鋼鐵行業(yè)工控安全縱深防御解決方案——基于IT和OT融合技術(shù)構(gòu)建鋼鐵行業(yè)網(wǎng)絡(luò)安全防御體系
1.1.1 方案概述
本方案針對(duì)現(xiàn)有信息系統(tǒng)的安全管理中心、計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全進(jìn)行合規(guī)的總體框架設(shè)計(jì)。建立以計(jì)算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障框架體系,并通過(guò)安全監(jiān)測(cè)預(yù)警、安全主動(dòng)防御、及時(shí)安全響應(yīng)、有效安全恢復(fù)的技術(shù)手段,將信息系統(tǒng)構(gòu)建成具備主動(dòng)防御、多級(jí)防護(hù)、縱深防控、整體保護(hù)能力的安全、可靠信息系統(tǒng)。
1.方案背景
鋼鐵企業(yè)主要生產(chǎn)工藝流程有:焦化、煉鐵、煉焦制氣、煉鋼、鋼軋、冷軋薄、動(dòng)力等;每個(gè)工業(yè)流程均是由以PLC+工業(yè)PC+工業(yè)通訊網(wǎng)絡(luò)構(gòu)成的自動(dòng)化控制系統(tǒng)。PLC系統(tǒng)由PLC控制柜、通訊柜、端子柜組成。現(xiàn)場(chǎng)來(lái)的電纜先接入端子柜,再由端子柜接至PLC,PLC與上位機(jī)通過(guò)工業(yè)交換機(jī)進(jìn)行數(shù)據(jù)交換。不同PLC系統(tǒng)與其它PLC系統(tǒng)有關(guān)的連鎖信號(hào)通過(guò)網(wǎng)絡(luò)通訊完成數(shù)據(jù)交換。鋼鐵廠工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu),為實(shí)時(shí)控制網(wǎng),負(fù)責(zé)控制器、操作站和工程師站之間過(guò)程控制數(shù)據(jù)實(shí)時(shí)通訊,網(wǎng)絡(luò)上所有操作站、數(shù)采機(jī)和PLC都采用以太網(wǎng)接口,網(wǎng)絡(luò)中遠(yuǎn)距離傳輸介質(zhì)為光纜,本地傳輸介質(zhì)為網(wǎng)線(如PLC與操作站之間)。生產(chǎn)監(jiān)控主機(jī)利用雙網(wǎng)卡結(jié)構(gòu)與管理網(wǎng)互聯(lián)。鋼鐵企業(yè)的工業(yè)控制系統(tǒng)具有多個(gè)生產(chǎn)工藝流程混合、控制網(wǎng)絡(luò)組網(wǎng)復(fù)雜,多種通信方式并存、生產(chǎn)控制系統(tǒng)品牌多、新老系統(tǒng)并存,多種高級(jí)應(yīng)用分而自治,使得可以被黑客利用的漏洞大量存在。可見(jiàn),對(duì)于這樣的系統(tǒng)網(wǎng)絡(luò),不能采用單一的防護(hù)策略,需要根據(jù)實(shí)際情況,從不同角度和層次應(yīng)用多種策略進(jìn)行綜合防護(hù)。
隨著工業(yè)互聯(lián)網(wǎng)和鋼鐵行業(yè)信息化的推進(jìn)以及MES、EMS、APS等系統(tǒng)的逐步推廣應(yīng)用,原本相互獨(dú)立的DCS、PLC、電儀系統(tǒng)、SCADA等控制子系統(tǒng)需要通過(guò)網(wǎng)絡(luò)與信息系統(tǒng)連接在一起。這些控制子系統(tǒng)負(fù)責(zé)完成對(duì)高爐控制系統(tǒng)、轉(zhuǎn)爐控制系統(tǒng)、燃燒控制系統(tǒng)、煉鋼智能控制系統(tǒng)、軋薄帶智能控制系統(tǒng)、高精度板厚控制系統(tǒng)的采集、存儲(chǔ)、輸送等控制任務(wù),一旦受到惡性攻擊、病毒感染,就會(huì)導(dǎo)致鋼鐵生產(chǎn)受到嚴(yán)重影響,甚至造成人員傷亡等嚴(yán)重后果。在鋼鐵行業(yè)統(tǒng)一管理集中監(jiān)控的大趨勢(shì)下,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的集成度越來(lái)越高,與其他信息網(wǎng)絡(luò)的互聯(lián)程度也隨之提高。與此同時(shí),未經(jīng)隔離的網(wǎng)絡(luò)與主機(jī)、誤操作、惡意操作、未授權(quán)的接入與操作、未授權(quán)的程序安裝、系統(tǒng)資源濫用與誤用、外部接口濫用(usb口及其他擴(kuò)展接口)以及新型攻擊(APT)也對(duì)工業(yè)控制系統(tǒng)安全帶來(lái)極大的威脅。如果工業(yè)控制系統(tǒng)不加強(qiáng)主動(dòng)防護(hù)、監(jiān)測(cè)審計(jì)、集中監(jiān)管和預(yù)警響應(yīng)等安全措施的建設(shè),將在系統(tǒng)中留下大量的安全盲點(diǎn)與灰色地帶,給各類外部威脅留下可乘之機(jī),不但無(wú)法對(duì)安全事件做到及時(shí)響應(yīng)處置,還非常容易對(duì)生產(chǎn)業(yè)務(wù)產(chǎn)生嚴(yán)重的影響。
2.方案簡(jiǎn)介
目前鋼鐵企業(yè)工控系統(tǒng)各個(gè)系統(tǒng)之間互聯(lián)互通密切,隨著網(wǎng)絡(luò)化的逐漸深入,新的場(chǎng)景也帶來(lái)了新的風(fēng)險(xiǎn),鋼鐵企業(yè)目前面臨不同的生產(chǎn)區(qū)域之間為了連接的便利性未做有效的區(qū)域劃分、工業(yè)控制通信協(xié)議在設(shè)計(jì)時(shí)通常只強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性對(duì)安全性普遍考慮不足、工控上位機(jī)大多數(shù)處于“裸奔”狀態(tài)、軟件開(kāi)發(fā)階段缺少安全設(shè)計(jì)軟件存在大量的安全漏洞、員工安全意識(shí)淡薄等等一系列安全問(wèn)題。
