今日頭條
官方微信
官方抖音
案例頻道★北京圣博潤高新技術股份有限公司
1 項目概況
1.1 項目背景
國防軍工行業(yè)是國家安全的支柱,承擔國防科研生產(chǎn)任務,為國家武裝力量提供各種武器裝備研制。
由于軍工企業(yè)的特殊性,其內(nèi)部系統(tǒng)嚴格按照分級保護的要求進行監(jiān)督管理,確保系統(tǒng)和信息安全。禁止內(nèi)部辦公網(wǎng)與工控網(wǎng)的直接連接,始終保持內(nèi)部辦公網(wǎng)與工控網(wǎng)之間的物理隔離狀態(tài),內(nèi)部辦公網(wǎng)系統(tǒng)與工控網(wǎng)絡的信息交換主要是依賴“光盤擺渡”的方式。
而武器裝備生產(chǎn)過程中的研發(fā)和協(xié)同等工作主要依賴內(nèi)部辦公網(wǎng)系統(tǒng),而生產(chǎn)、實驗和測試離不開工控系統(tǒng)。內(nèi)部辦公網(wǎng)絡和工控網(wǎng)絡的信息孤島和信息交換滯后問題已嚴重制約武器裝備科研生產(chǎn)效率的提高,所以實現(xiàn)內(nèi)部辦公網(wǎng)與工控網(wǎng)絡的安全互聯(lián),消除武器裝備的科研與生產(chǎn)環(huán)節(jié)的瓶頸,提高生產(chǎn)效率,實現(xiàn)武器裝備生產(chǎn)的數(shù)字化、智能化勢在必行。
1.2 項目簡介
圣博潤股份作為軍工行業(yè)信息安全領域領軍廠商,參與了十余家軍工單位的兩網(wǎng)互聯(lián)及工控安全防護項目的咨詢規(guī)劃和建設工作。在兩網(wǎng)安全互聯(lián)、工控網(wǎng)絡防護方面擁有豐富經(jīng)驗以及完善的解決方案。
圣博潤股份參與了某軍工企業(yè)的兩網(wǎng)安全互聯(lián)及工控安全防護提升項目建設。通過對生產(chǎn)工藝和系統(tǒng)流程進行摸底和梳理,以及對內(nèi)部辦公網(wǎng)和工控網(wǎng)絡的風險評估,總結如下現(xiàn)狀問題:
(1)兩網(wǎng)間交互數(shù)據(jù)量大、交換頻次高。
目前采用光盤刻錄擺渡方式完成一次數(shù)據(jù)交互平均用時約30分鐘,且需要同時執(zhí)行多個業(yè)務流程,數(shù)據(jù)交換流程繁瑣,嚴重影響業(yè)務工作效率。工藝系統(tǒng)、生產(chǎn)執(zhí)行、物流配送和在線智能檢測等系統(tǒng)數(shù)據(jù)需要快速同步,生產(chǎn)過程質(zhì)量控制數(shù)據(jù)需要實時監(jiān)測。工藝生產(chǎn)銜接若存在失控風險,對生產(chǎn)質(zhì)量會產(chǎn)生較大影響,使生產(chǎn)計劃難以快速高效地下達到生產(chǎn)現(xiàn)場,導致計劃執(zhí)行情況無法實時反饋,調(diào)度不能實時開展,將極大影響生產(chǎn)效率和設備利用率,對整個生產(chǎn)計劃的準確性也會產(chǎn)生重大影響。
(2)工控系統(tǒng)存在脆弱性且安全防護較為薄弱。
工控系統(tǒng)在其自身安全性上存在“先天不足”,工控網(wǎng)絡中應用的各類工控系統(tǒng)更新?lián)Q代周期長,普遍存在弱口令、漏洞等安全缺陷;生產(chǎn)車間中使用高端進口機床裝備,存在后門安全隱患;工控網(wǎng)絡內(nèi)未按功能或區(qū)域劃分安全域且未設置ACL訪問控制策略;部分工控上位機病毒庫過期未及時更新等問題。長久以來,工控系統(tǒng)建設與使用管理重可用性,輕安全性,工業(yè)控制系統(tǒng)信息安全管理意識薄弱,管理體系不健全。
基于上述現(xiàn)狀,在兩網(wǎng)之間建立安全高效的信息交換平臺,構建內(nèi)部辦公網(wǎng)與工控網(wǎng)之間的自動化數(shù)據(jù)傳輸通道已迫在眉睫。但網(wǎng)絡互聯(lián)后,工控網(wǎng)自身防護不健全可能給內(nèi)部辦公網(wǎng)帶來新的信息安全威脅。因此在構建兩網(wǎng)互聯(lián)的同時,還需要通過技術手段提升工控網(wǎng)絡整體安全性。
1.3 項目目標
