今日頭條
官方微信
官方抖音
案例頻道隨著“工業(yè)4.0”、“中國(guó)制造2025”“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃等戰(zhàn)略的實(shí)施,網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和智能社會(huì)快速推進(jìn),各種新業(yè)務(wù)形態(tài)大量涌現(xiàn),中國(guó)制造業(yè)也在兩化深度融合的基礎(chǔ)上不斷進(jìn)行產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級(jí)轉(zhuǎn)型,在給人們的生產(chǎn)生活帶來(lái)了巨大變化的同時(shí),其開(kāi)放性、隱蔽性、跨地域性等特性,也使得網(wǎng)絡(luò)空間存在巨大的安全隱患,安全問(wèn)題日益突現(xiàn)、迅速放大,其一旦受到網(wǎng)絡(luò)攻擊,將會(huì)造成巨大經(jīng)濟(jì)損失和社會(huì)影響。加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防護(hù)不僅涉及企業(yè)自身利益,更是確保工業(yè)互聯(lián)網(wǎng)在各領(lǐng)域能夠落地實(shí)施的前提,也是產(chǎn)業(yè)安全和國(guó)家安全的重要基礎(chǔ)和保障。
本方案立足石油石化現(xiàn)狀,以某油庫(kù)工控安全加固建設(shè)為例,參考企業(yè)信息化建設(shè)實(shí)踐經(jīng)驗(yàn),結(jié)合新技術(shù)發(fā)展,制定具備戰(zhàn)略性、前瞻性、可落地性的工控系統(tǒng)安全防護(hù)方案。該方案可廣泛應(yīng)用于智能制造、能源、水利、醫(yī)療、電力等領(lǐng)域。本案中某油庫(kù)通過(guò)工業(yè)互聯(lián)網(wǎng)建設(shè),實(shí)現(xiàn)了數(shù)字油庫(kù)工控系統(tǒng)構(gòu)建,最終建成了自動(dòng)化、信息化、智能化的智慧能源運(yùn)營(yíng)體系。通過(guò)本方案實(shí)施,最終實(shí)現(xiàn)了某油庫(kù)工控安全防護(hù)體系的整體建設(shè)。
本方案詳細(xì)方案設(shè)計(jì)包括工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、工控系統(tǒng)主機(jī)防護(hù)與預(yù)警設(shè)計(jì)、服務(wù)器終端監(jiān)測(cè)與響應(yīng)(EDR)、身份認(rèn)證系統(tǒng)設(shè)計(jì)。
1.工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)
本方案針對(duì)某油庫(kù)系統(tǒng)的特點(diǎn),由內(nèi)而外設(shè)計(jì),與工控廠商結(jié)合,著眼于茁壯性的機(jī)制,從控制系統(tǒng)“自生長(zhǎng)”出來(lái)的保護(hù)方案。具體如下所示:
安全覆蓋該系統(tǒng)整個(gè)生命周期解決方案;
通過(guò)多種手段提高該系統(tǒng)的整體安全性;
源自該系統(tǒng)內(nèi)部,并非外部補(bǔ)償性措施;
監(jiān)測(cè)與防御相結(jié)合,產(chǎn)品與服務(wù)相補(bǔ)充;
總體防護(hù)設(shè)計(jì):
本方案為某油庫(kù)工業(yè)控制網(wǎng)絡(luò)提供了全方位的綜合防御與保護(hù),并且完整覆蓋了工業(yè)控制系統(tǒng)整個(gè)生命周期。
在軟件層面上, 該平臺(tái)建立在機(jī)器智能學(xué)習(xí)引擎、深度數(shù)據(jù)包解析引擎和開(kāi)放式特征匹配三大功能引擎之上,支持工控協(xié)議和工業(yè)以太網(wǎng)協(xié)議,同時(shí)適用于PLC、DCS、SCADA等現(xiàn)場(chǎng)環(huán)境,不僅具備多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過(guò)濾、報(bào)警、阻斷功能,同時(shí)擁有基于工業(yè)漏洞庫(kù)的黑名單入侵防御功能,和基于機(jī)器智能學(xué)習(xí)引擎的白名單主動(dòng)防御功能、以及大規(guī)模分布式實(shí)時(shí)網(wǎng)絡(luò)部署和更新等功能,并提供高度開(kāi)放的平臺(tái)開(kāi)發(fā)工具包。
硬件層面上,該平臺(tái)具有全封閉、無(wú)風(fēng)扇、多電源冗余、硬件加密等特點(diǎn),確保達(dá)到苛刻的可靠性和穩(wěn)定性要求。
