今日頭條
官方微信
官方抖音
案例頻道★ 新華三信息安全技術(shù)有限公司
1 項(xiàng)目概況
1.1 項(xiàng)目背景
針對(duì)該輪胎企業(yè)各廠工控安全現(xiàn)狀進(jìn)行風(fēng)險(xiǎn)評(píng)估,結(jié)合評(píng)估結(jié)果進(jìn)行整體方案設(shè)計(jì)。方案設(shè)計(jì)后首先對(duì)該輪胎各廠發(fā)現(xiàn)的高危風(fēng)險(xiǎn)進(jìn)行消除,借助當(dāng)前系統(tǒng)內(nèi)現(xiàn)有安全措施或設(shè)備自帶安全機(jī)制,通過漏洞修補(bǔ)、安全加固實(shí)現(xiàn)系統(tǒng)安全能力加固,并進(jìn)行安全基礎(chǔ)設(shè)施建設(shè)。圍繞各類安全基礎(chǔ)設(shè)施,逐步建立運(yùn)行維護(hù)制度及應(yīng)急響應(yīng)體系,與此同時(shí)建立工業(yè)企業(yè)人員安全教育體系。方案建設(shè)完成后,確保工業(yè)企業(yè)各廠的安全技術(shù)、管理體系和人員水平得到提升。
1.2 項(xiàng)目簡介
基于該輪胎工業(yè)有限公司及股份有限公司其他下屬企業(yè)的工業(yè)網(wǎng)絡(luò)安全防護(hù)需求,依靠工業(yè)信息安全保障建設(shè)框架,建設(shè)網(wǎng)絡(luò)安全縱深防御體系框架,設(shè)計(jì)工業(yè)企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺(tái)基礎(chǔ)機(jī)構(gòu),建設(shè)安全態(tài)勢感知與主動(dòng)防御平臺(tái),建設(shè)工業(yè)企業(yè)安全運(yùn)營與管理平臺(tái),提升輪胎制造業(yè)安全態(tài)勢感知與主動(dòng)防御能力,提升工業(yè)企業(yè)安全與運(yùn)營管理能力,構(gòu)建多層次、一體化工業(yè)網(wǎng)絡(luò)安全防御能力,為工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型升級(jí)提供保障。
1.3 項(xiàng)目目標(biāo)
通過工業(yè)信息安全保障工作中所涉及的安全人員、安全技術(shù)、安全管理三個(gè)維度內(nèi)容,從策略制定、評(píng)估分析、方案設(shè)計(jì)、工程實(shí)施、運(yùn)行管理、應(yīng)急響應(yīng)和安全教育七個(gè)方面,針對(duì)企業(yè)工控安全建設(shè)制定全生命周期的方案。
2 項(xiàng)目實(shí)施
方案設(shè)計(jì)中按照企業(yè)工控安全方針策略,結(jié)合公司及各下屬企業(yè)當(dāng)前安全現(xiàn)狀,以企業(yè)當(dāng)前安全需求為出發(fā)點(diǎn),為達(dá)成目標(biāo)而合理規(guī)劃企業(yè)工控安全建設(shè)內(nèi)容、建設(shè)重點(diǎn)、建設(shè)順序,形成合理的工控安全保障方案。
工程實(shí)施是將前期設(shè)計(jì)的保障方案中各項(xiàng)安全措施進(jìn)行具體實(shí)現(xiàn)的過程,工程實(shí)施質(zhì)量直接影響前期設(shè)計(jì)方案的實(shí)現(xiàn)效果。工程實(shí)施過程應(yīng)由企業(yè)項(xiàng)目管理人員進(jìn)行管理,本項(xiàng)目將委托第三方機(jī)構(gòu)評(píng)價(jià)實(shí)施效果。
建設(shè)內(nèi)容包括:縱深防護(hù)體系、綜合防護(hù)平臺(tái)和仿真驗(yàn)證體系。
構(gòu)建基于主機(jī)安全、設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、內(nèi)生安全的多層次縱深防御體系,形成工業(yè)企業(yè)安全防護(hù)服務(wù)能力。針對(duì)該企業(yè)工業(yè)發(fā)展現(xiàn)狀,圍繞“本質(zhì)安全”“架構(gòu)安全”和“行為安全”三個(gè)維度,將企業(yè)信息系統(tǒng)劃分為4個(gè)不同層級(jí)的安全域。網(wǎng)絡(luò)層級(jí)和安全域根據(jù)自身特點(diǎn)和重要性程度制定相應(yīng)的安全防護(hù)策略,并結(jié)合安全管理和安全運(yùn)維,構(gòu)建全面防護(hù)且持續(xù)改進(jìn)的縱深防御體系。