依據(jù)《網(wǎng)絡(luò)安全法》、“等保2.0”等現(xiàn)行法規(guī)、規(guī)范和標(biāo)準(zhǔn)的要求,在安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向加密、分級(jí)綜合防護(hù)的基礎(chǔ)上,通過(guò)工控網(wǎng)絡(luò)“智能白名單”形式,對(duì)鋼鐵廠生產(chǎn)控制大區(qū)系統(tǒng)進(jìn)行自主可控、安全可靠的工控安全整體防護(hù)。利用“AI基因,威脅免疫”安全防護(hù)技術(shù)構(gòu)建鋼鐵廠網(wǎng)絡(luò)信息安全綜合防護(hù)架構(gòu);完善鋼鐵廠生產(chǎn)控制大區(qū)工控網(wǎng)絡(luò)信息安全防護(hù)體系,符合工控等保2.0第三級(jí)安全防護(hù)要求。
3.方案目標(biāo)
建立自動(dòng)化生產(chǎn)系統(tǒng)的安全加固與主動(dòng)預(yù)警的安全防護(hù)體系,從網(wǎng)絡(luò)層、主機(jī)層、系統(tǒng)層、應(yīng)用層和管理制度等多方面進(jìn)行主動(dòng)式威脅管理,提高工業(yè)控制系統(tǒng)整體安全防護(hù)等級(jí),保證鋼鐵企業(yè)工業(yè)控制系統(tǒng)的穩(wěn)定有序運(yùn)行。
(1)建設(shè)工控網(wǎng)絡(luò)邊界安全防護(hù)及終端計(jì)算環(huán)境安全防護(hù)
通過(guò)技術(shù)手段對(duì)在工控網(wǎng)絡(luò)邊界部署安全產(chǎn)品,以鋼鐵生產(chǎn)工藝流程為單位,對(duì)安全生產(chǎn)網(wǎng)絡(luò)進(jìn)行安全域的劃分,堅(jiān)持“橫向分區(qū)、縱向分層”的原則構(gòu)建可信工控系統(tǒng),防護(hù)網(wǎng)絡(luò)攻擊與威脅,保證工業(yè)生產(chǎn)系統(tǒng)安全,打造工控安全計(jì)算白環(huán)境;部署統(tǒng)一運(yùn)維平臺(tái)進(jìn)行工控網(wǎng)絡(luò)安全工作高效可靠管理,初步建立工控網(wǎng)絡(luò)安全管理體系,即利用技術(shù)手段和管理手段保證企業(yè)安全生產(chǎn)。
(2)建設(shè)完善的安全審計(jì)措施和未知威脅檢測(cè),完善縱深防御體系
通過(guò)旁路監(jiān)聽(tīng)與智能分析技術(shù),對(duì)系統(tǒng)的控制、采集請(qǐng)求、網(wǎng)絡(luò)行為進(jìn)行詳細(xì)的審計(jì),對(duì)攻擊及時(shí)預(yù)警。建立事前攻擊的提前發(fā)現(xiàn)和預(yù)防,事中攻擊的主動(dòng)檢測(cè)、主動(dòng)防御,事后及時(shí)溯源,做到應(yīng)急響應(yīng)。同時(shí)構(gòu)建清晰的資產(chǎn)互訪拓?fù)洌粚?duì)攻擊場(chǎng)景進(jìn)行還原,對(duì)每個(gè)攻擊階段進(jìn)行回溯分析,通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現(xiàn)。
(3)建設(shè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與信息通報(bào)平臺(tái)
建立針對(duì)鋼鐵行業(yè)各工藝段工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急處置手段,提高威脅信息的共享,對(duì)監(jiān)測(cè)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)隱患及時(shí)通報(bào)相關(guān)企業(yè);實(shí)現(xiàn)工業(yè)設(shè)備資產(chǎn)感知、工業(yè)漏洞感知、工業(yè)配置感知、工業(yè)協(xié)議識(shí)別和分析、工業(yè)連接和網(wǎng)絡(luò)行為感知、工業(yè)僵木蠕檢測(cè)、工業(yè)攻擊鏈的監(jiān)測(cè)和分析等安全態(tài)感知功能,實(shí)時(shí)識(shí)別和預(yù)警工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)的安全威脅,及時(shí)與工業(yè)安全設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)協(xié)同防護(hù),并提供攻擊回溯取證和安全態(tài)勢(shì)定期報(bào)表,為制定工控安全策略提供支撐,形成安全閉環(huán),進(jìn)而實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)安全威脅的可視、可控、可管。
1.1.2 方案實(shí)施概況
