今日頭條
官方微信
官方抖音
案例頻道★ 杭州安恒信息技術(shù)股份有限公司
1 項(xiàng)目概況
1.1 項(xiàng)目背景
某生物技術(shù)有限公司是一家上市生物制藥企業(yè),致力于人用疫苗及其相關(guān)產(chǎn)品的研究開發(fā)、生產(chǎn)和銷售,為疾病預(yù)防控制提供服務(wù)。
隨著對信息系統(tǒng)的依賴程度不斷增加,原有的信息化設(shè)備已經(jīng)無法滿足業(yè)務(wù)發(fā)展的需要。現(xiàn)需要根據(jù)實(shí)際業(yè)務(wù)需求對原有信息化系統(tǒng)進(jìn)行優(yōu)化和改造,而信息安全建設(shè)作為信息化建設(shè)中必不可少的環(huán)節(jié),需要同步進(jìn)行。國內(nèi)外安全形式日趨嚴(yán)峻,為保障網(wǎng)絡(luò)安全,《網(wǎng)絡(luò)安全法》、關(guān)基保護(hù)條例、等保2.0標(biāo)準(zhǔn)等相繼發(fā)布,對企業(yè)的業(yè)務(wù)合規(guī)能力、業(yè)務(wù)系統(tǒng)安全能力和安全運(yùn)營能力等提出了新的挑戰(zhàn)。
1.2 項(xiàng)目簡介
該企業(yè)在網(wǎng)絡(luò)和生產(chǎn)系統(tǒng)設(shè)計(jì)與建設(shè)之初,未考慮到潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn),未面向生產(chǎn)網(wǎng)絡(luò)進(jìn)行體系化網(wǎng)絡(luò)安全建設(shè)。隨著企業(yè)信息化建設(shè)不斷推進(jìn),給現(xiàn)有的生產(chǎn)網(wǎng)絡(luò)與工控系統(tǒng)帶來很大的風(fēng)險(xiǎn)與挑戰(zhàn)。
本項(xiàng)目對該企業(yè)進(jìn)行網(wǎng)絡(luò)安全整體規(guī)劃與建設(shè),結(jié)合公司的網(wǎng)絡(luò)安全現(xiàn)狀,確定其安全建設(shè)需求,加強(qiáng)其監(jiān)測預(yù)警系統(tǒng)、終端安全查殺能力、應(yīng)急響應(yīng)手段、大數(shù)據(jù)安全平臺和信息系統(tǒng)等級保護(hù)建設(shè)的推進(jìn)工作,全面提升其智能制藥的網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力,并建立一個(gè)完善的信息安全預(yù)防、監(jiān)測、防御和響應(yīng)的縱深防御的安全體系,解決其當(dāng)前面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
1.3 項(xiàng)目目標(biāo)
某生物技術(shù)有限公司擁有11個(gè)廠區(qū),本項(xiàng)目需要在滿足政策合規(guī)的前提下,通過建設(shè)企業(yè)級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與綜合管控服務(wù)平臺,實(shí)時(shí)掌握各生產(chǎn)廠區(qū)工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢,及時(shí)通報(bào)預(yù)警重大網(wǎng)絡(luò)安全威脅;形成企業(yè)和下屬各生產(chǎn)基地相關(guān)部門協(xié)調(diào)聯(lián)動(dòng)的網(wǎng)絡(luò)安全監(jiān)測預(yù)警處置工作機(jī)制,構(gòu)建網(wǎng)絡(luò)安全綜合防控體系;最終形成工業(yè)安全檢測、工業(yè)安全防御、工業(yè)安全運(yùn)維、工業(yè)安全響應(yīng)的閉環(huán)體系,如圖1所示。
圖1 總體安全方案設(shè)計(jì)架構(gòu)
2 項(xiàng)目實(shí)施
2.1 業(yè)務(wù)應(yīng)用場景分析
該生物制藥企業(yè)工業(yè)網(wǎng)絡(luò)安全防御體系仍需完善,系統(tǒng)工業(yè)安全檢測和感知能力不足,沒有建立相應(yīng)的工業(yè)網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和感知系統(tǒng)。工業(yè)網(wǎng)絡(luò)安全重復(fù)檢查、安全風(fēng)險(xiǎn)和漏洞重復(fù)通報(bào)等問題突出。因此需要具備以下能力:
(1)資產(chǎn)安全集中監(jiān)測能力;
(2)高級威脅檢測能力;
(3)工業(yè)網(wǎng)絡(luò)安全監(jiān)測及處置能力;
(4)可視化溯源分析能力;
(5)工業(yè)安全合規(guī)管理能力。
該企業(yè)具有生物制藥行業(yè)的典型特點(diǎn):廠區(qū)分散、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、各工廠工控系統(tǒng)品牌和型號不統(tǒng)一。項(xiàng)目方案中,根據(jù)業(yè)務(wù)需求規(guī)劃安全域并制定詳細(xì)的訪問控制策略,部署網(wǎng)絡(luò)安全設(shè)備構(gòu)建分域控制與縱深防御的安全防護(hù)體系,同時(shí)通過全面的工業(yè)協(xié)議解析能力及多源異構(gòu)日志分析能力,將安全數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一、標(biāo)準(zhǔn)的數(shù)據(jù)格式,利用工業(yè)安全態(tài)勢感知平臺進(jìn)行大數(shù)據(jù)處理,成功打通各安全域的信息孤島,形成工業(yè)安全運(yùn)營閉環(huán)管理體系,做好協(xié)同防御。
2.2 技術(shù)方案
項(xiàng)目總體設(shè)計(jì)采用分域控制與縱深防御相結(jié)合的方式,如圖2所示。
圖2 項(xiàng)目技術(shù)方案示意圖
(1)分域控制:將智能制藥操作系統(tǒng)和外部系統(tǒng)依據(jù)系統(tǒng)的應(yīng)用功能、資產(chǎn)價(jià)值及資產(chǎn)所面臨的風(fēng)險(xiǎn),從結(jié)構(gòu)上劃分為不同的安全區(qū)域,并以安全區(qū)域?yàn)閱挝贿M(jìn)行安全防御技術(shù)措施的建設(shè)。
(2)縱深防御:智能制藥操作系統(tǒng)圍繞安全管理中心,從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境三個(gè)維度進(jìn)行安全技術(shù)和措施的設(shè)計(jì);通過集中管理,對確認(rèn)的重大威脅或攻擊進(jìn)行安全聯(lián)動(dòng)防護(hù),充分考慮各種技術(shù)的組合和功能的互補(bǔ)性,從外到內(nèi)形成一個(gè)縱深的安全防御體系。
2.2.1 安全管理中心
(1)新建安全管理域
在服務(wù)器區(qū)新建安全管理域,在安全管理域內(nèi)部署工業(yè)安全態(tài)勢感知平臺、堡壘機(jī)、工業(yè)安全管理平臺等安全設(shè)備,在安全管理域與服務(wù)器區(qū)之間部署下一代防火墻,實(shí)現(xiàn)服務(wù)器區(qū)與安全管理域的訪問控制。
(2)工業(yè)安全管理平臺
對各安全域的安全設(shè)備進(jìn)行集中管控、狀態(tài)監(jiān)測、策略配置下發(fā)等,及時(shí)發(fā)現(xiàn)、報(bào)告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為,統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測、安全防護(hù)和應(yīng)急處置。
(3)綜合日志審計(jì)平臺
采集各個(gè)安全域的日志信息進(jìn)行審計(jì),支持各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用及數(shù)據(jù)庫等,滿足政策法規(guī)要求的日志留存期限,支撐事件分析與攻擊溯源。
(4)運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)(堡壘機(jī))
通過賬號管理、身份認(rèn)證、自動(dòng)改密、資源授權(quán)、實(shí)時(shí)阻斷、同步監(jiān)控、審計(jì)回放和自動(dòng)化運(yùn)維流程管理等功能,增強(qiáng)運(yùn)維管理的安全性。
2.2.2 安全通信網(wǎng)絡(luò)