鑒于輪胎制造業(yè)企業(yè)在工業(yè)領(lǐng)域的至關(guān)重要性,在智能制造的重塑與改進(jìn)下,要實(shí)施嚴(yán)格的訪問控制策略、操作行為監(jiān)管及審計(jì)機(jī)制,以確保在不同安全屬性的系統(tǒng)和不同安全級(jí)別的安全域間進(jìn)行安全的信息交換。
本項(xiàng)目通過部署工業(yè)安全網(wǎng)關(guān)、工業(yè)入侵檢測平臺(tái)、工業(yè)流量審計(jì)平臺(tái)、主機(jī)加固軟件、工業(yè)數(shù)據(jù)安全管理系統(tǒng)、企業(yè)互聯(lián)互通平臺(tái)通訊數(shù)據(jù)分析平臺(tái)、企業(yè)互聯(lián)互通平臺(tái)通訊數(shù)據(jù)展示平臺(tái)、隱私數(shù)據(jù)分發(fā)保障系統(tǒng)、高交互威脅狩獵與溯源系統(tǒng)及工業(yè)企業(yè)防火墻系統(tǒng),完成縱深防御體系的建設(shè)。
綜合防護(hù)平臺(tái)的核心目標(biāo)是提高企業(yè)的整體安全水平,提升運(yùn)維效率,體現(xiàn)安全效果和價(jià)值。通過建設(shè)包括人員、工具、流程三大體系的安全運(yùn)營中心,打造感知、分析、決策、響應(yīng)4個(gè)維度的自動(dòng)安全處置閉環(huán)能力。因此,整體思路和理念是:綜合防護(hù)平臺(tái)通過態(tài)勢感知平臺(tái)、主動(dòng)防御平臺(tái)和安全運(yùn)營管理平臺(tái),提高“威脅感知、分析定位、智能決策、響應(yīng)處置”的快速安全閉環(huán)能力,幫助工控企業(yè)實(shí)現(xiàn)安全效果,提升安全運(yùn)維和安全管理效率,展現(xiàn)安全成果,最終實(shí)現(xiàn)“自動(dòng)響應(yīng)閉環(huán)、持續(xù)安全運(yùn)營”的目標(biāo)。
本項(xiàng)目具有實(shí)現(xiàn)工業(yè)現(xiàn)場威脅感知及主動(dòng)防御能力,具備針對(duì)工業(yè)控制系統(tǒng)防惡意軟件傳播、防惡意控制指令、防邊界滲透等安全防護(hù)能力。
通過在工業(yè)企業(yè)網(wǎng)絡(luò)出口、工業(yè)網(wǎng)絡(luò)內(nèi)部部署工業(yè)互聯(lián)網(wǎng)安全蜜罐,仿真正常運(yùn)行的工業(yè)互聯(lián)網(wǎng)設(shè)備或系統(tǒng),可誘捕惡意網(wǎng)絡(luò)攻擊,及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)中傳播的惡意代碼病毒,溯源黑客組織,捕獲惡意樣本,提升工業(yè)現(xiàn)場威脅感知及主動(dòng)防御能力。
面向工業(yè)企業(yè)工控設(shè)備的被動(dòng)威脅監(jiān)測及態(tài)勢感知系統(tǒng)分為服務(wù)支撐、工控設(shè)備及業(yè)務(wù)仿真、威脅監(jiān)測三部分。服務(wù)支撐部分提供流量重定向、數(shù)據(jù)采集、訪問控制和數(shù)據(jù)分析功能;工控設(shè)備及業(yè)務(wù)仿真部分提供設(shè)備指紋、業(yè)務(wù)功能、通信協(xié)議和操作指令仿真功能;威脅監(jiān)測部分提供攻擊來源監(jiān)測、惡意文件監(jiān)測、攻擊工具監(jiān)測和攻擊步驟監(jiān)測功能。
2.1 入侵檢測
威脅感知傳感器具備入侵檢測功能,可實(shí)時(shí)監(jiān)控所有“影子系統(tǒng)”以及虛擬網(wǎng)絡(luò)流量,自動(dòng)檢測可疑行為,分析來自網(wǎng)絡(luò)外部的入侵信號(hào)和來自網(wǎng)絡(luò)內(nèi)部的非法活動(dòng),在攻擊者攻擊關(guān)鍵業(yè)務(wù)系統(tǒng)前發(fā)出警告,對(duì)攻擊做出實(shí)時(shí)響應(yīng),并提供補(bǔ)救措施,最大程度地保障系統(tǒng)安全。
