今日頭條
官方微信
官方抖音
案例頻道★周圍北京惠而特科技有限公司
關(guān)鍵詞:白名單自學(xué)習(xí);實戰(zhàn)化;輕量級信任
1 項目概況
1.1 項目背景
在“兩化”融合的行業(yè)發(fā)展需求下,現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進步主要表現(xiàn)在兩大方面:一是信息化與工業(yè)化的深度融合;二是為了提高生產(chǎn)高效運行和生產(chǎn)管理效率,國內(nèi)眾多行業(yè)大力推進工業(yè)控制系統(tǒng)自身的集成化、集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強,工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。
德國的工業(yè)4.0標(biāo)準(zhǔn)、美國的“工業(yè)互聯(lián)網(wǎng)”以及“先進制造業(yè)國家戰(zhàn)略計劃”、日本的“科技工業(yè)聯(lián)盟”、英國的“工業(yè)2050戰(zhàn)略”、中國的“互聯(lián)網(wǎng)+”和“中國制造2025”等相繼出臺,它們對工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。未來工業(yè)控制系統(tǒng)將會有一個長足發(fā)展,工業(yè)趨向于自動化、智能化,系統(tǒng)之間的互聯(lián)互通也更加緊密,面臨的安全威脅也會越來越多。
習(xí)酒作為自動化程度較高的醬香白酒生產(chǎn)企業(yè),在享受自動化、數(shù)字化帶來的產(chǎn)能提升、人力釋放的收益的同時,也會面臨因生產(chǎn)工業(yè)設(shè)備聯(lián)網(wǎng)而帶來的網(wǎng)絡(luò)安全風(fēng)險。
1.2 項目簡介
參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》、《工業(yè)控制系統(tǒng)信息安全防護指南》等國家標(biāo)準(zhǔn)要求,在現(xiàn)有安全保護措施的基礎(chǔ)上,我們?nèi)媸崂矸治霭踩Wo需求,并結(jié)合風(fēng)險評估和調(diào)研過程中發(fā)現(xiàn)的問題隱患,按照“一個中心(安全管理中心)、三重防護(安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境)”的要求,開展網(wǎng)絡(luò)安全建設(shè)和整改加固,全面落實安全保護技術(shù)措施,并依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南》做好企業(yè)自身分級分類自評及備案準(zhǔn)備。
加強網(wǎng)絡(luò)安全管理,建立完善人員、教育培訓(xùn)、系統(tǒng)安全建設(shè)和運維等管理制度,加強機房、設(shè)備和介質(zhì)安全管理,強化重要數(shù)據(jù)和個人信息保護,制定操作規(guī)范和工作流程,加強日常監(jiān)督和考核,確保各項管理措施有效落實。
1.3 項目目標(biāo)
白酒行業(yè)的工業(yè)化進程,分別在制曲機械化、發(fā)酵工藝機械化、蒸餾工業(yè)機械化、調(diào)酒計算機集成制造技術(shù)和灌裝、包裝、成品庫智能管理五個領(lǐng)域展開,將推進我國白酒傳統(tǒng)生產(chǎn)方式的機械化升級,進而推動整個行業(yè)向信息化、智能化轉(zhuǎn)型。
習(xí)酒工業(yè)生產(chǎn)線包括了半自動生產(chǎn)線和全自動化生產(chǎn)線,工藝內(nèi)容包括準(zhǔn)備酒瓶、清洗、吹干、灌裝、瓶蓋、打標(biāo)、漏液檢測、液位測試、水平傳輸、噴碼、分瓶、分盒、AI識別、裝盒、垂直傳輸、機械手搬運、裝箱、打捆、機械手臂分揀、AGV小車搬運、立體倉庫等自動化控制內(nèi)容。
但習(xí)酒工控系統(tǒng)在防護措施中和在缺少防護措施時系統(tǒng)所具有的弱點,而工控系統(tǒng)內(nèi)部的脆弱性問題是導(dǎo)致系統(tǒng)易受攻擊的主要因素。脆弱性問題的根源可概括為以下幾個方面:通信協(xié)議漏洞、操作系統(tǒng)漏洞、應(yīng)用軟件漏洞、工控設(shè)備后門和漏洞、網(wǎng)絡(luò)結(jié)構(gòu)漏洞、安全策略和管理流程漏洞、外部風(fēng)險來源、商業(yè)外部滲透。
