今日頭條
官方微信
官方抖音
資訊頻道1、 方案背景與目標
鋼鐵企業是典型的生產、資金、技術密集型企業,其生產連續性強,生產系統耦合性高,加之近年我國眾多鋼鐵企業不斷推進智能化建設,尤其是在工業控制系統方面大量投入,以實現企業的智能化升級轉型,其主要應用的工業控制系統主要是PCS、DCS、PLC、SCADA等,不僅越來越注重系統開放性設計,且多采用第三方集成,操作端PC化,這一改進大大降低了用戶的投資與維護成本,但與此同時,面臨的網絡風險也越來越嚴峻。如何有效地防范來自內部或外部的攻擊,做好工控系統網絡安全的防護工作,確保生產系統的穩定可靠,是鋼鐵行業工控系統信息安全亟待解決的問題。從應用案例經驗總結來看,目前鋼鐵行業的工控系統管理缺失、防護手段落后、工業網絡病毒、設備漏洞和后門、持續性威脅APT、無線技術等問題是其重要關注點,這些問題一旦發生,將會導致重大經濟損失,威脅人員安全,造成惡劣的社會影響。
本方案將以工信部發布的工業互聯網絡企業網絡安全分類分級指南相關要求為基礎,結合《工業互聯網安全框架》、《數據安全法》、《工業互聯網企業分類分級管理試點方案》及《工業互聯網平臺安全總體(防護)要求》,分析工業互聯網鋼鐵類的實際安全需求,結合其業務的實際特性,建立符合系統實際安全需求的網絡安全保障體系框架,設計安全保障體系方案,綜合提升系統的安全保障能力和防護水平,確保系統的安全穩定運行。
通過開展工業互聯網企業分類分級安全防護工作,結合分類分級具體防護要求、工業互聯網企業數據安全防護規范、聯網工業企業安全防護規范、等級保護2.0等相關政策標準,分析鋼鐵企業的實際安全需求,結合其業務的實際特性,建立符合系統實際安全需求的網絡安全保障體系框架,設計安全保障體系方案,綜合提升工業控制系統的安全保障能力和防護水平,確保系統的安全穩定運行。
項目建設主要從工業設備安全防護、控制安全防護、網絡安全防護、數據安全防護、工業APP應用安全防護等角度進行安全防護設計和建設;針對工控系統內部網絡流量和協議的安全審計層面進行數據安全防護,到達對工業互聯網企業分類分級增強級(三級)安全防護,逐步實施,最終滿足工業聯網企業分類分級管理防護的相關要求。
2、 方案詳細介紹
建成一套基于人工智能的工業網絡安全防護系統,其涉及的技術及產品是涉及多個不同安全技術領域的復雜工作。為保證最終目標的達成。
制定鞍山鋼鐵工業控制系統網絡安全防護建設規劃
鋼鐵行業工業控制網絡拓撲結構復雜,受產品類型、廠商及工業流程等影響,企業內部也會呈現類型各異的網絡接入方式和拓撲架構,對工業網絡的安全防護,需要能夠適應網絡層、應用層及內容層與IT網絡的巨大差異,進行有針對性的識別與控制,并屏蔽工業網絡自身的差異性,實現一致的安全防護效果。
網絡安全防護從防護對象、防護措施及防護管理三個視角構建,形成網絡安全防護框架。針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應。同時加強防護管理,明確基于安全目標持續改進的管理方針,保障工業互聯網的持續安全。安全框架如圖所示:
其中,防護對象視角涵蓋設備、控制、網絡、應用和數據五大安全重點;防護措施視角包括威脅防護、監測感知和處置恢復三大環節,威脅防護環節針對五大防護對象部署主被動安全防護措施,監測感知和處置恢復環節通過信息共享、監測預警、應急響應等一系列安全措施、機制的部署增強動態安全防護能力;防護管理視角根據工業互聯網安全目標對其面臨的安全風險進行安全評估,并選擇適當的安全策略作為指導,實現防護措施的有效部署。
