奇安信科技集团股份有限公司
1 项目概况
1.1 项目背景及简介
在工业化、自动化、信息化和智能化的高度融合和持续推进下,工业网络作为生产过程信息交互的载体,其安全已对国家安全和国民经济发展产生重要而深远的影响,为保障工业生产过程工控系统的持续、可靠、稳定、安全、有效运行,国务院、国家部委及地方各级政府部门近几年来陆续出台相关政策文件,积极鼓励和支持工业企业网络安全方面的建设发展,如《工业互联网通用平台》《工业互联网平台架构》《互联网网络架构发展白皮书》等一批规范指导文件为工业企业网络合规性建设提供了重要支撑。
某冶金企业非常重视工业生产流程的自动化、信息化、生产智能化建设。目前该冶金企业所有生产流程全部实现了工业过程自动化控制,但整个工控系统安全建设几乎一片空白。
1.2 项目需求分析及目标
奇安信工业安全专家针对该冶金企业缺乏漏洞检测和补偿机制、无安全预警措施、无应急响应机制、无体系化的整体综合解决方案的现状,建立冶金行业工业控制网络安全防护体系以满足安全生产的需要,达到国家对关键基础设施网络安全的要求。
该冶金企业面临的安全威胁是多层面、复杂多样的,经过奇安信安全专家大量调研,总结如下网络安全问题:
(1)由于工控网络无安全规划,纵向缺少物理隔离措施,厂级工控网络通过光纤将不同装置工控系统互联,各个区域内主机设备、控制设备及服务器均可通过核心交换机进行区域之间互访。交互过程中无安全防护,数据在传输过程中容易受到攻击或篡改,一旦单点被突破,将危及整个生产网络安全。
(2)各个关键节点和重要生产区域缺乏网络安全监测手段,不能及时发现网络安全问题,出现问题后靠人员经验排查。生产网络上普遍缺少信息安全监控机制,不能及时了解发现入侵行为、病毒、网络访问异常等问题,缺少安全审计措施。
(3)除近期建设投运的生产系统外,该冶金企业工控系统普遍存在主机老旧、有效监管和防护待完善的问题。由于工控系统本身的操作站、工程师站、服务器等主机无法安装病毒软件,且工程师站经常处于活跃状态,一旦一台感染病毒,则病毒会随着网络纵向、横向传播感染。
(4)该冶金企业目前有十多个工业生产单位,缺乏针对工业网络的设备集中管理、设备集中监测、安全威胁分析。
根据该冶金企业安全现状,结合国内外先进防护技术,构建基于边界防护、监测预警、入侵检测、
漏洞检查的多层次纵深防御体系。
2 项目实施
本案例重点介绍该冶金企业网络安全防护平台建设方案,通过工业安全隔离、工业安全审计、主机安全防护等系统综合利用工业协议深度安全解析、白名单防护技术、网络隔离技术、智能机器学习技术、数据动态建模与智能挖掘等技术,形成主机安全、设备安全、网络安全的工业企业安全纵深防御解决方案。安全纵深防御解决方案架构如图1所示。
图1 安全纵深防御解决方案架构图
(1)由于集团能源管理网需采集各系统内部生产数据,形成数据传输通道,故十多个生产单元核心交换与能源管理网核心之间部署工业网闸。通过工业网闸的数据摆渡传输模式,可有效保证工控系统的安全。通过单向传输设置,保障数据传输只能由工控系统端传向能源管理网,禁止数据的回传,切断TCP通信,通过物理隔离方式保障工控系统网络不受入侵和破坏。
(2)为满足生产网络内的安全审计及入侵监测需求,在十多个生产单元工控系统内部核心交换机上部署工业安全监测系统。对整个工控系统内部网络设备、安全设备、工控主机等日志、流量进行多维度分析,实时监测网络流量状态和情况,如发现网络安全情况可进行实时告警,监测重要控制系统网内可能发生的网络攻击、违规操作、非法设备接入,实现区域内控制网络安全状况实时反馈。
(3)针对十多个生产单位工控系统网络内的操作员站、工作站、服务器等部署工业主机安全防护系统,利用白名单技术阻止控制系统遭到病毒木马和恶意攻击的威胁,通过工业主机防护控制中心对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理,以及终端单点维护。同时可对外部USB接入设备进行有效防护,通过USB白名单方式进行防护,USB设备以授权方式对主机进行访问。
(4)在运行管控中心调度室汇聚中心交换机旁路部署工业安全态势感知平台,实现整个工业网络的设备集中管理、设备集中监测、安全统一分析、日志统一采集、态势统一展示,通过对全网流量的持续检测,包括工业资产识别、漏洞发现、威胁监测、异常行为分析等,实时将工业安全风险可视化,掌握工业控制网络情况,出现问题及时定位。
3 案例亮点及创新性
本项目基于冶金实际工业场景,构建梯级化管理监控平台,完善厂级、车间级纵深防护及监测体系,全面提升该冶金企业工业控制系统安全抗风险能力。
本项目的落实,形成了良好的示范效应,提升了该冶金企业工业网络安全防护能力,为国家推进工业互联网创新示范基地和网络安全创新基地发挥积极的引领和推动作用,保障国民经济生产及国家建设安全,符合国家信息安全的战略需求,经济和社会效益显著。
(1)IT、OT一体化防护
针对工控网络中IT、OT流量进行全方位安全防护,通过应用识别、深度数据包解析以及一体化安全策略进行安全过滤,结合白名单、入侵防御、病毒检测等技术进行安全威胁检测和防护,保障工控网络安全。
(2)白名单技术
工业主机安全防护系统可以扫描工业主机的进程,对经过确认的可执行程序生成一个唯一的特征码,特征码集合起来形成特征库,即白名单。只有白名单内的软件才可以运行,其它进程都被阻止,以此防止病毒、木马、违规软件的攻击。
(3)关卡式病毒拦截
从“病毒入口-病毒运行-病毒扩散”三个环节层层设防,步步拦截,进行白进程准入、U盘管控、已有病毒防扩散等安全管理,做到病毒进不来、启不动、扩散不了,实现主机安全无死角病毒防护。
(4)“永恒之蓝”勒索病毒克星
工业主机安全防护系统内置独创“永恒之蓝”漏洞网络防御引擎和专杀工具,可以对“永恒之蓝”及其变种网络攻击实时拦截。利用“漏洞利用分析-流量解析对比-可疑攻击阻断”等技术,无需为主机打补丁、关端口,即可进行“永恒之蓝”勒索病毒的预判与防御。
(5)以资产为中心
工业安全监测系统通过资产自动识别、资产管理、资产网络关系图绘制,提供了以资产为中心的安全管理视角。工业生产流程比较固定,相较于以告警事件为中心的威胁分析方案,以资产为中心的漏洞发现与风险分析更符合工业环境管理习惯。级联无损部署方式,不影响生产。
(6)多功能合一
工业安全监测系统集流量审计、AV检测、IDS检测、白名单监测、工控关键操作监测引擎于一体,全面检测工业网络的病毒传播、入侵行为。兼备传统IT网络与工控网络安全检测能力,适合IT/OT混合网络环境。同时满足合规要求和安全监测的要求。