今日頭條
官方微信
官方抖音
案例頻道★ 浙江中控技術股份有限公司
1 項目概況
1.1 項目背景
大數據時代,數據已經成為保障國家穩(wěn)定和促進社會發(fā)展的重要戰(zhàn)略資源。隨著各類數據安全事件的頻繁爆發(fā),對各事發(fā)單位造成的影響和結果可謂非常慘烈。數據安全問題已嚴重影響政企聲譽和利益,甚至成為決定企業(yè)命運的關鍵問題。本項目是中控技術在工控系統(tǒng)全網防護解決方案中首次重點關注數據安全,并以此為例打造數據安全標桿項目。
1.2 項目目標
工控系統(tǒng)安全與數據安全防護建設的總體目標是參照國內外成熟、先進的工業(yè)控制系統(tǒng)安全防護模型和措施,根據浙江安諾芳胺化學品有限公司工控系統(tǒng)的實際特點和安全需求,全面持續(xù)提升該公司的安全組織管理、風險控制、專業(yè)技術和服務能力,加強工控系統(tǒng)安全防護力度,切實保障企業(yè)生產經營活動的正常運行。
(1)通過數據安全治理管控平臺建設,提升數據安全運營能力、數據安全管控能力和數據安全監(jiān)控能力。
(2)建立全面的工業(yè)控制系統(tǒng)網絡與數據安全保障體系,達到等保2.0的網絡安全的技術要求;減少企業(yè)的安全事件,保障商業(yè)秘密不外泄;完善工控安全風險管理,實現(xiàn)風險管理的機制化運行,使企業(yè)管理人員能夠準確掌握自身工控系統(tǒng)面臨的主要安全風險。
(3)基于等保2.0、DSMM及政務信息共享數據安全技術要求,建立以技術保障為基礎、以管理運營為抓手、以監(jiān)測預警為核心、以協(xié)同響應為目標的網絡安全防御體系,并圍繞合規(guī)性國家標準四大核心內容,即數據安全標準規(guī)范體系、數據安全防護體系、數據安全管理平臺和數據安全運營體系,開展數據安全與等保安全建設工作。
(4)加強數據資源安全運營、數據安全策略運營、數據安全事件運營、數據安全風險運營等能力的建設,為數據安全提供信息化支撐手段。
(5)提升數據安全管控系統(tǒng)(可控)能力,建成全網一體化數據安全體系,量化考核指標,檢查數據安全防護有效性,持續(xù)優(yōu)化數據運營。
(6)強化工控網和信息網的兩網隔離和訪問控制策略,確保工控網和信息網之間互聯(lián)互通的安全性,防止安全威脅或風險的滲透和轉移。
(7)提升工控系統(tǒng)對入侵和異常行為的檢測和發(fā)現(xiàn)能力,實現(xiàn)安全威脅的可知、可查。
(8)提高工控系統(tǒng)安全的管理和響應效率,實現(xiàn)工控系統(tǒng)安全的可視化與統(tǒng)一管控。
(9)建立相關的工控系統(tǒng)安全制度流程,提升企業(yè)應急響應能力和信息安全事件處理效率。
2 項目實施
2.1 設計依據
中控技術的工控系統(tǒng)安全和數據安全技術防護從外到內構成自主可控的多層次“內建安全(固)、縱深防御(防)、安全運維(管)”防護體系。在底層構建內建安全產品體系,確保產品具有網絡安全“健壯性”;在頂層規(guī)劃部署數據安全管理及數據安全運維體系,確保數據安全的長期、持續(xù)有效;在中間層建設包括安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境以及安全管理中心的縱深防御體系,并遵循“零信任”原則;在核心側部署數據保護平臺,幫助抵御內外部威脅,保護敏感數據。本建設設計依據如圖1所示。
圖1 建設設計依據
2.2 系統(tǒng)架構和主要內容
2.2.1 數據采集安全設計
(1)數據分類