鑒于當(dāng)前鋼鐵行業(yè)工控系統(tǒng)安全現(xiàn)狀,若要同層級(jí)不同區(qū)域的縱深防護(hù),需要對(duì)工業(yè)網(wǎng)絡(luò)內(nèi)部通信的各種數(shù)據(jù)采集協(xié)議和控制協(xié)議進(jìn)行深度解析,對(duì)工控網(wǎng)絡(luò)進(jìn)行區(qū)域劃分與隔離,對(duì)工控主機(jī)進(jìn)行安全加固,對(duì)工控網(wǎng)絡(luò)進(jìn)行全網(wǎng)安全審計(jì)和威脅感知。
1.方案總體架構(gòu)和主要內(nèi)容
(1)方案總體架構(gòu)
工控系統(tǒng)安全建設(shè)遵循“一個(gè)中心,三重防護(hù)”的建設(shè)原則,在鋼鐵廠集團(tuán)數(shù)據(jù)中心建設(shè)工控安全管理平臺(tái)、工控安全態(tài)勢(shì)平臺(tái)及工控系統(tǒng)數(shù)據(jù)災(zāi)備中心。
該廠均在內(nèi)部建設(shè)獨(dú)立的工控安全管理平臺(tái)和工控安全態(tài)勢(shì)感知平臺(tái),本部生產(chǎn)基地為數(shù)據(jù)分析中心,各基地平臺(tái)將數(shù)據(jù)上傳至本部生產(chǎn)基地工控安全管理平臺(tái)和工控安全態(tài)勢(shì)感知平臺(tái)進(jìn)行審計(jì)分析、數(shù)據(jù)綜合分析與展示。
數(shù)據(jù)災(zāi)備中心將各廠區(qū)重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)集中匯總收集,集中災(zāi)備,避免意外造成的數(shù)據(jù)丟失。
在集團(tuán)下各分廠搭建縱深的三重防護(hù)體系,以安全服務(wù)的形式梳理通信網(wǎng)絡(luò),理清網(wǎng)絡(luò)邊界,在網(wǎng)絡(luò)邊界構(gòu)建訪問(wèn)控制體系,阻斷非正常的邊界訪問(wèn),搭建分支管理中心,對(duì)計(jì)算環(huán)境進(jìn)行綜合監(jiān)管與安全審計(jì),對(duì)終端設(shè)備進(jìn)行安全運(yùn)維,對(duì)終端系統(tǒng)進(jìn)行白名單準(zhǔn)入管控。
拓?fù)浼軜?gòu)如圖4-1所示:
圖4-1 拓?fù)浼軜?gòu)
在部署防護(hù)措施的時(shí)候,首先做好網(wǎng)絡(luò)隔離安全,明確網(wǎng)絡(luò)邊界,基于數(shù)字證書(shū)等措施進(jìn)行身份認(rèn)證和授權(quán)管理,基于零信任措施嚴(yán)格執(zhí)行細(xì)粒度的訪問(wèn)控制;
其次在生產(chǎn)控制網(wǎng)部署工業(yè)監(jiān)測(cè)審計(jì)設(shè)備記錄應(yīng)用和設(shè)備情況,學(xué)習(xí)通信和數(shù)據(jù)的特點(diǎn),結(jié)合主機(jī)白名單軟件建立工控網(wǎng)絡(luò)安全“白環(huán)境”。
再次采用堡壘機(jī)應(yīng)對(duì)工控網(wǎng)絡(luò)系統(tǒng)管理員特權(quán)以及非法操作等突出安全問(wèn)題;
然后采取綜合審計(jì)措施,對(duì)網(wǎng)絡(luò)安全事件進(jìn)行發(fā)現(xiàn)和追溯管理;
最后基于安全服務(wù),對(duì)生產(chǎn)廠全網(wǎng)進(jìn)行安全加固,逐一終端檢查本地安全服務(wù)及本地安全策略,排查弱口令,雷同口令,非法外設(shè)等,并利用備份機(jī)制和并行機(jī)制,結(jié)合應(yīng)急響應(yīng)預(yù)案建立快速響應(yīng)能力。
(2)方案主要內(nèi)容
? 安全域劃分
廠內(nèi)各機(jī)組按分廠(分線)統(tǒng)一安全監(jiān)控。按具體情況:
其一,L2網(wǎng)絡(luò)能夠連接成一個(gè)網(wǎng)絡(luò)的情況,可以在L2機(jī)房(或主電室)配置核心交換機(jī)統(tǒng)一與生產(chǎn)網(wǎng)匯聚交換機(jī)連通,分期分階段將網(wǎng)絡(luò)匯聚到廠內(nèi)L2機(jī)房(或主電室)核心交換機(jī)。各機(jī)組網(wǎng)絡(luò)用工業(yè)防火墻進(jìn)行隔離,可以根據(jù)需要進(jìn)行連通(或不連通);
其二,L2系統(tǒng)無(wú)法進(jìn)行統(tǒng)一接入的情況,L2通訊服務(wù)器就近接入到生產(chǎn)網(wǎng)的接入交換機(jī),中間用工業(yè)防火墻進(jìn)行隔離。
內(nèi)部安全域劃分上,首先,基于三層交換機(jī),按IP地址為生產(chǎn)網(wǎng)劃分VLAN,并設(shè)置子網(wǎng)地址。采用VLAN提供的安全機(jī)制,可以限制特定用戶的訪問(wèn),甚至鎖定網(wǎng)絡(luò)成員的MAC地址,這樣,就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。如無(wú)法劃分VLAN,可以在工業(yè)防火墻啟用NAT功能;其次,配置交換機(jī)的(ACL)訪問(wèn)控制策略,通過(guò)包過(guò)濾技術(shù)禁止外部非法用戶對(duì)內(nèi)部的訪問(wèn)。同時(shí)建議關(guān)閉或限制使用交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的不必要功能、端口、協(xié)議和服務(wù)。
