今日頭條
官方微信
官方抖音
資訊頻道1、 方案背景與目標
鋼鐵企業(yè)是典型的生產(chǎn)、資金、技術(shù)密集型企業(yè),其生產(chǎn)連續(xù)性強,生產(chǎn)系統(tǒng)耦合性高,加之近年我國眾多鋼鐵企業(yè)不斷推進智能化建設(shè),尤其是在工業(yè)控制系統(tǒng)方面大量投入,以實現(xiàn)企業(yè)的智能化升級轉(zhuǎn)型,其主要應用的工業(yè)控制系統(tǒng)主要是PCS、DCS、PLC、SCADA等,不僅越來越注重系統(tǒng)開放性設(shè)計,且多采用第三方集成,操作端PC化,這一改進大大降低了用戶的投資與維護成本,但與此同時,面臨的網(wǎng)絡(luò)風險也越來越嚴峻。如何有效地防范來自內(nèi)部或外部的攻擊,做好工控系統(tǒng)網(wǎng)絡(luò)安全的防護工作,確保生產(chǎn)系統(tǒng)的穩(wěn)定可靠,是鋼鐵行業(yè)工控系統(tǒng)信息安全亟待解決的問題。從應用案例經(jīng)驗總結(jié)來看,目前鋼鐵行業(yè)的工控系統(tǒng)管理缺失、防護手段落后、工業(yè)網(wǎng)絡(luò)病毒、設(shè)備漏洞和后門、持續(xù)性威脅APT、無線技術(shù)等問題是其重要關(guān)注點,這些問題一旦發(fā)生,將會導致重大經(jīng)濟損失,威脅人員安全,造成惡劣的社會影響。
本方案將以工信部發(fā)布的工業(yè)互聯(lián)網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)安全分類分級指南相關(guān)要求為基礎(chǔ),結(jié)合《工業(yè)互聯(lián)網(wǎng)安全框架》、《數(shù)據(jù)安全法》、《工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級管理試點方案》及《工業(yè)互聯(lián)網(wǎng)平臺安全總體(防護)要求》,分析工業(yè)互聯(lián)網(wǎng)鋼鐵類的實際安全需求,結(jié)合其業(yè)務的實際特性,建立符合系統(tǒng)實際安全需求的網(wǎng)絡(luò)安全保障體系框架,設(shè)計安全保障體系方案,綜合提升系統(tǒng)的安全保障能力和防護水平,確保系統(tǒng)的安全穩(wěn)定運行。
通過開展工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級安全防護工作,結(jié)合分類分級具體防護要求、工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護規(guī)范、聯(lián)網(wǎng)工業(yè)企業(yè)安全防護規(guī)范、等級保護2.0等相關(guān)政策標準,分析鋼鐵企業(yè)的實際安全需求,結(jié)合其業(yè)務的實際特性,建立符合系統(tǒng)實際安全需求的網(wǎng)絡(luò)安全保障體系框架,設(shè)計安全保障體系方案,綜合提升工業(yè)控制系統(tǒng)的安全保障能力和防護水平,確保系統(tǒng)的安全穩(wěn)定運行。
項目建設(shè)主要從工業(yè)設(shè)備安全防護、控制安全防護、網(wǎng)絡(luò)安全防護、數(shù)據(jù)安全防護、工業(yè)APP應用安全防護等角度進行安全防護設(shè)計和建設(shè);針對工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)流量和協(xié)議的安全審計層面進行數(shù)據(jù)安全防護,到達對工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級增強級(三級)安全防護,逐步實施,最終滿足工業(yè)聯(lián)網(wǎng)企業(yè)分類分級管理防護的相關(guān)要求。