通過工業(yè)數據安全治理平臺敏感數據掃描模塊發(fā)現(xiàn)結果,依照工業(yè)領域重要數據和核心數據識別規(guī)則,標識敏感數據的數據類型、數據位置等,并支持重要數據分類分級結果的報表導出功能。重要數據/核心數據分類模塊由用戶身份和鑒權信息、用戶數據及服務內容信息、用戶服務相關信息及企業(yè)運營管理數據組成,如圖2所示。工業(yè)數據分類界面展示內容由數據名稱、數據形態(tài)、數據支撐的環(huán)節(jié)、數據來源等組成。采用不同數據分類分級識別手段,識別不同類型數據,并由此進行工業(yè)數據的分類分級。
圖2 數據分類示意圖
(2)數據分級
根據敏感數據掃描發(fā)現(xiàn)結果,依照相關工業(yè)領域重要數據和核心數據識別規(guī)則,標識敏感數據的重要級別、敏感數據位置等,并支持工業(yè)數據分類分級結果的報表導出功能。工業(yè)數據分級模塊由極敏感級(核心數據)、敏感級(重要數據)、較敏感級及低敏感級(普通數據)組成,如圖3所示。工業(yè)數據分級模塊展示內容包括級別、定位、管控規(guī)則等信息。采用不同敏感數據識別手段,識別不同類型數據,并由此進行工業(yè)數據的分類分級。
圖3 數據分級示意圖
(3)訪問控制
訪問控制策略為全域數據提供了統(tǒng)一數據訪問策略統(tǒng)計、分析、稽核和展示,包括對所有上層應用的訪問進行細粒度授權。通過限制對數據資產的訪問操作,防止非法用戶的侵入、用戶越權或合法用戶的不慎操作而造成的數據泄漏、篡改、損毀,保證數據資產受控地、合法地使用。
訪問控制策略能夠對目錄、關系型、非關系型數據庫中的表進行細粒度的授權策略定義;能夠對關系型、非關系型數據庫表中某一列進行細粒度授權策略定義;能夠對數據庫或文件系統(tǒng)的不同操作(如查詢、增刪、創(chuàng)建等)進行授權策略定義;能夠對數據導入、導出的權限進行細粒度授權策略定義;能夠對從其他平臺收集的訪問控制策略進行統(tǒng)一查詢和展示。
2.2.2 數據傳輸安全設計
數據中心內部業(yè)務系統(tǒng)之間的數據(流式數據、數據庫、文件等類型的數據)在傳輸過程中,需要從數據傳輸安全、網絡數據防泄漏、數據檢測保護等多個方面來保障業(yè)務系統(tǒng)數據的機密性和完整性。
(1)數據傳輸安全
在數據傳輸過程中,數據從控制室和控制站傳輸到數據庫階段,數據存在網絡層面的非控制網絡威脅等風險,在傳輸過程中的數據無法判斷其安全性。
(2)數據可靠性安全
在數據傳輸過程中采用雙向安全域,在兩個不同安全區(qū)域之間形成隔離防護屏障,防止數據雙向交互。經過數據庫中的數據,通過入侵檢測、靜態(tài)脫敏等操作保障其安全性。
2.2.3 數據存儲安全設計
(1)數據加密存儲
當重要數據被明文存儲時,一旦發(fā)生拖庫事件,所有數據將被泄漏,所以數據加密存儲是十分必要的安全防護手段。對數據庫各種常用數據類型在字段層面進行加密,被加密的數據庫數據以密文形態(tài)存儲在磁盤上。同時為提高數據安全性,還應對數據庫的重要日志文件、數據庫rman備份、索引數據等相關數據加密保護,并對BLOB數據、CLOB數據、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等特殊數據類型和索引類型的加密正常讀寫、相等和范圍查詢。
如果使用可移動介質存儲普通/重要數據或個人身份可識別信息,則應對存儲在介質上的數據進行加密,以防止數據受到未經授權的訪問。
(2)數據備份恢復
數據備份是一種有效的數據保護手段,是最基礎的數據保護措施。通過配置相應的數據備份軟件、磁帶庫等軟、硬件系統(tǒng),防止因為硬件損壞、邏輯錯誤、人為誤操作等故障引起計算機系統(tǒng)的數據丟失與數據損壞。
完全備份:備份定義的所有數據,數據恢復速度快,但是備份數據量大,數據多時可能做一次全備份需要很長時間。