智能保護(hù)系統(tǒng)能夠識(shí)別出網(wǎng)絡(luò)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,及時(shí)對(duì)其進(jìn)行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù)。
根據(jù)上述情況總體防護(hù)拓?fù)淙缦拢?/p>
圖:總防護(hù)示意圖
區(qū)域安全隔離設(shè)計(jì):
區(qū)域隔離:智能工業(yè)防火墻可以根據(jù)工業(yè)網(wǎng)絡(luò)的區(qū)域劃分,對(duì)每個(gè)區(qū)域進(jìn)行數(shù)據(jù)保護(hù),做到橫向隔離,縱向保護(hù)的安全數(shù)據(jù)過(guò)濾隔離。通過(guò)訪問(wèn)控制實(shí)現(xiàn)網(wǎng)絡(luò)的結(jié)構(gòu)安全性,滿(mǎn)足實(shí)際應(yīng)用需求。支持Modbus/TCP,OPC,IEC104,DNP3,Profinet,MMS等眾多工業(yè)協(xié)議深度包檢測(cè)和智能白名單學(xué)習(xí)及規(guī)則部署。
智能工業(yè)防火墻除了支持自身安全管理外,同時(shí)支持安全監(jiān)管平臺(tái)的集中管理,形成“近可分流,遠(yuǎn)可聯(lián)動(dòng)”的整體工控網(wǎng)絡(luò)安全解決方案,全方位保護(hù)工控網(wǎng)絡(luò)安全,充分保障客戶(hù)安全投入的價(jià)值。
圖區(qū)域安全隔離部署示意圖
1.1 網(wǎng)絡(luò)監(jiān)測(cè)審計(jì)
監(jiān)測(cè)審計(jì):采用監(jiān)測(cè)審計(jì)系統(tǒng)對(duì)工業(yè)控制網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)告警系統(tǒng),通過(guò)特定的安全策略,快速識(shí)別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊并實(shí)時(shí)告警,提高了整個(gè)系統(tǒng)的監(jiān)測(cè)預(yù)警能力有利于對(duì)每個(gè)目標(biāo)的安全防護(hù)。
圖監(jiān)測(cè)審計(jì)部署示意圖
1.2 控制器保護(hù)
控制器終端保護(hù):保護(hù)系統(tǒng)為工業(yè)控制網(wǎng)絡(luò)提供了底層及終端設(shè)備全方位的綜合防御與保護(hù),保護(hù)系統(tǒng)能夠識(shí)別出網(wǎng)絡(luò)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,及時(shí)對(duì)其進(jìn)行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù)。
圖控制器智能保護(hù)部署示意圖
2.工控系統(tǒng)主機(jī)防護(hù)與預(yù)警設(shè)計(jì)
2.1總體設(shè)計(jì)思路
工控系統(tǒng)主機(jī)防護(hù)與預(yù)警設(shè)計(jì)包括三方面的內(nèi)容:檢測(cè)與預(yù)警、控制、管理。
監(jiān)測(cè)與預(yù)警
通過(guò)工控上位機(jī)攻擊行為跟蹤分析、工控異常行為審計(jì)、工控安全態(tài)勢(shì)感知及預(yù)計(jì)等功能實(shí)現(xiàn)工業(yè)控制系統(tǒng)的安全檢測(cè)與預(yù)警,全天候全方位感知工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)。掌握攻擊發(fā)起的時(shí)間、地點(diǎn)、攻擊方式、攻擊路徑和攻擊目的/目標(biāo)。
控制及防御
通過(guò)主動(dòng)防御系統(tǒng)ICS-PDS對(duì)已知和未知威脅進(jìn)行感知、跟蹤、識(shí)別、控制和處理(清除惡意程序),使進(jìn)入工業(yè)控制網(wǎng)絡(luò)上位機(jī)的惡意程序得到清除處理,守住工業(yè)控制系統(tǒng)安全防御的最后一道防線。
管理
通過(guò)工業(yè)控制系統(tǒng)安全管理平臺(tái),對(duì)工業(yè)控制系統(tǒng)所部署的安全系統(tǒng)及所產(chǎn)生安全事件進(jìn)行集中統(tǒng)一管理,建立集中統(tǒng)一安全管理策略及安全事件應(yīng)急處置機(jī)制和流程。
2.2功能設(shè)計(jì)
2.2功能設(shè)計(jì)
主動(dòng)防御系統(tǒng)由三大防御體系構(gòu)成
圖主動(dòng)防御體系構(gòu)成
對(duì)建立的事前、事中、事后防御體系的安全事件及攻擊行為進(jìn)行關(guān)聯(lián)分析
具有六大子防御系統(tǒng)構(gòu)成上位機(jī)防御體系
圖主動(dòng)防御安全保護(hù)模型
