今日頭條
官方微信
官方抖音
案例頻道★ 杭州安恒信息技術股份有限公司
1 項目概況
1.1 項目背景
某生物技術有限公司是一家上市生物制藥企業(yè),致力于人用疫苗及其相關產品的研究開發(fā)、生產和銷售,為疾病預防控制提供服務。
隨著對信息系統(tǒng)的依賴程度不斷增加,原有的信息化設備已經無法滿足業(yè)務發(fā)展的需要。現(xiàn)需要根據(jù)實際業(yè)務需求對原有信息化系統(tǒng)進行優(yōu)化和改造,而信息安全建設作為信息化建設中必不可少的環(huán)節(jié),需要同步進行。國內外安全形式日趨嚴峻,為保障網絡安全,《網絡安全法》、關基保護條例、等保2.0標準等相繼發(fā)布,對企業(yè)的業(yè)務合規(guī)能力、業(yè)務系統(tǒng)安全能力和安全運營能力等提出了新的挑戰(zhàn)。
1.2 項目簡介
該企業(yè)在網絡和生產系統(tǒng)設計與建設之初,未考慮到潛在網絡安全風險,未面向生產網絡進行體系化網絡安全建設。隨著企業(yè)信息化建設不斷推進,給現(xiàn)有的生產網絡與工控系統(tǒng)帶來很大的風險與挑戰(zhàn)。
本項目對該企業(yè)進行網絡安全整體規(guī)劃與建設,結合公司的網絡安全現(xiàn)狀,確定其安全建設需求,加強其監(jiān)測預警系統(tǒng)、終端安全查殺能力、應急響應手段、大數(shù)據(jù)安全平臺和信息系統(tǒng)等級保護建設的推進工作,全面提升其智能制藥的網絡安全保護及整網安全能力,并建立一個完善的信息安全預防、監(jiān)測、防御和響應的縱深防御的安全體系,解決其當前面臨的網絡安全風險。
1.3 項目目標
某生物技術有限公司擁有11個廠區(qū),本項目需要在滿足政策合規(guī)的前提下,通過建設企業(yè)級工業(yè)互聯(lián)網安全態(tài)勢感知與綜合管控服務平臺,實時掌握各生產廠區(qū)工業(yè)系統(tǒng)的網絡安全態(tài)勢,及時通報預警重大網絡安全威脅;形成企業(yè)和下屬各生產基地相關部門協(xié)調聯(lián)動的網絡安全監(jiān)測預警處置工作機制,構建網絡安全綜合防控體系;最終形成工業(yè)安全檢測、工業(yè)安全防御、工業(yè)安全運維、工業(yè)安全響應的閉環(huán)體系,如圖1所示。
圖1 總體安全方案設計架構
2 項目實施
2.1 業(yè)務應用場景分析
該生物制藥企業(yè)工業(yè)網絡安全防御體系仍需完善,系統(tǒng)工業(yè)安全檢測和感知能力不足,沒有建立相應的工業(yè)網絡安全監(jiān)測、預警和感知系統(tǒng)。工業(yè)網絡安全重復檢查、安全風險和漏洞重復通報等問題突出。因此需要具備以下能力:
(1)資產安全集中監(jiān)測能力;
(2)高級威脅檢測能力;
(3)工業(yè)網絡安全監(jiān)測及處置能力;
(4)可視化溯源分析能力;
(5)工業(yè)安全合規(guī)管理能力。
該企業(yè)具有生物制藥行業(yè)的典型特點:廠區(qū)分散、網絡結構復雜、各工廠工控系統(tǒng)品牌和型號不統(tǒng)一。項目方案中,根據(jù)業(yè)務需求規(guī)劃安全域并制定詳細的訪問控制策略,部署網絡安全設備構建分域控制與縱深防御的安全防護體系,同時通過全面的工業(yè)協(xié)議解析能力及多源異構日志分析能力,將安全數(shù)據(jù)轉換為統(tǒng)一、標準的數(shù)據(jù)格式,利用工業(yè)安全態(tài)勢感知平臺進行大數(shù)據(jù)處理,成功打通各安全域的信息孤島,形成工業(yè)安全運營閉環(huán)管理體系,做好協(xié)同防御。
2.2 技術方案
項目總體設計采用分域控制與縱深防御相結合的方式,如圖2所示。
圖2 項目技術方案示意圖
(1)分域控制:將智能制藥操作系統(tǒng)和外部系統(tǒng)依據(jù)系統(tǒng)的應用功能、資產價值及資產所面臨的風險,從結構上劃分為不同的安全區(qū)域,并以安全區(qū)域為單位進行安全防御技術措施的建設。
(2)縱深防御:智能制藥操作系統(tǒng)圍繞安全管理中心,從安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境三個維度進行安全技術和措施的設計;通過集中管理,對確認的重大威脅或攻擊進行安全聯(lián)動防護,充分考慮各種技術的組合和功能的互補性,從外到內形成一個縱深的安全防御體系。
2.2.1 安全管理中心
(1)新建安全管理域
在服務器區(qū)新建安全管理域,在安全管理域內部署工業(yè)安全態(tài)勢感知平臺、堡壘機、工業(yè)安全管理平臺等安全設備,在安全管理域與服務器區(qū)之間部署下一代防火墻,實現(xiàn)服務器區(qū)與安全管理域的訪問控制。
