今日頭條
官方微信
官方抖音
案例頻道★北京圣博潤高新技術(shù)股份有限公司
1 項(xiàng)目概況
1.1 項(xiàng)目背景
國防軍工行業(yè)是國家安全的支柱,承擔(dān)國防科研生產(chǎn)任務(wù),為國家武裝力量提供各種武器裝備研制。
由于軍工企業(yè)的特殊性,其內(nèi)部系統(tǒng)嚴(yán)格按照分級保護(hù)的要求進(jìn)行監(jiān)督管理,確保系統(tǒng)和信息安全。禁止內(nèi)部辦公網(wǎng)與工控網(wǎng)的直接連接,始終保持內(nèi)部辦公網(wǎng)與工控網(wǎng)之間的物理隔離狀態(tài),內(nèi)部辦公網(wǎng)系統(tǒng)與工控網(wǎng)絡(luò)的信息交換主要是依賴“光盤擺渡”的方式。
而武器裝備生產(chǎn)過程中的研發(fā)和協(xié)同等工作主要依賴內(nèi)部辦公網(wǎng)系統(tǒng),而生產(chǎn)、實(shí)驗(yàn)和測試離不開工控系統(tǒng)。內(nèi)部辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)的信息孤島和信息交換滯后問題已嚴(yán)重制約武器裝備科研生產(chǎn)效率的提高,所以實(shí)現(xiàn)內(nèi)部辦公網(wǎng)與工控網(wǎng)絡(luò)的安全互聯(lián),消除武器裝備的科研與生產(chǎn)環(huán)節(jié)的瓶頸,提高生產(chǎn)效率,實(shí)現(xiàn)武器裝備生產(chǎn)的數(shù)字化、智能化勢在必行。
1.2 項(xiàng)目簡介
圣博潤股份作為軍工行業(yè)信息安全領(lǐng)域領(lǐng)軍廠商,參與了十余家軍工單位的兩網(wǎng)互聯(lián)及工控安全防護(hù)項(xiàng)目的咨詢規(guī)劃和建設(shè)工作。在兩網(wǎng)安全互聯(lián)、工控網(wǎng)絡(luò)防護(hù)方面擁有豐富經(jīng)驗(yàn)以及完善的解決方案。
圣博潤股份參與了某軍工企業(yè)的兩網(wǎng)安全互聯(lián)及工控安全防護(hù)提升項(xiàng)目建設(shè)。通過對生產(chǎn)工藝和系統(tǒng)流程進(jìn)行摸底和梳理,以及對內(nèi)部辦公網(wǎng)和工控網(wǎng)絡(luò)的風(fēng)險評估,總結(jié)如下現(xiàn)狀問題:
(1)兩網(wǎng)間交互數(shù)據(jù)量大、交換頻次高。
目前采用光盤刻錄擺渡方式完成一次數(shù)據(jù)交互平均用時約30分鐘,且需要同時執(zhí)行多個業(yè)務(wù)流程,數(shù)據(jù)交換流程繁瑣,嚴(yán)重影響業(yè)務(wù)工作效率。工藝系統(tǒng)、生產(chǎn)執(zhí)行、物流配送和在線智能檢測等系統(tǒng)數(shù)據(jù)需要快速同步,生產(chǎn)過程質(zhì)量控制數(shù)據(jù)需要實(shí)時監(jiān)測。工藝生產(chǎn)銜接若存在失控風(fēng)險,對生產(chǎn)質(zhì)量會產(chǎn)生較大影響,使生產(chǎn)計劃難以快速高效地下達(dá)到生產(chǎn)現(xiàn)場,導(dǎo)致計劃執(zhí)行情況無法實(shí)時反饋,調(diào)度不能實(shí)時開展,將極大影響生產(chǎn)效率和設(shè)備利用率,對整個生產(chǎn)計劃的準(zhǔn)確性也會產(chǎn)生重大影響。
(2)工控系統(tǒng)存在脆弱性且安全防護(hù)較為薄弱。
