今日頭條
官方微信
官方抖音
案例頻道★ 北京神州綠盟科技有限公司
1 項目概況
1.1 項目背景
為深化落實國家局轉發的通知中(國煙辦綜〔2016〕257號)進一步加強行業工業控制系統網絡安全管理及要求,《國家煙草專賣局辦公室關于卷煙工業企業信息化建設的指導意見》,以及“工業互聯網+安全生產”行動計劃,烏魯木齊市煙草局以煙草物流場景為試點,展開工業安全建設工作。首先以分級分域、全面建設、動態調整、綜合防范為原則打造烏魯木齊煙草局工業安全態勢感知平臺,并最終建成全場景、可信任、實戰化的安全保障體系。
1.2 項目目標
本項目選用物流安全場景為試點,通過本次安全建設,將依據煙草行業網絡安全總體策略“分級分域、整體保護、積極預防、動態管理”,建立適合烏魯木齊市煙草局自身的信息安全保障體系模型和框架,并建立烏魯木齊市煙草局信息安全策略體系,明確信息安全各項工作所需遵循的基本原則和方針,為后續煙草行業工業安全態勢感知建設的復制和推廣提供依據。
(1)分級分域:根據信息系統運行安全需求、數據和信息內容安全需求,以及應用范圍,確定信息系統的安全保護等級,劃分信息系統運行環境的安全域,針對不同安全域制定相應的分項安全策略,實行等級保護。
(2)整體保護:按照相互關聯、相互均衡的原則,在網絡以及信息系統運行應用的各環節,全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術安全設施,并按照組件化、平臺化、集成化技術路線進行整合,實現協同防御。
(3)積極預防:加強對重要信息技術產品的漏洞和后門程序檢查,定期開展風險評估工作;堅持安全保障和運維保障一體化建設與管理,運用信息化監控手段,全面感知安全狀態,提高安全事件預警化能力,增強應急處置能力。
(4)動態管理:緊密跟蹤行業信息化發展變化情況與網絡安全攻防技術的發展狀況,適時調整、完善和創新安全管理方法,持續提升、改進和強化技術防護手段,保證行業網絡安全水平與行業信息化發展水平相適應。
2 項目實施
針對工業控制網絡安全現狀,建議通過工業控制系統安全風險評估和安全產品部署相結合,通過專業的工控安全監測產品,使工業控制系統安全防護能力顯著提升,進而逐步實現安全技術能力、安全管理能力的全面提升,實現管、控、防一體化。具體功能如下:
2.1 全流量學習
工業網絡中設備眾多,網絡通信復雜,用戶很難全面掌握網絡中所必須的業務通信需求,這給安全設備的規則配置帶來很大的困難。為了方便用戶進行異常行為檢測規則的配置,提高規則配置的準確性,減少規則配置的工作量,工控安全審計系統檢測采用全流量學習。如圖1所示,該功能采用被動檢測的方式從網絡中采集數據包,并進行數據包的解析,智能地與系統內置的協議特征、設備對象等進行匹配,生成可供參考的網絡交互信息列表,幫助用戶以最便捷的方式了解和掌握網絡中的業務通信狀態,發現網絡潛在的安全風險。
圖1 全流量學習
2.2 工控協議深度解析
基于對工控環境的理解,本項目針對工控環境使用的規約進行了相關的分析和研究,對協議的內容進行了完全的解碼,可以深入到指令級別的分析,對從上位機控制端到下位機操控指令進行了有效的合規性定義。通過鏡像方式對流量進行深入解碼,分析其中的操作是否符合定義的操作要求,如發現其中有任何的違規操作,及時進行報警,由管理員來進行相關的處理。
工控協議深度解析如圖2所示。
圖2 工控協議深度解析
2.3 工控網絡異常行為監測告警
針對不同客戶在審計工控中的需求,針對工控協議的操作指令進行有效的識別,定義其中存在的高危操作,并能夠及時進行報警。
異常行為告警包括:任何外接設備入場告警;模型內設備間不符合模型訪問時間、頻率告警;模型內設備間不符合基線原行為操作告警;模型內設備間不符合基線原行為路徑操作告警等。
