今日頭條
官方微信
官方抖音
案例頻道★ 杭州安恒信息技術(shù)股份有限公司
1 項(xiàng)目概況
1.1 項(xiàng)目背景
某生物技術(shù)有限公司是一家上市生物制藥企業(yè),致力于人用疫苗及其相關(guān)產(chǎn)品的研究開(kāi)發(fā)、生產(chǎn)和銷(xiāo)售,為疾病預(yù)防控制提供服務(wù)。
隨著對(duì)信息系統(tǒng)的依賴程度不斷增加,原有的信息化設(shè)備已經(jīng)無(wú)法滿足業(yè)務(wù)發(fā)展的需要。現(xiàn)需要根據(jù)實(shí)際業(yè)務(wù)需求對(duì)原有信息化系統(tǒng)進(jìn)行優(yōu)化和改造,而信息安全建設(shè)作為信息化建設(shè)中必不可少的環(huán)節(jié),需要同步進(jìn)行。國(guó)內(nèi)外安全形式日趨嚴(yán)峻,為保障網(wǎng)絡(luò)安全,《網(wǎng)絡(luò)安全法》、關(guān)基保護(hù)條例、等保2.0標(biāo)準(zhǔn)等相繼發(fā)布,對(duì)企業(yè)的業(yè)務(wù)合規(guī)能力、業(yè)務(wù)系統(tǒng)安全能力和安全運(yùn)營(yíng)能力等提出了新的挑戰(zhàn)。
1.2 項(xiàng)目簡(jiǎn)介
該企業(yè)在網(wǎng)絡(luò)和生產(chǎn)系統(tǒng)設(shè)計(jì)與建設(shè)之初,未考慮到潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn),未面向生產(chǎn)網(wǎng)絡(luò)進(jìn)行體系化網(wǎng)絡(luò)安全建設(shè)。隨著企業(yè)信息化建設(shè)不斷推進(jìn),給現(xiàn)有的生產(chǎn)網(wǎng)絡(luò)與工控系統(tǒng)帶來(lái)很大的風(fēng)險(xiǎn)與挑戰(zhàn)。
本項(xiàng)目對(duì)該企業(yè)進(jìn)行網(wǎng)絡(luò)安全整體規(guī)劃與建設(shè),結(jié)合公司的網(wǎng)絡(luò)安全現(xiàn)狀,確定其安全建設(shè)需求,加強(qiáng)其監(jiān)測(cè)預(yù)警系統(tǒng)、終端安全查殺能力、應(yīng)急響應(yīng)手段、大數(shù)據(jù)安全平臺(tái)和信息系統(tǒng)等級(jí)保護(hù)建設(shè)的推進(jìn)工作,全面提升其智能制藥的網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力,并建立一個(gè)完善的信息安全預(yù)防、監(jiān)測(cè)、防御和響應(yīng)的縱深防御的安全體系,解決其當(dāng)前面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
1.3 項(xiàng)目目標(biāo)
某生物技術(shù)有限公司擁有11個(gè)廠區(qū),本項(xiàng)目需要在滿足政策合規(guī)的前提下,通過(guò)建設(shè)企業(yè)級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知與綜合管控服務(wù)平臺(tái),實(shí)時(shí)掌握各生產(chǎn)廠區(qū)工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì),及時(shí)通報(bào)預(yù)警重大網(wǎng)絡(luò)安全威脅;形成企業(yè)和下屬各生產(chǎn)基地相關(guān)部門(mén)協(xié)調(diào)聯(lián)動(dòng)的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警處置工作機(jī)制,構(gòu)建網(wǎng)絡(luò)安全綜合防控體系;最終形成工業(yè)安全檢測(cè)、工業(yè)安全防御、工業(yè)安全運(yùn)維、工業(yè)安全響應(yīng)的閉環(huán)體系,如圖1所示。
圖1 總體安全方案設(shè)計(jì)架構(gòu)
2 項(xiàng)目實(shí)施
2.1 業(yè)務(wù)應(yīng)用場(chǎng)景分析