工控系統(tǒng)在其自身安全性上存在“先天不足”,工控網(wǎng)絡(luò)中應(yīng)用的各類工控系統(tǒng)更新?lián)Q代周期長,普遍存在弱口令、漏洞等安全缺陷;生產(chǎn)車間中使用高端進(jìn)口機(jī)床裝備,存在后門安全隱患;工控網(wǎng)絡(luò)內(nèi)未按功能或區(qū)域劃分安全域且未設(shè)置ACL訪問控制策略;部分工控上位機(jī)病毒庫過期未及時更新等問題。長久以來,工控系統(tǒng)建設(shè)與使用管理重可用性,輕安全性,工業(yè)控制系統(tǒng)信息安全管理意識薄弱,管理體系不健全。
基于上述現(xiàn)狀,在兩網(wǎng)之間建立安全高效的信息交換平臺,構(gòu)建內(nèi)部辦公網(wǎng)與工控網(wǎng)之間的自動化數(shù)據(jù)傳輸通道已迫在眉睫。但網(wǎng)絡(luò)互聯(lián)后,工控網(wǎng)自身防護(hù)不健全可能給內(nèi)部辦公網(wǎng)帶來新的信息安全威脅。因此在構(gòu)建兩網(wǎng)互聯(lián)的同時,還需要通過技術(shù)手段提升工控網(wǎng)絡(luò)整體安全性。
1.3 項(xiàng)目目標(biāo)
通過搭建雙單向信息交換平臺實(shí)現(xiàn)內(nèi)部辦公網(wǎng)與工業(yè)控制系統(tǒng)之間的數(shù)據(jù)安全可控的實(shí)時交互,滿足生產(chǎn)需求,保障內(nèi)部辦公網(wǎng)數(shù)據(jù)安全、可靠、可控、穩(wěn)定的下發(fā)到工控網(wǎng);工控網(wǎng)制造數(shù)據(jù)及時、快速地反饋到內(nèi)部辦公網(wǎng),調(diào)整、優(yōu)化加工參數(shù),加快產(chǎn)品定型和產(chǎn)品量產(chǎn),有效提升企業(yè)生產(chǎn)效益和綜合運(yùn)營效率,為推動智能制造技術(shù)落地構(gòu)建基礎(chǔ)。
圣博潤股份以“統(tǒng)一規(guī)劃、分步實(shí)施、不斷完善”為指導(dǎo)思想,將本項(xiàng)目分為三個重點(diǎn)內(nèi)容進(jìn)行建設(shè),實(shí)現(xiàn)上述目標(biāo):
(1)實(shí)現(xiàn)內(nèi)部辦公網(wǎng)系統(tǒng)與工業(yè)控制系統(tǒng)間的安全數(shù)據(jù)交換
為了將工控網(wǎng)的信息快速地導(dǎo)入內(nèi)部辦公網(wǎng),同時需要將內(nèi)部辦公網(wǎng)內(nèi)特定格式的數(shù)據(jù)安全可控地導(dǎo)出到工控網(wǎng)中,圣博潤股份重點(diǎn)考慮了信息傳輸可能帶來的安全風(fēng)險,確保整個智能制造“數(shù)字化車間”運(yùn)行安全可靠,并確保滿足信息傳輸來源的真實(shí)性、內(nèi)容的合規(guī)性、過程中的單向性、數(shù)據(jù)可追溯可審計性及系統(tǒng)自身具備的安全性等要求。
(2)對工業(yè)控制系統(tǒng)進(jìn)行安全防護(hù)建設(shè)
對工控網(wǎng)有針對性地進(jìn)行安全防護(hù)提升,在邊界安全防護(hù)、入侵檢測、惡意代碼防護(hù)、身份鑒別、訪問控制、安全審計和安全管理等方面進(jìn)行提升建設(shè)。并確保滿足國家相關(guān)安全和保密建設(shè)要求。
(3)對內(nèi)部辦公網(wǎng)進(jìn)行安全補(bǔ)充建設(shè)
為確保通過信息交換平臺交換數(shù)據(jù)來源可靠,需通過打標(biāo)系統(tǒng)實(shí)現(xiàn)在跨網(wǎng)交換過程中,打標(biāo)系統(tǒng)的標(biāo)簽和電子數(shù)據(jù)的不可分離。并在內(nèi)部辦公網(wǎng)內(nèi)統(tǒng)一記錄數(shù)據(jù)交換日志和安全日志。
2 項(xiàng)目實(shí)施
2.1 安全區(qū)域劃分
根據(jù)密級、業(yè)務(wù)屬性及所屬功能的不同,將網(wǎng)絡(luò)規(guī)劃為圖中所示的三個大區(qū)。大區(qū)中包含有獨(dú)立的安全域來細(xì)化各自功能屬性。
