今日頭條
官方微信
官方抖音
資訊頻道1、方案背景與目標
某礦業公司是目前國內乃至亞洲規模最大的露天鐵礦山,體量大、設備大、工藝復雜,全紅礦焙燒、采空區全國獨有,安全生產難度不言而喻。為響應國家發改委、能源局、國家礦山安監局等部門的礦山智能化建設要求,該礦業公司充分運用工業互聯網、5G、物聯網等先進技術,將礦石采掘電鏟、礦石洗選等設備的信息實時引入智控中心,實現對電鏟、堆取料機、洗選設備等設備的遠程操控,顯著地提高了生產效率。然而,新技術的廣泛應用也引入了新的網絡安全風險,一旦遭到網絡攻擊,可能造成更加嚴重的安全生產事故。
本項目一方面基于礦山業務流、數據流和控制流特性,研制開發了一套礦山行業專用工控安全產品集,應用在礦山工控網絡,可全面提升系統的網絡安全“監測、預警、防護、處置”能力。另一方面,研制搭建了礦山行業工業互聯網靶場平臺,可用于開展網絡安全理論培訓、攻防演練、比武競賽等活動,提升人員網絡安全理論知識水平和網絡安全應急處置能力。
2、方案詳細介紹
2.1 需求分析
2.1.1應用行業特點:
(1)礦山行業一直以來以安全生產為主,在網絡安全方面的建設投入和重視程度不足。
(2)礦山行業普遍采用國外廠家的DCS、PLC、組態軟件、工業路由器、工業交換機等軟硬件設備,國內廠商市場占有率較小,國產化替代難,存在嚴重的安全隱患。
(3)礦山行業企業的網絡安全工作一般由機電科、信息化部門負責,人員專業程度不夠,缺乏網絡安全理論知識、網絡攻防實戰能力薄弱。
2.1.2具體場景特點:
(1)礦山行業一般在信息網部署網絡安全產品,在工控網的安全投入較小,一般也就在工控網邊界部署工控防火墻或工控網閘,工控網絡整體安全能力薄弱。
(2)礦山行業在進行等保測評時,一般優先考慮信息網、大數據平臺、門戶網站等,未嚴格按照等保2.0要求,對工控系統進行測評。
(3)礦山行業工作重點是在調度中心監控安全生產(包括設備、人員、井下通風、瓦斯濃度等環境參數),沒有專人實時監測系統的網絡安全威脅。
2.1.3擬解決的痛點問題:
(1)工控網絡邊界安全威脅防護。工控網絡邊界是第一道防線,由于信息網與工控存在正常的信息交互,流量大、協議類型多,如何從海量的交互信息中快速、精準地識別并阻斷惡意入侵攻擊行為,是要解決的首要問題。
(2)工控網絡內部安全威脅監測預警。內部人員的誤操作、非法操作以及不合理的運維方式(如隨意插入有病毒的U盤、接入私人電腦等)都可能導致業務不能正常運行,如何從工控流量、工控協議以及訪問控制策略等角度,識別內部的安全威脅,及時進行告警,是要解決的第二個問題。
(3)工控網絡安全意識不足與網安專業人才缺失。礦山行業人員普遍覺得工控網與信息網是安全隔離,不會出現網絡安全問題,對當前黑客的網絡攻擊能力不夠了解,如何針對不同類型的人,制定相應的培訓課程,讓廣大員工在日常工作中提升網絡安全意識,要解決的第三個問題。
2.1.4實施目標
(1)對工控網絡邊界流量進行深度解析,對安全策略進行精細化配置,區別外部安全威脅不會進入工控網絡內部。
(2)對工控網絡內部流量進行分析,對工控指令、功能碼參數等進行審計,識別異常操作、非法操作等行為,并進行告警。
(3)廣大員工具備網絡安全意識,在日常工作中遵守網絡安全相關管理制度和要求,如及時更好密碼、不再設置弱口令密碼等。針對信息化運維人員,通過培訓能夠提升網絡安全實戰攻防能力、應急處置能力,具備網安人員的專業技能。
2.1.5預計收益
(1)助力礦山企業一次性通過等保2.0二級或三級測評,滿足監管部門、上級部門對于企業的網絡安全要求。
(2)確保礦山企業的系統不會因為出現網絡攻擊事件導致停產的現象,造成重大的經濟損失和人員傷亡情況。
2.2 建設內容
本項目建設內容主要包括2個部分:礦山行業專用工控安全產品集、礦山行業工業互聯網靶場平臺。
2.2.1礦山行業專用工控安全產品集
通過對礦山企業的工控網絡進行全面規劃,在不同安全區域部署相應的工控安全設備,形成滿足國家、集團以及企業自身安全防護需求的工控網絡安全整體解決方案。企業工控網絡拓撲圖如下所示:
(1)邊界防護
在工業網絡邊界或井下工業環網邊界部署工控防火墻,能夠對工控網絡邊界流量進行安全檢測,基于工控協議深度解析、網絡流量實時監測、安全策略智能優化等技術手段能夠檢測并阻斷攻擊者的非法訪問、病毒傳播和惡意攻擊等行為,對煤礦工控網絡中的DCS、PLC、RTU等工業控制系統和終端設備進行有效的安全防護。