網絡安全防護安全框架的三個防護視角之間相對獨立,但彼此之間又相互關聯。從防護對象視角來看,安全框架中的每個防護對象,都需要采用一組合理的防護措施并配備完備的防護管理流程對其進行安全防護;從防護措施視角來看,每一類防護措施都有其適用的防護對象,并在具體防護管理流程指導下發揮作用;從防護管理視角來看,防護管理流程的實現離不開對防護對象的界定,并需要各類防護措施的有機結合使其能夠順利運轉。工業互聯網安全框架的三個防護視角相輔相成、互為補充,形成一個完整、動態、持續的防護體系。
為幫助相關企業應對工業互聯網所面臨的各種挑戰,防護措施視角從生命周期、防御遞進角度明確安全措施,實現動態、高效的防御和響應。防護措施視角主要包括威脅防護、監測感知和處置恢復三大環節:
威脅防護:針對五大防護對象,部署主被動防護措施,阻止外部入侵,構建安全運行環境,消減潛在安全風險。
監測感知:部署相應的監測措施,實時感知內部、外部的安全風險。
處置恢復:建立響應恢復機制,及時應對安全威脅,并及時優化防護措施,形成閉環防御。
建設基于人工智能技術的網絡安全綜合防御平臺
鋼鐵企業工業網絡安全邊界劃分不明確,并允許從其他安全分區(如辦公內網)甚至可能允許與Internet連接的設備進行訪問。當一個安全區域內的網絡受到攻擊和入侵時,會迅速向其他區域橫向擴散,造成大規模嚴重性安全事件。為此,嚴格劃分網絡區域,并在邊界處部署防護系統是安全建設的基礎。
建設工業網絡安全防護系統,工業控制系統安全防護系統主要針對工業控制設備的安全防護。在PLC等控制設備本身難以快速實現安全能力集成的情況下,通過在接入網絡層的增加工業網絡安全防護系統實現防攻擊、防病毒、防入侵、防竊密、防控制能力。
建設工業主機安全防護系統,加強工業APP的安全防護,工業主機是工控網絡中較為脆弱的節點,自身漏洞較多,操作版本老舊往往已經失去了補丁支持;工業APP軟件多數是定制開發的,軟件開發程序不規范,具有較多的漏洞和安全風險;操作系統和工業APP軟件由人操作帶來惡意操作和誤操作的可能性增加,且性能、更新和兼容性問題導致一般的防病毒機制難以生效。多方面的隱患下,工業主機的極高權限造成一旦攻擊突破單臺設備即可對工控網絡造成嚴重的破壞,對其的防護必須根據工業主機自身的特點,進行特殊的功能集合設計,通過較低的系統開銷,實現對攻擊行為的有效控制。
建設工業數據保護系統,工業應用與數據的保護,其重點在于對主客體的細粒度控制和攻擊洞察,確保被授權人在授權的訪問內妥善的執行業務并操作數據,同時識別并阻斷其中的攻擊行為,實現對工業應用及數據的保護。
建設基于人工智能技術的威脅檢測與安全防護系統
建設一套完整的“事前有防范、事中有應對、事后有追溯”的主動防御的網絡安全技術體系,實現全網的網絡安全狀態快速預警,協調全網安全設備和網絡設備實現持續防護和快速處置。傳統的網絡安全建設往往停留在被動防御狀態,導致網絡安全運維人員無法看清全網網絡安全狀態,無法回答“當前網絡有沒有網絡安全問題,問題的來源在哪里,會不會擴散”等網絡安全治理的本質問題,即使建設了等級保護的技術體系,也無法對未知威脅和高級威脅進行識別和防護,無法抵御高級持續性威脅APT攻擊。通過挖掘海量數據關聯關系,自動發現企業內網數據資產,建立數據資產臺賬,構建清晰的資產互訪拓撲,并評估資產風險狀況;通過采集各類日志數據、原始流量及元數據(netflow),識別出網絡內資產的源IP地址和目標IP地址、URL數據和SQL語句數據以及特定的數據,結合IP地址識別并過濾出應用服務器和數據庫服務器,利用SQL解析識別出數據表、字段及表間關系,利用URL解析識別出目標頁面,使業務系統中的頁面對應的功能、頁面訪問數據的邏輯,以及數據的組成達到全面掌握,解決數據血緣關系自動識別的工作,從而為數據安全提供保障;針對每個攻擊事件,采用攻擊鏈聚合對每個攻擊階段進行回溯分析,并留存攻擊取證報文,通過豐富的可視化技術進行多維呈現。
建設基于人工智能技術的安全態勢監測與風險評估系統,實時監測安全風險