管理網(wǎng)與工控網(wǎng)邊界:在管理網(wǎng)與工控網(wǎng)之間均采用工業(yè)網(wǎng)閘進(jìn)行網(wǎng)絡(luò)隔離。能夠阻止不必要的流量進(jìn)入工控網(wǎng)。僅定義必要的工控應(yīng)用服務(wù)器與管理網(wǎng)的業(yè)務(wù)服務(wù)器允許通信,其他通信都被禁止。最大限度的阻止從管理網(wǎng)絡(luò)向工控網(wǎng)絡(luò)入侵行為的傳播,同時(shí)保證必要的業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)共享。滿足等保2.0“安全網(wǎng)絡(luò)通信”中:保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信的合規(guī)要求。
各生產(chǎn)子網(wǎng)的邊界:在網(wǎng)絡(luò)之間采用工業(yè)防火墻進(jìn)行隔離。阻止生產(chǎn)子網(wǎng)以外的數(shù)據(jù)包或惡意程序進(jìn)入生產(chǎn)子網(wǎng),限制子網(wǎng)內(nèi)的允許跨網(wǎng)通信的主機(jī)數(shù)量,除非必要,否則將禁止子網(wǎng)間的通信。同時(shí)防止一個(gè)子網(wǎng)感染病毒后向其他子網(wǎng)或上層安全域傳播的可能。工業(yè)防火墻具有工控網(wǎng)絡(luò)通信協(xié)議的深度內(nèi)容檢查功能,能夠及時(shí)發(fā)現(xiàn)功能碼錯(cuò)誤或指令攻擊行為,提供阻斷或報(bào)警功能。
安全管理中心邊界:安全管理中心因?yàn)楸仨氃诰W(wǎng)絡(luò)上與被管理設(shè)備間路由可達(dá),防火墻應(yīng)設(shè)置端到端的、基于端口的嚴(yán)格訪問(wèn)控制規(guī)則,阻止對(duì)安全管理中心的非授權(quán)訪問(wèn)行為,阻止來(lái)自任意網(wǎng)絡(luò)對(duì)安全管理域的不必要流量,保障管理中心自身安全。
未知邊界管理:由于工控網(wǎng)絡(luò)的物理邊界范圍太大,給管理帶來(lái)非常大的難度,隨身WIFI設(shè)備、無(wú)線路由私接、手機(jī)熱點(diǎn)等都隨時(shí)可能破壞網(wǎng)絡(luò)邊界的完整性,使得用戶在網(wǎng)絡(luò)邊界上的努力和投入化為烏有。在網(wǎng)絡(luò)核心處部署邊界完整性檢查產(chǎn)品,快速網(wǎng)絡(luò)檢測(cè)、定位與阻斷控制破壞網(wǎng)絡(luò)邊界行為,保護(hù)邊界安全。
? 縱深安全防御
基于邊界訪問(wèn)控制、邊界入侵防御等構(gòu)建縱深安全防御體系。入侵防御是工業(yè)控制系統(tǒng)安全防護(hù)的重要技術(shù)措施。在工業(yè)防火墻選擇工業(yè)入侵防御模塊,可以實(shí)時(shí)監(jiān)控關(guān)鍵業(yè)務(wù)系統(tǒng)的關(guān)鍵路徑信息,實(shí)現(xiàn)安全事件的可發(fā)現(xiàn)、可追蹤、可審計(jì)和阻斷。
工業(yè)入侵防御系統(tǒng)采用協(xié)議分析、模式匹配、異常檢測(cè)等技術(shù),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量、數(shù)據(jù)包的動(dòng)態(tài)監(jiān)視、記錄和管理、對(duì)異常事件進(jìn)行告警等。滿足等保2.0“安全網(wǎng)絡(luò)通信”中:在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部(或內(nèi)部)發(fā)起的網(wǎng)絡(luò)攻擊行為的合規(guī)要求。
? 網(wǎng)絡(luò)安全預(yù)警
通過(guò)在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處對(duì)數(shù)據(jù)流量做鏡像采集,并交由中心節(jié)點(diǎn)的分析平臺(tái)做數(shù)據(jù)分析的方式進(jìn)行安全分析與威脅預(yù)警。采用“AI基因,威脅免疫”的防護(hù)理念,運(yùn)用人工智能技術(shù)實(shí)現(xiàn)對(duì)安全威脅的主動(dòng)防御,能夠在攻擊產(chǎn)生破壞行為之前及時(shí)被發(fā)現(xiàn)并響應(yīng),避免發(fā)生更大的經(jīng)濟(jì)損失與社會(huì)影響。
通過(guò)新一代高性能分布式大數(shù)據(jù)平臺(tái),搭載大數(shù)據(jù)AI分析引擎,采用無(wú)監(jiān)督學(xué)習(xí)算法,以產(chǎn)線內(nèi)資產(chǎn)為核心構(gòu)建AI模型,全面檢測(cè)高級(jí)威脅和未知威脅。
通過(guò)聚焦于資產(chǎn)發(fā)現(xiàn)和未知威脅檢測(cè)兩大客戶痛點(diǎn),通過(guò)高效處理海量數(shù)據(jù),自動(dòng)發(fā)現(xiàn)內(nèi)網(wǎng)資產(chǎn),構(gòu)建清晰的資產(chǎn)互訪拓?fù)洌煌ㄟ^(guò)全流量AI未知威脅檢測(cè),結(jié)合全球威脅情報(bào)進(jìn)行威脅溯源;通過(guò)精準(zhǔn)攻擊場(chǎng)景還原,采用攻擊鏈對(duì)每個(gè)攻擊階段進(jìn)行回溯分析,并留存攻擊取證報(bào)文;結(jié)合AI檢測(cè)、規(guī)則檢測(cè)進(jìn)行關(guān)聯(lián)分析,自動(dòng)評(píng)估風(fēng)險(xiǎn)資產(chǎn),通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現(xiàn)。
