今日頭條
官方微信
官方抖音
資訊頻道1、背景介紹
新型工業化在信息技術和其他高新技術的驅動下,通過改變生產方式、組織形式和經營模式,使各行業進程朝向更高效、清潔、低碳、智能化的方向延伸。鋼管行業在新型工業化的推進下,積極采用大數據、互聯網、自動檢測技術和識別技術等先進技術,大力建設鋼管行業創新基礎設施,夯實數字底座,以數字化賦能綠色化、高質化、強鏈化發展,打造新質生產力,從而為鋼管行業數字化轉型和高質量發展注入新的活力。隨著工業控制系統的數字化和網絡化程度提高,OT、IT的逐步融合,使得鋼管行業生產過程更加自動化和智能化,但同時也使安全風險更加復雜,攻擊點增多、攻擊面擴大,增加了網絡攻擊的風險。大量數據交互過程中的數據泄露風險也隨之增加,不僅涉及企業商業機密,還可能影響到整個產業鏈的穩定。
某鋼管制造企業的工業控制系統由多個生產工藝流程混合而成,包括煉鐵、煉鋼、軋管等生產制造環節。其生產網絡架構極為復雜,不僅多種通信方式并存,而且控制系統品牌繁多,新老系統交織在一起。這種復雜的系統架構和多元化的技術集成導致潛在的網絡安全漏洞層出不窮,使得系統容易受到黑客的攻擊和利用,生產網絡所面臨的網絡安全威脅也日趨多元化和多發性。
因此,為能夠有效應對和管理新型工業化下工業場景所面臨的安全風險,必須深化網絡安全與數字化建設的協同運營,實現兩者緊密結合,確保該鋼管制造企業生產網絡穩定可靠運行,保障生產業務的連續性和安全性。
2、目標與原則
2.1項目目標
n 提升企業安全運維能力,降低安全管理難度
目前該鋼管制造企業生產環境較為分散且網絡規模較大,在生產網絡中部署的安全防護設備數量也較多,存在安全策略更新不及時、安全管理分散及管理成本高等瓶頸。因此,需要采取技術手段對安全設備進行集中管控,降低管理難度及人工成本。
通過借助集中管理平臺,統一監控工業安全設備,對網絡配置、系統服務、安全策略、升級策略和配置備份等進行配置,方便快捷的實現對大規模安全設備管理。同時免去逐一配置策略的繁瑣操作,提升安全運維能力,降低安全管理過程中的管理難度及成本。
n 提升安全監測預警能力,快速處置安全事件
當前生產網絡安全形勢日益嚴峻,安全風險呈現多元化特征,安全隱患發現難度更高,出現安全告警時無法第一時間感知。因此,網絡安全監測手段需同步進行補充與提升。
通過借助安全態勢感知平臺,綜合異構數據采集、協議深度解析、用戶畫像、大數據分析、AI等技術,采用威脅情報及安全事件關聯分析的機制,實時感知系統和設備的運行狀況、風險隱患等信息,及時對潛在的網絡安全威脅和風險進行預警。在出現安全威脅時,通過協同聯動網絡中各類安全設備及時進行抑制,防止安全威脅的進一步蔓延,為企業安全生產提供保障。
n 消除信息孤島,提升安全風險感知能力
目前該鋼管制造企業的廠區內各設備和系統的安全數據缺乏統一匯聚和分析的手段,安全數據與分析結果沒有實現共享,存在“信息孤島”現象,從而引發無法對當前網絡安全現狀進行評估、無法及時感知網絡安全現狀等安全風險。
借助日志收集分析等手段,對跨區域、跨產品的安全信息統一收集與處理,實現對全網各類安全事件、預警信息的統一預處理、匯總、整理與分析,提升安全風險感知能力。
2.2 設計原則
(1)分層分域防護原則
根據企業工業控制系統業務流程合理劃分網絡層級和安全域,以切割網絡風險,即任意一點遭受攻擊或網絡風暴不會對其它生產過程產生影響,同時方便管理策略的執行。
(2)以關鍵業務為核心的整體防控原則
企業工業控制系統的安全保護應以確保關鍵業務的安全運行為核心目標,對業務所涵蓋的一個或多個網絡及信息系統實施系統化的安全設計策略,以構建一個全面、整合的安全防護體系。
(3)協同防御原則
通過整合安全技術、安全管理和安全服務,構建起信息共享和協同聯動的防御體系,實現增強企業工業控制系統抵御大規模網絡攻擊的能力。
3、案例實施與應用情況
本方案旨在針對鋼管制造企業的煉鐵、煉鋼、軋管等生產車間開展網絡安全規劃與建設。