增量備份:備份自上一次備份以來更新的所有數據,每次備份的數據量少,恢復時需要全備份及多份增量備份。差分備份:備份自上一次全備份以來更新的所有數據,每次備份的數據量比較少,恢復時需要全備份及差分備份。
(3)服務器數據防勒索
勒索軟件可能是工業(yè)領域最廣為人知的威脅,可以參考伊朗震網和北美輸油管道運營的例子。暴利驅動使得勒索事件層出不窮,存在的漏洞總會被發(fā)現(xiàn)和利用,加密核心數據是黑客的主要手段。當其對文件、數據加密和修改時,往往無法恢復,導致遭受巨大的損失。
因此需要通過搭配服務器加固或者EDR殺毒來建立勒索防護機制,從人員意識、合規(guī)制度等角度考慮,防范勒索病毒帶來的危害。
2.2.4 數據使用安全設計
(1)數據防泄漏
部署網絡DLP設備后,數據DLP策略將為全域工業(yè)數據提供統(tǒng)一的數據泄露防護策略的統(tǒng)計、分析、復核和展示。工業(yè)數據泄露防護策略主要包含檢測文檔類型、檢測算法、解析協(xié)議、數據敏感級別、數據風險監(jiān)測規(guī)則、數據處置動作等內容。數據DLP策略能夠按照相關法律、法規(guī)、標準以及業(yè)務要求準確定義敏感信息。系統(tǒng)可按關鍵字、正則表達式、數據標識符、文件名稱、文件大小、文件名、文件指紋、結構化數據指紋等信息采用邏輯與、或、非的方式進行敏感數據定義。基于以工業(yè)協(xié)議解析為核心的深度內容識別能力,不同組件相互配合,實現(xiàn)對采集、使用、流轉、存儲以及數據的實時發(fā)現(xiàn)和監(jiān)控,構建工業(yè)數據安全閉環(huán)。
(2)數據脫敏
脫敏策略為定義統(tǒng)一的數據脫敏策略統(tǒng)計、分析、稽核和展示。
驅動動態(tài)脫敏網關實時動態(tài)脫敏及靜態(tài)脫敏能力,脫敏策略包括動態(tài)脫敏和靜態(tài)脫敏策略。動態(tài)脫敏策略主要通過定義數據訪問場景、訪問賬號角色、訪問數據內容、需要脫敏的內容和脫敏算法等來完成策略的定義;靜態(tài)脫敏策略主要通過定義處理數據對象、數據脫敏算法和脫敏參數來完成批量數據脫敏策略。
2.2.5 數據提供/公開設計
(1)安全運維流程
數據安全運營的核心是定崗定責、責任到人、可驗證、可追溯,貫穿安全監(jiān)測、安全分析、安全處置和安全運維流程,全面覆蓋安全運營工作及不同類型、不同等級安全事件的監(jiān)測、分析、響應、處置流程。
(2)數據安全合規(guī)管理
數據安全合規(guī)管理支撐相關部門和單位內部合規(guī)檢查要求,對合規(guī)工作進行統(tǒng)一核查和展示。其內容包括:
①日常合規(guī)檢查;②頁面脫敏合規(guī);③權限管理合規(guī);④訪問控制合規(guī);⑤事件行為合規(guī);⑥數據流轉合規(guī)。
(3)數據安全預警
數據安全預警是對數據安全分析結果的異常行為事件進行的相關預警,包括如下方面內容:
①批量查詢/下載;②違規(guī)接入外部設備;③數據庫操作偏離基線;④應用操作偏離基線;⑤高風險指令;⑥異地訪問;⑦越權訪問;⑧高頻次訪問;⑨敏感數據過量外發(fā);⑩敏感內容未模糊化。
(4)數據安全態(tài)勢
以數據為中心動態(tài)展示相關數據態(tài)勢信息。
①數據資產態(tài)勢;②數據訪問態(tài)勢;③數據流轉趨勢;④風險賬號態(tài)勢;⑤數據風險事件態(tài)勢;⑥數據不合規(guī)態(tài)勢。
(5)事件流程管理
①應急響應分析
根據數據安全事件的動態(tài)數據,匯總數據安全事件的相關信息,分析可能的影響程度、影響范圍,并對數據安全事件進行綜合分析,形成能夠支撐應急指揮的基礎數據。
②指揮決策
基于應急響應分析數據,進一步分析研判數據安全事件信息及影響和制約處置決策結果的指標,從而形成輔助決策模型,為應急指揮提供決策支持。
