今日頭條
官方微信
官方抖音
資訊頻道1、方案背景與目標(biāo)
貴州習(xí)酒積極推進白酒傳統(tǒng)生產(chǎn)方式機械化升級,從制曲過程、酒醅發(fā)酵、勾兌過程、包裝和物流五個領(lǐng)域開展信息化、數(shù)字化轉(zhuǎn)型,對生產(chǎn)、包裝、運輸、銷售過程進行全方位監(jiān)測,大大保證白酒質(zhì)量,有效提高貴州習(xí)酒產(chǎn)品競爭力和市場信譽度。伴隨貴州習(xí)酒數(shù)字化轉(zhuǎn)型的實施,只能制造中的信息安全問題顯得越來越突出,一旦網(wǎng)絡(luò)被攻陷,一方面會破壞設(shè)備,泄露企業(yè)的技術(shù)信息,損壞企業(yè)形象,另一方面會對國家和社會造成嚴(yán)重不良影響。故針對貴州習(xí)酒工控網(wǎng)絡(luò)開展了基于實戰(zhàn)化的網(wǎng)絡(luò)安全防護體系建設(shè)。
2、方案詳細(xì)介紹
本方案構(gòu)建貴州習(xí)酒工控網(wǎng)絡(luò)“垂直分層,水平分區(qū)。邊界控制,內(nèi)部監(jiān)測”的工控安全技術(shù)防護體系,實現(xiàn)各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進行邊界防護和準(zhǔn)入控制等。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題,構(gòu)建工控網(wǎng)絡(luò)實戰(zhàn)化主動防御體系,提升工控網(wǎng)絡(luò)未知威脅檢測能力,實現(xiàn)從被動防御變?yōu)橹鲃臃烙嫣岣吖た鼐W(wǎng)絡(luò)威脅防御能力,全面快速消除工控網(wǎng)絡(luò)威脅,實現(xiàn)從單點防御到全工控網(wǎng)協(xié)防,主要建設(shè)內(nèi)容如下:
邊界隔離:在各邊界之間部署工業(yè)防火墻,通過工業(yè)協(xié)議深度解析,結(jié)合自學(xué)習(xí)白名單安全防護策略,實現(xiàn)細(xì)粒度的邊界訪問控制和安全隔離,通過最小化規(guī)則盡可能規(guī)避來自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。
高級威脅監(jiān)測:通過在核心交換機上旁路部署高級威脅檢測系統(tǒng),對網(wǎng)絡(luò)流量進行實時分析,通過利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術(shù)對惡意樣本、惡意流量、行為異常等威脅進行重點識別,彌補生產(chǎn)網(wǎng)自身業(yè)務(wù)系統(tǒng)脆弱的不足,發(fā)現(xiàn)高危漏洞主機,發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為,識別惡意文件的擴散,保護生產(chǎn)網(wǎng)安全。
主機防護:對工控網(wǎng)絡(luò)內(nèi)的主機進行安全防護,主要是針對域內(nèi)的主機,建議部署工業(yè)主機安全衛(wèi)士,通過主機應(yīng)用程序白名單機制,阻止非工作程序在主機上的操作運行,阻斷由于操作系統(tǒng)漏洞、應(yīng)用軟件漏洞而引起的惡意攻擊,同時通過安全U盤實現(xiàn)移動安全數(shù)據(jù)存儲。
網(wǎng)絡(luò)實時監(jiān)測與審計:在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計,建立業(yè)務(wù)通信模型實現(xiàn)對工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監(jiān)測和告警,同時對網(wǎng)絡(luò)中的攻擊行為、網(wǎng)絡(luò)會話、數(shù)據(jù)流量、重要操作等進行審計,實現(xiàn)安全事件的日志回溯和取證;在服務(wù)器區(qū)旁路部署數(shù)據(jù)庫審計,對數(shù)據(jù)庫的操作行為進行審計。
統(tǒng)一安全管理:建立安全監(jiān)管平臺,對工控網(wǎng)絡(luò)中的相關(guān)防護產(chǎn)品進行統(tǒng)一的管理及運維,對整網(wǎng)防護設(shè)備進行策略配置下發(fā)、對各設(shè)備進行集中化策略配置下發(fā)、存儲、備份、查詢、審計、告警、響應(yīng),并出具豐富的報表和報告,實時掌握工業(yè)控制網(wǎng)絡(luò)情況,獲悉工業(yè)控制網(wǎng)絡(luò)整體的安全狀態(tài),實現(xiàn)全生命周期的日志管理。
方案建設(shè)成效:
(1)工業(yè)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)隔離
通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會引入來自管理網(wǎng)風(fēng)險,保證生產(chǎn)網(wǎng)邊界安全;在各車間內(nèi)部工控系統(tǒng)進行一定手段的監(jiān)測、防護,保證車間內(nèi)部安全;最后對整個工控系統(tǒng)進行統(tǒng)一安全呈現(xiàn),將各個防護點組成一個全面的防護體系,保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運行。
(2)車間內(nèi)部監(jiān)測防護
在操作員站、工程師站、HMI等各類操作站部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控,防范主機非法訪問網(wǎng)絡(luò)其它節(jié)點;
部署工控異常監(jiān)測系統(tǒng),監(jiān)測工控網(wǎng)絡(luò)的相關(guān)業(yè)務(wù)異常和入侵行為,通過工控網(wǎng)絡(luò)中的流量關(guān)系圖形化展示梳理發(fā)現(xiàn)網(wǎng)絡(luò)中的故障,出現(xiàn)異常及時報警;
(3)實戰(zhàn)化未知威脅檢測
本方案監(jiān)測體系中除了具備常規(guī)的入侵檢測功能外,還可以從網(wǎng)絡(luò)流量中還原出文件并通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅;通過基因圖譜檢測技術(shù)檢測惡意代碼變種; 還可以通過沙箱行為檢測技術(shù)發(fā)現(xiàn)未知威脅;對抽取的網(wǎng)絡(luò)流量元數(shù)據(jù),進行情報檢測、異常檢測、流量基因檢測;最后將所有安全威脅進行關(guān)聯(lián)分析,實現(xiàn)對檢測及防御APT攻擊及工控網(wǎng)絡(luò)未知威脅;
(4)建立工控網(wǎng)絡(luò)安全可視化統(tǒng)一管理中心
將工控網(wǎng)中全要素數(shù)據(jù)進行收集整合,實現(xiàn)全局的網(wǎng)絡(luò)安全動態(tài)分析和監(jiān)測,提升網(wǎng)絡(luò)安全的感知能力;對大量的安全設(shè)備統(tǒng)一管理減少運維難度,并且排除環(huán)境中的安全設(shè)備分散問題,避免形成安全孤島;對大量日志進行建模分析,清洗、過濾、整合,實現(xiàn)對風(fēng)險趨勢的預(yù)測,將工控網(wǎng)絡(luò)的態(tài)勢狀況通過可視化圖形方式進行展示,生成多視圖、多角度、多尺度的工控網(wǎng)絡(luò)安全綜合態(tài)勢全景圖。
3、代表性及推廣價值
通過本次工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護項目,積累實踐經(jīng)驗,以網(wǎng)絡(luò)安全法律規(guī)范政策標(biāo)準(zhǔn)為基點,吸收國際先進的理念、模型和技術(shù),面向場景和實戰(zhàn)需求,系統(tǒng)化規(guī)劃和建設(shè),采用新理念、新方法、新架構(gòu)、新策略,構(gòu)建新一代的工控網(wǎng)絡(luò)安全防護體系,并積極布局輕量級工業(yè)信任體系,為習(xí)酒持續(xù)的工控網(wǎng)絡(luò)安全防御體系演進提供了空間。
通過本項目,實現(xiàn)了安全服務(wù)和安全產(chǎn)品部署同步,提供了有效的工控網(wǎng)絡(luò)安全防御體系,為數(shù)字化轉(zhuǎn)型提供網(wǎng)絡(luò)安全保障;通過本項目實踐,形成可橫向推廣經(jīng)驗,也是工業(yè)環(huán)境先進網(wǎng)絡(luò)安全防護的場景化實踐。本項目為習(xí)酒工控網(wǎng)絡(luò)安全和數(shù)字化轉(zhuǎn)型提供保障,同時符合工控等保、關(guān)基保護合規(guī)需求,是滿足合規(guī)和實戰(zhàn)化防御雙需求的一次積極實踐。
本項目方案既可作為整套解決方案,亦可根據(jù)需求滿足工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作要求,還可定制化網(wǎng)絡(luò)安全服務(wù)滿足相關(guān)管理需求。落地實現(xiàn)各行業(yè)工控網(wǎng)絡(luò)安全建設(shè)工作,示范效應(yīng)顯著,具有廣闊的市場前景,對于工業(yè)互聯(lián)網(wǎng)自身以及帶動生產(chǎn)行業(yè)的健康發(fā)展具有非常積極的意義。
北京市公安局海淀分局備案號:11010802023656號