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,即在生產(chǎn)網(wǎng)服務(wù)器與辦公網(wǎng)服務(wù)器之間部署下一代防火墻,通過安全策略實(shí)現(xiàn)單向隔離,有效阻隔外部威脅的入侵;
在工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域。本項(xiàng)目根據(jù)工控系統(tǒng)的業(yè)務(wù)屬性及地理位置等因素,使用工業(yè)防火墻將各工廠劃分為獨(dú)立安全域。工業(yè)防火墻具有bypass功能,可確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
2.2.3 安全區(qū)域邊界
在各個(gè)工廠的生產(chǎn)設(shè)備匯聚交換機(jī)數(shù)據(jù)出口處部署訪問控制設(shè)備(工業(yè)防火墻),配置訪問控制策略,禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù),深度解析工業(yè)協(xié)議,禁止非白名單工業(yè)協(xié)議傳輸;使用工業(yè)安全監(jiān)測審計(jì)平臺及流量分析系統(tǒng),在工業(yè)控制系統(tǒng)安全域內(nèi)進(jìn)行異常行為和異常流量監(jiān)測。
(1)工業(yè)防火墻
工業(yè)網(wǎng)絡(luò)內(nèi)部安全域間使用工業(yè)防火墻進(jìn)行邊界劃分,并配置訪問控制策略,利用工業(yè)防火墻的多業(yè)務(wù)端口實(shí)現(xiàn)橫向隔離,只允許特定設(shè)備的特定協(xié)議通過(如OPC、Modbus等)。工業(yè)防火墻具有bypass功能,可確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
(2)工業(yè)安全監(jiān)測審計(jì)平臺
在各工廠的生產(chǎn)設(shè)備匯聚交換機(jī)上部署工業(yè)安全監(jiān)測審計(jì)平臺,實(shí)時(shí)監(jiān)測生產(chǎn)過程中產(chǎn)生的所有流量,識別多種工控協(xié)議,實(shí)現(xiàn)對工業(yè)控制系統(tǒng)內(nèi)的異常流量、異常行為、異常操作、非法接入等安全風(fēng)險(xiǎn)的實(shí)時(shí)告警。
(3)流量分析系統(tǒng)
在各工廠的終端匯聚交換機(jī)上部署流量分析系統(tǒng),內(nèi)置海量威脅檢測規(guī)則,覆蓋多種安全場景,有效識別各類IT、OT類網(wǎng)絡(luò)攻擊行為,實(shí)時(shí)告警并與工業(yè)安全態(tài)勢感知系統(tǒng)聯(lián)動(dòng)處置,從而實(shí)現(xiàn)高效精準(zhǔn)的威脅檢測。
2.2.4 安全計(jì)算環(huán)境
針對此生物制藥企業(yè)應(yīng)用主機(jī)安全及管理系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)和工控漏洞掃描平臺,實(shí)現(xiàn)主機(jī)反病毒、外設(shè)管理、數(shù)據(jù)庫審計(jì)、資產(chǎn)脆弱性識別等能力,構(gòu)建安全計(jì)算環(huán)境。
(1)主機(jī)安全及管理系統(tǒng)
在安全域的計(jì)算機(jī)部署主機(jī)安全客戶端,在安全管理中心部署主機(jī)安全及管理系統(tǒng)平臺,對所有主機(jī)安全客戶端進(jìn)行統(tǒng)一管理。集成系統(tǒng)加固與防護(hù)、網(wǎng)絡(luò)加固與防護(hù)等功能,內(nèi)置文件誘餌引擎對勒索病毒具有專防專殺能力;內(nèi)核級東西向流量隔離技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù);擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測與阻斷等主機(jī)安全能力。
(2)數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)