方案在嚴格遵守《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)、《工業控制系統網絡安全防護指南》等國家的政策要求基礎上,采用“行為基線”分析、“白名單防護”策略及“數據變化率”監測等先進技術手段,并通過安全服務、安全技術與產品應用以及安全管理體系構建等手段相結合的方式,實現安全能力的全面整合與提升,有效提升鋼管制造企業生產網絡安全技術防護能力、安全管理能力以及安全運營能力。
3.1 智能工廠信息化架構
圖1 智能工廠信息化架構
該鋼管制造企業參考智能工廠框架,在企業內部實現了MES、ERP、SCADA等信息系統的應用,將車間的各類生產數據進行采集、分析與決策,實現了多個數字化車間的統一管理與協同生產。同時,由于信息網絡集成程度的不斷提高,與其他信息網絡的互聯程度也隨之加深。網絡中各種未授權的接入與操作、誤操作、違規操作、未授權的程序安裝、外部接口濫用以及新型攻擊(APT)對集團信息系統安全構成極大的威脅。
若信息系統不加強主動防護、監測審計、集中監管及預警響應等安全措施的建設,那么各類威脅將得以趁虛而入,進而可能對生產業務產生嚴重的負面影響。因此,需圍繞企業未來發展趨勢與安全建設需求,進行全方位的生成網絡安全防護體系設計。
3.2方案規劃
方案總體規劃架構以資產為基礎,以事件為主線,以風險為核心,采用多層次技術措施和防護手段,對網絡設備、安全設備、服務器等進行全方位安全監測。同時,結合安全事件模型、業務模型、威脅情報等信息,實現對網絡威脅的及時預警和快速處置,通過一系列措施,實現鋼管制造企業生產網絡態勢實時感知、威脅持續監測、安全協同聯動、風險主動預警及事件應急處置的目標,全面提升鋼管制造企業生產網絡的安全防護水平。
圖 2 總體框架設計
態勢感知:通過實時收集全網網絡流量、系統日志、用戶行為等數據,并基于大數據分析及機器學習等技術,對收集的數據進行清洗、格式轉換等預處理操作,實現對資產、脆弱性、告警、攻擊、系統運行狀態實時監測及可視化展現,為主動預警和事件追溯提供數據支撐。
持續監測:通過實時數據采集與分析、威脅監測預警、日志與事件管理以及可視化展示等功能,實現對網絡安全狀況的持續監測。
聯動防護:通過匯總各類安全數據,運用關聯分析、用戶畫像、業務安全基線、模型分析、威脅情報等手段,形成安全聯動、動態感知的整體安全分析能力。
主動預警:通過實時采集與處理安全數據,結合安全模型、業務模型及威脅情報等信息,實現對潛在威脅的精準識別與快速定位。在發現安全事件時觸發預警機制,實現安全防御的主動性。
應急處置:通過實時分析網絡流量、安全日志等數據源,快速檢測并識別潛在的安全威脅,并在安全威脅檢測后,觸發告警機制,并將告警信息發送至相關人員,進行事件處置。
n 安全技術防護體系
基于行為基線技術路線,建立鋼管制造企業生產網絡中業務通信與控制過程模型,綜合數據變化率、白名單防護等技術手段,確保在通信、控制、應用等多個層面的細粒度安全管控,避免對生產過程形成安全威脅。
n 安全管理體系
從安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等層面進行網絡安全各項工作所需遵循的基本原則和方針的明確,與安全技術防護體系、安全運營體系、安全服務體系形成緊密耦合的安全防護機制,保障所有生產車間的生產安全和穩定運行。
n 安全服務體系
以安全管理手段、安全技術手段作為支持,采用風險評估、安全加固、新系統上線檢查等手段進行風險識別及風險處置等,與安全管理體系、安全技術防護體系及安全運營體系形成層次化的安全策略體系。
n 安全運營體系
通過異構數據采集、用戶畫像、大數據分析、AI等技術,統一收集和分析網絡流量、操作內容、運行日志、異常告警等信息,為鋼管制造企業生產網絡構建安全監測、日志分析、威脅預警、安全處置等綜合安全運營能力,從全局視角實現企業網絡安全風險管控和運營分析管理。
3.3方案實施與應用
3.3.1 安全技術防護體系設計