2、 方案詳細介紹
建成一套基于人工智能的工業(yè)網(wǎng)絡(luò)安全防護系統(tǒng),其涉及的技術(shù)及產(chǎn)品是涉及多個不同安全技術(shù)領(lǐng)域的復雜工作。為保證最終目標的達成。
制定鞍山鋼鐵工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護建設(shè)規(guī)劃
鋼鐵行業(yè)工業(yè)控制網(wǎng)絡(luò)拓撲結(jié)構(gòu)復雜,受產(chǎn)品類型、廠商及工業(yè)流程等影響,企業(yè)內(nèi)部也會呈現(xiàn)類型各異的網(wǎng)絡(luò)接入方式和拓撲架構(gòu),對工業(yè)網(wǎng)絡(luò)的安全防護,需要能夠適應網(wǎng)絡(luò)層、應用層及內(nèi)容層與IT網(wǎng)絡(luò)的巨大差異,進行有針對性的識別與控制,并屏蔽工業(yè)網(wǎng)絡(luò)自身的差異性,實現(xiàn)一致的安全防護效果。
網(wǎng)絡(luò)安全防護從防護對象、防護措施及防護管理三個視角構(gòu)建,形成網(wǎng)絡(luò)安全防護框架。針對不同的防護對象部署相應的安全防護措施,根據(jù)實時監(jiān)測結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)中存在的或即將發(fā)生的安全問題并及時做出響應。同時加強防護管理,明確基于安全目標持續(xù)改進的管理方針,保障工業(yè)互聯(lián)網(wǎng)的持續(xù)安全。安全框架如圖所示:
其中,防護對象視角涵蓋設(shè)備、控制、網(wǎng)絡(luò)、應用和數(shù)據(jù)五大安全重點;防護措施視角包括威脅防護、監(jiān)測感知和處置恢復三大環(huán)節(jié),威脅防護環(huán)節(jié)針對五大防護對象部署主被動安全防護措施,監(jiān)測感知和處置恢復環(huán)節(jié)通過信息共享、監(jiān)測預警、應急響應等一系列安全措施、機制的部署增強動態(tài)安全防護能力;防護管理視角根據(jù)工業(yè)互聯(lián)網(wǎng)安全目標對其面臨的安全風險進行安全評估,并選擇適當?shù)陌踩呗宰鳛橹笇В瑢崿F(xiàn)防護措施的有效部署。
網(wǎng)絡(luò)安全防護安全框架的三個防護視角之間相對獨立,但彼此之間又相互關(guān)聯(lián)。從防護對象視角來看,安全框架中的每個防護對象,都需要采用一組合理的防護措施并配備完備的防護管理流程對其進行安全防護;從防護措施視角來看,每一類防護措施都有其適用的防護對象,并在具體防護管理流程指導下發(fā)揮作用;從防護管理視角來看,防護管理流程的實現(xiàn)離不開對防護對象的界定,并需要各類防護措施的有機結(jié)合使其能夠順利運轉(zhuǎn)。工業(yè)互聯(lián)網(wǎng)安全框架的三個防護視角相輔相成、互為補充,形成一個完整、動態(tài)、持續(xù)的防護體系。
為幫助相關(guān)企業(yè)應對工業(yè)互聯(lián)網(wǎng)所面臨的各種挑戰(zhàn),防護措施視角從生命周期、防御遞進角度明確安全措施,實現(xiàn)動態(tài)、高效的防御和響應。防護措施視角主要包括威脅防護、監(jiān)測感知和處置恢復三大環(huán)節(jié):
威脅防護:針對五大防護對象,部署主被動防護措施,阻止外部入侵,構(gòu)建安全運行環(huán)境,消減潛在安全風險。
監(jiān)測感知:部署相應的監(jiān)測措施,實時感知內(nèi)部、外部的安全風險。
處置恢復:建立響應恢復機制,及時應對安全威脅,并及時優(yōu)化防護措施,形成閉環(huán)防御。
建設(shè)基于人工智能技術(shù)的網(wǎng)絡(luò)安全綜合防御平臺