③資源調度
可對特定的負責人派發(fā)工單,針對網絡、系統(tǒng)、安全系統(tǒng)等進行資源調度,協(xié)調必要的處置措施資源。
2.2.6 數據銷毀安全設計
在一般數據全生命周期安全保護中,要求明確數據銷毀對象、規(guī)則、流程技術等,對銷毀活動進行記錄和留存。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,增加了設置人員、不可恢復原則、完全清除、上報更新等要求(如:設置數據銷毀相關監(jiān)督人員;保證在數據完全刪除后再銷毀存儲介質;應完全清除緩存數據;及時向地方工業(yè)和信息化主管部門更新重要數據目錄備案)。
2.2.7 數據出境安全設計
在一般數據全生命周期安全保護中,數據出境要強調開展自評估和安全管理(如應結合實際開展數據出境安全自評估和安全管理)。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,強化了安全評估要求,增加了安全監(jiān)測、風險防范、出境技術支持等要求。
2.2.8 數據轉移安全設計
在一般數據全生命周期安全保護中,需形成數據轉移方案,并通知受影響用戶(如通過電話、短信、郵件、公告等方式通知)。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,增加了應及時向地方工業(yè)和信息化主管部門更新備案的要求。
2.2.9 數據委托處理安全設計
在一般數據全生命周期安全保護中,強調應通過簽訂合同協(xié)議等方式,明確數據安全保護要求和責任落實要求,規(guī)范數據使用權限、內容、范圍及用途,對合作方數據使用情況進行監(jiān)督管理。
在重要數據全生命周期安全保護中,在滿足一般數據全生命周期安全保護要求的基礎上,強調了應對被委托方的數據安全保護能力、資質進行評估或核實。
2.2.10 數據安全計算環(huán)境
(1)工控主機安全
隨著近年來針對工控系統(tǒng)的APT攻擊增加,工控系統(tǒng)內部網絡安全問題的嚴重性也逐漸增加。因此對控制系統(tǒng)內部操作員站、服務器、網絡交換機等設備節(jié)點的防護已成為企業(yè)工控系統(tǒng)安全的基礎環(huán)節(jié),并可為企業(yè)控制系統(tǒng)提供基礎的防御與保護。
(2)安全基線加固
安全基線服務通過對工業(yè)網絡開展服務和端口禁用等工業(yè)控制網絡安全配置,限制遠程控制管理、默認賬戶管理等工業(yè)主機安全配置,以及口令策略合規(guī)性等工業(yè)控制設備安全配置,建立相應的配置清單,方便用戶責任人定期進行管理、維護和配置核查審計。安全基線配置須確保與控制系統(tǒng)軟件完美兼容,否則會影響工控系統(tǒng)運行。
對工控上位機、服務器、網絡安全設備進行安全加固,加固內容至少應包括以下內容:①加密保存系統(tǒng)賬戶口令;②采用SSH進行遠程管理;③限制遠程管理地址;④啟用賬戶口令復雜度策略;⑤啟用賬戶登錄失敗處理策略;⑥修改默認賬戶、刪除多余賬戶。
(3)敏感數據發(fā)現(xiàn)
敏感數據發(fā)現(xiàn)可以從海量數據中自動發(fā)現(xiàn)、分析敏感數據的分布及使用情況,及時發(fā)現(xiàn)數據資產是否存在安全違規(guī)并進行風險預警,幫助用戶防止數據泄漏和滿足合規(guī)要求。
系統(tǒng)可根據預先定義的敏感數據特征,通過內置敏感數據發(fā)現(xiàn)規(guī)則對數據資產內容進行隨機抽樣敏感字段的發(fā)現(xiàn)和識別,實現(xiàn)敏感數據識別打標功能。
(4)資產風險分析