圖3 工控網絡異常行為監測告警
2.4 入侵檢測智能協議識別和輔助規則生成
工業網絡中設備眾多,網絡通信復雜,用戶很難全面掌握網絡安全狀態。在工控安全審計中融合入侵檢測規則,通過全流量的自學習功能,自動調用相匹配的協議檢測規則,從而進一步發現通信流量中的攻擊行為。
2.5 傳統IT網絡行為審計
在生產網中,由于業務需要,往往流量中包含傳統IT協議,產品功能上也支持對傳統IT網絡環境使用的HTTP、FTP等協議的文件傳輸進行審計,支持對TELNET、FTP等業務操作進行命令級審計,從而確保檢測全面性。審計系統采用旁路部署,通過流量鏡像的方式對工控網絡進行全流量數據監聽,不主動發包,對工控系統“無擾動,零風險”,不做網絡的任何修改;可覆蓋DCS網絡、PLC網絡、數控機床DNC網絡等不同行業應用場景的工控系統。
圖4 審計系統
2.6 工業安全綜合預警
工業網絡安全監測預警平臺從工業控制系統安全的角度,對工控系統的各類IT和OT設備數據進行采集,包括業務設備日志采集、安全設備事件收集、網絡流量數據采集、安全設備配置采集等功能。平臺對采集得到的結果進行統一分析與展示,發現工控網絡內部的異常行為,如新增資產、時間異常、新增關系、負載變更、異常訪問等行為,實現對工控現場安全事件的預警與響應。
圖5 工業網絡安全監測預警平臺
工業網絡安全監測預警平臺可以對工業網絡中各類上位機服務器、工控終端、網絡交換設備及工控安全設備進行集中化的性能狀態監控、安全事件的集中展示、安全風險的評估、工控分區分域的健康等級,以及依賴于工控知識庫的安全響應與處置。
2.7 全面的日志集中管理
支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、ODBC、Netflow等多種日志采集方式。支持但不限于網絡設備,如上位機、工業安全網關、工控安全審計、主機安全衛士入侵檢測等,并進行日志關聯和量化分析。
圖6 日志審計系統
2.8 可視化的綜合態勢管理
工業網絡安全監測預警平臺可以通過網絡拓撲或直觀呈現的方式表現網絡環境及各設備的運行狀態和安全狀態,從而達到對工控網絡中的各類設備進行集中的狀態及性能監控的目的。目前主要通過定制化工控拓撲的方式來實現工控網絡綜合態勢的管理和呈現,呈現在首頁的工控網絡拓撲可根據工業現場需求進行定制化的拓撲繪制。
同時,針對不同行業工業現場網絡架構的特異性,平臺內置具有行業特性的工控網絡安全監控拓撲,用戶可根據自身行業特點選擇相應行業的網絡拓撲結構,并在其基礎上進行組態化的拓撲繪制,使最終呈現的工控網絡拓撲符合展示及監控要求。綜合態勢管理還包括可視化的攻擊鏈狀況展示、風險儀表盤展示、告警事件類型分布展示、資產風險分布展示、最新安全事件列表等可視化模塊。
2.9 強大的分析引擎
平臺中預制關聯分析引擎,預制引擎構成分析平臺的核心功能并且對專項分析提供基礎能力,如風險分析、脆弱性分析、態勢分析、資產分析、攻擊鏈條分析等。分析引擎采用的分布式設計能夠進行橫向擴展,面臨工業網絡數據量時能夠實現按需擴展,將分析引擎分散到其他更多的機器中,實現按需進行計算資源擴展。
2.10 可靠的主機防護體系
工業控制系統中的監控主機、工程師站、操作站、數據服務器等設備進行安全加固的終端安全防護產品,針對工控終端業務環境相對固定、穩定第一的特點,系統采用了白名單機制,攔截一切未知程序和腳本的執行,既可有效抵御已知和未知的惡意代碼,又規避了傳統殺毒軟件病毒庫更新不及時的問題,從根本上保障主機運行環境的安全。主機防護體系如圖7所示。
圖7 主機防護體系
2.11 完善的漏洞管理流程
