今日頭條
官方微信
官方抖音
資訊頻道1、方案背景與目標
貴州習酒積極推進白酒傳統生產方式機械化升級,從制曲過程、酒醅發酵、勾兌過程、包裝和物流五個領域開展信息化、數字化轉型,對生產、包裝、運輸、銷售過程進行全方位監測,大大保證白酒質量,有效提高貴州習酒產品競爭力和市場信譽度。伴隨貴州習酒數字化轉型的實施,只能制造中的信息安全問題顯得越來越突出,一旦網絡被攻陷,一方面會破壞設備,泄露企業的技術信息,損壞企業形象,另一方面會對國家和社會造成嚴重不良影響。故針對貴州習酒工控網絡開展了基于實戰化的網絡安全防護體系建設。
2、方案詳細介紹
本方案構建貴州習酒工控網絡“垂直分層,水平分區。邊界控制,內部監測”的工控安全技術防護體系,實現各操作站、工業控制系統連接處、無線網絡等要進行邊界防護和準入控制等。對工業控制系統內部要監測網絡流量數據以發現入侵、業務異常、訪問關系異常和流量異常等問題,構建工控網絡實戰化主動防御體系,提升工控網絡未知威脅檢測能力,實現從被動防御變為主動防御,全面提高工控網絡威脅防御能力,全面快速消除工控網絡威脅,實現從單點防御到全工控網協防,主要建設內容如下:
邊界隔離:在各邊界之間部署工業防火墻,通過工業協議深度解析,結合自學習白名單安全防護策略,實現細粒度的邊界訪問控制和安全隔離,通過最小化規則盡可能規避來自外部系統的非法/違規數據訪問。
高級威脅監測:通過在核心交換機上旁路部署高級威脅檢測系統,對網絡流量進行實時分析,通過利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術對惡意樣本、惡意流量、行為異常等威脅進行重點識別,彌補生產網自身業務系統脆弱的不足,發現高危漏洞主機,發現潛伏的惡意文件和惡意流量通訊行為,識別惡意文件的擴散,保護生產網安全。
主機防護:對工控網絡內的主機進行安全防護,主要是針對域內的主機,建議部署工業主機安全衛士,通過主機應用程序白名單機制,阻止非工作程序在主機上的操作運行,阻斷由于操作系統漏洞、應用軟件漏洞而引起的惡意攻擊,同時通過安全U盤實現移動安全數據存儲。
網絡實時監測與審計:在生產網旁路部署工業安全審計,建立業務通信模型實現對工控指令攻擊、控制參數篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監測和告警,同時對網絡中的攻擊行為、網絡會話、數據流量、重要操作等進行審計,實現安全事件的日志回溯和取證;在服務器區旁路部署數據庫審計,對數據庫的操作行為進行審計。
統一安全管理:建立安全監管平臺,對工控網絡中的相關防護產品進行統一的管理及運維,對整網防護設備進行策略配置下發、對各設備進行集中化策略配置下發、存儲、備份、查詢、審計、告警、響應,并出具豐富的報表和報告,實時掌握工業控制網絡情況,獲悉工業控制網絡整體的安全狀態,實現全生命周期的日志管理。
方案建設成效:
(1)工業網絡和管理網絡隔離
通過管理網和生產網隔離確保生產網不會引入來自管理網風險,保證生產網邊界安全;在各車間內部工控系統進行一定手段的監測、防護,保證車間內部安全;最后對整個工控系統進行統一安全呈現,將各個防護點組成一個全面的防護體系,保障其整個工業控制系統安全穩定運行。
(2)車間內部監測防護
在操作員站、工程師站、HMI等各類操作站部署操作站安全系統對主機的進程、軟件、流量、U盤的使用等進行監控,防范主機非法訪問網絡其它節點;
部署工控異常監測系統,監測工控網絡的相關業務異常和入侵行為,通過工控網絡中的流量關系圖形化展示梳理發現網絡中的故障,出現異常及時報警;
(3)實戰化未知威脅檢測
本方案監測體系中除了具備常規的入侵檢測功能外,還可以從網絡流量中還原出文件并通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅;通過基因圖譜檢測技術檢測惡意代碼變種; 還可以通過沙箱行為檢測技術發現未知威脅;對抽取的網絡流量元數據,進行情報檢測、異常檢測、流量基因檢測;最后將所有安全威脅進行關聯分析,實現對檢測及防御APT攻擊及工控網絡未知威脅;
(4)建立工控網絡安全可視化統一管理中心
將工控網中全要素數據進行收集整合,實現全局的網絡安全動態分析和監測,提升網絡安全的感知能力;對大量的安全設備統一管理減少運維難度,并且排除環境中的安全設備分散問題,避免形成安全孤島;對大量日志進行建模分析,清洗、過濾、整合,實現對風險趨勢的預測,將工控網絡的態勢狀況通過可視化圖形方式進行展示,生成多視圖、多角度、多尺度的工控網絡安全綜合態勢全景圖。
3、代表性及推廣價值
通過本次工業控制系統網絡安全防護項目,積累實踐經驗,以網絡安全法律規范政策標準為基點,吸收國際先進的理念、模型和技術,面向場景和實戰需求,系統化規劃和建設,采用新理念、新方法、新架構、新策略,構建新一代的工控網絡安全防護體系,并積極布局輕量級工業信任體系,為習酒持續的工控網絡安全防御體系演進提供了空間。
通過本項目,實現了安全服務和安全產品部署同步,提供了有效的工控網絡安全防御體系,為數字化轉型提供網絡安全保障;通過本項目實踐,形成可橫向推廣經驗,也是工業環境先進網絡安全防護的場景化實踐。本項目為習酒工控網絡安全和數字化轉型提供保障,同時符合工控等保、關基保護合規需求,是滿足合規和實戰化防御雙需求的一次積極實踐。
本項目方案既可作為整套解決方案,亦可根據需求滿足工業互聯網網絡安全工作要求,還可定制化網絡安全服務滿足相關管理需求。落地實現各行業工控網絡安全建設工作,示范效應顯著,具有廣闊的市場前景,對于工業互聯網自身以及帶動生產行業的健康發展具有非常積極的意義。
北京市公安局海淀分局備案號:11010802023656號