本項目工控安全建設(shè)將依據(jù)網(wǎng)絡(luò)安全等級保護相關(guān)標(biāo)準(zhǔn)和指導(dǎo)規(guī)范,對習(xí)酒工業(yè)控制網(wǎng)絡(luò)按照“整體保護、綜合防控”的原則進行安全建設(shè)方案的設(shè)計,按照等級保護三級的要求進行安全建設(shè)的規(guī)劃,并對安全建設(shè)進行統(tǒng)一規(guī)劃和設(shè)備選型,實現(xiàn)方案合理、組網(wǎng)簡單、擴容靈活、標(biāo)準(zhǔn)統(tǒng)一、經(jīng)濟適用的建設(shè)目標(biāo)。
本項目將在保證系統(tǒng)可用性的前提下,對習(xí)酒工業(yè)控制系統(tǒng)進行防護,實現(xiàn)“垂直分層、水平分區(qū)、邊界控制、內(nèi)部監(jiān)測”。
“垂直分層、水平分區(qū)”即對工業(yè)控制系統(tǒng)垂直方向劃分為三層:現(xiàn)場設(shè)備層、現(xiàn)場控制層、監(jiān)督控制層;水平分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開,處于不同的安全區(qū)。
“邊界控制,內(nèi)部監(jiān)測”即對系統(tǒng)邊界即各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進行邊界防護和準(zhǔn)入控制,對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題。
系統(tǒng)面臨的主要安全威脅來自黑客攻擊、惡意代碼(病毒蠕蟲)、越權(quán)訪問(非授權(quán)接入、移動介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常等),因此,其安全防護在以下方面予以重點完善和強化:(1)入侵檢測及防御;(2)惡意代碼防護;(3)內(nèi)部網(wǎng)絡(luò)異常行為的檢測;(4)邊界訪問控制和系統(tǒng)訪問控制策略;(5)工業(yè)控制系統(tǒng)開發(fā)與維護的安全;(6)身份認(rèn)證和行為審計;(7)賬號唯一性和口令安全,尤其是管理員賬號和口令的管理;(8)操作站操作系統(tǒng)安全;(9)移動存儲介質(zhì)的標(biāo)記、權(quán)限控制和審計。
2 項目實施
2.1 系統(tǒng)架構(gòu)
本項目系統(tǒng)架構(gòu)圖如圖1所示。
圖1 系統(tǒng)架構(gòu)圖
2.2 技術(shù)方案
邊界隔離:在各邊界之間部署工業(yè)防火墻,通過工業(yè)協(xié)議深度解析,結(jié)合自學(xué)習(xí)白名單安全防護策略,實現(xiàn)細(xì)粒度的邊界訪問控制和安全隔離,通過最小化規(guī)則盡可能規(guī)避來自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。
高級威脅監(jiān)測:通過在核心交換機上旁路部署高級威脅檢測系統(tǒng),對網(wǎng)絡(luò)流量進行實時分析,利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術(shù)對惡意樣本、惡意流量、行為異常等威脅進行重點識別,彌補生產(chǎn)網(wǎng)自身業(yè)務(wù)系統(tǒng)脆弱的不足,發(fā)現(xiàn)高危漏洞主機,發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為,識別惡意文件的擴散,保護生產(chǎn)網(wǎng)安全。
主機防護:對工控網(wǎng)絡(luò)內(nèi)的主機進行安全防護,主要是針對域內(nèi)的主機,建議部署工業(yè)主機安全衛(wèi)士,通過主機應(yīng)用程序白名單機制,阻止非工作程序在主機上的操作運行,阻斷由于操作系統(tǒng)漏洞、應(yīng)用軟件漏洞而引起的惡意攻擊,同時通過安全U盤實現(xiàn)移動安全數(shù)據(jù)存儲。
網(wǎng)絡(luò)實時監(jiān)測與審計:在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計(利用既有的工業(yè)審計學(xué)系統(tǒng)),建立業(yè)務(wù)通信模型實現(xiàn)對工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監(jiān)測和告警,同時對網(wǎng)絡(luò)中的攻擊行為、網(wǎng)絡(luò)會話、數(shù)據(jù)流量、重要操作等進行審計,實現(xiàn)安全事件的日志回溯和取證;在服務(wù)器區(qū)旁路部署數(shù)據(jù)庫審計,對數(shù)據(jù)庫的操作行為進行審計。