(2)區域隔離
在工業網絡與企業網絡之間、工業網絡不同網絡層級(L0-L4級)之間部署工控安全隔離網閘,能夠對通過的工業網絡數據進行過濾、檢測、審計等一系列操作,以“擺渡”的方式進行跨網數據交互,在保障安全隔離的前提下,實現數據安全交換,有效防止外部網絡的攻擊及內部區域之間的非法訪問等行為。
(3)入侵防御
在工業網絡邊界部署工控入侵檢測系統,基于系統內置的攻擊特征庫和工控規則庫,對工控網絡流量進行實時監測,能夠實時檢測出網絡入侵攻擊行為、違反安全策略的異常行為,及時進行告警或直接阻斷,并生成日志,實現對工控網絡安全威脅事件的事前預警、事中響應、事后取證。
(4)終端安全
在工業主機上(操作員站、工程師站等)進行部署,對主機登錄信息、操作信息、運行狀態、移動存儲設備接入、網絡外聯等信息的監測。系統采用了白名單機制,攔截一切未知程序和腳本的執行,既可有效抵御已知和未知的惡意代碼,又規避了傳統殺毒軟件病毒庫更新不及時的問題,從根本上保障主機運行環境的安全。
(5)網絡審計
在工業核心交換機及工業環網交換機部署工控安全審計系統,通過鏡像的方式獲取工控網絡中流量數據,對工控協議(如ModbusTCP、OPC、DNP3、IEC104、S7等)的通信報文進行深度解析,能夠實時檢測出針對PLC、DCS、上位機等重要工控系統/設備的網絡攻擊、誤常操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播等異常行為,實現對工控網絡異常流量的檢測與實時告警。
(6)蜜罐誘鋪
在礦山工控網絡部署與真實資產相似的工業網絡蜜罐系統,當攻擊者通過外部安全防御系統的缺陷滲透進入到內部網絡時,通常需要搜索網絡內部的資產,以此找到對攻擊者而言有價值的目標,誘鋪節點自身的偽裝性能夠欺騙攻擊者,當攻擊者將誘鋪節點作為攻擊目標時,蜜罐節點能夠第一時間感知并匯報安全事件,具體包括:蜜罐節點會記錄攻擊者的所有行為,系統也會產生告警,通知安全響應團隊。蜜罐節點會誘騙攻擊者將其他蜜罐節點作為后續的攻擊目標,所有蜜罐節點將組成“陷阱”網絡,延緩了攻擊時間,使得蜜罐系統能夠記錄更多的攻擊信息,同時可以給安全響應團隊更多的應急響應時間。
(7)漏洞掃描
在礦山工控網絡的安全管理區部署工控漏洞掃描系統,系統能夠針對工控網絡進行脆弱性分析和評估。不僅支持對傳統IT設備/系統,比如操作系統、交換機、路由器、弱口令、FTP服務器、Web服務器等,進行漏洞風險評估,同時還支持對工控系統中所特有的設備/系統,比如SCADA、DCS、PLC等進行已知漏洞的識別和檢測,及時發現安全漏洞,客觀評估工控網絡風險等級。
(8)日志審計
在礦山工控網絡的安全管理區部署日志審計系統,能夠對礦山企業網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理,基于關聯分析引擎的 能力,及時發現各種安全威脅、異常行為事件,并在可視化圖上直觀的呈現出來,協助礦山企業全面監測、審計工控網絡整體安全狀況。
(9)運維管理
在礦山工控網絡的安全管理區部署工控安全運維管理系統,能夠對運維進行賬號統一管理,資源和權限進行統一分配,操作過程全程審計。采用協議代理的方式,建立基于唯一身份標識的全局實名制賬號管理,配置集中訪問控制和細粒度的命令級授權策略,實現集中有序的運維安全管理,對用戶從登錄到退出的全程操作行為進行審計,加強工業控制系統及設備遠程維護的安全管理,降低人為安全風險,保障企業效益。
(10)安全管理
當工控網絡中部署了眾多的工控安全產品后,安全產品的日常運維工作對于運維人員來說是不小的工作量,工業安全管理平臺能夠對所有工控安全設備進行統一安全管理,提升運維效率。
在礦山工控網絡的安全管理區部署工業安全管理平臺,能夠實現對工控防火墻、工控安全隔離網閘、工控入侵檢測系統、工控安全審計系統、工控主機衛士等工控安全產品及第三方設備的統一監控、日志采集、安全分析、策略下發,為工控網絡安全運營提供決策支持,加強安全事件響應速度與安全運維能力,提升工控網絡整體信息安全水平。
2.2.2礦山行業工業互聯網靶場平臺
