今日頭條
官方微信
官方抖音
資訊頻道1、背景介紹
海爾智家以工業互聯網為基礎支撐,應用于設計、生產、制造、管理、服務等諸多環節,具有高效精準決策、實時動態優化、敏捷靈活響應等特征。海爾智家的工業互聯網依托“人/機/物”的互聯互通,打通產業要素、產業鏈和價值鏈,推動建立工業生產制造與服務新體系,奠定了全新工業生態和新型應用模式的關鍵基礎。當前海爾智家的智能制造、工業互聯網的實質均是數據驅動的智能化,二者融合發展相得益彰。當前形成以網絡互聯為基礎、以工業互聯網平臺為核心的信息制造體系,打造了制造業新生態,對我國制造業發展產生了深遠的影響。
工業控制系統網絡技術的發展雖然為海爾智家的發展以及智慧工廠的推行提供了便利,但同時須面對工業控制系統安全的嚴峻挑戰。與傳統的基于TCP/IP協議的傳統網絡信息系統的安全不同,工業基礎設施中關鍵ICS的安全事件會導致系統性能下降,影響系統可用性、關鍵控制數據被篡改或丟失、失去控制、環境災難、人員傷亡、公司聲譽受損、危及公眾生活及國家安全等危害。
近年來,智能制造行業工業生產系統網絡安全事件頻發,大多數工業安全事件是以生產車間現場的工業主機為主要突破口,其中最為典型的就是 WannaCry勒索病毒攻擊事件,2017年“永恒之藍”勒索病毒攻擊事件在全球爆發,大量的工業現場主機受到感染,導致工業主機頻繁出現藍屏死機、文件加密、產線被迫停產等問題。因此海爾智家智慧工廠在進行安全建設的過程中,需重點實現對海爾智家生產車間的主機進行安全防護,打造基于主機安全、設備安全、網絡安全、數據安全的多層次縱深防御體系,形成工業企業安全防護服務能力。
2、目標與原則
(1)項目建設目標
目標一:搭建工業主機安全防護體系,部署7000點+工業白名單軟件
? 工業主機衛士采用的“白名單+”防護技術結合惡意文件檢查,能夠有效抵御病毒、木馬、惡意軟件、0-day攻擊等對工控網絡工作站、服務器的攻擊與破壞行為。并基于工業環境中主機特點進行適配和兼容,真正幫助企業在保證穩定生產的同時發現工控網絡攻擊,減少蠕蟲、木馬病毒的攻擊,特別是防止勒索病毒、挖礦病毒的攻擊;
? 工業主機衛士的主機加固功能,提高系統訪問權限,保障數據正常流向,增強操作系統的免疫能力;對外能夠加強對USB存儲/非USB存儲的管控,防止外設帶毒引發主機中毒危險,提升工業生產網安全運維。
? 工業主機衛士白名單策略只允許可信的白名單程序可運行,從源頭上阻止惡意文件的執行和擴散,提升工業主機的安全穩定運行能力;
? 工業衛士軟件采用輕量的白名單機制對主機進行防護,系統資源占用少,安裝部署后對工控系統零影響,無需重啟系統。并且支持在不影響使用的情況下對工控軟件的安裝和升級。
目標二:實現工業信息安全平臺化管理,部署2級管理平臺聯動體系
? 管理平臺對主機防護軟件的實時狀態、配置下發歷史、資源消耗、及安全事件統一管理,保障多層級工業網絡拓撲的實時數據展示,隨時掌握生產主機的運行情況;
? 管理平臺可實現單點防護軟件遠程管理,在管理中心可實現對主機防護全部功能配置下發,提高安全運維人員工作效率;
? 實時掌握生產網絡安全態勢,幫助用戶呈現整體區域資產網絡拓撲,實時掌握企業安全態勢,發生威脅攻擊事件可及時響應處理;
? 通過監管平臺實現自動灰過白,保證工業主機衛士的白名單的可信性,防止惡意程序偽裝成白名單進程,從而破壞主機的正常運轉。
? 通過中心級與園區級平臺的聯動,可對終端進行手工或自動創建分組,并將相應的終端加入相應分組,組內管理相對應的終端,中心級平臺可對地區級平臺實現異地管控。可對園區二級安全管理平臺下發策略,區級安全管理平臺對終端下發同步策略,實現工業主機衛士的多級管理聯動管理。
? 管理平臺可通過syslog日志進行安全日志的轉發,并可以與未來的態勢感知平臺進行無縫對接。
目標三:滿足法律法規要求,逐步完善工控安全防護體系
? 項目建設完成后可滿足等級保護要求構建“一個中心,三重防護“為網絡安全技術設計的總體思路,對安全計算環境、安全區域邊界、安全通信網絡進行統一管理,同時滿足未來監管部門在信息安全層面上的硬性要求。
? 補充完善部分智慧工廠安全防護技術措施,所部署產品包括工業防火墻、工業網絡審計、日志審計系統、工業堡壘機等;
? 管理平臺可對邊界安全防護設備、安全審計設備進行統一管控和策略下發,建立并持續完善生產廠區工控系統安全防護體系。
(2)項目建設原則
對于工控系統信息安全建設,應當以適度安全為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統,在方案設計中應當遵循以下的原則:
? 重點保護原則
根據信息系統的重要程度、業務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
? 適度安全原則
任何信息系統都不能做到絕對的安全,過多的安全要求必將造成易用性降低和運行的復雜性,因此要在安全需求、安全風險和易用性之間進行平衡和折中。
? 風險管理原則
進行安全風險管理,確認可能影響信息系統的安全風險,正確的識別風險、合理的管理風險,并讓信息系統的安全風險降低到可以接受的水平以內。
? 分權制衡原則
在信息系統中,對所有權限應該進行適當地劃分,使每個授權主體只能擁有其中的一部分權限,使他們之間相互制約、相互監督,共同保證信息系統的安全。
? 標準化原則
在方案設計和設備選型方面必須遵循國家以及行業內的相關標準,并充分考慮不同產品之間的兼容性。
? 統一安全管理原則
在方案設計中主機、網絡設備、安全設備、應用系統、數據庫等必須遵循統一安全管理的要求。
3、案例實施與應用情況
(1)項目規劃
基于海爾智家下屬園區企業的工業網絡安全防護需求,依靠工業信息安全保障建設框架,建設網絡安全縱深防御體系框架,打造工業企業安全運營與管理平臺,提升工業企業安全與運營管理能力,構建多層次一體化工業網絡安全防御能力,為工業企業的數字化轉型升級提供保障。基于整體安全建設規劃,在當前階段主要優先考慮到要針對工業主機進行系統化的安全防護建設,工業主機做為連接信息世界和物理世界的“橋梁”,做好工業主機的安全防護和控制是保障工業互聯網安全的核心。一旦工業主機遭受攻擊和破壞,必然會導致企業經營的損失。從工業企業現狀來看,工業主機主要面臨勒索病毒攻擊、漏洞利用攻擊和外設引入病毒等潛在安全威脅。工業主機大多數采用 Windows 系統,存在大量的系統漏洞,且無漏洞補丁可打,工業主機存在很多的脆弱性風險,在眾多的終端安全防護問題中,USB 等外設設備濫用的問題特別突出,容易遭受病毒攻擊,所以有必要優先建立一套完善的主機防護系統。
(2)實施與應用的詳細情況
該案例至目前為止已覆蓋海爾智家冰箱、洗滌、空氣、熱水器、廚電五大產業17個園區52家工廠,涉及產品包括工業防火墻、工業網絡審計、日志審計系統、工業堡壘機、工業態勢感知、統一安全監管平臺等軟硬件一體化設備若干及工業主機衛士軟件7000+點,生產網絡中工業主機基本使用Windows操作系統,還有部分Linux系統,存在大量安全隱患。針對工控安全環境下的主機安全及等級保護需求,需要針對工業環境下的工控主機進行安全防護和主機加固,搭建基于工控系統主機的入侵防護機制,提升主機安全防護水平,鑒于工控主機資源配置低、操作系統版本參差不齊,主機防護軟件采用基于“工業白名單技術”的工業主機衛士軟件進行安全防護,具備病毒阻止、木馬阻止、惡意程序防護、未授權的應用程序和服務阻止,能夠及時識別惡意病毒并告警。此外,需要集成自適應分析學習功能,通過控制行為邏輯安全性判斷、分布式邏輯行為的綜合分析等,實現異常控制程序、指令等實時分析反饋。
針對工業現場上位機和服務器進行主機安全監控和加固,集成文件、目錄、注冊表、進程、服務、用戶、外設多種類型的訪問控制和防護手段,能確保在工業環境下業務安全穩定地運行,避免外部安全威脅和非法人員操作,有效地阻斷黑客入侵、敏感信息泄漏等多種安全威脅,將傳統操作系統升級為安全操作系統,彌補了傳統信息安全防護手段的缺陷,為工業環境及行業提供一套完整的主機安全防護和加固方案。
部署示意圖
在每個園區分廠的工控機上部署工業主機衛士軟件,防止惡意程序啟動。提供完全適用于工業互聯網絡環境的專業主機安全防護,能有效防護IT網絡病毒和工控病毒如勒索病毒、“震網”病毒,控制不明程序、移動存儲介質和網絡通信的濫用,有效提高工控網絡的綜合“免疫”能力。工業工業主機衛士軟件部署在工控內網Windows工作站或服務器,配合安全管理中心監管平臺可進行多節點下發策略、實時告警、日志匯總和統一管理。所有工業主機衛士軟件通過網絡連接到統一管理平臺,管理員可對所有工業主機衛士軟件客戶端下發規則和策略,并進行日志分析統計。
(3)案例創新性
功能亮點
? 代理模式:此特色功能代理模式,工業衛士支持通過代理模式進行管理,滿足多個隔離網絡的集中配置管理,可在隔離網絡中進行單向數據接收。能夠解決海爾生產現場測試發現的工廠主機網絡受限情況,通過其他廠區內其他未受限主機外聯至管理平臺,實現平臺對受限主機的納管,保障平臺對所有主機的納管能力。