2.2 工控安全管理平臺(tái)
在工業(yè)信息網(wǎng)絡(luò)環(huán)境中做整體的安全防護(hù),勢必要掌握全網(wǎng)的運(yùn)行狀況與安全狀況,要處理大量設(shè)備產(chǎn)生的安全數(shù)據(jù)和監(jiān)控信息,要通過集中高效的告警機(jī)制快速發(fā)現(xiàn)、定位問題,并快速地處置安全故障和威脅,要解決工業(yè)企業(yè)信息安全集中監(jiān)控與統(tǒng)一管理問題。
系統(tǒng)為三層的管理架構(gòu),最下一層為被保護(hù)的工業(yè)控制及管理環(huán)境設(shè)備對(duì)象,包括從生產(chǎn)管理層、MES層到控制層的各類設(shè)備,比如操作員站、工程師站、RTU、PLC、DCS等。
系統(tǒng)通過采集層對(duì)所有被保護(hù)對(duì)象進(jìn)行集中的信息采集,包括收集網(wǎng)絡(luò)中所部署的各類安全設(shè)備的事件及告警信息。該層提供豐富的數(shù)據(jù)接口,所采集的信息包括:資產(chǎn)、拓?fù)洹⑿阅堋⑹录⒙┒础⒘髁考肮た刂噶畹取M瑫r(shí),信息采集裝置可以在復(fù)雜網(wǎng)絡(luò)中分布式部署,并且對(duì)網(wǎng)絡(luò)性能影響極小甚至無影響。采集到的所有信息都會(huì)進(jìn)行預(yù)處理,將其轉(zhuǎn)換為統(tǒng)一的內(nèi)部格式,并提交給上層的核心功能處理層的相應(yīng)組件進(jìn)行處理和分析。采集層之上是數(shù)據(jù)處理與展示層,該層提供了系統(tǒng)的核心處理功能,主要包括了設(shè)備監(jiān)控、安全信息管理、工控威脅管理和統(tǒng)一接口四大功能組塊。設(shè)備監(jiān)控功能組塊主要提供了被監(jiān)控對(duì)象的識(shí)別梳理和基礎(chǔ)信息支撐,主要包括設(shè)備管理、工控拓?fù)錁?gòu)建、設(shè)備及鏈路性能狀態(tài)監(jiān)控,以及識(shí)別監(jiān)測各工控設(shè)備的能力;安全信息管理組塊提供了工控網(wǎng)中安全事件信息與漏洞信息的綜合管理功能,主要包括安全事件的集中管理和查詢、漏洞信息的集中管理、防護(hù)產(chǎn)品的安全信息管理及安全知識(shí)庫功能;工控威脅管理組塊綜合了設(shè)備鏈路的監(jiān)控以及各類安全信息,形成了面向威脅的展現(xiàn)和分析功能,主要提供了風(fēng)險(xiǎn)管理、工控業(yè)務(wù)健康度分析、關(guān)聯(lián)分析以及KPI威脅分析等功能;統(tǒng)一接口組塊綜合了對(duì)外的各種接口,主要提供了對(duì)企業(yè)集中監(jiān)控輸出的告警接口、第三方防護(hù)產(chǎn)品信息采集接口及國家層面監(jiān)控系統(tǒng)的探針管理與信息交換接口。
工控安全事件與報(bào)警管理系統(tǒng)由管理中心和采集器兩部分組成。管理中心主要是數(shù)據(jù)處理與展示層功能,同時(shí)內(nèi)置了事件采集、性能采集等采集器功能;采集器包括事件(日志)采集器、性能采集器及流量采集器。
2.3 資產(chǎn)發(fā)現(xiàn)
資產(chǎn)發(fā)現(xiàn)用于發(fā)現(xiàn)未在管理系統(tǒng)中的企業(yè)資產(chǎn)。通過系統(tǒng)用戶手動(dòng)、一鍵確認(rèn)和自動(dòng)確認(rèn),將識(shí)別到的資產(chǎn)加入企業(yè)新管控的資產(chǎn)。
2.4 資產(chǎn)監(jiān)控
2.4.1 健康度模型
健康度模型用來評(píng)價(jià)資產(chǎn)的健康狀態(tài),健康度分為健康、過載和失聯(lián),如圖1所示。健康狀態(tài)不言而喻,表示資產(chǎn)運(yùn)行狀態(tài)良好;過載狀態(tài)表示資產(chǎn)負(fù)載過高,系統(tǒng)持續(xù)運(yùn)行有潛在威脅;失聯(lián)代表資產(chǎn)處于不可達(dá)狀態(tài),已經(jīng)無法獲得資產(chǎn)的任何信息。
