和設備選型,實現方案合理、組網簡單、擴容靈活、標準統一、經濟適用的建設目標。
本項目將在保證系統可用性的前提下,對習酒工業控制系統進行防護,實現“垂直分層、水平分區、邊界控制、內部監測”。
“垂直分層、水平分區”即對工業控制系統垂直方向劃分為三層:現場設備層、現場控制層、監督控制層;水平分區指各工業控制系統之間應該從網絡上隔離開,處于不同的安全區。
“邊界控制,內部監測”即對系統邊界即各操作站、工業控制系統連接處、無線網絡等要進行邊界防護和準入控制,對工業控制系統內部要監測網絡流量數據以發現入侵、業務異常、訪問關系異常和流量異常等問題。
系統面臨的主要安全威脅來自黑客攻擊、惡意代碼(病毒蠕蟲)、越權訪問(非授權接入、移動介質、弱口令、操作系統漏洞、誤操作和業務異常等),因此,其安全防護在以下方面予以重點完善和強化:(1)入侵檢測及防御;(2)惡意代碼防護;(3)內部網絡異常行為的檢測;(4)邊界訪問控制和系統訪問控制策略;(5)工業控制系統開發與維護的安全;(6)身份認證和行為審計;(7)賬號唯一性和口令安全,尤其是管理員賬號和口令的管理;(8)操作站操作系統安全;(9)移動存儲介質的標記、權限控制和審計。
2 項目實施
2.1 系統架構
本項目系統架構圖如圖1所示。
圖1 系統架構圖
2.2 技術方案
邊界隔離:在各邊界之間部署工業防火墻,通過工業協議深度解析,結合自學習白名單安全防護策略,實現細粒度的邊界訪問控制和安全隔離,通過最小化規則盡可能規避來自外部系統的非法/違規數據訪問。
高級威脅監測:通過在核心交換機上旁路部署高級威脅檢測系統,對網絡流量進行實時分析,利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術對惡意樣本、惡意流量、行為異常等威脅進行重點識別,彌補生產網自身業務系統脆弱的不足,發現高危漏洞主機,發現潛伏的惡意文件和惡意流量通訊行為,識別惡意文件的擴散,保護生產網安全。
主機防護:對工控網絡內的主機進行安全防護,主要是針對域內的主機,建議部署工業主機安全衛士,通過主機應用程序白名單機制,阻止非工作程序在主機上的操作運行,阻斷由于操作系統漏洞、應用軟件漏洞而引起的惡意攻擊,同時通過安全U盤實現移動安全數據存儲。
網絡實時監測與審計:在生產網旁路部署工業安全審計(利用既有的工業審計學系統),建立業務通信模型實現對工控指令攻擊、控制參數篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監測和告警,同時對網絡中的攻擊行為、網絡會話、數據流量、重要操作等進行審計,實現安全事件的日志回溯和取證;在服務器區旁路部署數據庫審計,對數據庫的操作行為進行審計。
統一安全管理:建立安全監管平臺,對工控網絡中的相關防護產品進行統一的管理及運維,對整網防護設備進行策略配置下發、對各設備進行集中化策略配置下發、存儲、備份、查詢、審計、告警、響應,并出具豐富的報表和報告,實時掌握工業控制網絡情況,獲悉工業控制網絡整體的安全狀態,實現全生命周期的日志管理。
2.3 應用場景分析
本項目依據網絡安全等級保護三級標準,按照“統一規劃、重點明確、合理建設”的基本原則,在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等方面進行安全規劃與建設,確保“網絡建設合規、安全防護到位”。
最終使習酒工控網絡安全達到安全等級保護第三級要求。經過建設后,使其整個網絡形成一套完善的安全防護體系,使其整體網絡安全防護能力得到提升。
對于習酒工業控制系統,經過統一安全規劃建設,其網絡在統一的安全保護策略下具有了抵御大規模和較強惡意攻擊的能力、抵抗較為嚴重的自然災害的能力,以及防范計算機病毒和惡意代碼危害的能力;具有了檢測、發現、報警及記錄入侵行為的能力;具有了對安全事件進行響應處置,并能夠追蹤安全責任的能力;遭到損害后,具有了能夠較快恢復正常運行狀態的能力;對于服務保障性要求高的網絡,能夠快速恢復正常運行狀態;具有了對網絡資源、用戶、安全機制等進行集中控管的能力。
綜上所述:遵循等級保護的相關標準和規范要求,結合信息系統安全建設的實際狀態,針對信息系統中存在的安全隱患進行系統建設,可以加強信息系統的信息安全保護能力,使其達到相應等級的等級保護安全要求。