(2)工業(yè)安全管理平臺
對各安全域的安全設備進行集中管控、狀態(tài)監(jiān)測、策略配置下發(fā)等,及時發(fā)現(xiàn)、報告并處理工業(yè)控制系統(tǒng)中的網絡攻擊或異常行為,統(tǒng)一調度安全預警、安全監(jiān)測、安全防護和應急處置。
(3)綜合日志審計平臺
采集各個安全域的日志信息進行審計,支持各類網絡設備、安全設備、主機、應用及數(shù)據(jù)庫等,滿足政策法規(guī)要求的日志留存期限,支撐事件分析與攻擊溯源。
(4)運維審計與風險控制系統(tǒng)(堡壘機)
通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監(jiān)控、審計回放和自動化運維流程管理等功能,增強運維管理的安全性。
2.2.2 安全通信網絡
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域,即在生產網服務器與辦公網服務器之間部署下一代防火墻,通過安全策略實現(xiàn)單向隔離,有效阻隔外部威脅的入侵;
在工業(yè)控制系統(tǒng)內部應根據(jù)業(yè)務特點劃分為不同的安全域。本項目根據(jù)工控系統(tǒng)的業(yè)務屬性及地理位置等因素,使用工業(yè)防火墻將各工廠劃分為獨立安全域。工業(yè)防火墻具有bypass功能,可確保生產業(yè)務的連續(xù)性。
2.2.3 安全區(qū)域邊界
在各個工廠的生產設備匯聚交換機數(shù)據(jù)出口處部署訪問控制設備(工業(yè)防火墻),配置訪問控制策略,禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網絡服務,深度解析工業(yè)協(xié)議,禁止非白名單工業(yè)協(xié)議傳輸;使用工業(yè)安全監(jiān)測審計平臺及流量分析系統(tǒng),在工業(yè)控制系統(tǒng)安全域內進行異常行為和異常流量監(jiān)測。
(1)工業(yè)防火墻
工業(yè)網絡內部安全域間使用工業(yè)防火墻進行邊界劃分,并配置訪問控制策略,利用工業(yè)防火墻的多業(yè)務端口實現(xiàn)橫向隔離,只允許特定設備的特定協(xié)議通過(如OPC、Modbus等)。工業(yè)防火墻具有bypass功能,可確保生產業(yè)務的連續(xù)性。
(2)工業(yè)安全監(jiān)測審計平臺
在各工廠的生產設備匯聚交換機上部署工業(yè)安全監(jiān)測審計平臺,實時監(jiān)測生產過程中產生的所有流量,識別多種工控協(xié)議,實現(xiàn)對工業(yè)控制系統(tǒng)內的異常流量、異常行為、異常操作、非法接入等安全風險的實時告警。
(3)流量分析系統(tǒng)
在各工廠的終端匯聚交換機上部署流量分析系統(tǒng),內置海量威脅檢測規(guī)則,覆蓋多種安全場景,有效識別各類IT、OT類網絡攻擊行為,實時告警并與工業(yè)安全態(tài)勢感知系統(tǒng)聯(lián)動處置,從而實現(xiàn)高效精準的威脅檢測。
2.2.4 安全計算環(huán)境
針對此生物制藥企業(yè)應用主機安全及管理系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)和工控漏洞掃描平臺,實現(xiàn)主機反病毒、外設管理、數(shù)據(jù)庫審計、資產脆弱性識別等能力,構建安全計算環(huán)境。
(1)主機安全及管理系統(tǒng)
在安全域的計算機部署主機安全客戶端,在安全管理中心部署主機安全及管理系統(tǒng)平臺,對所有主機安全客戶端進行統(tǒng)一管理。集成系統(tǒng)加固與防護、網絡加固與防護等功能,內置文件誘餌引擎對勒索病毒具有專防專殺能力;內核級東西向流量隔離技術,實現(xiàn)網絡隔離與防護;擁有補丁修復、外設管控、文件審計、違規(guī)外聯(lián)檢測與阻斷等主機安全能力。
(2)數(shù)據(jù)庫審計與風險控制系統(tǒng)
在生產網服務區(qū)內部署數(shù)據(jù)庫審計與風險控制系統(tǒng),對數(shù)據(jù)主機事件、網絡事件、數(shù)據(jù)庫時間、應用系統(tǒng)事件進行審計,并按照目標標識和事件類型等條件進行統(tǒng)計;通過綜合關聯(lián)分析,發(fā)現(xiàn)潛在危害和異常事件。
(3)工控漏洞掃描平臺
可對生產網絡內的設備進行漏洞掃描。工控漏掃擁有豐富的漏洞信息庫,支持對傳統(tǒng)IT系統(tǒng)(包括主流操作系統(tǒng)、應用服務、數(shù)據(jù)庫、網絡設備、安全設備、虛擬化系統(tǒng))的漏洞掃描與配置核查,以及對工業(yè)控制系統(tǒng)的漏洞識別檢測,能夠及時發(fā)現(xiàn)安全漏洞,全面掌握當前工業(yè)控制網絡及系統(tǒng)中的安全風險,協(xié)助管理者進行漏洞修復。