統(tǒng)一安全管理:建立安全監(jiān)管平臺,對工控網(wǎng)絡(luò)中的相關(guān)防護產(chǎn)品進行統(tǒng)一的管理及運維,對整網(wǎng)防護設(shè)備進行策略配置下發(fā)、對各設(shè)備進行集中化策略配置下發(fā)、存儲、備份、查詢、審計、告警、響應(yīng),并出具豐富的報表和報告,實時掌握工業(yè)控制網(wǎng)絡(luò)情況,獲悉工業(yè)控制網(wǎng)絡(luò)整體的安全狀態(tài),實現(xiàn)全生命周期的日志管理。
2.3 應(yīng)用場景分析
本項目依據(jù)網(wǎng)絡(luò)安全等級保護三級標(biāo)準(zhǔn),按照“統(tǒng)一規(guī)劃、重點明確、合理建設(shè)”的基本原則,在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等方面進行安全規(guī)劃與建設(shè),確保“網(wǎng)絡(luò)建設(shè)合規(guī)、安全防護到位”。
最終使習(xí)酒工控網(wǎng)絡(luò)安全達到安全等級保護第三級要求。經(jīng)過建設(shè)后,使其整個網(wǎng)絡(luò)形成一套完善的安全防護體系,使其整體網(wǎng)絡(luò)安全防護能力得到提升。
對于習(xí)酒工業(yè)控制系統(tǒng),經(jīng)過統(tǒng)一安全規(guī)劃建設(shè),其網(wǎng)絡(luò)在統(tǒng)一的安全保護策略下具有了抵御大規(guī)模和較強惡意攻擊的能力、抵抗較為嚴(yán)重的自然災(zāi)害的能力,以及防范計算機病毒和惡意代碼危害的能力;具有了檢測、發(fā)現(xiàn)、報警及記錄入侵行為的能力;具有了對安全事件進行響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;遭到損害后,具有了能夠較快恢復(fù)正常運行狀態(tài)的能力;對于服務(wù)保障性要求高的網(wǎng)絡(luò),能夠快速恢復(fù)正常運行狀態(tài);具有了對網(wǎng)絡(luò)資源、用戶、安全機制等進行集中控管的能力。
綜上所述:遵循等級保護的相關(guān)標(biāo)準(zhǔn)和規(guī)范要求,結(jié)合信息系統(tǒng)安全建設(shè)的實際狀態(tài),針對信息系統(tǒng)中存在的安全隱患進行系統(tǒng)建設(shè),可以加強信息系統(tǒng)的信息安全保護能力,使其達到相應(yīng)等級的等級保護安全要求。
2.4 實際應(yīng)用效果
(1)網(wǎng)絡(luò)隔離與邊界防護
在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)邊界處通常需要部署工控專用防火墻,該防火墻可以實施訪問控制、惡意代碼防護和入侵防護,從而避免來自本層其他區(qū)域、其他層網(wǎng)絡(luò)的惡意代碼攻擊及入侵行為,切斷網(wǎng)絡(luò)間的攻擊路徑。由于工控防火墻具備感知和理解工控應(yīng)用層協(xié)議及操作行為的能力,因此除基于IP地址、端口、MAC地址等主機特征進行訪問控制外,還可根據(jù)具體需求設(shè)置更細(xì)致的防護策略。
基于工控網(wǎng)絡(luò)的相對封閉性,工控防火墻常通過開啟基于通信協(xié)議的“白名單”功能,對來自其他層的不符合規(guī)范的協(xié)議攻擊、惡意操作和誤操作行為進行攔截。這種基于“白名單”的防護思路相比傳統(tǒng)防火墻或入侵防護系統(tǒng)的“黑名單”技術(shù),不僅能防護各類未知特征的攻擊和異常操作,還能保證正常的通信行為和訪問行為不被攔截。
(2)主機和終端安全管理
通過部署基于“白環(huán)境”的主機安全軟件,避免各類已知和未知的木馬、蠕蟲等惡意軟件進入主機傳播到整個工控網(wǎng)絡(luò)。
由于自動化系統(tǒng)的主機應(yīng)用環(huán)境相對固定,通過主機安全軟件建立起各類正常工作環(huán)境時的操作系統(tǒng)和應(yīng)用的可執(zhí)行文件白名單,建立起主機運行的白環(huán)境,啟用白名單功能,確保只有在白名單列表中的程序或軟件才能運行。
主機和終端的身份鑒別至關(guān)重要,通過采用單因子鑒別(如操作員口令)、雙因子鑒別(如工程師、值班長、網(wǎng)絡(luò)設(shè)備管理員等)等手段加強管理。在登錄工控系統(tǒng)進行組態(tài)下裝和重要參數(shù)修改時,必須進行身份鑒別。