2.2 整體設(shè)計思路
圣博潤股份的軍工兩網(wǎng)互聯(lián)及工控安全防護(hù)設(shè)計思路嚴(yán)格按照國家保密相關(guān)要求,并結(jié)合《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》進(jìn)行整體設(shè)計。總體設(shè)計思路按“主動防御、實(shí)時監(jiān)測、快速響應(yīng)、及時恢復(fù)”的方針,開展內(nèi)部辦公網(wǎng)與工控網(wǎng)安全事件的防護(hù)、檢測、預(yù)警和應(yīng)急處置等工作;采用“管技并重”相結(jié)合的安全防護(hù)理念構(gòu)建安全防護(hù)體系。
安全保密方面,以嚴(yán)防數(shù)據(jù)“高密低流”為主旨,在保障信息完整性、可靠性和安全性的基礎(chǔ)上,以兩路單向數(shù)據(jù)傳輸技術(shù)為核心搭建雙單向信息交換平臺,實(shí)現(xiàn)內(nèi)部辦公網(wǎng)和工控網(wǎng)絡(luò)之間的數(shù)據(jù)安全交換。
2.3 整體架構(gòu)設(shè)計
圖1是軍工兩網(wǎng)互聯(lián)信息交換平臺及工控安全防護(hù)體系總體設(shè)計架構(gòu)。
圖1 軍工兩網(wǎng)互聯(lián)信息交換平臺及工控安全防護(hù)體系總體設(shè)計架構(gòu)
2.4 數(shù)據(jù)交換安全
在內(nèi)部辦公網(wǎng)與工控網(wǎng)之間的信息交換區(qū)中部署上、下行兩個方向的單向光閘設(shè)備。利用單向光閘物理單向特性,保障文件傳輸絕對單向無反饋傳輸。
單向光閘兩側(cè)設(shè)置的獨(dú)立安全域中配置邊界防火墻,形成單向?qū)雮鬏斖ǖ琅c單向?qū)С鰝鬏斖ǖ赖倪吔绶雷o(hù)。采用最小化授權(quán)原則配置訪問控制策略,并細(xì)化至IP地址和服務(wù)端口級,實(shí)現(xiàn)數(shù)據(jù)流的控制。
2.5 邊界隔離及訪問控制
工控防火墻部署在工控設(shè)備安全域與網(wǎng)絡(luò)核心交換的交界處,通過訪問控制策略和隔絕等技術(shù)分割網(wǎng)絡(luò),防護(hù)來自外部網(wǎng)絡(luò)的入侵行為傳播。并在重點(diǎn)數(shù)控設(shè)備、智能裝備前端通過專用安全防護(hù)設(shè)備對關(guān)鍵生產(chǎn)設(shè)備的網(wǎng)口、串口、USB口進(jìn)行安全防護(hù)。
2.6 身份鑒別與運(yùn)維審計
通過運(yùn)維堡壘機(jī)的運(yùn)維審計能力,實(shí)現(xiàn)對交換機(jī)、安全設(shè)備、服務(wù)器登錄的二次身份進(jìn)行鑒別認(rèn)證,并對訪問人員的權(quán)限進(jìn)行控制,對操作人員的操作行為進(jìn)行監(jiān)測審計,對違規(guī)行為進(jìn)行溯源取證。
2.7 入侵檢測與工控審計
通過對工控網(wǎng)絡(luò)流量進(jìn)行檢測,檢出工控網(wǎng)絡(luò)內(nèi)部可能存在的溢出類攻擊、后門類攻擊、掃描類攻擊、暴力破解等攻擊或異常行為進(jìn)行實(shí)時檢測告警。
工控安全審計通過特有的工控協(xié)議深度解析和流量基線白名單功能,建立基于工控協(xié)議功能碼、指令的工控流量的白名單模型。有效識別出白名單流量以外的工控協(xié)議異常事件和網(wǎng)絡(luò)攻擊行為,并進(jìn)行實(shí)時告警。
2.8 網(wǎng)絡(luò)接入管控
通過網(wǎng)絡(luò)接入控制系統(tǒng)配合交換機(jī)ACL策略,及時發(fā)現(xiàn)并記錄網(wǎng)絡(luò)中的私建網(wǎng)中網(wǎng)、違規(guī)設(shè)備接入、雙網(wǎng)互聯(lián)、IP地址沖突等違規(guī)事件,實(shí)時定位終端的接入位置,發(fā)現(xiàn)非授權(quán)接入工控網(wǎng)設(shè)備。