該生物制藥企業(yè)工業(yè)網(wǎng)絡(luò)安全防御體系仍需完善,系統(tǒng)工業(yè)安全檢測(cè)和感知能力不足,沒(méi)有建立相應(yīng)的工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警和感知系統(tǒng)。工業(yè)網(wǎng)絡(luò)安全重復(fù)檢查、安全風(fēng)險(xiǎn)和漏洞重復(fù)通報(bào)等問(wèn)題突出。因此需要具備以下能力:
(1)資產(chǎn)安全集中監(jiān)測(cè)能力;
(2)高級(jí)威脅檢測(cè)能力;
(3)工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)及處置能力;
(4)可視化溯源分析能力;
(5)工業(yè)安全合規(guī)管理能力。
該企業(yè)具有生物制藥行業(yè)的典型特點(diǎn):廠區(qū)分散、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、各工廠工控系統(tǒng)品牌和型號(hào)不統(tǒng)一。項(xiàng)目方案中,根據(jù)業(yè)務(wù)需求規(guī)劃安全域并制定詳細(xì)的訪問(wèn)控制策略,部署網(wǎng)絡(luò)安全設(shè)備構(gòu)建分域控制與縱深防御的安全防護(hù)體系,同時(shí)通過(guò)全面的工業(yè)協(xié)議解析能力及多源異構(gòu)日志分析能力,將安全數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一、標(biāo)準(zhǔn)的數(shù)據(jù)格式,利用工業(yè)安全態(tài)勢(shì)感知平臺(tái)進(jìn)行大數(shù)據(jù)處理,成功打通各安全域的信息孤島,形成工業(yè)安全運(yùn)營(yíng)閉環(huán)管理體系,做好協(xié)同防御。
2.2 技術(shù)方案
項(xiàng)目總體設(shè)計(jì)采用分域控制與縱深防御相結(jié)合的方式,如圖2所示。
圖2 項(xiàng)目技術(shù)方案示意圖
(1)分域控制:將智能制藥操作系統(tǒng)和外部系統(tǒng)依據(jù)系統(tǒng)的應(yīng)用功能、資產(chǎn)價(jià)值及資產(chǎn)所面臨的風(fēng)險(xiǎn),從結(jié)構(gòu)上劃分為不同的安全區(qū)域,并以安全區(qū)域?yàn)閱挝贿M(jìn)行安全防御技術(shù)措施的建設(shè)。
(2)縱深防御:智能制藥操作系統(tǒng)圍繞安全管理中心,從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境三個(gè)維度進(jìn)行安全技術(shù)和措施的設(shè)計(jì);通過(guò)集中管理,對(duì)確認(rèn)的重大威脅或攻擊進(jìn)行安全聯(lián)動(dòng)防護(hù),充分考慮各種技術(shù)的組合和功能的互補(bǔ)性,從外到內(nèi)形成一個(gè)縱深的安全防御體系。
2.2.1 安全管理中心
(1)新建安全管理域
在服務(wù)器區(qū)新建安全管理域,在安全管理域內(nèi)部署工業(yè)安全態(tài)勢(shì)感知平臺(tái)、堡壘機(jī)、工業(yè)安全管理平臺(tái)等安全設(shè)備,在安全管理域與服務(wù)器區(qū)之間部署下一代防火墻,實(shí)現(xiàn)服務(wù)器區(qū)與安全管理域的訪問(wèn)控制。
(2)工業(yè)安全管理平臺(tái)
對(duì)各安全域的安全設(shè)備進(jìn)行集中管控、狀態(tài)監(jiān)測(cè)、策略配置下發(fā)等,及時(shí)發(fā)現(xiàn)、報(bào)告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為,統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測(cè)、安全防護(hù)和應(yīng)急處置。
(3)綜合日志審計(jì)平臺(tái)
采集各個(gè)安全域的日志信息進(jìn)行審計(jì),支持各類(lèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用及數(shù)據(jù)庫(kù)等,滿足政策法規(guī)要求的日志留存期限,支撐事件分析與攻擊溯源。
(4)運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)(堡壘機(jī))
通過(guò)賬號(hào)管理、身份認(rèn)證、自動(dòng)改密、資源授權(quán)、實(shí)時(shí)阻斷、同步監(jiān)控、審計(jì)回放和自動(dòng)化運(yùn)維流程管理等功能,增強(qiáng)運(yùn)維管理的安全性。
