今日頭條
官方微信
官方抖音
案例頻道★周圍北京惠而特科技有限公司
關(guān)鍵詞:白名單自學(xué)習(xí);實(shí)戰(zhàn)化;輕量級(jí)信任
1 項(xiàng)目概況
1.1 項(xiàng)目背景
在“兩化”融合的行業(yè)發(fā)展需求下,現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面:一是信息化與工業(yè)化的深度融合;二是為了提高生產(chǎn)高效運(yùn)行和生產(chǎn)管理效率,國(guó)內(nèi)眾多行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化、集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強(qiáng),工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系。
德國(guó)的工業(yè)4.0標(biāo)準(zhǔn)、美國(guó)的“工業(yè)互聯(lián)網(wǎng)”以及“先進(jìn)制造業(yè)國(guó)家戰(zhàn)略計(jì)劃”、日本的“科技工業(yè)聯(lián)盟”、英國(guó)的“工業(yè)2050戰(zhàn)略”、中國(guó)的“互聯(lián)網(wǎng)+”和“中國(guó)制造2025”等相繼出臺(tái),它們對(duì)工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。未來(lái)工業(yè)控制系統(tǒng)將會(huì)有一個(gè)長(zhǎng)足發(fā)展,工業(yè)趨向于自動(dòng)化、智能化,系統(tǒng)之間的互聯(lián)互通也更加緊密,面臨的安全威脅也會(huì)越來(lái)越多。
習(xí)酒作為自動(dòng)化程度較高的醬香白酒生產(chǎn)企業(yè),在享受自動(dòng)化、數(shù)字化帶來(lái)的產(chǎn)能提升、人力釋放的收益的同時(shí),也會(huì)面臨因生產(chǎn)工業(yè)設(shè)備聯(lián)網(wǎng)而帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
1.2 項(xiàng)目簡(jiǎn)介
參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等國(guó)家標(biāo)準(zhǔn)要求,在現(xiàn)有安全保護(hù)措施的基礎(chǔ)上,我們?nèi)媸崂矸治霭踩Wo(hù)需求,并結(jié)合風(fēng)險(xiǎn)評(píng)估和調(diào)研過程中發(fā)現(xiàn)的問題隱患,按照“一個(gè)中心(安全管理中心)、三重防護(hù)(安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境)”的要求,開展網(wǎng)絡(luò)安全建設(shè)和整改加固,全面落實(shí)安全保護(hù)技術(shù)措施,并依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南》做好企業(yè)自身分級(jí)分類自評(píng)及備案準(zhǔn)備。
加強(qiáng)網(wǎng)絡(luò)安全管理,建立完善人員、教育培訓(xùn)、系統(tǒng)安全建設(shè)和運(yùn)維等管理制度,加強(qiáng)機(jī)房、設(shè)備和介質(zhì)安全管理,強(qiáng)化重要數(shù)據(jù)和個(gè)人信息保護(hù),制定操作規(guī)范和工作流程,加強(qiáng)日常監(jiān)督和考核,確保各項(xiàng)管理措施有效落實(shí)。
1.3 項(xiàng)目目標(biāo)
白酒行業(yè)的工業(yè)化進(jìn)程,分別在制曲機(jī)械化、發(fā)酵工藝機(jī)械化、蒸餾工業(yè)機(jī)械化、調(diào)酒計(jì)算機(jī)集成制造技術(shù)和灌裝、包裝、成品庫(kù)智能管理五個(gè)領(lǐng)域展開,將推進(jìn)我國(guó)白酒傳統(tǒng)生產(chǎn)方式的機(jī)械化升級(jí),進(jìn)而推動(dòng)整個(gè)行業(yè)向信息化、智能化轉(zhuǎn)型。