資產風險報警可以從海量數據資產中快速發(fā)現(xiàn)和定位敏感數據資產,追蹤敏感數據的使用情況,并根據安全管理規(guī)則,實時推送資產風險信息,以確保能實時了解資產數據的安全狀態(tài)并制定相應防護方案。對于敏感資產的動態(tài)變化形成的異常事件的提醒,系統(tǒng)提供緊急、重要、警告、提醒4個等級報警事件,由高到低依次用紅色、橙色、黃色和藍色標示。報警查詢支持通過時間段、報警等級、報警類型、報警來源等條件進行歷史報警的檢索查詢。
(5)資產安全報表
資產安全報表提供豐富的資產報表形式。其通過內嵌的報表功能為用戶提供豐富的數據資產專項報表,如整體資產統(tǒng)計報表、敏感數據梳理報表等供用戶分析審核。
2.3 技術方案
2.3.1 技術原理和內容
本方案以“固、防、管體系”為指導思想,遵照數據安全法、網絡安全法以及工業(yè)企業(yè)數據安全防護要求等相關標準,在工控系統(tǒng)安全需求的基礎上,建立預警、防護、檢測、響應自適應閉環(huán)的數據安全防護體系,同時為工控系統(tǒng)提供可定制的數據安全服務,全面感知工控系統(tǒng)遇到或可能遇到的數據安全風險,提升系統(tǒng)的整體安全防御能力,構建單位可信、可控、可管的數據安全防護體系。根據數據安全與網絡安全等級保護與的總體思想,結合工控系統(tǒng)的特點,中控技術提出數據安全自主可控技術體系模型如圖4所示,建設邏輯圖如圖5所示。
圖4 中控技術網絡安全等級保護技術防護體系模型
圖5 工業(yè)數據安全防護邏輯圖
2.4 應用需求分析
2.4.1 傳統(tǒng)信息安全體系無法保護數據安全
有別于傳統(tǒng)信息安全防護體系,在工業(yè)領域,由于數據安全防護體系將保護對象聚焦在“數據資產”這樣的無形資產上,因此數據資產的機密性、完整性以及可用性與硬件資產存在著巨大差別,這導致傳統(tǒng)信息安全防護體系通常不具備對數據安全的有效保護能力。
2.4.2 靜態(tài)防護策略無法保護數據安全
通常一個信息系統(tǒng)中的硬件資產數量是有限的,且在沒有重大的系統(tǒng)變更時不會發(fā)生顯著變化,所以傳統(tǒng)信息安全體系的安全策略的設計思路往往是靜態(tài)的。而在工業(yè)環(huán)境中,企業(yè)數據存儲、處理平臺所承載的數據量正在以極快的速度爆炸式增長,若仍以靜態(tài)的視角看待數據資產勢必無法應對數據量急劇增長帶來的數據泄漏、數據損壞、數據篡改以及對數據主體造成影響等安全問題。并且由于數據資產對流動性的要求,僅考慮當前主體的靜態(tài)防護策略顯然無法有效保證數據的安全。
2.4.3 數據資產的權責不一致
數據通常來自于企業(yè)的業(yè)務部門,在業(yè)務部門使用,并且數據的所有權也常常屬于業(yè)務部門。但由于數據安全策略有時會限制業(yè)務部門對數據使用的權限,而數據安全體系建設工作由安全部門主導,因此數據安全防護體系的建設很有可能會受到來自于業(yè)務部門的阻力,導致數據安全體系建設工作推動困難。
2.5 安全應用
2.5.1 通過“兩化融合”形成數據防護體系
改變傳統(tǒng)以特征和規(guī)則匹配為基礎的技術保障體系,建立以“兩化融合”為驅動的智能化技術保障體系,通過互聯(lián)網匯聚全網安全數據進行協(xié)同分析,將微小的線索聯(lián)系起來,由點及面,發(fā)現(xiàn)安全攻擊和風險。同時基于業(yè)務對數據流進行節(jié)點建模,對數據流轉的所有節(jié)點及節(jié)點之間的數據流進行安全畫像和安全基線建立,并利用對大數據的實時在線分析、離線綜合分析及智能分析等方法,發(fā)現(xiàn)異常行為及安全風險。
2.5.2 構建以數據為核心的安全監(jiān)管能力