2.2.2 安全通信網(wǎng)絡(luò)
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,即在生產(chǎn)網(wǎng)服務(wù)器與辦公網(wǎng)服務(wù)器之間部署下一代防火墻,通過(guò)安全策略實(shí)現(xiàn)單向隔離,有效阻隔外部威脅的入侵;
在工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域。本項(xiàng)目根據(jù)工控系統(tǒng)的業(yè)務(wù)屬性及地理位置等因素,使用工業(yè)防火墻將各工廠劃分為獨(dú)立安全域。工業(yè)防火墻具有bypass功能,可確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
2.2.3 安全區(qū)域邊界
在各個(gè)工廠的生產(chǎn)設(shè)備匯聚交換機(jī)數(shù)據(jù)出口處部署訪問(wèn)控制設(shè)備(工業(yè)防火墻),配置訪問(wèn)控制策略,禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù),深度解析工業(yè)協(xié)議,禁止非白名單工業(yè)協(xié)議傳輸;使用工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái)及流量分析系統(tǒng),在工業(yè)控制系統(tǒng)安全域內(nèi)進(jìn)行異常行為和異常流量監(jiān)測(cè)。
(1)工業(yè)防火墻
工業(yè)網(wǎng)絡(luò)內(nèi)部安全域間使用工業(yè)防火墻進(jìn)行邊界劃分,并配置訪問(wèn)控制策略,利用工業(yè)防火墻的多業(yè)務(wù)端口實(shí)現(xiàn)橫向隔離,只允許特定設(shè)備的特定協(xié)議通過(guò)(如OPC、Modbus等)。工業(yè)防火墻具有bypass功能,可確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
(2)工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái)
在各工廠的生產(chǎn)設(shè)備匯聚交換機(jī)上部署工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái),實(shí)時(shí)監(jiān)測(cè)生產(chǎn)過(guò)程中產(chǎn)生的所有流量,識(shí)別多種工控協(xié)議,實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)內(nèi)的異常流量、異常行為、異常操作、非法接入等安全風(fēng)險(xiǎn)的實(shí)時(shí)告警。
(3)流量分析系統(tǒng)
在各工廠的終端匯聚交換機(jī)上部署流量分析系統(tǒng),內(nèi)置海量威脅檢測(cè)規(guī)則,覆蓋多種安全場(chǎng)景,有效識(shí)別各類(lèi)IT、OT類(lèi)網(wǎng)絡(luò)攻擊行為,實(shí)時(shí)告警并與工業(yè)安全態(tài)勢(shì)感知系統(tǒng)聯(lián)動(dòng)處置,從而實(shí)現(xiàn)高效精準(zhǔn)的威脅檢測(cè)。
2.2.4 安全計(jì)算環(huán)境
針對(duì)此生物制藥企業(yè)應(yīng)用主機(jī)安全及管理系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和工控漏洞掃描平臺(tái),實(shí)現(xiàn)主機(jī)反病毒、外設(shè)管理、數(shù)據(jù)庫(kù)審計(jì)、資產(chǎn)脆弱性識(shí)別等能力,構(gòu)建安全計(jì)算環(huán)境。
(1)主機(jī)安全及管理系統(tǒng)
在安全域的計(jì)算機(jī)部署主機(jī)安全客戶端,在安全管理中心部署主機(jī)安全及管理系統(tǒng)平臺(tái),對(duì)所有主機(jī)安全客戶端進(jìn)行統(tǒng)一管理。集成系統(tǒng)加固與防護(hù)、網(wǎng)絡(luò)加固與防護(hù)等功能,內(nèi)置文件誘餌引擎對(duì)勒索病毒具有專(zhuān)防專(zhuān)殺能力;內(nèi)核級(jí)東西向流量隔離技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù);擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測(cè)與阻斷等主機(jī)安全能力。