2.9 主機(jī)安全防護(hù)
工控主機(jī)防護(hù)軟件采用“白名單機(jī)制”,未列入白名單的軟件和可執(zhí)行程序會在啟動之前被攔截。規(guī)避了防病毒軟件不能及時更新病毒庫帶來的殺毒能力降低問題。保障工業(yè)上位機(jī)中關(guān)鍵業(yè)務(wù)相關(guān)軟件穩(wěn)定運(yùn)行,提升了主機(jī)安全防護(hù)能力和合規(guī)管理水平。
2.10 漏洞及脆弱性管理
在網(wǎng)絡(luò)內(nèi)通過漏洞掃描系統(tǒng)基于CVE、CNVD、CNNVD等漏洞數(shù)據(jù)庫,對操作系統(tǒng)、應(yīng)用服務(wù)、網(wǎng)絡(luò)設(shè)備等IT資產(chǎn)以及工控上位機(jī)、PLC、RTU、數(shù)據(jù)采集模塊、變頻器等工控資產(chǎn)進(jìn)行檢查,對已發(fā)現(xiàn)的漏洞及脆弱性進(jìn)行查漏補(bǔ)缺。
2.11 集中管理與安全審計
工控集中安全管理平臺實(shí)現(xiàn)對工控網(wǎng)絡(luò)中的邊界防火墻、工控安全監(jiān)測審計、工控主機(jī)防護(hù)等產(chǎn)品進(jìn)行集中監(jiān)視和安全策略統(tǒng)一管理,通過安全事件關(guān)聯(lián)分析及安全趨勢風(fēng)險預(yù)警,有助于降低運(yùn)維成本、提高事件響應(yīng)效率。
在兩網(wǎng)交換過程中的交換日志和安全日志信息,統(tǒng)一導(dǎo)入保存至內(nèi)部辦公網(wǎng)的安全審計系統(tǒng)中進(jìn)行統(tǒng)一記錄存儲與大數(shù)據(jù)分析。同時對交換過程中的異常事件時間、違規(guī)事件進(jìn)行分析和處理。
3 案例亮點(diǎn)及創(chuàng)新性
圣博潤股份通過為某軍工單位建設(shè)兩網(wǎng)安全互聯(lián)及工控安全提升項(xiàng)目,既有效解決了該企業(yè)內(nèi)部辦公網(wǎng)與工控網(wǎng)數(shù)據(jù)安全交互的問題,又通過安全防護(hù)技術(shù)手段對工控網(wǎng)絡(luò)進(jìn)行全面安全防護(hù),保障了工控網(wǎng)絡(luò)數(shù)控和其他工控系統(tǒng)與的正常安全運(yùn)行。
(1)為工控系統(tǒng)安全提供了有效的保障
在信息化系統(tǒng)建設(shè)中,安全是一個至關(guān)重要的問題。軍工工業(yè)控制系統(tǒng)承載著國防安全重任,一旦工控系統(tǒng)出現(xiàn)安全事故將會造成較大的負(fù)面效應(yīng)。開展工控系統(tǒng)安全防護(hù)建設(shè),是為工控系統(tǒng)建設(shè)提供安全高效的運(yùn)行保障,具有非常重要的社會意義。
(2)助力軍工行業(yè)信息化建設(shè)向更高層次推進(jìn)隨著信息化建設(shè)的推進(jìn)
通過網(wǎng)絡(luò)進(jìn)行信息共享和數(shù)據(jù)交互的力度大大加強(qiáng),對兩網(wǎng)數(shù)據(jù)傳輸中的安全性、保密性和完整性提出了更高要求。只有對軍工內(nèi)部辦公網(wǎng)和工控網(wǎng)進(jìn)行科學(xué)的評估,規(guī)劃和建設(shè)一個集物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、系統(tǒng)安全和數(shù)據(jù)保密安全等于一體的信息防護(hù)體系,才能為軍工信息化的大力推進(jìn)提供充分的安全保障。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號