習(xí)酒工業(yè)生產(chǎn)線包括了半自動(dòng)生產(chǎn)線和全自動(dòng)化生產(chǎn)線,工藝內(nèi)容包括準(zhǔn)備酒瓶、清洗、吹干、灌裝、瓶蓋、打標(biāo)、漏液檢測(cè)、液位測(cè)試、水平傳輸、噴碼、分瓶、分盒、AI識(shí)別、裝盒、垂直傳輸、機(jī)械手搬運(yùn)、裝箱、打捆、機(jī)械手臂分揀、AGV小車搬運(yùn)、立體倉(cāng)庫(kù)等自動(dòng)化控制內(nèi)容。
但習(xí)酒工控系統(tǒng)在防護(hù)措施中和在缺少防護(hù)措施時(shí)系統(tǒng)所具有的弱點(diǎn),而工控系統(tǒng)內(nèi)部的脆弱性問題是導(dǎo)致系統(tǒng)易受攻擊的主要因素。脆弱性問題的根源可概括為以下幾個(gè)方面:通信協(xié)議漏洞、操作系統(tǒng)漏洞、應(yīng)用軟件漏洞、工控設(shè)備后門和漏洞、網(wǎng)絡(luò)結(jié)構(gòu)漏洞、安全策略和管理流程漏洞、外部風(fēng)險(xiǎn)來(lái)源、商業(yè)外部滲透。
本項(xiàng)目工控安全建設(shè)將依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和指導(dǎo)規(guī)范,對(duì)習(xí)酒工業(yè)控制網(wǎng)絡(luò)按照“整體保護(hù)、綜合防控”的原則進(jìn)行安全建設(shè)方案的設(shè)計(jì),按照等級(jí)保護(hù)三級(jí)的要求進(jìn)行安全建設(shè)的規(guī)劃,并對(duì)安全建設(shè)進(jìn)行統(tǒng)一規(guī)劃和設(shè)備選型,實(shí)現(xiàn)方案合理、組網(wǎng)簡(jiǎn)單、擴(kuò)容靈活、標(biāo)準(zhǔn)統(tǒng)一、經(jīng)濟(jì)適用的建設(shè)目標(biāo)。
本項(xiàng)目將在保證系統(tǒng)可用性的前提下,對(duì)習(xí)酒工業(yè)控制系統(tǒng)進(jìn)行防護(hù),實(shí)現(xiàn)“垂直分層、水平分區(qū)、邊界控制、內(nèi)部監(jiān)測(cè)”。
“垂直分層、水平分區(qū)”即對(duì)工業(yè)控制系統(tǒng)垂直方向劃分為三層:現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、監(jiān)督控制層;水平分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開,處于不同的安全區(qū)。
“邊界控制,內(nèi)部監(jiān)測(cè)”即對(duì)系統(tǒng)邊界即各操作站、工業(yè)控制系統(tǒng)連接處、無(wú)線網(wǎng)絡(luò)等要進(jìn)行邊界防護(hù)和準(zhǔn)入控制,對(duì)工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題。
系統(tǒng)面臨的主要安全威脅來(lái)自黑客攻擊、惡意代碼(病毒蠕蟲)、越權(quán)訪問(非授權(quán)接入、移動(dòng)介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常等),因此,其安全防護(hù)在以下方面予以重點(diǎn)完善和強(qiáng)化:(1)入侵檢測(cè)及防御;(2)惡意代碼防護(hù);(3)內(nèi)部網(wǎng)絡(luò)異常行為的檢測(cè);(4)邊界訪問控制和系統(tǒng)訪問控制策略;(5)工業(yè)控制系統(tǒng)開發(fā)與維護(hù)的安全;(6)身份認(rèn)證和行為審計(jì);(7)賬號(hào)唯一性和口令安全,尤其是管理員賬號(hào)和口令的管理;(8)操作站操作系統(tǒng)安全;(9)移動(dòng)存儲(chǔ)介質(zhì)的標(biāo)記、權(quán)限控制和審計(jì)。
2 項(xiàng)目實(shí)施
2.1 系統(tǒng)架構(gòu)
本項(xiàng)目系統(tǒng)架構(gòu)圖如圖1所示。
圖1 系統(tǒng)架構(gòu)圖
2.2 技術(shù)方案
邊界隔離:在各邊界之間部署工業(yè)防火墻,通過工業(yè)協(xié)議深度解析,結(jié)合自學(xué)習(xí)白名單安全防護(hù)策略,實(shí)現(xiàn)細(xì)粒度的邊界訪問控制和安全隔離,通過最小化規(guī)則盡可能規(guī)避來(lái)自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。