部署在上位機(jī)的ICS-PDS的防御引擎具備對(duì)未知和已知攻擊進(jìn)行實(shí)時(shí)對(duì)抗的能力;
主動(dòng)防御系統(tǒng)具有安全檢測(cè)及安全加固功能;
對(duì)惡意代碼或惡意程序的處理提供系統(tǒng)自動(dòng)處理與人工干預(yù)處理(即手動(dòng)處理)兩種模式。
3.0服務(wù)器終端檢測(cè)與響應(yīng)(EDR)
為保證終端計(jì)算機(jī)的安全,禁用所有USB設(shè)備,只允許使用鼠標(biāo)鍵盤(pán)設(shè)備。
3.1端安全加固
對(duì)終端計(jì)算機(jī)的安全加固,可采取的措施有:補(bǔ)丁管理、防病毒軟件監(jiān)測(cè)、主機(jī)防火墻,上述措施均增強(qiáng)了終端計(jì)算機(jī)的安全性和健壯性。
3.2行為監(jiān)控
對(duì)用戶(hù)行為的監(jiān)控,包括用戶(hù)網(wǎng)絡(luò)資源的進(jìn)程監(jiān)控、上網(wǎng)控制。
3.3終端配置管理
配置管理主要完成終端計(jì)算機(jī)的各種信息的收集和系統(tǒng)參數(shù)的配置。通過(guò)配置管理,IT管理人員可以準(zhǔn)確掌握每臺(tái)終端計(jì)算機(jī)的配置狀況和運(yùn)行參數(shù),并批量地對(duì)終端計(jì)算機(jī)的運(yùn)行參數(shù)進(jìn)行遠(yuǎn)程修改。
3.4遠(yuǎn)程維護(hù)管理
遠(yuǎn)程維護(hù)就是依靠技術(shù)手段和工具,遠(yuǎn)程對(duì)終端計(jì)算機(jī)進(jìn)行故障診斷、系統(tǒng)修復(fù)和日常維護(hù)等。
3.5軟件分發(fā)管理
軟件分發(fā),支持分發(fā)任意類(lèi)型軟件,包括:程序生成安裝包、MSI安裝包、獨(dú)立軟件安裝包、各類(lèi)腳本、文檔。同時(shí)還需支持在登錄用戶(hù)是普通用戶(hù)權(quán)限(無(wú)安裝權(quán)限)情況下,進(jìn)行軟件自動(dòng)分發(fā)、安裝。
3.6資產(chǎn)管理
系統(tǒng)自動(dòng)登記終端計(jì)算機(jī)的硬件配置(包括CPU類(lèi)型、主頻、內(nèi)存、硬盤(pán)、顯示卡、網(wǎng)卡等等),并自動(dòng)將終端計(jì)算機(jī)的操作系統(tǒng)、安裝的軟件、運(yùn)行的程序和服務(wù)、系統(tǒng)日志、共享資源以及補(bǔ)丁、端口等信息統(tǒng)計(jì)匯總,可以按設(shè)備類(lèi)型、部門(mén)等方法對(duì)設(shè)備進(jìn)行分類(lèi)管理,使得系統(tǒng)管理員能夠輕松自如地管理著整個(gè)網(wǎng)絡(luò)的硬件、軟件資源,及時(shí)洞察系統(tǒng)配置的變動(dòng)。
3.7網(wǎng)絡(luò)管理
系統(tǒng)自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備(設(shè)備的IP地址),通過(guò)系統(tǒng)提供的智能學(xué)習(xí)功能,自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu),生成網(wǎng)絡(luò)物理連接拓?fù)鋱D。
3.8設(shè)備監(jiān)控管理
系統(tǒng)自動(dòng)登記受控終端的硬件配置(包括CPU、內(nèi)存、硬盤(pán)、顯示卡、網(wǎng)卡等等),當(dāng)受控終端的硬件發(fā)生變動(dòng)時(shí)能自動(dòng)向安全管理核心系統(tǒng)發(fā)出報(bào)警信息;
4.身份認(rèn)證系統(tǒng)設(shè)計(jì)
身份管理平臺(tái)包括統(tǒng)一身份管理、統(tǒng)一應(yīng)用管理、集中賬號(hào)管理、身份庫(kù)查詢(xún)API、身份庫(kù)管理API、統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、分級(jí)管理、安全審計(jì)與用戶(hù)行為分析、分布式認(rèn)證部署、系統(tǒng)自身安全保障。
通過(guò)與統(tǒng)一身份認(rèn)證系統(tǒng)的集成,可以實(shí)現(xiàn)以下使用效果:
提高用戶(hù)身份管理、應(yīng)用系統(tǒng)帳號(hào)的管理效率,管理員可以在統(tǒng)一身份認(rèn)證平臺(tái)上對(duì)所有的應(yīng)用系統(tǒng)進(jìn)行集中的帳號(hào)管理。
通過(guò)與HR信息聯(lián)動(dòng)的用戶(hù)全生命周期管理,從人員入職帳號(hào)自動(dòng)開(kāi)通到離職時(shí)自動(dòng)注銷(xiāo)及帳號(hào)的歸檔管理。