健康狀態(tài)的評(píng)估標(biāo)準(zhǔn)因不同類型的資產(chǎn)而不一樣,傳統(tǒng)IT與OT對(duì)于資產(chǎn)健康狀態(tài)的標(biāo)準(zhǔn)也不一樣。相對(duì)而言,傳統(tǒng)IT的資產(chǎn)健康狀態(tài)主要聚焦于CPU、內(nèi)存、磁盤空間和網(wǎng)絡(luò)等維度。一般的評(píng)估健康度的方法要么片面地依賴某一指標(biāo)或幾個(gè)指標(biāo),要么與現(xiàn)實(shí)認(rèn)識(shí)有差別。
圖1 資產(chǎn)健康度評(píng)估流程圖
本項(xiàng)目中的健康度模型綜合各種維度的評(píng)估項(xiàng),并經(jīng)過現(xiàn)實(shí)驗(yàn)證,具有一定現(xiàn)實(shí)參考意義,評(píng)估的資產(chǎn)健康度基本靠近實(shí)際認(rèn)知。
2.4.2 在線狀態(tài)模型
系統(tǒng)的在線狀態(tài)監(jiān)控有幾種通用實(shí)現(xiàn)模型:
(1)定期掃描或者探測;
(2)通過所接收的日志分析更新設(shè)備狀態(tài)。
以上兩種模型放置在工業(yè)環(huán)境中都有一定缺陷:定期掃描或者探測會(huì)消耗占用一段時(shí)間的網(wǎng)絡(luò)帶寬。
對(duì)于工業(yè)終端而言其較脆弱的協(xié)議棧以及處理能力,即使是簡單的ICMP或者SYN探測都有可能導(dǎo)致其故障引發(fā)事故。
而通過日志分析更新設(shè)備狀態(tài),這就是一種M*N級(jí)別的低效分析,導(dǎo)致性能整體下降。而直接通過探針攜帶資產(chǎn)狀態(tài)的方案,在一個(gè)資產(chǎn)被多個(gè)探針?biāo)芾頃r(shí)會(huì)出現(xiàn)狀態(tài)不一致的錯(cuò)亂,進(jìn)而導(dǎo)致一些異常分析。
本項(xiàng)目提出的是一種高低在線狀態(tài)保護(hù)期的模型。通過探針攜帶設(shè)備心跳,設(shè)備分為在線、離線、脫管三種資產(chǎn)狀態(tài),分別代表設(shè)備在線、設(shè)備離線、設(shè)備已屬無探針管理狀態(tài)。從前到后,狀態(tài)變遷優(yōu)先級(jí)遞減,而從后至前優(yōu)先級(jí)遞增,保證了在一定窗口保護(hù)期,有任何一個(gè)探針在管理這些資產(chǎn)時(shí)就能評(píng)估出更接近事實(shí)的狀態(tài)。
2.5 互聯(lián)監(jiān)控
系統(tǒng)可對(duì)資產(chǎn)互聯(lián)及區(qū)域互聯(lián)情況進(jìn)行監(jiān)控。
(1)資產(chǎn)互聯(lián)
資產(chǎn)互聯(lián)展示的是所監(jiān)控資產(chǎn)間的網(wǎng)絡(luò)互聯(lián)關(guān)系,并且可根據(jù)統(tǒng)計(jì)信息決策為黑名單(禁止)訪問或白名單(允許)訪問,如圖2所示。
圖2 資產(chǎn)互聯(lián)
(2)區(qū)域互聯(lián)
區(qū)域互聯(lián)展示的是所監(jiān)控邏輯區(qū)域間的網(wǎng)絡(luò)互聯(lián)關(guān)系,并且可根據(jù)統(tǒng)計(jì)信息決策為黑名單(禁止)訪問或白名單(允許)訪問,如圖3所示。
圖3 區(qū)域互聯(lián)
2.6 資產(chǎn)畫像
工控安全事件與報(bào)警管理系統(tǒng)可對(duì)資產(chǎn)進(jìn)行畫像。資產(chǎn)畫像力圖對(duì)所管控資產(chǎn)就資產(chǎn)的基礎(chǔ)屬性、運(yùn)行信息、日志信息和異常信息建立全面的知識(shí)庫,一目可了解資產(chǎn)的歷史和當(dāng)前信息狀態(tài)。
(1)合規(guī)監(jiān)控
依據(jù)工信部頒布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,以合規(guī)能力監(jiān)控為目標(biāo)系統(tǒng)逐項(xiàng)予以安全評(píng)估,并最終給予評(píng)分。參考防護(hù)指南評(píng)估引擎,數(shù)據(jù)來源于靜態(tài)防護(hù)指南日志以及動(dòng)態(tài)評(píng)估的防護(hù)指南相關(guān)日志予以評(píng)估后的數(shù)據(jù),如圖4所示。