鋼鐵企業(yè)工業(yè)網(wǎng)絡(luò)安全邊界劃分不明確,并允許從其他安全分區(qū)(如辦公內(nèi)網(wǎng))甚至可能允許與Internet連接的設(shè)備進行訪問。當一個安全區(qū)域內(nèi)的網(wǎng)絡(luò)受到攻擊和入侵時,會迅速向其他區(qū)域橫向擴散,造成大規(guī)模嚴重性安全事件。為此,嚴格劃分網(wǎng)絡(luò)區(qū)域,并在邊界處部署防護系統(tǒng)是安全建設(shè)的基礎(chǔ)。
建設(shè)工業(yè)網(wǎng)絡(luò)安全防護系統(tǒng),工業(yè)控制系統(tǒng)安全防護系統(tǒng)主要針對工業(yè)控制設(shè)備的安全防護。在PLC等控制設(shè)備本身難以快速實現(xiàn)安全能力集成的情況下,通過在接入網(wǎng)絡(luò)層的增加工業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)實現(xiàn)防攻擊、防病毒、防入侵、防竊密、防控制能力。
建設(shè)工業(yè)主機安全防護系統(tǒng),加強工業(yè)APP的安全防護,工業(yè)主機是工控網(wǎng)絡(luò)中較為脆弱的節(jié)點,自身漏洞較多,操作版本老舊往往已經(jīng)失去了補丁支持;工業(yè)APP軟件多數(shù)是定制開發(fā)的,軟件開發(fā)程序不規(guī)范,具有較多的漏洞和安全風險;操作系統(tǒng)和工業(yè)APP軟件由人操作帶來惡意操作和誤操作的可能性增加,且性能、更新和兼容性問題導致一般的防病毒機制難以生效。多方面的隱患下,工業(yè)主機的極高權(quán)限造成一旦攻擊突破單臺設(shè)備即可對工控網(wǎng)絡(luò)造成嚴重的破壞,對其的防護必須根據(jù)工業(yè)主機自身的特點,進行特殊的功能集合設(shè)計,通過較低的系統(tǒng)開銷,實現(xiàn)對攻擊行為的有效控制。
建設(shè)工業(yè)數(shù)據(jù)保護系統(tǒng),工業(yè)應用與數(shù)據(jù)的保護,其重點在于對主客體的細粒度控制和攻擊洞察,確保被授權(quán)人在授權(quán)的訪問內(nèi)妥善的執(zhí)行業(yè)務并操作數(shù)據(jù),同時識別并阻斷其中的攻擊行為,實現(xiàn)對工業(yè)應用及數(shù)據(jù)的保護。
建設(shè)基于人工智能技術(shù)的威脅檢測與安全防護系統(tǒng)
建設(shè)一套完整的“事前有防范、事中有應對、事后有追溯”的主動防御的網(wǎng)絡(luò)安全技術(shù)體系,實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)快速預警,協(xié)調(diào)全網(wǎng)安全設(shè)備和網(wǎng)絡(luò)設(shè)備實現(xiàn)持續(xù)防護和快速處置。傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)往往停留在被動防御狀態(tài),導致網(wǎng)絡(luò)安全運維人員無法看清全網(wǎng)網(wǎng)絡(luò)安全狀態(tài),無法回答“當前網(wǎng)絡(luò)有沒有網(wǎng)絡(luò)安全問題,問題的來源在哪里,會不會擴散”等網(wǎng)絡(luò)安全治理的本質(zhì)問題,即使建設(shè)了等級保護的技術(shù)體系,也無法對未知威脅和高級威脅進行識別和防護,無法抵御高級持續(xù)性威脅APT攻擊。