今日頭條
官方微信
官方抖音
資訊頻道制造業(yè)是國(guó)民經(jīng)濟(jì)的基礎(chǔ)和主干,是經(jīng)濟(jì)和社會(huì)發(fā)展的重要支撐。隨著兩化融合的推進(jìn),離散制造企業(yè)作為制造業(yè)企業(yè)的重要組成部分之一,需要在生產(chǎn)過(guò)程中實(shí)現(xiàn)設(shè)備網(wǎng)絡(luò)化、數(shù)據(jù)可視化、過(guò)程透明化、管理高效化等目標(biāo),急需加強(qiáng)工控網(wǎng)絡(luò)防護(hù)技術(shù)研究,根據(jù)離散型制造企業(yè)的工控網(wǎng)絡(luò)現(xiàn)狀及問(wèn)題,通過(guò)采用“縱深防御”方法策略,有效構(gòu)建離散型制造企業(yè)工控網(wǎng)絡(luò)信息系統(tǒng)防護(hù)系統(tǒng),采用多層動(dòng)態(tài)防護(hù)方式為應(yīng)對(duì)網(wǎng)絡(luò)威脅和脆弱性等問(wèn)題提供有效保障。
工控網(wǎng)絡(luò)信息系統(tǒng)防護(hù)的特點(diǎn)和難點(diǎn)
隨著離散型制造企業(yè)兩化融合的進(jìn)一步推進(jìn),尤其隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展,為離散型制造企業(yè)基礎(chǔ)設(shè)備與IT系統(tǒng)高速連接提供了技術(shù)實(shí)現(xiàn)的可能。但是,傳統(tǒng)工業(yè)控制系統(tǒng)領(lǐng)域?yàn)榭刂平ㄔO(shè)成本,普遍采用IT部署和數(shù)據(jù)通信技術(shù),大量采用IT網(wǎng)絡(luò)的防護(hù)策略,客觀上降低了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的防護(hù)水平。
(1)工控網(wǎng)絡(luò)信息系統(tǒng)防護(hù)意識(shí)不足。離散型制造企業(yè)長(zhǎng)期以來(lái)從管理者到一線員工對(duì)工控網(wǎng)絡(luò)防護(hù)的認(rèn)識(shí)普遍不足,認(rèn)識(shí)程度不一,實(shí)際工作中普遍存在諸如不安全連接、不規(guī)范操作、隨意遠(yuǎn)程、胡亂U盤(pán)接入等現(xiàn)象,給工控網(wǎng)絡(luò)信息系統(tǒng)帶來(lái)客觀隱患,而人為主觀帶來(lái)的威脅則更具有不確定性、隱蔽性。
(2)工控網(wǎng)絡(luò)信息系統(tǒng)來(lái)自未知隱患的防護(hù)挑戰(zhàn)。隨著物聯(lián)網(wǎng)的推廣應(yīng)用,信息基礎(chǔ)設(shè)備設(shè)施的互聯(lián)互通性迅速加強(qiáng),給工控網(wǎng)絡(luò)帶來(lái)更多未知不可控的防護(hù)隱患。現(xiàn)有防護(hù)措施普遍是針對(duì)已知的攻擊行為而制定的,而如何應(yīng)對(duì)新型未知的工控網(wǎng)絡(luò)攻擊方式和手段,才是相關(guān)企業(yè)更應(yīng)該關(guān)注也必須解決的問(wèn)題。
工控網(wǎng)絡(luò)信息系統(tǒng)防護(hù)技術(shù)簡(jiǎn)介
(1)檢測(cè)防御技術(shù)
檢測(cè)防御通過(guò)對(duì)工控網(wǎng)絡(luò)中日志、流量等進(jìn)行檢測(cè),并對(duì)可能面臨的攻擊行為進(jìn)行有效防御。主要有分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)、數(shù)據(jù)泄露防護(hù)、下一代防火墻、入侵檢測(cè)與防護(hù)、工業(yè)安全網(wǎng)關(guān)、工業(yè)安全隔離裝置、網(wǎng)絡(luò)流量分析、威脅分析等新型技術(shù)。
(2)安全評(píng)估技術(shù)
安全評(píng)估技術(shù)通過(guò)對(duì)工控網(wǎng)絡(luò)信息系統(tǒng)的漏洞挖掘和安全服務(wù),高效、全方位地檢測(cè)網(wǎng)絡(luò)中各類脆弱性風(fēng)險(xiǎn),并提供專業(yè)有效的安全分析、建議以及評(píng)估等。主要包括安全配置核查、工控漏洞掃描、遠(yuǎn)程安全評(píng)估、網(wǎng)站安全監(jiān)測(cè)等相關(guān)技術(shù)。