2. 網(wǎng)絡(luò)、平臺(tái)或安全互聯(lián)架構(gòu)
(1)網(wǎng)絡(luò)互聯(lián)架構(gòu)
鋼鐵行業(yè)是我國(guó)基礎(chǔ)性產(chǎn)業(yè),是國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)之一。相當(dāng)長(zhǎng)的一段時(shí)間鋼鐵企業(yè)的工業(yè)控制系統(tǒng)一直處于“信息孤島”狀態(tài)。近年來(lái),隨著互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)和智能制造技術(shù)的發(fā)展,鋼鐵行業(yè)積極推進(jìn)信息化建設(shè),顯著提升了鋼鐵行業(yè)的生產(chǎn)能力和管理水平。鋼鐵行業(yè)工控系統(tǒng)不斷優(yōu)化升級(jí),這一發(fā)展過(guò)程中,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全面臨著重大挑戰(zhàn)。在全球信息化飛速發(fā)展的新形勢(shì)下,如何確保鋼鐵行業(yè)工控系統(tǒng)的信息安全,一直備受重視。
鋼鐵冶煉是將鐵礦石經(jīng)過(guò)一些列工序冶煉成鋼并軋制成鋼材的過(guò)程。為了支撐這一過(guò)程,鋼廠的工業(yè)生產(chǎn)流程還包括了石灰白灰制造,發(fā)電,煤的焦化提純,空氣壓縮,制氧等一系列能源、輔料以及高價(jià)值副產(chǎn)品的生產(chǎn),工業(yè)流程主體如圖4-2所示:
圖4-2 工業(yè)流程主體
(2)安全風(fēng)險(xiǎn)
? 生產(chǎn)控制大區(qū)內(nèi)部工控系統(tǒng)邊界缺乏有效的防護(hù)手段
各生產(chǎn)線之間的網(wǎng)絡(luò)邊界未部署針對(duì)工業(yè)環(huán)境的安全產(chǎn)品,某個(gè)域中感染病毒或者受到攻擊后,威脅有可能蔓延到整個(gè)工控網(wǎng)絡(luò)。
? 生產(chǎn)監(jiān)控工業(yè)主機(jī)及服務(wù)器中存在安全隱患
工業(yè)控制系統(tǒng)中的主機(jī)、工控機(jī)未安裝專門(mén)的工控防護(hù)軟件,工業(yè)主機(jī)使用了相對(duì)主流的windows操作系統(tǒng),為了保證系統(tǒng)的穩(wěn)定性和兼容性往往難以進(jìn)行必要的安全性補(bǔ)丁更新,在當(dāng)前的工控網(wǎng)絡(luò)架構(gòu)下,其暴露程度也相對(duì)較高,存在被植入病毒和各類間諜軟件的風(fēng)險(xiǎn)。
根據(jù)對(duì)工控系統(tǒng)存在的安全風(fēng)險(xiǎn),得出工控安全建設(shè)需求,要以滿足未來(lái)的等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求為前提,通過(guò)建立多層次的縱深安全防護(hù)機(jī)制,防止攻擊對(duì)工控系統(tǒng)造成不良影響,具體建設(shè)需求如下:
網(wǎng)絡(luò)攻擊防護(hù):根據(jù)該鋼鐵廠的環(huán)網(wǎng)特點(diǎn),采用適當(dāng)?shù)木W(wǎng)絡(luò)攻擊預(yù)警、發(fā)現(xiàn)及防護(hù)機(jī)制,防止網(wǎng)絡(luò)入侵,惡意軟件擴(kuò)散等情況的出現(xiàn)。
主機(jī)安全防護(hù):針對(duì)工業(yè)主機(jī)的特點(diǎn),采用適當(dāng)?shù)姆桨阜乐箰阂廛浖诠I(yè)主機(jī)上啟動(dòng)運(yùn)行。
? 生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部缺乏完整性管控手段和運(yùn)維審計(jì)措施
在日常的生產(chǎn)運(yùn)營(yíng)和維護(hù)中,需要第三方運(yùn)維單位進(jìn)行設(shè)備巡檢和檢修,為了工作的便捷性,經(jīng)常將辦公用的筆記本及便攜設(shè)備等接入到生產(chǎn)網(wǎng)絡(luò)中,由于缺少網(wǎng)絡(luò)準(zhǔn)入技術(shù)及安全審計(jì)技術(shù),不能對(duì)私自接入的設(shè)備進(jìn)行管控,給生產(chǎn)系統(tǒng)帶來(lái)了很大的安全隱患。在疫情影響下,運(yùn)維人員還有可能通過(guò)遠(yuǎn)程桌面方式進(jìn)行運(yùn)維,缺乏完善的運(yùn)維審計(jì)機(jī)制,對(duì)運(yùn)維人員的操作過(guò)程沒(méi)有記錄。
3. 具體應(yīng)用場(chǎng)景和安全應(yīng)用模式
(1)鋼鐵行業(yè)云數(shù)據(jù)中心安全防護(hù)建設(shè)
隨著互聯(lián)網(wǎng)的重心逐步向移動(dòng)互聯(lián)網(wǎng)轉(zhuǎn)移,各種新技術(shù)新業(yè)務(wù)上線運(yùn)營(yíng),帶來(lái)海量數(shù)據(jù)的爆炸式增長(zhǎng),關(guān)于客戶的隱私數(shù)據(jù)也日益增加。因此,需要構(gòu)建整體全面的云計(jì)算安全體系,對(duì)內(nèi)實(shí)現(xiàn)安全管理,對(duì)外實(shí)現(xiàn)安全運(yùn)營(yíng)。