(2)數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)
在生產(chǎn)網(wǎng)服務(wù)區(qū)內(nèi)部署數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng),對(duì)數(shù)據(jù)主機(jī)事件、網(wǎng)絡(luò)事件、數(shù)據(jù)庫(kù)時(shí)間、應(yīng)用系統(tǒng)事件進(jìn)行審計(jì),并按照目標(biāo)標(biāo)識(shí)和事件類(lèi)型等條件進(jìn)行統(tǒng)計(jì);通過(guò)綜合關(guān)聯(lián)分析,發(fā)現(xiàn)潛在危害和異常事件。
(3)工控漏洞掃描平臺(tái)
可對(duì)生產(chǎn)網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行漏洞掃描。工控漏掃擁有豐富的漏洞信息庫(kù),支持對(duì)傳統(tǒng)IT系統(tǒng)(包括主流操作系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化系統(tǒng))的漏洞掃描與配置核查,以及對(duì)工業(yè)控制系統(tǒng)的漏洞識(shí)別檢測(cè),能夠及時(shí)發(fā)現(xiàn)安全漏洞,全面掌握當(dāng)前工業(yè)控制網(wǎng)絡(luò)及系統(tǒng)中的安全風(fēng)險(xiǎn),協(xié)助管理者進(jìn)行漏洞修復(fù)。
2.2.5 工業(yè)安全態(tài)勢(shì)感知
工業(yè)安全態(tài)勢(shì)感知平臺(tái)是生物制藥行業(yè)工業(yè)互聯(lián)網(wǎng)安全解決方案的大腦,采用安全大數(shù)據(jù)技術(shù)對(duì)工業(yè)安全數(shù)據(jù)進(jìn)行深度分析,形成安全監(jiān)測(cè)、安全分析、安全運(yùn)營(yíng)能力,并提供可視化安全態(tài)勢(shì)感知呈現(xiàn)。工業(yè)安全態(tài)勢(shì)感知打通了信息固定,將各個(gè)安全設(shè)備與系統(tǒng)進(jìn)行聯(lián)動(dòng),構(gòu)建了一體化動(dòng)態(tài)響應(yīng)的工業(yè)信息安全防御體系,如圖3所示。
圖3 工業(yè)安全態(tài)勢(shì)感知平臺(tái)示意圖
(1)數(shù)據(jù)采集
·支持多源異構(gòu)數(shù)據(jù)采集,收集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)等日志;
·支持流量采集,可采集全流量信息,深度解析工業(yè)協(xié)議與傳統(tǒng)IT協(xié)議,識(shí)別異常通信行為;
·支持資產(chǎn)信息探測(cè),可通過(guò)主動(dòng)探測(cè)、流量識(shí)別、安全設(shè)備上報(bào)等方式,精準(zhǔn)識(shí)別資產(chǎn)信息;
·支持漏洞信息采集,能夠采集各類(lèi)IT資產(chǎn)與工控資產(chǎn)漏洞及不安全配置等風(fēng)險(xiǎn)。
(2)安全數(shù)據(jù)分析
平臺(tái)結(jié)合IT與OT應(yīng)用場(chǎng)景,內(nèi)置1300多種安全分析模型,包括180多種掃描探查檢測(cè)類(lèi)模型、740多種滲透攻擊檢測(cè)類(lèi)模型、20多種獲取權(quán)限檢測(cè)類(lèi)模型、210多種命令控制檢測(cè)類(lèi)模型和30多種資產(chǎn)破壞類(lèi)檢測(cè)模型,覆蓋Intrusion Kill Chain的各個(gè)維度,能有效識(shí)別各類(lèi)網(wǎng)絡(luò)攻擊。
此外,平臺(tái)支持自定義工業(yè)安全模型,可根據(jù)用戶實(shí)際業(yè)務(wù)場(chǎng)景,將安全生產(chǎn)指標(biāo)與網(wǎng)絡(luò)安全指標(biāo)進(jìn)行融合分析,從中發(fā)現(xiàn)威脅與風(fēng)險(xiǎn),并進(jìn)行有效的處置。當(dāng)前支持規(guī)則模型、統(tǒng)計(jì)模型、情報(bào)模型、關(guān)聯(lián)模型和AI模型等自定義模型。