3.3.1.1 各生產車間訪問控制設計
在煉鐵車間、煉鋼車間、軋管、管加工等各車間區域邊界與生產核心交換機處部署工業防火墻,基于工業協議深度解析技術,可以實現基于訪問行為的細粒度控制。
圖 3 工業協議解析技術
3.3.1.2 企業生產網絡入侵行為檢測設計
在生產核心交換機處應用工業入侵檢測系統的入侵檢測技術,對煉鐵車間、煉鋼車間、軋管、管加工等生產網絡中的數據流量進行深度檢測、實時分析,并對網絡中的攻擊行為進行監測,動態地發現來自內部和外部網絡攻擊的行為,并發出報警。
圖 4 業務行為審計
3.3.1.3 企業工業主機安全管控設計
在煉鐵車間、煉鋼車間、軋管、管加工等各區域操作站、工程師站、服務器等主機終端上安裝基于“白名單”的工業主機安全防護產品,通過對終端運行進程、服務等以白名單方式進行識別,策略范圍外進程、服務禁用,實現對各車間主機終端的安全管控。
3.3.1.4 企業生產網絡操作行為安全審計設計
在煉鐵車間、煉鋼車間、軋管、管加工等各匯聚交換機處部署工業監測審計系統,實現對工業報文內容的深度解析,閾值的設定,以及對數據變化速度范圍的設定,以此來實現對下屬節點數據變化以及寫操作內容的審計。
圖 5 工業流量審計
3.3.1.5 運維人員操作行為安全設計
在運維管理區部署工業運維審計系統,通過應用運維安全審計手段,實現對運維賬號統一管理,資源和權限進行統一分配,對客戶從登錄到退出的全程操作行為進行審計,加強遠程維護的安全管理,降低人為安全風險。
3.3.1.6 企業生產網絡日志集中管理與分析設計
在運維管理區部署工業日志收集與分析系統,通過應用日志審計類手段,對鋼管制造企業網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理,基于關聯分析引擎能力,及時發現各種安全威脅、異常行為事件。
圖 6 工業日志收集與分析
3.3.1.7 企業生產網絡脆弱性檢測設計
在運維管理區部署工業漏洞掃描系統,通過應用工業漏洞掃描技術,對鋼管制造企業生產網絡進行脆弱性分析和評估。同時還支持對生產網絡中所特有的設備/系統,比如SCADA、PLC等進行已知漏洞的識別和檢測,及時發現安全漏洞。
圖 7 工業漏掃資產掃描評估
3.3.1.8 企業生產網絡中安全設備、安全策略集中管控能力設計
在運維管理區部署工業集中管理系統,通過應用集中管理手段,實現對工業防火墻、工業入侵檢測系統、工業安全監測審計、工業主機衛士等安全產品的統一監控、日志采集、安全分析、策略下發,為鋼管制造企業生產網絡安全運營提供決策支持,加強安全事件響應速度與安全運維能力,提升鋼管制造企業生產網絡整體信息安全水平。
圖 8 資產集中管理
3.3.1.9 企業辦公網與生產網區域邊界隔離設計
針對中心機房與辦公網進行現場監測數據交互過程實現單向隔離傳輸機制,通過在辦公網與生產區域邊界部署工業隔離與交換系統,對辦公網的邊界流量進行單向隔離,該隔離為應用層單向即辦公網對訪問控制策略允許的目標設備進行只讀操作,禁用對鋼管制造企業生產網絡的寫操作行為。
3.3.1.10整體部署實施
綜上所述,方案整體的部署實施圖見下圖。
圖 9 整體部署實施圖
3.3.2 安全管理體系設計
通過建立組織架構管理、安全策略管理、資產安全管理等鋼管制造企業生產網絡安全管理制度,明確網絡安全各項工作所需遵循的基本原則和方針;并組建人員成立安全管理機構,對安全管理人員定期開展網絡安全教育、培訓等提高鋼管制造企業生產網絡安全整體管理水平。
同時,在建設和運維方面也做出安全管理要求,制定安全運維管理制度、安全事件處置制度等,規范鋼管制造企業生產網絡安全建設和運維細則,加強在鋼管制造企業生產網絡建設和運維環節的把控,實現鋼管制造企業生產網絡安全管理的規范化、標準化與制度化。
33.3 安全服務體系設計
3.3.3.1 風險評估服務