高級(jí)威脅監(jiān)測(cè):通過在核心交換機(jī)上旁路部署高級(jí)威脅檢測(cè)系統(tǒng),對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析,利用沙箱、多AV病毒檢測(cè)、流量基因檢測(cè)和文件基因檢測(cè)等先進(jìn)技術(shù)對(duì)惡意樣本、惡意流量、行為異常等威脅進(jìn)行重點(diǎn)識(shí)別,彌補(bǔ)生產(chǎn)網(wǎng)自身業(yè)務(wù)系統(tǒng)脆弱的不足,發(fā)現(xiàn)高危漏洞主機(jī),發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為,識(shí)別惡意文件的擴(kuò)散,保護(hù)生產(chǎn)網(wǎng)安全。
主機(jī)防護(hù):對(duì)工控網(wǎng)絡(luò)內(nèi)的主機(jī)進(jìn)行安全防護(hù),主要是針對(duì)域內(nèi)的主機(jī),建議部署工業(yè)主機(jī)安全衛(wèi)士,通過主機(jī)應(yīng)用程序白名單機(jī)制,阻止非工作程序在主機(jī)上的操作運(yùn)行,阻斷由于操作系統(tǒng)漏洞、應(yīng)用軟件漏洞而引起的惡意攻擊,同時(shí)通過安全U盤實(shí)現(xiàn)移動(dòng)安全數(shù)據(jù)存儲(chǔ)。
網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)與審計(jì):在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計(jì)(利用既有的工業(yè)審計(jì)學(xué)系統(tǒng)),建立業(yè)務(wù)通信模型實(shí)現(xiàn)對(duì)工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實(shí)時(shí)監(jiān)測(cè)和告警,同時(shí)對(duì)網(wǎng)絡(luò)中的攻擊行為、網(wǎng)絡(luò)會(huì)話、數(shù)據(jù)流量、重要操作等進(jìn)行審計(jì),實(shí)現(xiàn)安全事件的日志回溯和取證;在服務(wù)器區(qū)旁路部署數(shù)據(jù)庫(kù)審計(jì),對(duì)數(shù)據(jù)庫(kù)的操作行為進(jìn)行審計(jì)。
統(tǒng)一安全管理:建立安全監(jiān)管平臺(tái),對(duì)工控網(wǎng)絡(luò)中的相關(guān)防護(hù)產(chǎn)品進(jìn)行統(tǒng)一的管理及運(yùn)維,對(duì)整網(wǎng)防護(hù)設(shè)備進(jìn)行策略配置下發(fā)、對(duì)各設(shè)備進(jìn)行集中化策略配置下發(fā)、存儲(chǔ)、備份、查詢、審計(jì)、告警、響應(yīng),并出具豐富的報(bào)表和報(bào)告,實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò)情況,獲悉工業(yè)控制網(wǎng)絡(luò)整體的安全狀態(tài),實(shí)現(xiàn)全生命周期的日志管理。
2.3 應(yīng)用場(chǎng)景分析
本項(xiàng)目依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn),按照“統(tǒng)一規(guī)劃、重點(diǎn)明確、合理建設(shè)”的基本原則,在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等方面進(jìn)行安全規(guī)劃與建設(shè),確保“網(wǎng)絡(luò)建設(shè)合規(guī)、安全防護(hù)到位”。
最終使習(xí)酒工控網(wǎng)絡(luò)安全達(dá)到安全等級(jí)保護(hù)第三級(jí)要求。經(jīng)過建設(shè)后,使其整個(gè)網(wǎng)絡(luò)形成一套完善的安全防護(hù)體系,使其整體網(wǎng)絡(luò)安全防護(hù)能力得到提升。