通過挖掘海量數(shù)據(jù)關(guān)聯(lián)關(guān)系,自動發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)數(shù)據(jù)資產(chǎn),建立數(shù)據(jù)資產(chǎn)臺賬,構(gòu)建清晰的資產(chǎn)互訪拓撲,并評估資產(chǎn)風險狀況;通過采集各類日志數(shù)據(jù)、原始流量及元數(shù)據(jù)(netflow),識別出網(wǎng)絡(luò)內(nèi)資產(chǎn)的源IP地址和目標IP地址、URL數(shù)據(jù)和SQL語句數(shù)據(jù)以及特定的數(shù)據(jù),結(jié)合IP地址識別并過濾出應用服務器和數(shù)據(jù)庫服務器,利用SQL解析識別出數(shù)據(jù)表、字段及表間關(guān)系,利用URL解析識別出目標頁面,使業(yè)務系統(tǒng)中的頁面對應的功能、頁面訪問數(shù)據(jù)的邏輯,以及數(shù)據(jù)的組成達到全面掌握,解決數(shù)據(jù)血緣關(guān)系自動識別的工作,從而為數(shù)據(jù)安全提供保障;針對每個攻擊事件,采用攻擊鏈聚合對每個攻擊階段進行回溯分析,并留存攻擊取證報文,通過豐富的可視化技術(shù)進行多維呈現(xiàn)。
建設(shè)基于人工智能技術(shù)的安全態(tài)勢監(jiān)測與風險評估系統(tǒng),實時監(jiān)測安全風險
基于人工智能技術(shù)的安全態(tài)勢監(jiān)測與風險評估系統(tǒng)作為構(gòu)建一體化動態(tài)綜合防御體系的基石,是安全綜合防護系統(tǒng)面向安全和系統(tǒng)管理人員進行統(tǒng)一的管理、整體趨勢查看、安全事件追溯的綜合辦事中心,應以安全態(tài)勢感知為基礎(chǔ),對日常安全防護中需要的用戶身份、策略調(diào)試、遠程運維及資產(chǎn)與漏洞狀態(tài)等進行統(tǒng)一的運維管控,并將重要信息報送至安全態(tài)勢感知平臺,同時通過態(tài)勢感知系統(tǒng)的智能分析與建議功能,全面提高安全防護的水平。
3、 代表性及推廣價值
(1)實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢從未知到已知
通過建立生產(chǎn)控制系統(tǒng)信息安全監(jiān)管與預警系統(tǒng),摸清家底,感知網(wǎng)絡(luò)中的資產(chǎn)信息,實現(xiàn)網(wǎng)絡(luò)資產(chǎn)可視化。通過摸清家底,了解網(wǎng)絡(luò)中存在哪些設(shè)備、對應的責任人是誰、使用什么操作系統(tǒng)、安裝了哪些軟件和應用,分別是什么組件、什么版本,分別存在哪些漏洞、已經(jīng)修補了哪些補丁等等,真正做到底數(shù)清、情況明確。
(2)實現(xiàn)網(wǎng)絡(luò)安全防御從被動到主動
通過建立生產(chǎn)控制系統(tǒng)監(jiān)管預警系統(tǒng),利用安全大數(shù)據(jù)、態(tài)勢感知、攻擊鏈模型和算法,結(jié)合最新的全球網(wǎng)絡(luò)安全威脅情報,持續(xù)監(jiān)測,準確及時地發(fā)現(xiàn)各種潛在威脅和攻擊,并進行通報預警,提前感知攻擊者的下一步攻擊計劃,采取有效處置措施,構(gòu)建彈性防御體系,以期最大限度上避免、轉(zhuǎn)移、降低信息系統(tǒng)所面臨的風險。
(3)實現(xiàn)從單一設(shè)備防護到協(xié)同聯(lián)動
通過建立生產(chǎn)控制系統(tǒng)監(jiān)管與預警系統(tǒng),作為聯(lián)動樞紐,實現(xiàn)網(wǎng)絡(luò)中所有安全設(shè)備的數(shù)據(jù)匯總分析、數(shù)據(jù)共享及策略協(xié)同,打通終端、邊界協(xié)同聯(lián)動,有機整合各種網(wǎng)絡(luò)安全技術(shù),達到“智能檢測”、“智能上報”、“智能響應”,建立一個以威脅情報為驅(qū)動,終端安全、邊界安全、大數(shù)據(jù)分析等多層次、縱深智能協(xié)同的安全防御體系,有效提升整體網(wǎng)絡(luò)防護能力。