通過對鋼管制造企業業務系統關鍵資產所存在脆弱性及其所面臨的威脅的量化分析,最終以全面、準確、量化的分析結果呈現其面臨的各種風險,并提供針對性的安全風險控制方法,消除安全風險,提高業務系統運轉效率。
3.3.3.2 新系統上線檢查
通過漏洞檢測、基線核查、滲透測試方式對鋼管制造企業生產網絡進行測試,找出新上線業務系統(網絡設備、主機、應用系統、數據庫系統)中存在的安全配置錯誤及漏洞信息,并提供針對性的建議方案,以免新上線業務系統存在的安全隱患給用戶的業務和生產帶來危害。
3.3.3.3 安全加固服務
針對鋼管制造企業生產網絡服務器操作系統、數據庫及應用中間件等軟件系統,通過強化帳號安全、修改安全配置、優化訪問控制策略、堵塞漏洞及“后門”,合理進行安全性加強,提高其健壯性和安全性,增加攻擊者入侵的難度。
3.3.3.4 滲透測試服務
通過模擬黑客的攻擊方法,采用工具+人工驗證的方式對系統和網絡進行非破壞性質的攻擊性測試。該檢測方式能夠綜合驗證系統技術防護手段和安全管理手段的有效性,可以發現邏輯性更強、更深層次的弱點,讓管理者能夠直觀的了解自己網絡和系統的安全狀態。
3.3.3.5 基線核查服務
通過對鋼管制造企業網絡設備、安全設備、主機、系統及應用等進行基線的合規性核查,出具基線核查報告及建議;對于非標準系統,根據系統特點進行人工核查,并協助客戶定制基線標準;通過全局的安全基線核查,掌握網絡整體安全現況;依據安全基線核查結果與客戶業務模式特點,提供有針對性的安全修補建議,防止安全隱患再次被利用而產生的安全危害。
3.3.3.6 駐場服務
通過派遣專業的安服工程師為客戶提供駐場服務,定期向客戶工作人員提交網絡的安全狀態報告,幫助客戶實現安全動態的實時監控,突發事件的應急處置、針對當前安全問題的安全建議,幫助客戶了解掌控網絡安全風險,保障網絡的安全運行。
3.3.4 安全運營體系設計
3.3.4.1 技術架構
平臺整合了終端、應用系統、數據流量等各類感知數據源,采用大數據分析挖掘技術,使用智能算法和安全模型,將看似毫無聯系、混亂無序的各類安全數據轉化成直觀的可視化信息,實現威脅發現、精準預警和綜合安全防護。
其中數據采集層通過資產發現、脆弱性檢測、流量審計等各類探針對被監管網絡的資產、脆弱性、流量、日志等工業安全數據進行檢測和收集,安全數據經過數據匯入后存儲到存儲計算引擎中,核心業務對工業安全數據進行分析后形成安全態勢和安全風險通過集中展示層展現給客戶,所有工業安全風險可以通過安全處置子系統進行多人協同處置。
圖 10 平臺技術架構
3.3.4.2 安全設計
在運維管理區部署工業互聯網態勢分析與安全管理系統,將鋼管制造企業生產網絡內所有安全設備采集到的流量信息、人員操作行為、異常告警信息進行統一收集和整理分析,進而掌握整個企業生產網絡中存在的安全隱患和風險,通過對行為內容進行建模分析,評估當前網絡的安全風險指數和潛在的受攻擊路線信息,結合對安全告警事件的種類、次數、等級的安全態勢分析,自動生成一套符合當前安全需要的安全防護策略建議。基于安全防護策略,衍生出當前的安全預警分析基線,對于明顯不符合當前網絡操作行為,做到事前有效預警和事中及時防護,減少不必要的生產損失。
同時,系統可實現安全事件追溯功能,結合機器自學習的方式以及安全漏洞庫和攻擊特征庫等,有效識別、跟蹤分析和判斷各項操作行為和動作的合規性與安全性,對于超出當前安全基線的行為提供全程的行為審計和事件還原能力,為安全管理人員提供高效的安全事件追溯功能。
3.3.4.2.1 威脅識別與預測
通過將功能安全數據、信息安全數據與生產過程中的重要監測數據相互結合,形成面向系統、業務、威脅等狀態的多維度關聯性安全分析,并將安全措施與工業控制過程深度融合,實現安全威脅的快速預測、處置及管理。
圖 11 威脅識別與預測
3.3.4.2.2 安全事件閉環處置
通過關聯分析系統日志、運行狀態、安全日志、告警信息等數據,實現安全事件識別,并結合業務模型、安全模型及最新的網絡安全威脅情報等信息,準確及時地發現各種潛在威脅和攻擊,進行威脅快速定位及事件取證,采取有效處置措施,最終實現安全處置的閉環管理。