對(duì)于習(xí)酒工業(yè)控制系統(tǒng),經(jīng)過統(tǒng)一安全規(guī)劃建設(shè),其網(wǎng)絡(luò)在統(tǒng)一的安全保護(hù)策略下具有了抵御大規(guī)模和較強(qiáng)惡意攻擊的能力、抵抗較為嚴(yán)重的自然災(zāi)害的能力,以及防范計(jì)算機(jī)病毒和惡意代碼危害的能力;具有了檢測(cè)、發(fā)現(xiàn)、報(bào)警及記錄入侵行為的能力;具有了對(duì)安全事件進(jìn)行響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;遭到損害后,具有了能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力;對(duì)于服務(wù)保障性要求高的網(wǎng)絡(luò),能夠快速恢復(fù)正常運(yùn)行狀態(tài);具有了對(duì)網(wǎng)絡(luò)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。
綜上所述:遵循等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)和規(guī)范要求,結(jié)合信息系統(tǒng)安全建設(shè)的實(shí)際狀態(tài),針對(duì)信息系統(tǒng)中存在的安全隱患進(jìn)行系統(tǒng)建設(shè),可以加強(qiáng)信息系統(tǒng)的信息安全保護(hù)能力,使其達(dá)到相應(yīng)等級(jí)的等級(jí)保護(hù)安全要求。
2.4 實(shí)際應(yīng)用效果
(1)網(wǎng)絡(luò)隔離與邊界防護(hù)
在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)邊界處通常需要部署工控專用防火墻,該防火墻可以實(shí)施訪問控制、惡意代碼防護(hù)和入侵防護(hù),從而避免來(lái)自本層其他區(qū)域、其他層網(wǎng)絡(luò)的惡意代碼攻擊及入侵行為,切斷網(wǎng)絡(luò)間的攻擊路徑。由于工控防火墻具備感知和理解工控應(yīng)用層協(xié)議及操作行為的能力,因此除基于IP地址、端口、MAC地址等主機(jī)特征進(jìn)行訪問控制外,還可根據(jù)具體需求設(shè)置更細(xì)致的防護(hù)策略。
基于工控網(wǎng)絡(luò)的相對(duì)封閉性,工控防火墻常通過開啟基于通信協(xié)議的“白名單”功能,對(duì)來(lái)自其他層的不符合規(guī)范的協(xié)議攻擊、惡意操作和誤操作行為進(jìn)行攔截。這種基于“白名單”的防護(hù)思路相比傳統(tǒng)防火墻或入侵防護(hù)系統(tǒng)的“黑名單”技術(shù),不僅能防護(hù)各類未知特征的攻擊和異常操作,還能保證正常的通信行為和訪問行為不被攔截。
(2)主機(jī)和終端安全管理
通過部署基于“白環(huán)境”的主機(jī)安全軟件,避免各類已知和未知的木馬、蠕蟲等惡意軟件進(jìn)入主機(jī)傳播到整個(gè)工控網(wǎng)絡(luò)。
由于自動(dòng)化系統(tǒng)的主機(jī)應(yīng)用環(huán)境相對(duì)固定,通過主機(jī)安全軟件建立起各類正常工作環(huán)境時(shí)的操作系統(tǒng)和應(yīng)用的可執(zhí)行文件白名單,建立起主機(jī)運(yùn)行的白環(huán)境,啟用白名單功能,確保只有在白名單列表中的程序或軟件才能運(yùn)行。
主機(jī)和終端的身份鑒別至關(guān)重要,通過采用單因子鑒別(如操作員口令)、雙因子鑒別(如工程師、值班長(zhǎng)、網(wǎng)絡(luò)設(shè)備管理員等)等手段加強(qiáng)管理。在登錄工控系統(tǒng)進(jìn)行組態(tài)下裝和重要參數(shù)修改時(shí),必須進(jìn)行身份鑒別。
(3)攻擊事件的監(jiān)控與審計(jì)
任何的安全措施,“看見和發(fā)現(xiàn)”攻擊是第一步。通過在不同的安全區(qū)域邊界部署工控安全監(jiān)測(cè)終端,配合集中監(jiān)測(cè)和審計(jì)管理,可實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的各類攻擊方式、違規(guī)操作和誤操作行為,可在攻擊事件發(fā)生后根據(jù)存儲(chǔ)的記錄和操作者的權(quán)限,進(jìn)行查詢、統(tǒng)計(jì)、管理、維護(hù)等,追溯攻擊行為的起源,做到事前監(jiān)控、事中記錄、事后審計(jì)。
(4)高級(jí)威脅檢測(cè)與告警