2.4 實際應用效果
(1)網絡隔離與邊界防護
在控制網絡和非控制網絡邊界處通常需要部署工控專用防火墻,該防火墻可以實施訪問控制、惡意代碼防護和入侵防護,從而避免來自本層其他區域、其他層網絡的惡意代碼攻擊及入侵行為,切斷網絡間的攻擊路徑。由于工控防火墻具備感知和理解工控應用層協議及操作行為的能力,因此除基于IP地址、端口、MAC地址等主機特征進行訪問控制外,還可根據具體需求設置更細致的防護策略。
基于工控網絡的相對封閉性,工控防火墻常通過開啟基于通信協議的“白名單”功能,對來自其他層的不符合規范的協議攻擊、惡意操作和誤操作行為進行攔截。這種基于“白名單”的防護思路相比傳統防火墻或入侵防護系統的“黑名單”技術,不僅能防護各類未知特征的攻擊和異常操作,還能保證正常的通信行為和訪問行為不被攔截。
(2)主機和終端安全管理
通過部署基于“白環境”的主機安全軟件,避免各類已知和未知的木馬、蠕蟲等惡意軟件進入主機傳播到整個工控網絡。
由于自動化系統的主機應用環境相對固定,通過主機安全軟件建立起各類正常工作環境時的操作系統和應用的可執行文件白名單,建立起主機運行的白環境,啟用白名單功能,確保只有在白名單列表中的程序或軟件才能運行。
主機和終端的身份鑒別至關重要,通過采用單因子鑒別(如操作員口令)、雙因子鑒別(如工程師、值班長、網絡設備管理員等)等手段加強管理。在登錄工控系統進行組態下裝和重要參數修改時,必須進行身份鑒別。
(3)攻擊事件的監控與審計
任何的安全措施,“看見和發現”攻擊是第一步。通過在不同的安全區域邊界部署工控安全監測終端,配合集中監測和審計管理,可實時發現網絡中的各類攻擊方式、違規操作和誤操作行為,可在攻擊事件發生后根據存儲的記錄和操作者的權限,進行查詢、統計、管理、維護等,追溯攻擊行為的起源,做到事前監控、事中記錄、事后審計。
(4)高級威脅檢測與告警
基于特征檢測和行為檢測的傳統威脅檢測手段已經越來越難以應對新型的安全攻擊手法,難以識別安全攻擊事件。且近年來隨著人工智能技術的發展,攻擊方在掃描、利用、破壞等攻擊工具中對人工智能技術的應用,進一步加劇了對目標系統的破壞,縮短了攻擊進程,隱藏了攻擊特征。通過高級威脅檢測系統將人工智能、大數據技術與安全技術相結合,實時分析網絡流量,監控可疑威脅行為,可對APT攻擊鏈進行檢測、識別分析和告警。
(5)數據庫安全審計
數據是信息系統的核心,如何保證防范針對數據庫的惡意操作、誤操作、惡意攻擊等是解決數據庫安全的重中之重。數據庫審計系統可以有效解決對數據庫操作的安全監控難題,可以實現對數據庫所有操作的實時監測、完整記錄、還原審計,可以及時發現對數據庫的非法操作,快速應對異常事件,解除對數據庫的安全威脅,可以滿足對數據庫的運行監測和操作審計的合規性要求,滿足等級保護2.0標準要求。
(6)運維操作管控與審計
在運維過程中,通常為了運維便利性,存在賬號共享、授權不清等運維行為,事后也缺乏運維操作審計。通過運維安全網關,邏輯上將人和目標設備分離,建立“人→主賬號→授權→從賬號→目標設備”的管理模式。在此模式下,通過基于唯一身份標識的集中賬號與訪問控制策略,與各服務器、網絡設備等無縫連接,實現集中精細化運維操作管控與審計。
3 案例亮點及創新性
滿足安全合規要求:本次項目立足于等保2.0和工信部451號文《安全防護指南》及監管要求,結合企業的生產業務特點,在防護框架的指導下開展了企業工業控制系統網絡安全防護建設,防護建設項滿足等保對應防護技術項的要求,企業在完成其他需要自建項后,可以啟動申報等保保護測評。
優化資源配置:本方案站在習酒業務的角度設計,在滿足合規要求的同時最大限度利用了企業本身現有資源,同時有效地結合同行業單位的運營模式,在有限資源條件下最大限度地提升安全防護水平。
提高安全防護性:本次項目成果為企業相關信息網絡、工業控制系統網絡的安全穩定運行提供了基礎保障,實現了病毒、木馬等惡意程序的防護,可防范內外部人員攻擊、軟件后門利用等多種威脅,顯著加強了企業自身工控系統在當前愈加惡劣的網絡環境下的防范和預警感知能力,有效保障了企業穩定發展。
作者簡介
周 圍(1995-),男,湖南湘潭人,工程師,本科,現就職于北京惠而特科技有限公司,主要從事信息安全、工控安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號