圖 12 安全事件閉環處置
3.3方案創新性
n 面向生產網絡漏洞利用攻擊的輕量級靶向性虛擬補丁
通過構建控制系統檢測引擎,并結合規則庫分級分類、漏洞規則庫新增等技術手段實現在網絡層面對于漏洞的加固,同時采用靶向性的技術手段避免了高延時、誤報的問題形成對鋼管制造企業生產網絡已知漏洞的安全閉環。
n 基于數據變化率檢測的控制領域信息安全行為識別方法
通過對鋼管制造企業生產網絡中流量的數據報文進行完整性還原,識別報文中的控制指令依據業務的通信行為與指令進行關聯分析,并建立業務的控制行為基線,通過行為基線構建深度分析體系,同時與態勢感知安全信息進行匹配分析,識別異常控制行為。
n 采用基于數據字典的行為內容識別技術
在對工業協議、工業通信原理的分析基礎之上,在其中加入通信主從站間數據字典能力,將報文監測的信息與物理數據信息進行關聯,進而實現對數據處理權限的控制,解決了僅通過對通信報文監測,無法獲取數據信息的難題。
n 雙安融合應用
方案創新性將信息安全與功能安全相互融合,將功能安全產生的信息作為數據支撐,利用信息安全中的技術優化功能安全的過程通信傳輸過程,將分析處置對象從寄存器轉變為物理變量,在構建通信傳輸信息安全能力的同時保障通信業務功能的安全可靠。同時將安全管理技術與運營分析技術進行融合,通過功能安全數據、信息安全數據與生產過程中的重要監測數據相互結合,擴大分析所采用的數據范圍,構建工業流程模型,進行基于模型的檢測,判定安全運營狀態,保障企業安全運營。
3.4 存在的網絡安全問題及解決思路
ü 兩化融合致生產網絡安全風險劇增
通過在生產網絡邊界采取邊界隔離措施,明確網絡邊界,配置不同安全域間訪問控制策略,對非授權或越權跨越邊界行為阻斷報警,解決網絡安全風險蔓延的隱患。
ü 工業主機惡意程序影響業務正常進行
操作員站、服務器等主機部署“白名單”安全防護軟件,通過白名單防護、外設管理、基線加固等措施,提升工業主機安全防護能力。
ü 網絡攻擊行為易造成業務中斷
在生產網絡邊界采取入侵檢測措施,發現控制網絡入侵攻擊、異常流量等安全威脅,對外來威脅及時告警,以便立即采取技術措施,防止業務中斷。
ü 操作行為不規范易導致生產業務停滯
應用工業安全監測審計手段,針對區域內操作站、PLC異常通信、違規操作、協議規約異常以及關鍵事件等告警、記錄。
ü 安全漏洞致網絡攻擊行為發生
應用脆弱性檢測技術,定期開展針對生產網絡非運行狀態及未上線前主機、應用及控制器脆弱性掃描,實現對生產網絡及系統脆弱性識別。
ü 缺乏統一安全運營操作平臺導致安全運維效率低下
應用集中管控技術,對工業防火墻、工業入侵等安全設備進行統一策略下發,提高整體安全運維效率。
ü 安全盲區易導致攻擊行為趁虛而入
搭建工業互聯網安全態勢感知平臺,從全局視角實現企業網絡安全風險管控和運營分析管理,解決安全盲區問題。
4、應用價值與效益
n 減少網絡安全問題導致企業停工停產帶來的經濟損失
通過建立工業互聯網安全態勢感知平臺,可實時監測鋼管制造企業生產網絡關鍵節點的安全風險和脆弱性,對發現的重大威脅提前進行安全風險預警,有效提升鋼管制造企業應對網絡攻擊風險的能力,減少因為網絡安全問題導致企業停工停產帶來的經濟損失,保證生產業務的連續性、安全性。
n 提升對安全事件的處置效率
通過建立工業互聯網安全態勢感知平臺,幫助客戶打破安全數據交互壁壘,統籌安全能力,形成以漏洞管理、基線管理、事件管理、風險管理等多方面的安全合力,通過分析處理海量安全數據,挖掘數據真正價值,使得客戶網絡安全事件處置效率提升98%。
n 動態進行安全防御,提升安全事件響應速度
通過聯動網內各類安全設備,可以對發現的安全問題快速定位,并制定有效的安全防御手段,利用系統的安全策略集中管理能力,可以動態調整設備安全策略,快速封堵安全漏洞,及時處置安全事件,最大程度的降低事件影響范圍。
北京市公安局海淀分局備案號:11010802023656號