通過(guò)與應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證集成,用戶(hù)使用手機(jī)安全令或UKey等強(qiáng)認(rèn)證方式登錄應(yīng)用系統(tǒng),整體上提升應(yīng)用系統(tǒng)訪問(wèn)的安全性,最大程度降低用戶(hù)名口令方式帶來(lái)的安全隱患。
對(duì)于不同安全級(jí)別的應(yīng)用系統(tǒng)及同一應(yīng)用系統(tǒng)中的關(guān)鍵操作可以通過(guò)策略配置進(jìn)行二次認(rèn)證,保證系統(tǒng)訪問(wèn)的安全。
用戶(hù)在所有平臺(tái)的訪問(wèn)及關(guān)鍵操作都將被審計(jì)平臺(tái)全部進(jìn)行基于自然人的審計(jì),并形成圖形化展示報(bào)表。
可以快速的實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)的集成,更大范圍內(nèi)保護(hù)應(yīng)用系統(tǒng)的使用安全。
統(tǒng)一身份認(rèn)證管理平臺(tái)的應(yīng)用構(gòu)架方案適用于企業(yè)多個(gè)應(yīng)用系統(tǒng)的集中管理需求,可以真正實(shí)現(xiàn)一個(gè)實(shí)名用戶(hù)永遠(yuǎn)只在企業(yè)中有一個(gè)唯一的身份及一套證明其身份的認(rèn)證方式。采用此方案,真正的將原有對(duì)賬戶(hù)資源基本的管理及認(rèn)證改變?yōu)橐宰匀蝗藶橹黧w的安全認(rèn)證管理模式。讓用戶(hù)無(wú)論是在互聯(lián)網(wǎng)訪問(wèn)企業(yè)的郵件系統(tǒng),或通過(guò)企業(yè)辦公網(wǎng)絡(luò)訪問(wèn)OA系統(tǒng)都采用相同的身份及認(rèn)證方式。
5.結(jié)論
通過(guò)對(duì)于某油庫(kù)的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、工控系統(tǒng)主機(jī)防護(hù)與預(yù)警設(shè)計(jì)、服務(wù)器終端監(jiān)測(cè)與響應(yīng)(EDR)、身份認(rèn)證系統(tǒng)設(shè)計(jì),最終完成油庫(kù)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系和應(yīng)用系統(tǒng)宗盛防御體系建設(shè)。新建立的信息安全保障體系,可以為針對(duì)信息系統(tǒng)的各種攻擊行為建立完善的防御和監(jiān)管措施。其部署實(shí)施具有極有具有重要的意義和價(jià)值:
1.滿(mǎn)足安全合規(guī)要求
使企業(yè)工控系統(tǒng)符合國(guó)家安全性政策法規(guī),滿(mǎn)足其工業(yè)網(wǎng)絡(luò)安全的剛性需求。
2.提高油庫(kù)安全防護(hù)性
為企業(yè)工控網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行提供了基礎(chǔ)保障,實(shí)現(xiàn)病毒、木馬等惡意程序的防護(hù),可防范內(nèi)外部人員攻擊、軟件后門(mén)利用等多種威脅,顯著加強(qiáng)企業(yè)自身工控系統(tǒng)防范和預(yù)警感知能力,有效保障企業(yè)及國(guó)民經(jīng)濟(jì)的穩(wěn)定發(fā)展。
3.優(yōu)化資源配置
在滿(mǎn)足合規(guī)要求的同時(shí),利用業(yè)主本身現(xiàn)有資源,在有限資源條件下最大限度的提升安全防護(hù)水平。
4.樹(shù)立標(biāo)桿形成示范
針對(duì)工控系統(tǒng)的技術(shù)特點(diǎn)以及企業(yè)自身的業(yè)務(wù)特點(diǎn),實(shí)現(xiàn)從管理到技術(shù)的完整覆蓋,充分滿(mǎn)足監(jiān)管及未來(lái)業(yè)務(wù)發(fā)展需要,為能源類(lèi)企業(yè)工控安全防護(hù)積累經(jīng)驗(yàn),起到良好的示范作用。
本方案可推廣適用于SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng),可廣泛應(yīng)用于石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市供水供氣供熱等工業(yè)控制系統(tǒng)中。本方案的布局實(shí)施,將為我國(guó)工業(yè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力的全面提升提供助力,為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施防護(hù)和網(wǎng)絡(luò)安全防護(hù)體系建設(shè)貢獻(xiàn)力量。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)