在虛擬機(jī)資源池環(huán)境中,物理服務(wù)器內(nèi)部存在多個(gè)虛擬機(jī),每個(gè)虛擬機(jī)都承載不同業(yè)務(wù)系統(tǒng);同時(shí),同一物理服務(wù)器內(nèi)部的不同虛擬機(jī)間的流量可以通過(guò)內(nèi)部的虛擬網(wǎng)絡(luò)層直接通信,不再通過(guò)外部的物理防火墻,使得原有的物理安全邊界在虛擬化環(huán)境下發(fā)生改變,因此,原有的安全防護(hù)機(jī)制無(wú)法有效應(yīng)對(duì)虛擬化環(huán)境的場(chǎng)景,給云數(shù)據(jù)中心用戶業(yè)務(wù)上云帶來(lái)了極大的阻礙。該場(chǎng)景拓?fù)涫疽鈭D如圖4-3:
圖4-3 場(chǎng)景拓?fù)涫疽鈭D
根據(jù)等級(jí)保護(hù)“一個(gè)中心,三重防護(hù)”的指導(dǎo)思想,參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)安全要求中“安全通用要求”與“云計(jì)算安全擴(kuò)展要求”,通過(guò)技術(shù)手段實(shí)現(xiàn)的防護(hù)主要包含如下幾個(gè)層面:
? 安全通信網(wǎng)絡(luò):通過(guò)部署六方云池實(shí)現(xiàn)租戶間的隔離。通過(guò)部署云池
產(chǎn)品實(shí)現(xiàn)不同云租戶虛擬網(wǎng)絡(luò)間的隔離及邊界防護(hù)與入侵防范,滿足等保中安全通信網(wǎng)絡(luò)的要求;由于云數(shù)據(jù)中心網(wǎng)絡(luò)中有一個(gè)不可控區(qū)域,即用戶托管的服務(wù)器區(qū)。此區(qū)域的服務(wù)器,最終用戶擁有完全控制權(quán)限,因此此部分很容易被當(dāng)成肉雞,直接繞過(guò)邊界防火墻訪問(wèn)云服務(wù)器。因此通過(guò)在托管服務(wù)器區(qū)邊界部署下一代防火墻,實(shí)現(xiàn)云計(jì)算服務(wù)器與網(wǎng)絡(luò)中其他網(wǎng)絡(luò)的邊界防護(hù)與入侵防范等。
? 安全區(qū)域邊界:通過(guò)安全設(shè)備及網(wǎng)絡(luò)設(shè)備合理劃分安全域:云數(shù)據(jù)中心
為內(nèi)部區(qū)域,其它為外部區(qū)域,通過(guò)在核心交換機(jī)上部署入侵檢測(cè)系統(tǒng)(IDS),實(shí)現(xiàn)發(fā)現(xiàn)訪問(wèn)控制過(guò)程中的威脅并及時(shí)做好防護(hù)策略;通過(guò)旁路部署神探系統(tǒng)流量探針,采用監(jiān)聽(tīng)與智能分析技術(shù),對(duì)系統(tǒng)的控制、采集請(qǐng)求,數(shù)據(jù)庫(kù)存取、系統(tǒng)運(yùn)維等關(guān)鍵行為進(jìn)行審計(jì),對(duì)攻擊及時(shí)預(yù)警;在內(nèi)部用戶網(wǎng)絡(luò)邊界部署下一代防火墻配合入侵防御模塊(IPS),實(shí)現(xiàn)內(nèi)部用戶終端到云服務(wù)器區(qū)的訪問(wèn)控制,對(duì)云服務(wù)器的安全起到安全保障;在互聯(lián)網(wǎng)邊界,通過(guò)部署入侵防御系統(tǒng)(IPS)實(shí)現(xiàn)對(duì)原有外部邊界防火墻的功能互補(bǔ),抵御來(lái)自互聯(lián)網(wǎng)的攻擊,通過(guò)部署蜜罐設(shè)備及時(shí)發(fā)現(xiàn)來(lái)自互聯(lián)網(wǎng)的威脅,將威脅攻擊誘捕至蜜罐,從而讓安全運(yùn)維人員及早發(fā)現(xiàn)黑客的攻擊行為與手段,提前做出預(yù)判并提升安全防護(hù)等級(jí),也為安全防護(hù)策略的建議爭(zhēng)取寶貴的時(shí)間,從而滿足等保中安全區(qū)域邊界的要求。
? 安全計(jì)算環(huán)境:通過(guò)部署六方云池,采用流量引流或鏡像的接口,通過(guò)
云池平臺(tái)上包含的各類安全組件來(lái)實(shí)現(xiàn)防護(hù);通過(guò)在云主機(jī)安裝云主機(jī)防護(hù)軟件,實(shí)現(xiàn)對(duì)終端主機(jī)的防護(hù),滿足等保中安全計(jì)算環(huán)境的相關(guān)要求。
? 安全管理中心:以神探系統(tǒng)分析平臺(tái)作為輔助安全管理中心,實(shí)現(xiàn)對(duì)網(wǎng)
絡(luò)流量的統(tǒng)一采集、分析及主要防護(hù)設(shè)備的統(tǒng)一運(yùn)維,形成云數(shù)據(jù)中心的安全運(yùn)營(yíng)中心,統(tǒng)一維護(hù)日常的信息安全防護(hù),對(duì)安全事件的應(yīng)急處置、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐。
(2)熱軋工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)
工業(yè)控制系統(tǒng)安全防護(hù)設(shè)計(jì)應(yīng)以構(gòu)建可持續(xù)演進(jìn)的、能主動(dòng)發(fā)現(xiàn)隱患并支持智能決策的安全防護(hù)能力為目標(biāo)。為實(shí)現(xiàn)這一目標(biāo),不能單純依賴技術(shù)手段、安全軟硬件設(shè)施的簡(jiǎn)單堆疊,而應(yīng)當(dāng)采用先進(jìn)的安全技術(shù)、構(gòu)建全天候的安全運(yùn)營(yíng)體系、并落實(shí)因地制宜的安全管理制度。其中,安全運(yùn)營(yíng)是銜接技術(shù)手段和管理制度,并讓安全防護(hù)能力持續(xù)有效的核心。