圖4 合規(guī)監(jiān)控
(2)告警監(jiān)控
工控安全事件與報(bào)警管理系統(tǒng)可對(duì)告警進(jìn)行監(jiān)控,通過告警行為發(fā)現(xiàn)系統(tǒng)的異常。系統(tǒng)為避免重復(fù)告警導(dǎo)致待處理告警數(shù)目過多,對(duì)告警數(shù)據(jù)做了聚合,同時(shí)兼顧了時(shí)間要素,保證最新觸發(fā)的告警排序靠前。告警需進(jìn)行確認(rèn)后才會(huì)消失,如圖5所示。
圖5 告警監(jiān)控
(3)大屏監(jiān)控
大屏監(jiān)控以大屏監(jiān)控全網(wǎng)為視角,動(dòng)態(tài)體現(xiàn)全網(wǎng)、廠區(qū)、資產(chǎn)信息以及防護(hù)信息日志和告警日志,如圖6所示。
圖6 大屏監(jiān)控
2.7 工業(yè)探針管理
工控安全事件與報(bào)警管理系統(tǒng)可對(duì)主機(jī)探針、PLC探針、網(wǎng)絡(luò)探針、遠(yuǎn)程探針以及多源探針進(jìn)行管理。
(1)主機(jī)探針管理
主機(jī)探針管理提供了主機(jī)探針的主動(dòng)注冊(cè)(自動(dòng)發(fā)現(xiàn)探針)、軟件上傳及下載。
(2)PLC探針管理
發(fā)現(xiàn)探針),關(guān)聯(lián)或注冊(cè)所采集資產(chǎn)。PLC探針主要提供了PLC探針的主動(dòng)注冊(cè)(自動(dòng)
(3)網(wǎng)絡(luò)探針管理
網(wǎng)絡(luò)探針主要提供了網(wǎng)絡(luò)探針的主動(dòng)注冊(cè)(自動(dòng)發(fā)現(xiàn)探針)、資產(chǎn)間網(wǎng)絡(luò)互聯(lián)黑白名單管理、區(qū)域間網(wǎng)絡(luò)互聯(lián)黑白名單管理。
(4)遠(yuǎn)程探針管理
遠(yuǎn)程探針主要提供了遠(yuǎn)程探針的主動(dòng)注冊(cè)(自動(dòng)發(fā)現(xiàn)探針),關(guān)聯(lián)資產(chǎn)。
(5)多源探針管理
多源探針主要提供了多源探針的主動(dòng)注冊(cè)(自動(dòng)發(fā)現(xiàn)探針),以關(guān)聯(lián)資產(chǎn)。
2.8 工業(yè)日志聚合
(1)多源日志收集
工控安全事件與報(bào)警管理系統(tǒng)通過主機(jī)、PLC、網(wǎng)絡(luò)、遠(yuǎn)程以及多源探針進(jìn)行工控系統(tǒng)內(nèi)各類設(shè)備日志收集并進(jìn)行歸一化處理,供后續(xù)分析、處理、記錄。
(2)日志審計(jì)
工控安全事件與報(bào)警管理系統(tǒng)可對(duì)工控系統(tǒng)內(nèi)各類設(shè)備日志進(jìn)行審計(jì)。通過日志查詢系統(tǒng)可以查詢到資產(chǎn)名、資產(chǎn)IP、資產(chǎn)類型、事件時(shí)間、分類、等級(jí)、摘要等日志信息。
(3)日志管理
日志管理主要提供對(duì)存儲(chǔ)的審計(jì)日志導(dǎo)出、導(dǎo)入,設(shè)定磁盤空間閾值清理日志,定期自動(dòng)備份日志。
(4)日志異常分析
工控安全事件與報(bào)警管理系統(tǒng)可對(duì)日志異常進(jìn)行分析,包括潛在危害、異常行為等。
3 案例亮點(diǎn)及創(chuàng)新性
安全基礎(chǔ)設(shè)施建設(shè)完成后,進(jìn)入運(yùn)行維護(hù)階段。工控安全運(yùn)維工作可通過建設(shè)安全運(yùn)營管理平臺(tái)提高運(yùn)維團(tuán)隊(duì)運(yùn)行維護(hù)能力。
安全運(yùn)營管理平臺(tái)包括以下功能:工控設(shè)備管理、安全事件管理、日志管理、脆弱性管理等。
《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)