基于特征檢測(cè)和行為檢測(cè)的傳統(tǒng)威脅檢測(cè)手段已經(jīng)越來(lái)越難以應(yīng)對(duì)新型的安全攻擊手法,難以識(shí)別安全攻擊事件。且近年來(lái)隨著人工智能技術(shù)的發(fā)展,攻擊方在掃描、利用、破壞等攻擊工具中對(duì)人工智能技術(shù)的應(yīng)用,進(jìn)一步加劇了對(duì)目標(biāo)系統(tǒng)的破壞,縮短了攻擊進(jìn)程,隱藏了攻擊特征。通過高級(jí)威脅檢測(cè)系統(tǒng)將人工智能、大數(shù)據(jù)技術(shù)與安全技術(shù)相結(jié)合,實(shí)時(shí)分析網(wǎng)絡(luò)流量,監(jiān)控可疑威脅行為,可對(duì)APT攻擊鏈進(jìn)行檢測(cè)、識(shí)別分析和告警。
(5)數(shù)據(jù)庫(kù)安全審計(jì)
數(shù)據(jù)是信息系統(tǒng)的核心,如何保證防范針對(duì)數(shù)據(jù)庫(kù)的惡意操作、誤操作、惡意攻擊等是解決數(shù)據(jù)庫(kù)安全的重中之重。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以有效解決對(duì)數(shù)據(jù)庫(kù)操作的安全監(jiān)控難題,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)所有操作的實(shí)時(shí)監(jiān)測(cè)、完整記錄、還原審計(jì),可以及時(shí)發(fā)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的非法操作,快速應(yīng)對(duì)異常事件,解除對(duì)數(shù)據(jù)庫(kù)的安全威脅,可以滿足對(duì)數(shù)據(jù)庫(kù)的運(yùn)行監(jiān)測(cè)和操作審計(jì)的合規(guī)性要求,滿足等級(jí)保護(hù)2.0標(biāo)準(zhǔn)要求。
(6)運(yùn)維操作管控與審計(jì)
在運(yùn)維過程中,通常為了運(yùn)維便利性,存在賬號(hào)共享、授權(quán)不清等運(yùn)維行為,事后也缺乏運(yùn)維操作審計(jì)。通過運(yùn)維安全網(wǎng)關(guān),邏輯上將人和目標(biāo)設(shè)備分離,建立“人→主賬號(hào)→授權(quán)→從賬號(hào)→目標(biāo)設(shè)備”的管理模式。在此模式下,通過基于唯一身份標(biāo)識(shí)的集中賬號(hào)與訪問控制策略,與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接,實(shí)現(xiàn)集中精細(xì)化運(yùn)維操作管控與審計(jì)。
3 案例亮點(diǎn)及創(chuàng)新性
滿足安全合規(guī)要求:本次項(xiàng)目立足于等保2.0和工信部451號(hào)文《安全防護(hù)指南》及監(jiān)管要求,結(jié)合企業(yè)的生產(chǎn)業(yè)務(wù)特點(diǎn),在防護(hù)框架的指導(dǎo)下開展了企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè),防護(hù)建設(shè)項(xiàng)滿足等保對(duì)應(yīng)防護(hù)技術(shù)項(xiàng)的要求,企業(yè)在完成其他需要自建項(xiàng)后,可以啟動(dòng)申報(bào)等保保護(hù)測(cè)評(píng)。
優(yōu)化資源配置:本方案站在習(xí)酒業(yè)務(wù)的角度設(shè)計(jì),在滿足合規(guī)要求的同時(shí)最大限度利用了企業(yè)本身現(xiàn)有資源,同時(shí)有效地結(jié)合同行業(yè)單位的運(yùn)營(yíng)模式,在有限資源條件下最大限度地提升安全防護(hù)水平。
提高安全防護(hù)性:本次項(xiàng)目成果為企業(yè)相關(guān)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行提供了基礎(chǔ)保障,實(shí)現(xiàn)了病毒、木馬等惡意程序的防護(hù),可防范內(nèi)外部人員攻擊、軟件后門利用等多種威脅,顯著加強(qiáng)了企業(yè)自身工控系統(tǒng)在當(dāng)前愈加惡劣的網(wǎng)絡(luò)環(huán)境下的防范和預(yù)警感知能力,有效保障了企業(yè)穩(wěn)定發(fā)展。
作者簡(jiǎn)介
周 圍(1995-),男,湖南湘潭人,工程師,本科,現(xiàn)就職于北京惠而特科技有限公司,主要從事信息安全、工控安全方面的研究。
摘自《自動(dòng)化博覽》2024年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)