2.2.5 工業(yè)安全態(tài)勢感知
工業(yè)安全態(tài)勢感知平臺是生物制藥行業(yè)工業(yè)互聯(lián)網安全解決方案的大腦,采用安全大數(shù)據(jù)技術對工業(yè)安全數(shù)據(jù)進行深度分析,形成安全監(jiān)測、安全分析、安全運營能力,并提供可視化安全態(tài)勢感知呈現(xiàn)。工業(yè)安全態(tài)勢感知打通了信息固定,將各個安全設備與系統(tǒng)進行聯(lián)動,構建了一體化動態(tài)響應的工業(yè)信息安全防御體系,如圖3所示。
圖3 工業(yè)安全態(tài)勢感知平臺示意圖
(1)數(shù)據(jù)采集
·支持多源異構數(shù)據(jù)采集,收集安全設備、網絡設備、主機和應用系統(tǒng)等日志;
·支持流量采集,可采集全流量信息,深度解析工業(yè)協(xié)議與傳統(tǒng)IT協(xié)議,識別異常通信行為;
·支持資產信息探測,可通過主動探測、流量識別、安全設備上報等方式,精準識別資產信息;
·支持漏洞信息采集,能夠采集各類IT資產與工控資產漏洞及不安全配置等風險。
(2)安全數(shù)據(jù)分析
平臺結合IT與OT應用場景,內置1300多種安全分析模型,包括180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權限檢測類模型、210多種命令控制檢測類模型和30多種資產破壞類檢測模型,覆蓋Intrusion Kill Chain的各個維度,能有效識別各類網絡攻擊。
此外,平臺支持自定義工業(yè)安全模型,可根據(jù)用戶實際業(yè)務場景,將安全生產指標與網絡安全指標進行融合分析,從中發(fā)現(xiàn)威脅與風險,并進行有效的處置。當前支持規(guī)則模型、統(tǒng)計模型、情報模型、關聯(lián)模型和AI模型等自定義模型。
(3)業(yè)務應用
·資產管理:提供資產底數(shù)管理能力,可在線監(jiān)控網內資產,并識別資產基礎信息、網絡環(huán)境、安全事件、安全隱患等信息,將資產、事件、人員/單位相關聯(lián),為應急響應提供基礎。
·安全監(jiān)測:可實時監(jiān)測資產、安全事件、安全隱患、工控系統(tǒng)生產指標及其他用戶關注的信息,通過多種可視化方式進行呈現(xiàn)。
·安全分析:平臺通過內置規(guī)則實時分析安全事件與安全風險,用戶可查看事件級別、范圍、攻擊手段、處置建議等信息,并提供追蹤溯源能力,協(xié)助人員開展處置工作。
·安全運營:平臺提供通報預警與工單管理,形成流程化的閉環(huán)安全管理機制,確保責任落實到人。此外,平臺通過SOAR技術,可聯(lián)動防火墻、主機安全及管理系統(tǒng)等設備,自動處置安全事件,顯著加強應急處置效率。
3 案例亮點及創(chuàng)新性
(1)經濟效益
此生物制藥行業(yè)工業(yè)互聯(lián)網安全一體化運營解決方案在確保安全生產運營的基礎上,進行網絡安全建設,提高生物制藥生產運營安全性以及生產數(shù)據(jù)的可用性、完整性和保密性;通過從OT網絡到IT網絡多重防護措施,從外到內形成一個縱深的安全防御體系,保障系統(tǒng)整體的安全保障能力;保護企業(yè)重要資產,有效提升企業(yè)工業(yè)網絡安全技術水平,減少和避免因網絡安全事故對生產能力和生產效率的影響,減少和避免經濟損失,有助于降低成本、提高生產效率、保障產能。
本項目幫助某生物技術有限公司滿足政策法規(guī)的技術要求,為其11個廠區(qū)及總部構建了以工業(yè)安全態(tài)勢感知為核心的工控安全防護體系,解決了生產網數(shù)據(jù)共享的安全問題,具備了對安全事件溯源分析和問題定位的能力,提高了安全運維人員的工作效率,有顯著的經濟效益。同時,本項目建成后迅速實現(xiàn)了相關安全技術落地,并在集團生產基地進行了應用,保障了基地制造工廠安全,促進了集團業(yè)務的快速發(fā)展。
(2)社會效益
該方案應用具有免疫特征的安全防護體系、機制和關鍵技術在保證合規(guī)性建設的同時,可以持續(xù)解決新技術、新應用所帶來的安全問題。同時該項目在行業(yè)內具有較高的創(chuàng)新性,建設完成后可以適配大多數(shù)生物制藥企業(yè)及泛制造企業(yè)場景,促進了工業(yè)控制網絡安全技術的發(fā)展、安全企業(yè)價值的提升和安全產業(yè)的規(guī)模化發(fā)展。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號