通過搭建雙單向信息交換平臺實現(xiàn)內(nèi)部辦公網(wǎng)與工業(yè)控制系統(tǒng)之間的數(shù)據(jù)安全可控的實時交互,滿足生產(chǎn)需求,保障內(nèi)部辦公網(wǎng)數(shù)據(jù)安全、可靠、可控、穩(wěn)定的下發(fā)到工控網(wǎng);工控網(wǎng)制造數(shù)據(jù)及時、快速地反饋到內(nèi)部辦公網(wǎng),調(diào)整、優(yōu)化加工參數(shù),加快產(chǎn)品定型和產(chǎn)品量產(chǎn),有效提升企業(yè)生產(chǎn)效益和綜合運營效率,為推動智能制造技術落地構建基礎。
圣博潤股份以“統(tǒng)一規(guī)劃、分步實施、不斷完善”為指導思想,將本項目分為三個重點內(nèi)容進行建設,實現(xiàn)上述目標:
(1)實現(xiàn)內(nèi)部辦公網(wǎng)系統(tǒng)與工業(yè)控制系統(tǒng)間的安全數(shù)據(jù)交換
為了將工控網(wǎng)的信息快速地導入內(nèi)部辦公網(wǎng),同時需要將內(nèi)部辦公網(wǎng)內(nèi)特定格式的數(shù)據(jù)安全可控地導出到工控網(wǎng)中,圣博潤股份重點考慮了信息傳輸可能帶來的安全風險,確保整個智能制造“數(shù)字化車間”運行安全可靠,并確保滿足信息傳輸來源的真實性、內(nèi)容的合規(guī)性、過程中的單向性、數(shù)據(jù)可追溯可審計性及系統(tǒng)自身具備的安全性等要求。
(2)對工業(yè)控制系統(tǒng)進行安全防護建設
對工控網(wǎng)有針對性地進行安全防護提升,在邊界安全防護、入侵檢測、惡意代碼防護、身份鑒別、訪問控制、安全審計和安全管理等方面進行提升建設。并確保滿足國家相關安全和保密建設要求。
(3)對內(nèi)部辦公網(wǎng)進行安全補充建設
為確保通過信息交換平臺交換數(shù)據(jù)來源可靠,需通過打標系統(tǒng)實現(xiàn)在跨網(wǎng)交換過程中,打標系統(tǒng)的標簽和電子數(shù)據(jù)的不可分離。并在內(nèi)部辦公網(wǎng)內(nèi)統(tǒng)一記錄數(shù)據(jù)交換日志和安全日志。
2 項目實施
2.1 安全區(qū)域劃分
根據(jù)密級、業(yè)務屬性及所屬功能的不同,將網(wǎng)絡規(guī)劃為圖中所示的三個大區(qū)。大區(qū)中包含有獨立的安全域來細化各自功能屬性。
2.2 整體設計思路
圣博潤股份的軍工兩網(wǎng)互聯(lián)及工控安全防護設計思路嚴格按照國家保密相關要求,并結合《工業(yè)控制系統(tǒng)信息安全防護指南》進行整體設計。總體設計思路按“主動防御、實時監(jiān)測、快速響應、及時恢復”的方針,開展內(nèi)部辦公網(wǎng)與工控網(wǎng)安全事件的防護、檢測、預警和應急處置等工作;采用“管技并重”相結合的安全防護理念構建安全防護體系。
安全保密方面,以嚴防數(shù)據(jù)“高密低流”為主旨,在保障信息完整性、可靠性和安全性的基礎上,以兩路單向數(shù)據(jù)傳輸技術為核心搭建雙單向信息交換平臺,實現(xiàn)內(nèi)部辦公網(wǎng)和工控網(wǎng)絡之間的數(shù)據(jù)安全交換。
2.3 整體架構設計
圖1是軍工兩網(wǎng)互聯(lián)信息交換平臺及工控安全防護體系總體設計架構。
圖1 軍工兩網(wǎng)互聯(lián)信息交換平臺及工控安全防護體系總體設計架構
2.4 數(shù)據(jù)交換安全
在內(nèi)部辦公網(wǎng)與工控網(wǎng)之間的信息交換區(qū)中部署上、下行兩個方向的單向光閘設備。利用單向光閘物理單向特性,保障文件傳輸絕對單向無反饋傳輸。
單向光閘兩側設置的獨立安全域中配置邊界防火墻,形成單向導入傳輸通道與單向導出傳輸通道的邊界防護。采用最小化授權原則配置訪問控制策略,并細化至IP地址和服務端口級,實現(xiàn)數(shù)據(jù)流的控制。
2.5 邊界隔離及訪問控制
工控防火墻部署在工控設備安全域與網(wǎng)絡核心交換的交界處,通過訪問控制策略和隔絕等技術分割網(wǎng)絡,防護來自外部網(wǎng)絡的入侵行為傳播。并在重點數(shù)控設備、智能裝備前端通過專用安全防護設備對關鍵生產(chǎn)設備的網(wǎng)口、串口、USB口進行安全防護。