(3)安全監(jiān)管技術(shù)
安全監(jiān)管集中的賬號(hào)管理、運(yùn)維操作訪問(wèn)控制和全程運(yùn)維操作審計(jì),幫助企業(yè)轉(zhuǎn)變傳統(tǒng)IT安全運(yùn)維被動(dòng)響應(yīng)的模式,建立面向用戶的集中、主動(dòng)的運(yùn)維安全管控模式。主要有運(yùn)維安全管理、安全審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、工控安全審計(jì)、下一代安全云桌面等安全監(jiān)管技術(shù)。
(4)安全平臺(tái)
安全平臺(tái)以大數(shù)據(jù)框架為基礎(chǔ),結(jié)合檢測(cè)防御技術(shù),基于攻防場(chǎng)景模型的大數(shù)據(jù)分析及可視化展示等手段,協(xié)助企業(yè)建立和完善安全態(tài)勢(shì)全面監(jiān)控、安全威脅實(shí)時(shí)預(yù)警、安全事故快速響應(yīng)等能力,協(xié)助安全專家快速發(fā)現(xiàn)和分析安全問(wèn)題,并通過(guò)運(yùn)維手段實(shí)現(xiàn)工控網(wǎng)絡(luò)問(wèn)題的閉環(huán)處理。
工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng)架構(gòu)
采用“縱深防御”方法策略,其核心是將網(wǎng)絡(luò)劃分為不同的區(qū)域。根據(jù)離散型制造企業(yè)的實(shí)際情況及特點(diǎn),將工業(yè)控制網(wǎng)絡(luò)劃分為設(shè)備、控制、應(yīng)用、數(shù)據(jù)等不同層級(jí),針對(duì)各層次制定適宜的安全防御措施,幫助企業(yè)構(gòu)建有效工業(yè)控制網(wǎng)絡(luò)縱深防御系統(tǒng)。
工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng)功能
(1)關(guān)鍵設(shè)備安全防護(hù)
關(guān)鍵設(shè)備安全防護(hù)主要采用安全運(yùn)維管控系統(tǒng)措施,實(shí)現(xiàn)工程師站、操作員站對(duì)外部存儲(chǔ)器(如U盤(pán))、鍵盤(pán)和鼠標(biāo)等使用USB接口設(shè)備的識(shí)別,對(duì)外部存儲(chǔ)器的使用進(jìn)行嚴(yán)格控制。
(2)數(shù)據(jù)中心安全防護(hù)
數(shù)據(jù)脫敏:在輸出或共享前對(duì)數(shù)據(jù)進(jìn)行脫敏處理,脫敏后不可恢復(fù)。
工業(yè)網(wǎng)關(guān):基于物理隔離的白名單控制,在兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間,采用完全的私有方式,進(jìn)行格式化數(shù)據(jù)塊的無(wú)協(xié)議“擺渡”。
入侵檢測(cè)系統(tǒng):具備敏感數(shù)據(jù)外發(fā)檢測(cè)、服務(wù)器非法外聯(lián)檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)等多項(xiàng)功能,同時(shí)集成了沙箱檢測(cè)能力,是一種積極主動(dòng)的安全防護(hù)技術(shù),能夠?yàn)橛脩籼峁┥疃裙舴烙蛢?nèi)網(wǎng)安全保護(hù)。
數(shù)據(jù)銷毀:為防止數(shù)據(jù)被惡意恢復(fù),在對(duì)新的租戶重新分配資源之前,需要對(duì)存儲(chǔ)空間中的數(shù)據(jù)進(jìn)行徹底抹除。根據(jù)不同的數(shù)據(jù)類型以及業(yè)務(wù)部署情況,采用邏輯卷清零或隨機(jī)數(shù)多次覆寫(xiě)、消磁或物理粉碎等措施。
備份和恢復(fù):制定數(shù)據(jù)備份策略,定期對(duì)數(shù)據(jù)進(jìn)行備份。當(dāng)發(fā)生數(shù)據(jù)丟失事故時(shí),能及時(shí)恢復(fù)備份數(shù)據(jù),保障企業(yè)生產(chǎn)正常運(yùn)轉(zhuǎn),從而降低用戶的損失。