? 白名單追蹤:此功能能夠減少運維人員后期維護的工作量,并提高工業主機運行穩定性。對于白名單內的程序如有更新升級或釋放腳本,可對升級、新產生的文件自動追蹤加入白名單,避免了生產現場程序出錯與反復多次掃描添加白名單。
? 安全基線檢查與加固:此功能應國家等保三級標準要求,可對主機安全進行加固,提升了工業主機的安全防護能力,檢查工控主機操作系統的安全配置是否合規,能否達到預期的網絡安全基本要求。
? 管理平臺跳轉主機衛士:此功能支持通過監管平臺可遠程跳轉至對應主機的衛士界面,便于遠程調整安全配置,避免安全運維管理人員頻繁生產車間走動現場調試,提高了后期運維效率。
? 工業組態管理:此功能通過工業主機作為探針,能夠自動獲取終端上的組態信息,并上傳到管理平臺,實現對PLC等控制設備的監控和管理,便于海爾智家對PLC等設備的統一信息收納與匯總。
性能亮點
? 資源占用低、部署不重啟:工業衛士軟件采用輕量的白名單機制對主機進行防護,系統資源占用少,安裝部署后對工控系統零影響,無需重啟系統。支持在不影響使用的情況下對工控軟件的安裝和后臺升級,能夠適應海爾生產現場部分工業終端的配置較低的情況。
? 操作系統、工業軟件兼容廣:工業衛士收集大量工控現場使用的不同操作系統及常見工控軟件,配置內置白名單庫。其中操作系統包括Win sever 2008、Win sever 2012、Win sever 2018、Win2000、Win XP、Win 7、Win10、Linux、Unix、銀河麒麟、麒麟信安、統信、凝思等;適配工控系統軟件包括西門子WINCC、施耐德Intouch/Citech、GE Ifix/Cimplcity、羅克韋爾Rsview、北京亞控Kingview、力控Forcecontrol等國內外主流工控廠商工業應用軟件。能夠保障衛士與工控軟件及操作系統良好的兼容性,對海爾生產制造業務零影響。
運維亮點
? 多重管理方式:針對工控主機操作系統老舊,界面和鼠標操作困難,以及主機鎖在玻璃柜中,主機位置特殊,觸摸屏不易操作等問題。工業衛士支持遠程web界面登陸且功能界面完全一致,能方便用戶實時遠程設置白名單、查看審計事件、配置主機加固策略、進行用戶管理等。對于多主機的集群部署,還可通過監管平臺進行遠程運維管理。
? 多集群高可靠:可通過監管平臺對工業衛士進行遠程運維管理,且兼容冗余雙環網結構,工業衛士支持雙鏈路主備模式和多集群模式,工業衛士支持向兩個集群地址發送數據,向三個日志服務器發送日志,充分保證數據備份與安全。
(4)交付過程中典型技術問題及解決思路
? 更新MES系統不可用
現場情況:采用的MES系統,經常會通過內部網絡向工業主機傳送新的文件程序,在交付工業衛士時發現,啟動白名單后會導致其MES更新失敗導致不可使用,但客戶又需要將MES程序納入白名單進行防護。
解決思路:通過對MES程序下發定位分析,其更新程序是通過推送傳輸至工業主機,非程序主動釋放的組件,所以工業衛士的白名單自動跟蹤功能無法跟蹤,通過工業衛士的目錄白名單解決這一問題,將MES系統更新文件路徑目錄追加為目錄白名單,其余任采用文件白名單,能夠保證在整體白名單防護的情況下MES系統更新文件的識別,不影響MES系統更新。
? 在防護模式下攔截MTT集線器,導致觸摸不可用
現場情況:在防護模式下攔截MTT集線器,導致觸摸不可用,該外設較特殊,無法被自動掃描到,須手動對相關主機MTT集線器加入外設白名單。
解決思路:手動重啟主機并掃描每臺含有MTT集線器設備,確保外設已加白名單。
4、應用價值與效益
(1)工業主機安全防護能力大幅提升
實現對工業主機的威脅分析和預警,能夠有效抵御勒索病毒、蠕蟲病毒、木馬、惡意軟件、0-day攻擊等對工控網絡主機的攻擊與破壞行為,自目前為止累計7700+個病毒文件被清除,主要樣本為tasksche、svchost、mssecsvr、mssecsvc等木馬、勒索類病毒等。基于工業環境中主機特點進行適配和兼容,幫助企業在保證穩定生產的同時發現工控網絡攻擊。同時提高系統訪問權限,保障數據正常流向,增強操作系統的免疫能力;對外能夠加強對 USB 存儲/非 USB 存儲的管控,防止外設帶毒引發主機中毒危險,提升工業生產網安全運維,實現工業主機從啟動、加載、運行等過程全生命周期的安全防護。
(2)滿足法律法規要求,逐步完善工控安全防護體系
部分智慧工廠可滿足等級保護“一個中心,三重防護”相關要求,補充完善部分智慧工廠安全防護技術措施,管理平臺已實現對邊界安全防護設備、安全審計設備進行統一管控和策略下發,建立并持續完善生產廠區工控系統安全防護體系。
北京市公安局海淀分局備案號:11010802023656號