在安全技術(shù)、安全運(yùn)營(yíng)能力及安全管理制度的落實(shí)中,必須考慮到企業(yè)工控網(wǎng)絡(luò)在時(shí)延敏感性、工業(yè)控制協(xié)議、工控網(wǎng)絡(luò)架構(gòu)、工業(yè)上下位機(jī)漏洞等方面的特點(diǎn)并有針對(duì)性的提出防護(hù)方法,總結(jié)得出關(guān)鍵防護(hù)原則如下:
?分層分區(qū):依據(jù)“垂直分層,水平分區(qū)”的思想對(duì)工業(yè)控制系統(tǒng)進(jìn)行細(xì)致的安全區(qū)域劃分,同時(shí)根據(jù)不同區(qū)域的安全防護(hù)需求特點(diǎn)分安全級(jí)別的落實(shí)安全措施。
?本體保護(hù):工業(yè)系統(tǒng)中的各個(gè)模塊均應(yīng)實(shí)現(xiàn)自身的安全。同時(shí),在條件不具備的條件下將各模塊本體作為安全防護(hù)的單元,應(yīng)用必要的安全技術(shù)、管理手段和應(yīng)急措施。
?智能分析:在構(gòu)筑安全架構(gòu)的基礎(chǔ)上,通過(guò)對(duì)AI技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為中潛藏異常風(fēng)險(xiǎn)進(jìn)行挖掘,通過(guò)智能化的策略建議提供更高的安全防護(hù)水平。
?集中管控:對(duì)部署的安全防護(hù)技術(shù)手段應(yīng)在系統(tǒng)范圍內(nèi)進(jìn)行集中管控,將孤立的安全能力整合成協(xié)同工作的安全防護(hù)體系。
詳細(xì)拓?fù)淙鐖D4-4所示:
圖4-4 拓?fù)涫疽鈭D
1.1.3 下一步實(shí)施計(jì)劃
1. 計(jì)劃1
全面提升鋼鐵廠生產(chǎn)控制大區(qū)工控網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性,符合國(guó)家主管部門(mén)、行業(yè)監(jiān)管部門(mén)的管理要求以及工控安全防護(hù)要求。
2. 計(jì)劃2
通過(guò)初步安全防護(hù)實(shí)施,整體提升工控安全防護(hù)能力,提升整個(gè)工控網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)預(yù)警能力以及安全運(yùn)維能力;全面改善業(yè)務(wù)人員的安全水平和安全意識(shí),提升安全管理水平、工作效率和管理效率。
3. 計(jì)劃3
實(shí)現(xiàn)惡意代碼的監(jiān)測(cè)、分析、告警、處置和管理,能夠監(jiān)測(cè)惡意代碼網(wǎng)絡(luò)傳播和攻擊行為,并采用人工智能技術(shù)進(jìn)行關(guān)聯(lián)分析和綜合分析,有效解決靜態(tài)特征碼監(jiān)測(cè)方式的弊端,提升全行業(yè)動(dòng)態(tài)檢測(cè)能力。
1.1.4 方案創(chuàng)新點(diǎn)和實(shí)施效果
1. 方案先進(jìn)性及創(chuàng)新點(diǎn)
(1)打造IT與OT融合的縱深防御體系
方案設(shè)計(jì)中通過(guò)部署工業(yè)審計(jì)、智能工業(yè)防火墻、全流量未知威脅檢測(cè)與回溯系統(tǒng)、工業(yè)衛(wèi)士、監(jiān)管平臺(tái)產(chǎn)品,打造IT和OT融合的縱深防御體系。采用IT和OT數(shù)據(jù)融合技術(shù)、AI技術(shù)、人工智能技術(shù),基于工業(yè)大數(shù)據(jù)全流量持續(xù)監(jiān)測(cè)系統(tǒng)中已知威脅和未知威脅。
(2)全網(wǎng)資產(chǎn)測(cè)繪以及工業(yè)行為可視化
實(shí)現(xiàn)工控網(wǎng)絡(luò)資產(chǎn)的可視化管理,動(dòng)態(tài)識(shí)別非法接入設(shè)備,直觀展示工控網(wǎng)絡(luò)安全威脅,利用豐富的可視化展現(xiàn)經(jīng)驗(yàn)和技術(shù)手段。平臺(tái)建設(shè)完成后將依據(jù)工業(yè)網(wǎng)絡(luò)系統(tǒng)實(shí)際拓?fù)涮峁┐罅康谋O(jiān)視視圖。可視化視圖將針對(duì)不同的展示數(shù)據(jù),不僅提供餅狀圖、柱狀圖等形式展示對(duì)比及分布數(shù)據(jù),利用趨勢(shì)圖反映周期性的監(jiān)測(cè)數(shù)據(jù),同時(shí)采用復(fù)雜算法和布局的可視化展示技術(shù)創(chuàng)建視網(wǎng)膜圖、多維視圖反映數(shù)據(jù)規(guī)律,增加用戶對(duì)數(shù)據(jù)的可讀性。
(3)極大減少運(yùn)維工作量
產(chǎn)品采用AI模型進(jìn)行威脅檢測(cè),從核心技術(shù)上區(qū)別于傳統(tǒng)安全感知設(shè)備,通過(guò)安全日志AI聚合技術(shù),將一類安全告警形成簡(jiǎn)潔的安全事件呈現(xiàn)給用戶,克服了傳統(tǒng)設(shè)備告警數(shù)量巨大、誤報(bào)率高的缺點(diǎn),極大地減少了運(yùn)維人員的工作量。
2. 實(shí)施效果
通過(guò)一系列的安全防護(hù)建設(shè),滿足了等級(jí)保護(hù)制度對(duì)工業(yè)控制系統(tǒng)安全防護(hù)的要求,為客戶解決生產(chǎn)控制系統(tǒng)管理難、運(yùn)維難、資產(chǎn)看不清、資產(chǎn)之間訪問(wèn)關(guān)系和訪問(wèn)行為無(wú)法掌握等難題。