(3)應(yīng)用安全防護(hù)
應(yīng)用安全主要針對(duì)工業(yè)云平臺(tái)、應(yīng)用程序和網(wǎng)絡(luò)等采取的安全防御措施,并通過(guò)安全數(shù)據(jù)化、數(shù)據(jù)可視化方式,采用餅圖、曲線圖、態(tài)勢(shì)圖等可視化展示平臺(tái),使管理者可快速全面掌控企業(yè)安全狀況,為快速?zèng)Q策與運(yùn)維診斷提供支撐。
工業(yè)云平臺(tái):主要通過(guò)行為異常監(jiān)測(cè)和阻止、安全監(jiān)測(cè)、虛擬化安全、DDoS防御系統(tǒng)等安全防御措施。對(duì)工業(yè)應(yīng)用程序、運(yùn)行參數(shù)(如網(wǎng)絡(luò)流量、主機(jī)資源和存儲(chǔ)等)以及各類日志及網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問(wèn)行為等進(jìn)行實(shí)時(shí)監(jiān)測(cè)與檢測(cè),當(dāng)發(fā)現(xiàn)異常行為時(shí),立即產(chǎn)生報(bào)警或阻止異常行為,同時(shí)對(duì)安全事件進(jìn)行評(píng)估。同時(shí)通過(guò)采用虛擬化加固等防護(hù)措施,避免出現(xiàn)安全問(wèn)題,影響上層平臺(tái)的安全。
應(yīng)用程序:主要有身份認(rèn)證系統(tǒng)、軟件防篡改、安全監(jiān)測(cè)審計(jì)等安全防御措施。在使用前,采用代碼測(cè)試、完整性校驗(yàn)、源代碼加密處理及程序和數(shù)據(jù)備份等措施,防止工業(yè)控制軟件發(fā)生篡改;在使用時(shí),采用身份認(rèn)證授權(quán)機(jī)制、數(shù)字簽名和訪問(wèn)控制技術(shù)、密碼技術(shù)等,實(shí)現(xiàn)用戶、設(shè)備和數(shù)據(jù)的完整性、一致性;在使用過(guò)程中,通過(guò)漏洞掃描工具等方式探測(cè)網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)的漏洞情況,同時(shí)記錄操作人員的錯(cuò)誤和越權(quán)行為,并及時(shí)提供預(yù)警信息。
網(wǎng)絡(luò):主要通過(guò)防火墻系統(tǒng)實(shí)現(xiàn)IP端口的訪問(wèn)控制、應(yīng)用層協(xié)議訪問(wèn)控制及流量控制等。防火墻作為靜態(tài)防護(hù)手段,可與入侵檢測(cè)系統(tǒng)共同構(gòu)建動(dòng)態(tài)防御體系,將一切已知的可能攻擊行為進(jìn)行阻斷。
安全防護(hù)可視化:通過(guò)對(duì)各安全監(jiān)測(cè)防護(hù)系統(tǒng)的集成,建立安全數(shù)據(jù)展示平臺(tái),可實(shí)時(shí)從全局掌控企業(yè)安全態(tài)勢(shì),協(xié)助工程師快速發(fā)現(xiàn)、定位、解決安全問(wèn)題,為企業(yè)安全問(wèn)題提供輔助決策能力。
實(shí)際應(yīng)用案例
工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng)已在國(guó)內(nèi)某大型企業(yè)管子生產(chǎn)加工車間實(shí)現(xiàn)應(yīng)用,該智能管加車間項(xiàng)目是該領(lǐng)域首條集各種先進(jìn)智能化系統(tǒng)于一體的管件制造領(lǐng)域高端裝備。該全自動(dòng)管加柔性生產(chǎn)線主要由自動(dòng)立體倉(cāng)庫(kù)、自動(dòng)切割下料單元、自動(dòng)打磨單元、自動(dòng)貼標(biāo)單元、自動(dòng)組對(duì)焊接單元等關(guān)鍵設(shè)備設(shè)施,以及倉(cāng)儲(chǔ)管理系統(tǒng)、企業(yè)信息空間工程系統(tǒng)、數(shù)據(jù)信息綜合交互處理平臺(tái)等軟件系統(tǒng)融合組成。現(xiàn)已投入正式運(yùn)行并取得良好應(yīng)用效果。