2.6 身份鑒別與運維審計
通過運維堡壘機的運維審計能力,實現(xiàn)對交換機、安全設備、服務器登錄的二次身份進行鑒別認證,并對訪問人員的權限進行控制,對操作人員的操作行為進行監(jiān)測審計,對違規(guī)行為進行溯源取證。
2.7 入侵檢測與工控審計
通過對工控網(wǎng)絡流量進行檢測,檢出工控網(wǎng)絡內(nèi)部可能存在的溢出類攻擊、后門類攻擊、掃描類攻擊、暴力破解等攻擊或異常行為進行實時檢測告警。
工控安全審計通過特有的工控協(xié)議深度解析和流量基線白名單功能,建立基于工控協(xié)議功能碼、指令的工控流量的白名單模型。有效識別出白名單流量以外的工控協(xié)議異常事件和網(wǎng)絡攻擊行為,并進行實時告警。
2.8 網(wǎng)絡接入管控
通過網(wǎng)絡接入控制系統(tǒng)配合交換機ACL策略,及時發(fā)現(xiàn)并記錄網(wǎng)絡中的私建網(wǎng)中網(wǎng)、違規(guī)設備接入、雙網(wǎng)互聯(lián)、IP地址沖突等違規(guī)事件,實時定位終端的接入位置,發(fā)現(xiàn)非授權接入工控網(wǎng)設備。
2.9 主機安全防護
工控主機防護軟件采用“白名單機制”,未列入白名單的軟件和可執(zhí)行程序會在啟動之前被攔截。規(guī)避了防病毒軟件不能及時更新病毒庫帶來的殺毒能力降低問題。保障工業(yè)上位機中關鍵業(yè)務相關軟件穩(wěn)定運行,提升了主機安全防護能力和合規(guī)管理水平。
2.10 漏洞及脆弱性管理
在網(wǎng)絡內(nèi)通過漏洞掃描系統(tǒng)基于CVE、CNVD、CNNVD等漏洞數(shù)據(jù)庫,對操作系統(tǒng)、應用服務、網(wǎng)絡設備等IT資產(chǎn)以及工控上位機、PLC、RTU、數(shù)據(jù)采集模塊、變頻器等工控資產(chǎn)進行檢查,對已發(fā)現(xiàn)的漏洞及脆弱性進行查漏補缺。
2.11 集中管理與安全審計
工控集中安全管理平臺實現(xiàn)對工控網(wǎng)絡中的邊界防火墻、工控安全監(jiān)測審計、工控主機防護等產(chǎn)品進行集中監(jiān)視和安全策略統(tǒng)一管理,通過安全事件關聯(lián)分析及安全趨勢風險預警,有助于降低運維成本、提高事件響應效率。
在兩網(wǎng)交換過程中的交換日志和安全日志信息,統(tǒng)一導入保存至內(nèi)部辦公網(wǎng)的安全審計系統(tǒng)中進行統(tǒng)一記錄存儲與大數(shù)據(jù)分析。同時對交換過程中的異常事件時間、違規(guī)事件進行分析和處理。
3 案例亮點及創(chuàng)新性
圣博潤股份通過為某軍工單位建設兩網(wǎng)安全互聯(lián)及工控安全提升項目,既有效解決了該企業(yè)內(nèi)部辦公網(wǎng)與工控網(wǎng)數(shù)據(jù)安全交互的問題,又通過安全防護技術手段對工控網(wǎng)絡進行全面安全防護,保障了工控網(wǎng)絡數(shù)控和其他工控系統(tǒng)與的正常安全運行。
(1)為工控系統(tǒng)安全提供了有效的保障
在信息化系統(tǒng)建設中,安全是一個至關重要的問題。軍工工業(yè)控制系統(tǒng)承載著國防安全重任,一旦工控系統(tǒng)出現(xiàn)安全事故將會造成較大的負面效應。開展工控系統(tǒng)安全防護建設,是為工控系統(tǒng)建設提供安全高效的運行保障,具有非常重要的社會意義。
(2)助力軍工行業(yè)信息化建設向更高層次推進隨著信息化建設的推進
通過網(wǎng)絡進行信息共享和數(shù)據(jù)交互的力度大大加強,對兩網(wǎng)數(shù)據(jù)傳輸中的安全性、保密性和完整性提出了更高要求。只有對軍工內(nèi)部辦公網(wǎng)和工控網(wǎng)進行科學的評估,規(guī)劃和建設一個集物理安全、網(wǎng)絡安全、應用安全、系統(tǒng)安全和數(shù)據(jù)保密安全等于一體的信息防護體系,才能為軍工信息化的大力推進提供充分的安全保障。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號