n 實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)從未知到已知
通過(guò)建立生產(chǎn)控制系統(tǒng)信息安全監(jiān)管與預(yù)警平臺(tái),摸清家底,感知網(wǎng)絡(luò)中的資產(chǎn)信息,實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)可視化。通過(guò)摸清家底,了解網(wǎng)絡(luò)中存在哪些設(shè)備、對(duì)應(yīng)的責(zé)任人是誰(shuí)、使用什么操作系統(tǒng)、安裝了哪些軟件和應(yīng)用,分別是什么組件、什么版本,分別存在哪些漏洞、已經(jīng)修補(bǔ)了哪些補(bǔ)丁等等,真正做到底數(shù)清、情況明確。
n 實(shí)現(xiàn)網(wǎng)絡(luò)安全防御從被動(dòng)到主動(dòng)
通過(guò)建立鋼鐵行業(yè)生產(chǎn)控制系統(tǒng)監(jiān)管預(yù)警平臺(tái),利用安全大數(shù)據(jù)、態(tài)勢(shì)感知、攻擊鏈模型和算法,結(jié)合最新的全球網(wǎng)絡(luò)安全威脅情報(bào),持續(xù)監(jiān)測(cè),準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊,并進(jìn)行通報(bào)預(yù)警,提前感知攻擊者的下一步攻擊計(jì)劃,采取有效處置措施,構(gòu)建彈性防御體系,以期最大限度上避免、轉(zhuǎn)移、降低信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。
n 實(shí)現(xiàn)從單一設(shè)備防護(hù)到協(xié)同聯(lián)動(dòng)
通過(guò)建立生產(chǎn)控制系統(tǒng)監(jiān)管與預(yù)警平臺(tái),作為聯(lián)動(dòng)樞紐,實(shí)現(xiàn)網(wǎng)絡(luò)中所有安全設(shè)備的數(shù)據(jù)匯總分析、數(shù)據(jù)共享及策略協(xié)同,打通終端、邊界協(xié)同聯(lián)動(dòng),有機(jī)整合各種網(wǎng)絡(luò)安全技術(shù),達(dá)到“智能檢測(cè)”、“智能上報(bào)”、“智能響應(yīng)”,建立一個(gè)以威脅情報(bào)為驅(qū)動(dòng),終端安全、邊界安全、大數(shù)據(jù)分析等多層次、縱深智能協(xié)同的安全防御體系,有效提升整體網(wǎng)絡(luò)防護(hù)能力。
n 實(shí)現(xiàn)網(wǎng)絡(luò)安全縱深防御防護(hù)體系
通過(guò)工控系統(tǒng)安全防護(hù)要求,對(duì)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行整改加固,在堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則,強(qiáng)化邊界防護(hù)的基礎(chǔ)上,加強(qiáng)內(nèi)部的物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全防護(hù)以及安全運(yùn)維管控,構(gòu)建縱深防線,實(shí)現(xiàn)智能制造企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護(hù)。
1.1.5 單位基本信息
北京六方云信息技術(shù)有限公司是一家技術(shù)領(lǐng)先的“新安全”公司,六方云借助人工智能技術(shù)仿生人體免疫機(jī)制,針對(duì)工業(yè)客戶和政企客戶的安全需求,創(chuàng)造性地提出了“AI基因、威脅免疫”的“新時(shí)代、新安全”安全理念,采用+AI和AI+戰(zhàn)略,將人工智能技術(shù)應(yīng)用于全系列產(chǎn)品,構(gòu)建安全威脅免疫系統(tǒng)。在國(guó)家新基建戰(zhàn)略下,致力于提供關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)品和解決方案,擁有保護(hù)工業(yè)客戶和政企客戶的“5+1”產(chǎn)品線:工控安全產(chǎn)品線、網(wǎng)絡(luò)安全產(chǎn)品線、云安全產(chǎn)品線、安全態(tài)勢(shì)感知產(chǎn)品線、人工智能安全產(chǎn)品線及安全服務(wù)。
六方云董事長(zhǎng)任增強(qiáng)表示:工業(yè)互聯(lián)網(wǎng)安全、云安全、人工智能安全是“新安全”,是未來(lái),而未來(lái)世界發(fā)展的主要推動(dòng)力來(lái)自于技術(shù)。六方云堅(jiān)持以吸引和團(tuán)結(jié)有共同價(jià)值觀的人才為核心,持續(xù)不斷地耕耘攻堅(jiān),實(shí)現(xiàn)“以技術(shù)保障技術(shù)”,用最先進(jìn)的技術(shù)解決國(guó)家與行業(yè)在高速發(fā)展中的安全問(wèn)題,保障國(guó)家工業(yè)互聯(lián)網(wǎng)戰(zhàn)略、云安全戰(zhàn)略、以及新基建安全的實(shí)現(xiàn),讓萬(wàn)物安全互聯(lián)。
AII微信公眾號(hào)
AII頭條號(hào)