基于人工智能技術的安全態勢監測與風險評估系統作為構建一體化動態綜合防御體系的基石,是安全綜合防護系統面向安全和系統管理人員進行統一的管理、整體趨勢查看、安全事件追溯的綜合辦事中心,應以安全態勢感知為基礎,對日常安全防護中需要的用戶身份、策略調試、遠程運維及資產與漏洞狀態等進行統一的運維管控,并將重要信息報送至安全態勢感知平臺,同時通過態勢感知系統的智能分析與建議功能,全面提高安全防護的水平。
3、 代表性及推廣價值
(1)實現網絡安全態勢從未知到已知
通過建立生產控制系統信息安全監管與預警系統,摸清家底,感知網絡中的資產信息,實現網絡資產可視化。通過摸清家底,了解網絡中存在哪些設備、對應的責任人是誰、使用什么操作系統、安裝了哪些軟件和應用,分別是什么組件、什么版本,分別存在哪些漏洞、已經修補了哪些補丁等等,真正做到底數清、情況明確。
(2)實現網絡安全防御從被動到主動
通過建立生產控制系統監管預警系統,利用安全大數據、態勢感知、攻擊鏈模型和算法,結合最新的全球網絡安全威脅情報,持續監測,準確及時地發現各種潛在威脅和攻擊,并進行通報預警,提前感知攻擊者的下一步攻擊計劃,采取有效處置措施,構建彈性防御體系,以期最大限度上避免、轉移、降低信息系統所面臨的風險。
(3)實現從單一設備防護到協同聯動
通過建立生產控制系統監管與預警系統,作為聯動樞紐,實現網絡中所有安全設備的數據匯總分析、數據共享及策略協同,打通終端、邊界協同聯動,有機整合各種網絡安全技術,達到“智能檢測”、“智能上報”、“智能響應”,建立一個以威脅情報為驅動,終端安全、邊界安全、大數據分析等多層次、縱深智能協同的安全防御體系,有效提升整體網絡防護能力。
(4)實現網絡安全縱深防御防護體系
通過工控系統安全防護要求,對生產控制系統網絡安全進行整改防護;在強化邊界防護的基礎上,加強內部的物理安全、網絡安全、操作系統安全、應用安全、數據安全防護以及安全運維管控,構建縱深防線,實現智能制造企業生產控制系統網絡安全的縱深防御、綜合防護。
3.1 技術示范效應:
本技術方案適合于當前工控系統信息安全的形勢和政策要求,可提升工業企業網絡安全監測和態勢感知能力,實現網絡安全事件和風險的監測、分析、審計、追蹤溯源和風險可視化;增強工業企業網絡安全情報共享和預警通報能力,實現跨部門之間信息共享和預警通報的通道,做到信息共享和預警通報及時、客觀、準確、完整;提升工業企業網絡安全事件與報警管理能力、全防護能力評估能力、工控安全威脅感知能力。
3.2 商業價值:
隨著工業企業信息系統規模不斷擴大、需求不斷更新、自動化程度不斷提高,這些工業信息系統,在給社會和公眾創造效益的同時,它們本身的脆弱性,也給工業企業的發展、國家經濟建設、甚至國家安全帶來嚴重的負面影響,隨著工業信息系統安全狀況與企業經濟效益越來越密切,工業安全問題將直接影響到工業企業的企業經營和形象。本技術方案的實施,能減少上工業企業因為工業安全問題造成的經濟損失,間接帶來經濟效益。
若按照近年各行業事故數量和經濟損失統計估算,本技術方案推廣應用可以減少30%的事故,提升了社會的安全穩定,可以減輕企業上億元的經濟損失,保障了人民生活質量;同時有助于各個應用單位保持安全生產的領先地位和夯實創新發展的基礎。
3.3 社會價值:
工業企業工業控制系統核心技術和產品自主可控水平低,高端產品基本被國外壟斷,通過常規防御手段無法完全消除國外產品的后門、漏洞和缺陷,急需我國自主知識產權的工業網絡安全防護產品問世及規模應用。通過本方案網絡安全技術的應用,會加快網絡安全核心技術和產品的自主研發可控及國產化水平。通過產品應用和配合,相關標準的推廣,大大提高了我國網絡安全核心技術和產品的國產化水平,形成針對工業企業的典型的產品應用和深度的行業融合,形成新型工業化產業示范基地(工業信息安全),發揮先行先試和示范帶動作用。
北京市公安局海淀分局備案號:11010802023656號