(3)攻擊事件的監(jiān)控與審計
任何的安全措施,“看見和發(fā)現(xiàn)”攻擊是第一步。通過在不同的安全區(qū)域邊界部署工控安全監(jiān)測終端,配合集中監(jiān)測和審計管理,可實時發(fā)現(xiàn)網(wǎng)絡(luò)中的各類攻擊方式、違規(guī)操作和誤操作行為,可在攻擊事件發(fā)生后根據(jù)存儲的記錄和操作者的權(quán)限,進行查詢、統(tǒng)計、管理、維護等,追溯攻擊行為的起源,做到事前監(jiān)控、事中記錄、事后審計。
(4)高級威脅檢測與告警
基于特征檢測和行為檢測的傳統(tǒng)威脅檢測手段已經(jīng)越來越難以應(yīng)對新型的安全攻擊手法,難以識別安全攻擊事件。且近年來隨著人工智能技術(shù)的發(fā)展,攻擊方在掃描、利用、破壞等攻擊工具中對人工智能技術(shù)的應(yīng)用,進一步加劇了對目標(biāo)系統(tǒng)的破壞,縮短了攻擊進程,隱藏了攻擊特征。通過高級威脅檢測系統(tǒng)將人工智能、大數(shù)據(jù)技術(shù)與安全技術(shù)相結(jié)合,實時分析網(wǎng)絡(luò)流量,監(jiān)控可疑威脅行為,可對APT攻擊鏈進行檢測、識別分析和告警。
(5)數(shù)據(jù)庫安全審計
數(shù)據(jù)是信息系統(tǒng)的核心,如何保證防范針對數(shù)據(jù)庫的惡意操作、誤操作、惡意攻擊等是解決數(shù)據(jù)庫安全的重中之重。數(shù)據(jù)庫審計系統(tǒng)可以有效解決對數(shù)據(jù)庫操作的安全監(jiān)控難題,可以實現(xiàn)對數(shù)據(jù)庫所有操作的實時監(jiān)測、完整記錄、還原審計,可以及時發(fā)現(xiàn)對數(shù)據(jù)庫的非法操作,快速應(yīng)對異常事件,解除對數(shù)據(jù)庫的安全威脅,可以滿足對數(shù)據(jù)庫的運行監(jiān)測和操作審計的合規(guī)性要求,滿足等級保護2.0標(biāo)準(zhǔn)要求。
(6)運維操作管控與審計
在運維過程中,通常為了運維便利性,存在賬號共享、授權(quán)不清等運維行為,事后也缺乏運維操作審計。通過運維安全網(wǎng)關(guān),邏輯上將人和目標(biāo)設(shè)備分離,建立“人→主賬號→授權(quán)→從賬號→目標(biāo)設(shè)備”的管理模式。在此模式下,通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略,與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接,實現(xiàn)集中精細(xì)化運維操作管控與審計。
3 案例亮點及創(chuàng)新性
滿足安全合規(guī)要求:本次項目立足于等保2.0和工信部451號文《安全防護指南》及監(jiān)管要求,結(jié)合企業(yè)的生產(chǎn)業(yè)務(wù)特點,在防護框架的指導(dǎo)下開展了企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護建設(shè),防護建設(shè)項滿足等保對應(yīng)防護技術(shù)項的要求,企業(yè)在完成其他需要自建項后,可以啟動申報等保保護測評。
優(yōu)化資源配置:本方案站在習(xí)酒業(yè)務(wù)的角度設(shè)計,在滿足合規(guī)要求的同時最大限度利用了企業(yè)本身現(xiàn)有資源,同時有效地結(jié)合同行業(yè)單位的運營模式,在有限資源條件下最大限度地提升安全防護水平。
提高安全防護性:本次項目成果為企業(yè)相關(guān)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全穩(wěn)定運行提供了基礎(chǔ)保障,實現(xiàn)了病毒、木馬等惡意程序的防護,可防范內(nèi)外部人員攻擊、軟件后門利用等多種威脅,顯著加強了企業(yè)自身工控系統(tǒng)在當(dāng)前愈加惡劣的網(wǎng)絡(luò)環(huán)境下的防范和預(yù)警感知能力,有效保障了企業(yè)穩(wěn)定發(fā)展。
作者簡介
周 圍(1995-),男,湖南湘潭人,工程師,本科,現(xiàn)就職于北京惠而特科技有限公司,主要從事信息安全、工控安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號