主要采取的防護(hù)措施如下:
(1)現(xiàn)場(chǎng)設(shè)備與數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)核心交換機(jī)處,部署安全運(yùn)維管控系統(tǒng)。對(duì)現(xiàn)場(chǎng)工位機(jī)和機(jī)房的USB接口進(jìn)行識(shí)別及控制,防止通過(guò)U盤(pán)傳播病毒和拷貝數(shù)據(jù),保障現(xiàn)場(chǎng)關(guān)鍵設(shè)備設(shè)施和數(shù)據(jù)信息安全。
(2)在數(shù)據(jù)庫(kù)與集中管控中心的核心交換機(jī)旁,部署入侵檢測(cè)系統(tǒng)、備份和恢復(fù)。主動(dòng)進(jìn)行敏感數(shù)據(jù)外發(fā)檢測(cè),服務(wù)器非法外聯(lián)檢測(cè)等,集成沙箱檢測(cè)能力,發(fā)現(xiàn)異常事件時(shí),產(chǎn)生報(bào)警或主動(dòng)處理;同時(shí)具備備份和恢復(fù)能力,在數(shù)據(jù)丟失或惡意銷毀等情況下,可快速恢復(fù)數(shù)據(jù),保障生產(chǎn)正常運(yùn)轉(zhuǎn)。在核心交換機(jī)主干線部署工業(yè)網(wǎng)關(guān),隔離內(nèi)、外數(shù)據(jù)的連接,保護(hù)數(shù)據(jù)安全。
(3)在集中管控中心的接入核心交換機(jī)旁,部署身份認(rèn)證系統(tǒng)、軟件防篡改和安全監(jiān)測(cè)審計(jì)。身份認(rèn)證系統(tǒng)通過(guò)訪問(wèn)控制技術(shù)實(shí)現(xiàn)對(duì)用戶的訪問(wèn)權(quán)限的控制,防止偽造、否認(rèn)、冒充等問(wèn)題;軟件防篡改主要對(duì)倉(cāng)儲(chǔ)管理系統(tǒng)、企業(yè)信息空間工程系統(tǒng)、數(shù)據(jù)信息綜合交互處理平臺(tái)等軟件系統(tǒng)的源代碼進(jìn)行加密處理及程序和數(shù)據(jù)備份;安全監(jiān)測(cè)審計(jì)是記錄集中管控中心操作人員的錯(cuò)誤和越權(quán)行為,并及時(shí)報(bào)警,降低內(nèi)部非惡意操作導(dǎo)致的安全隱患。
(4)在外網(wǎng)與內(nèi)網(wǎng)的主干線處,部署防火墻系統(tǒng)。實(shí)現(xiàn)IP端口的訪問(wèn)控制、應(yīng)用層協(xié)議訪問(wèn)控制及流量控制等。防火墻與入侵檢測(cè)系統(tǒng)構(gòu)建“實(shí)時(shí)動(dòng)態(tài)+靜態(tài)”防護(hù)策略,提升工控網(wǎng)絡(luò)系統(tǒng)的未知攻擊防御能力。
工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng)確保了管加車間的可靠運(yùn)行,保障高端裝備安全的同時(shí),也有效保證了產(chǎn)線數(shù)據(jù)安全,阻止多次的內(nèi)外部可疑攻擊及錯(cuò)誤操作,為該制造企業(yè)管子加工的安全生產(chǎn)提供了可靠保障,同時(shí)符合國(guó)家等級(jí)保護(hù)要求。
通過(guò)工控網(wǎng)絡(luò)信息系統(tǒng)防護(hù)技術(shù)研究,構(gòu)建適宜離散型制造企業(yè)的工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng),實(shí)現(xiàn)離散型制造企業(yè)信息系統(tǒng)的縱深防御,并通過(guò)實(shí)際應(yīng)用,驗(yàn)證了該系統(tǒng)的有效性、適宜性和可靠性。同時(shí),該系統(tǒng)在離散型制造企業(yè)領(lǐng)域具有可復(fù)制性及推廣意義,為企業(yè)帶來(lái)經(jīng)濟(jì)效益的同時(shí),也對(duì)其他企業(yè)的工控網(wǎng)絡(luò)信息系統(tǒng)防護(hù)建設(shè)具有參考價(jià)值。
來(lái)源: 信息技術(shù)與網(wǎng)絡(luò)安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)