礦山行業工業互聯網靶場平臺的建設主要解決2個方面的問題,一是基于靶場軟件平臺的教學實訓模塊,提升員工的網絡安全意識和網絡安全理論知識水平;二是基于靶場軟件平臺的比武競賽、攻防演練、應急響應等模塊,結合礦山行業全業務場景仿真,開展針對礦山業務的工業網絡攻防演練,幫助信息化運維人員了解自身網絡架構、業務系統以及資產設備的脆弱性,提升信息化運維人員應的實戰能力,具備對網絡攻擊行為進行處置。
靶場平臺軟件技術架構如下:
礦山業務沙盤模型:
(1)教學實訓
針對礦山行業企業的普通員工、運維人員、高層領導等不同群體,提供滿足自身崗位需要的網絡安全理論知識培訓、實操課程培訓以及考試考核等,通過體系化的培養模式,全面提升從業人員網絡安全意識和理論知識水平。
(2)比武競賽
通過不同模式的比武競賽場景,包括解題模式、攻防模式、滲透賽模式和闖關賽模式,員工之間可形成戰隊,從而進行戰隊之間的比武,實現“以賽代練、以賽促學”;同時提供全方位貼近實戰的競賽場景,滿足煤炭行業網絡安全人才培養及選拔、網絡安全大賽平臺搭建以及實戰對抗演練的需求,錘煉人員實戰能力,搭建網絡安全以賽備戰的演兵場。
(3)攻防演練
基于數字孿生技術,實現對礦山行業全業務場景仿真模擬,構建工控網絡安全攻防靶場環境,讓安全驗證和滲透測試人員能在網絡的各層面開展攻擊面獲取、邊界爆破、橫向滲透、權限提升維持、目標攻陷、痕跡清除等操作,也能讓網絡安全和運維人員開展暴露面收斂、安全加固、防護策略配置、溯源分析等防御相關的操作,同時能夠進行聯動響應,能夠有力支撐用戶開展各種專項技能訓練、技術研究、安全評估等服務,顯著提高礦山行業信息化/運維人員的網絡安全意識和應急響應處置能力。
2.2.3難點及應對方法
(1)礦山行業專用工控安全產品集研發及應用難點
主要包括2個方面:一是工控安全產品集的每一款產品都針對礦山業務系統的特點進行配置優化調整,能夠很好的適應用戶現場網絡環境;二是工控安全產品集的每一款產品都在礦山的工控網絡中進行了試點部署應用,不會對生產造成影響。
(2)礦山行業工業互聯網靶場平臺研發及應用難點
主要包括2個方面:一是具備豐富的課程資源,滿足不同部門、不同層級人員的網絡安全培訓需求,培訓課件要緊密圍繞礦山用戶展開,具有針對性;二是礦山業務沙盤的搭建,搭建的沙盤要能夠體現出礦山的核心業務流程、核心系統和核心設備,能夠與靶場平臺進行對接,在進行攻防演練過程中,能夠直觀看到實體沙盤動作。
3、代表性及推廣價值
3.1案例代表性
(1)獨特性:礦山行業專用工控安全產品集具備行業屬性
基于礦山行業場景和實際業務流程進行工控安全產品的適配和開發,所研制的產品具有行業屬性,能夠更好的適配在礦山工控網絡,具有獨特性。
(2)原創性:首家研制井下工控安全產品集的工控廠家
基于本項目的成功經驗,針對井下需要部署工控安全產品的需求,結合煤安認證對于井下產品防爆、高低溫等的要求,我司已經開始研制井下工控安全產品,具有原創性。
(3)實用性:工控安全產品集具有多種產品形態,實用性強
針對不同的部署環境,可提供壁掛式、導軌式等多種形態的產品,支持在各種環境和條件下進行設備安裝部署。
(4)前瞻性:通過建設礦山行業工業互聯網靶場平臺進行能力提升
以往的人員能力提升往往是邀請行業專家、技術專家進行演講,存在效果有限、覆蓋面窄的局限,通過建設靶場平臺,可為廣大員工提供一個共用共享的網絡安全知識學習平臺,同時可基于靶場平臺開展攻防演練、技術驗證等應用,具備前瞻性。
3.2案例推廣價值
(1)可復制推廣價值
礦山行業專用工控安全產品集具有較強的可復制性和推廣性,可以應用于煤礦、石油、化工、銅礦、鋁礦等行業,部署在工控網絡進行工控安全防護。
礦山行業工業互聯網靶場平臺具有較強的可復制性和推廣性,可以應用于煤礦、石油、化工、銅礦、鋁礦等行業,提升行業人員網絡安全意識和實戰網絡攻防水平。
(2)經濟效益
通過提升礦山企業的工控網絡安全防護能力,降低網絡安全風險,保障礦山生產系統的安全穩定運行,減少因網絡安全事件造成的生產中斷、數據丟失、設備損壞等經濟損失,提高礦山生產效率和質量,增加產量和收入。
(3)社會效益
通過礦山行業專用工控安全產品集,可及時發現并處置網絡安全威脅,防止因網絡安全事件引發的重大事故,保護人員生命財產安全,維護社會穩定和公共安全。
(4)其它效益
通過礦山行業工業互聯網靶場平臺,培養和鍛煉工控網絡安全人才,提高礦山企業的網絡安全意識和能力,增強礦山企業的網絡安全文化和形象。
北京市公安局海淀分局備案號:11010802023656號