(4)實現(xiàn)網(wǎng)絡(luò)安全縱深防御防護體系
通過工控系統(tǒng)安全防護要求,對生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全進行整改防護;在強化邊界防護的基礎(chǔ)上,加強內(nèi)部的物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應用安全、數(shù)據(jù)安全防護以及安全運維管控,構(gòu)建縱深防線,實現(xiàn)智能制造企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護。
3.1 技術(shù)示范效應:
本技術(shù)方案適合于當前工控系統(tǒng)信息安全的形勢和政策要求,可提升工業(yè)企業(yè)網(wǎng)絡(luò)安全監(jiān)測和態(tài)勢感知能力,實現(xiàn)網(wǎng)絡(luò)安全事件和風險的監(jiān)測、分析、審計、追蹤溯源和風險可視化;增強工業(yè)企業(yè)網(wǎng)絡(luò)安全情報共享和預警通報能力,實現(xiàn)跨部門之間信息共享和預警通報的通道,做到信息共享和預警通報及時、客觀、準確、完整;提升工業(yè)企業(yè)網(wǎng)絡(luò)安全事件與報警管理能力、全防護能力評估能力、工控安全威脅感知能力。
3.2 商業(yè)價值:
隨著工業(yè)企業(yè)信息系統(tǒng)規(guī)模不斷擴大、需求不斷更新、自動化程度不斷提高,這些工業(yè)信息系統(tǒng),在給社會和公眾創(chuàng)造效益的同時,它們本身的脆弱性,也給工業(yè)企業(yè)的發(fā)展、國家經(jīng)濟建設(shè)、甚至國家安全帶來嚴重的負面影響,隨著工業(yè)信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟效益越來越密切,工業(yè)安全問題將直接影響到工業(yè)企業(yè)的企業(yè)經(jīng)營和形象。本技術(shù)方案的實施,能減少上工業(yè)企業(yè)因為工業(yè)安全問題造成的經(jīng)濟損失,間接帶來經(jīng)濟效益。
若按照近年各行業(yè)事故數(shù)量和經(jīng)濟損失統(tǒng)計估算,本技術(shù)方案推廣應用可以減少30%的事故,提升了社會的安全穩(wěn)定,可以減輕企業(yè)上億元的經(jīng)濟損失,保障了人民生活質(zhì)量;同時有助于各個應用單位保持安全生產(chǎn)的領(lǐng)先地位和夯實創(chuàng)新發(fā)展的基礎(chǔ)。
3.3 社會價值:
工業(yè)企業(yè)工業(yè)控制系統(tǒng)核心技術(shù)和產(chǎn)品自主可控水平低,高端產(chǎn)品基本被國外壟斷,通過常規(guī)防御手段無法完全消除國外產(chǎn)品的后門、漏洞和缺陷,急需我國自主知識產(chǎn)權(quán)的工業(yè)網(wǎng)絡(luò)安全防護產(chǎn)品問世及規(guī)模應用。通過本方案網(wǎng)絡(luò)安全技術(shù)的應用,會加快網(wǎng)絡(luò)安全核心技術(shù)和產(chǎn)品的自主研發(fā)可控及國產(chǎn)化水平。通過產(chǎn)品應用和配合,相關(guān)標準的推廣,大大提高了我國網(wǎng)絡(luò)安全核心技術(shù)和產(chǎn)品的國產(chǎn)化水平,形成針對工業(yè)企業(yè)的典型的產(chǎn)品應用和深度的行業(yè)融合,形成新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全),發(fā)揮先行先試和示范帶動作用。
北京市公安局海淀分局備案號:11010802023656號