安全管理不只是技術,更重要的是通過流程制度對安全脆弱性風險進行控制。很多公司制定了安全流程制度,但仍然有安全事故發生。人員對流程制度的執行起到關鍵作用,他們如何融入管理流程,并促進流程的執行是安全脆弱性管理產品需要解決的問題。
圖8 漏洞管理流程
安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環節,結合安全流程中的預警、檢測、分析管理和審計環節,并通過事件告警督促安全管理人員進行風險修補。
2.12 項目部署
系統采用分層模塊化架構設計,各模塊在業務功能邏輯上相互獨立,采用松耦合接口方式進行數據交互,使得系統部署方式靈活,能適應各種用戶網絡場景。
部署圖如圖9所示。
圖9 部署圖
2.13 應用效果
(1)構建了以態勢感知平臺為核心的工業安全防護體系
覆蓋評估、防護、檢測及響應的安全體系,保障煙草物流系統全周期正常運行。工業安全網關提供從網絡邊界到終端的全方位安全防護,同時通過部署工控漏洞掃描系統和工控安全審計系統、運維審計系統實現資產和網絡異常的檢測和告警。工業網絡安全態勢感知平臺從保障客戶業務安全的角度,通過對安全設備的統一管理以及對工業網絡日志、流量等各類數據進行采集、統一分析和展示,實現對工業網絡安全事件的預警與響應。
(2)降低了煙草物流控制系統網絡安全運維難度
工業網絡安全態勢感知平臺通過自主學習能力,對煙草控制系統網絡安全態勢進行實時感知,結合匹配煙草業務場景的知識庫,實現從防護、檢測、響應到恢復的閉環安全能力,大大降低了煙草控制系統網絡安全運維難度。
(3)提升了煙草物流系統網絡安全防護水平
通過煙草控制系統縱深防御體系、動態檢測體系、威脅管理體系、應急響應體系、組織體系及管理體系的建設,建立煙草風險識別能力、安全防御能力、安全檢測能力、安全響應能力與安全恢復能力,實現了風險可視化、防御主動化和運行自動化的安全目標,保障了企業生產業務的安全。
3 案例亮點及創新性
3.1 深刻理解和有效適配了煙草行業工業控制系統業務場景
項目開創性地探索出煙草行業控制系統的有效網絡安全整體解決方案,解決了傳統煙草行業工業控制系統網絡安全問題,提升了煙草行業工業控制系統網絡安全防護水平,而且對國內其它煙草行業安全防護起到了很好的示范作用。
3.2 運用輕量化工控漏洞掃描技術
工控漏洞掃描系統獨家采用了無損掃描技術,如圖10所示,通過對支持的工控資產進行梳理和信息收集,工控漏洞掃描系統可以實現遠程與非接觸式的安全評估,在不影響業務的前提下完成漏洞掃描。
圖10 工控漏掃系統
3.3 IT系統與OT系統漏洞掃描的全覆蓋
根據不同的資產特性定制不同漏洞掃描策略。工業互聯網與智能制造時代下,工業生產企業網絡越發龐大復雜,多個網絡層級為同一套業務平臺進行支撐的情況也屢見不鮮,這要求我們的安全設備要有更強的兼容性。本項目中的漏洞掃描系統既能對傳統的IT層主機發現、端口掃描及服務識別,也支持各主流數據庫(Oracle、MySql、Postgresql等)漏洞掃描和虛擬化組件漏洞掃描,同時還覆蓋SCADA、DCS、PLC等OT層應用系統。
3.4 安全運行體系整合
本項目中所使用的安全解決方案,是以平臺為“大腦”的一體化安全解決方案。
根據信息安全保障體系框架設計,整合各類安全防護系統以及管理制度、運維流程,實現管理與技術的融合,并通過安全管控平臺與運維平臺整合,實現了主要安全管理工作的自動化,提高了管理效率。
采用數據采集技術、安全監控技術和漏洞掃描技術,實現對信息系統、人員操作行為及安全狀況的整體監控,并能夠利用大數據分析技術進行關聯分析,實現準確、及時告警和集中展現。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號