(3)業(yè)務(wù)應(yīng)用
·資產(chǎn)管理:提供資產(chǎn)底數(shù)管理能力,可在線監(jiān)控網(wǎng)內(nèi)資產(chǎn),并識(shí)別資產(chǎn)基礎(chǔ)信息、網(wǎng)絡(luò)環(huán)境、安全事件、安全隱患等信息,將資產(chǎn)、事件、人員/單位相關(guān)聯(lián),為應(yīng)急響應(yīng)提供基礎(chǔ)。
·安全監(jiān)測(cè):可實(shí)時(shí)監(jiān)測(cè)資產(chǎn)、安全事件、安全隱患、工控系統(tǒng)生產(chǎn)指標(biāo)及其他用戶關(guān)注的信息,通過(guò)多種可視化方式進(jìn)行呈現(xiàn)。
·安全分析:平臺(tái)通過(guò)內(nèi)置規(guī)則實(shí)時(shí)分析安全事件與安全風(fēng)險(xiǎn),用戶可查看事件級(jí)別、范圍、攻擊手段、處置建議等信息,并提供追蹤溯源能力,協(xié)助人員開(kāi)展處置工作。
·安全運(yùn)營(yíng):平臺(tái)提供通報(bào)預(yù)警與工單管理,形成流程化的閉環(huán)安全管理機(jī)制,確保責(zé)任落實(shí)到人。此外,平臺(tái)通過(guò)SOAR技術(shù),可聯(lián)動(dòng)防火墻、主機(jī)安全及管理系統(tǒng)等設(shè)備,自動(dòng)處置安全事件,顯著加強(qiáng)應(yīng)急處置效率。
3 案例亮點(diǎn)及創(chuàng)新性
(1)經(jīng)濟(jì)效益
此生物制藥行業(yè)工業(yè)互聯(lián)網(wǎng)安全一體化運(yùn)營(yíng)解決方案在確保安全生產(chǎn)運(yùn)營(yíng)的基礎(chǔ)上,進(jìn)行網(wǎng)絡(luò)安全建設(shè),提高生物制藥生產(chǎn)運(yùn)營(yíng)安全性以及生產(chǎn)數(shù)據(jù)的可用性、完整性和保密性;通過(guò)從OT網(wǎng)絡(luò)到IT網(wǎng)絡(luò)多重防護(hù)措施,從外到內(nèi)形成一個(gè)縱深的安全防御體系,保障系統(tǒng)整體的安全保障能力;保護(hù)企業(yè)重要資產(chǎn),有效提升企業(yè)工業(yè)網(wǎng)絡(luò)安全技術(shù)水平,減少和避免因網(wǎng)絡(luò)安全事故對(duì)生產(chǎn)能力和生產(chǎn)效率的影響,減少和避免經(jīng)濟(jì)損失,有助于降低成本、提高生產(chǎn)效率、保障產(chǎn)能。
本項(xiàng)目幫助某生物技術(shù)有限公司滿足政策法規(guī)的技術(shù)要求,為其11個(gè)廠區(qū)及總部構(gòu)建了以工業(yè)安全態(tài)勢(shì)感知為核心的工控安全防護(hù)體系,解決了生產(chǎn)網(wǎng)數(shù)據(jù)共享的安全問(wèn)題,具備了對(duì)安全事件溯源分析和問(wèn)題定位的能力,提高了安全運(yùn)維人員的工作效率,有顯著的經(jīng)濟(jì)效益。同時(shí),本項(xiàng)目建成后迅速實(shí)現(xiàn)了相關(guān)安全技術(shù)落地,并在集團(tuán)生產(chǎn)基地進(jìn)行了應(yīng)用,保障了基地制造工廠安全,促進(jìn)了集團(tuán)業(yè)務(wù)的快速發(fā)展。
(2)社會(huì)效益
該方案應(yīng)用具有免疫特征的安全防護(hù)體系、機(jī)制和關(guān)鍵技術(shù)在保證合規(guī)性建設(shè)的同時(shí),可以持續(xù)解決新技術(shù)、新應(yīng)用所帶來(lái)的安全問(wèn)題。同時(shí)該項(xiàng)目在行業(yè)內(nèi)具有較高的創(chuàng)新性,建設(shè)完成后可以適配大多數(shù)生物制藥企業(yè)及泛制造企業(yè)場(chǎng)景,促進(jìn)了工業(yè)控制網(wǎng)絡(luò)安全技術(shù)的發(fā)展、安全企業(yè)價(jià)值的提升和安全產(chǎn)業(yè)的規(guī)模化發(fā)展。
《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第九輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)