改變傳統(tǒng)以信息系統(tǒng)為防護對象的設計思路,構建以數據為保護對象的安全防護體系。從敏感數據分布、數據接口安全、特權人員運維、特定業(yè)務場景數據流動態(tài)勢等角度對非法采集、未授權訪問、數據濫用、數據泄漏等數據安全事件進行監(jiān)控、預警和審計,通過數據分析和直觀的態(tài)勢來支撐有效的安全、合規(guī)決策,建立通報預警體系并與應急響應和運維支撐體系進行有效整合,實現(xiàn)各單位數據安全事件的統(tǒng)一預警通報和應急指揮與協(xié)同處置,使用戶具備數據安全專項監(jiān)管能力。
2.5.3 解決數據流動環(huán)境的安全管控難題
工業(yè)數據在流動中責任邊界變得模糊,工業(yè)數據的處理活動以及產生的安全風險變得難以控制,各地各部門技術能力和安全意識參差不一,出現(xiàn)“發(fā)現(xiàn)不了,通報不及時,整改不會”的問題,導致客戶對工業(yè)數據使用中的風險問題難以進行靈活、及時地應對。工業(yè)數據安全管理平臺的建設從傳統(tǒng)的單點的安全防護向全面的安全監(jiān)控預警轉變,通過匯聚全網的安全工業(yè)數據,形成安全數據大腦,并利用大數據和人工智能分析引擎,在數據層面建立了資產識別→風險分析→監(jiān)測預警→響應處置→安全合規(guī)的工業(yè)數據安全監(jiān)督管控閉環(huán),解決了工業(yè)數據流動下的管控難題。
2.5.4 建設常態(tài)化的安全運營支撐能力
打造以工業(yè)數據安全管控平臺為核心的常態(tài)化的數據安全運營中心,構建工業(yè)數據安全保障體系。通過建立“縱向監(jiān)督、橫向聯(lián)動”的安全管理及運營機制,利用SSOC安全運維平臺等技術,匯聚全網工業(yè)數據并形成安全數據大腦,利用“實時、全樣、精準”的工業(yè)大數據建立全程在線、全域覆蓋、實時反饋的“工業(yè)數據安全態(tài)勢地圖”,從而快速有效地感知、預警、調度和處置相關工業(yè)數據安全風險,提高管理決策的科學性和精準性,提升管理效率和應急響應能力,有效實現(xiàn)全網風險控制與應急支撐。
3 案例亮點和創(chuàng)新點
本項目是浙江省首個工業(yè)數據安全試點項目,中控技術依托于豐富的工控領域產品研發(fā)和工程實踐經驗,響應國家《數據安全法》的政策引領,依據《工業(yè)數據分級分類指南》,將“數據安全”引入工業(yè)領域,并結合成熟的工控全網防護方案,實現(xiàn)工業(yè)生產各環(huán)節(jié)數據產生、收集的安全防護,實現(xiàn)數據的傳輸保護,實現(xiàn)數據的使用、存儲保護,實現(xiàn)數據在不同網絡區(qū)域的隔離和交換保護。
構建了工業(yè)數據的全生命周期防護體系,在數據安全的整體防護中,重點解決工業(yè)數據安全難點;在整體設計上,從工業(yè)數據安全組織管理、工業(yè)數據安全標識、工業(yè)數據分類分級分域、工業(yè)數據安全審計與追溯以及工業(yè)數據的生命周期安全防護等方面綜合考慮,并從數據風險評估的角度構建了整體工業(yè)數據安全全生命周期防護解決方案。
深度結合“固、防、管”理念,打造由內建安全為核心的工控網防護體系。在核心側部署工業(yè)數據安全防護系統(tǒng),根據《工業(yè)企業(yè)重要數據防護(草案)》要求,完成對數據整體的生命周期防護。并且引入了“零信任”的思想,旨在在源頭貼身保護存儲在任何位置的關鍵數據資產。借助本數據安全防護體系,可加強運維團隊分析工業(yè)數據環(huán)境中發(fā)生的各種狀況,從而有效防范風險,幫助抵御內外部威脅,保護敏感數據,滿足工業(yè)數據安全合規(guī)需求。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號