在生產(chǎn)網(wǎng)服務(wù)區(qū)內(nèi)部署數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng),對數(shù)據(jù)主機(jī)事件、網(wǎng)絡(luò)事件、數(shù)據(jù)庫時(shí)間、應(yīng)用系統(tǒng)事件進(jìn)行審計(jì),并按照目標(biāo)標(biāo)識和事件類型等條件進(jìn)行統(tǒng)計(jì);通過綜合關(guān)聯(lián)分析,發(fā)現(xiàn)潛在危害和異常事件。
(3)工控漏洞掃描平臺
可對生產(chǎn)網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行漏洞掃描。工控漏掃擁有豐富的漏洞信息庫,支持對傳統(tǒng)IT系統(tǒng)(包括主流操作系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化系統(tǒng))的漏洞掃描與配置核查,以及對工業(yè)控制系統(tǒng)的漏洞識別檢測,能夠及時(shí)發(fā)現(xiàn)安全漏洞,全面掌握當(dāng)前工業(yè)控制網(wǎng)絡(luò)及系統(tǒng)中的安全風(fēng)險(xiǎn),協(xié)助管理者進(jìn)行漏洞修復(fù)。
2.2.5 工業(yè)安全態(tài)勢感知
工業(yè)安全態(tài)勢感知平臺是生物制藥行業(yè)工業(yè)互聯(lián)網(wǎng)安全解決方案的大腦,采用安全大數(shù)據(jù)技術(shù)對工業(yè)安全數(shù)據(jù)進(jìn)行深度分析,形成安全監(jiān)測、安全分析、安全運(yùn)營能力,并提供可視化安全態(tài)勢感知呈現(xiàn)。工業(yè)安全態(tài)勢感知打通了信息固定,將各個(gè)安全設(shè)備與系統(tǒng)進(jìn)行聯(lián)動(dòng),構(gòu)建了一體化動(dòng)態(tài)響應(yīng)的工業(yè)信息安全防御體系,如圖3所示。
圖3 工業(yè)安全態(tài)勢感知平臺示意圖
(1)數(shù)據(jù)采集
·支持多源異構(gòu)數(shù)據(jù)采集,收集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)等日志;
·支持流量采集,可采集全流量信息,深度解析工業(yè)協(xié)議與傳統(tǒng)IT協(xié)議,識別異常通信行為;
·支持資產(chǎn)信息探測,可通過主動(dòng)探測、流量識別、安全設(shè)備上報(bào)等方式,精準(zhǔn)識別資產(chǎn)信息;
·支持漏洞信息采集,能夠采集各類IT資產(chǎn)與工控資產(chǎn)漏洞及不安全配置等風(fēng)險(xiǎn)。
(2)安全數(shù)據(jù)分析
平臺結(jié)合IT與OT應(yīng)用場景,內(nèi)置1300多種安全分析模型,包括180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權(quán)限檢測類模型、210多種命令控制檢測類模型和30多種資產(chǎn)破壞類檢測模型,覆蓋Intrusion Kill Chain的各個(gè)維度,能有效識別各類網(wǎng)絡(luò)攻擊。
此外,平臺支持自定義工業(yè)安全模型,可根據(jù)用戶實(shí)際業(yè)務(wù)場景,將安全生產(chǎn)指標(biāo)與網(wǎng)絡(luò)安全指標(biāo)進(jìn)行融合分析,從中發(fā)現(xiàn)威脅與風(fēng)險(xiǎn),并進(jìn)行有效的處置。當(dāng)前支持規(guī)則模型、統(tǒng)計(jì)模型、情報(bào)模型、關(guān)聯(lián)模型和AI模型等自定義模型。
(3)業(yè)務(wù)應(yīng)用
·資產(chǎn)管理:提供資產(chǎn)底數(shù)管理能力,可在線監(jiān)控網(wǎng)內(nèi)資產(chǎn),并識別資產(chǎn)基礎(chǔ)信息、網(wǎng)絡(luò)環(huán)境、安全事件、安全隱患等信息,將資產(chǎn)、事件、人員/單位相關(guān)聯(lián),為應(yīng)急響應(yīng)提供基礎(chǔ)。
·安全監(jiān)測:可實(shí)時(shí)監(jiān)測資產(chǎn)、安全事件、安全隱患、工控系統(tǒng)生產(chǎn)指標(biāo)及其他用戶關(guān)注的信息,通過多種可視化方式進(jìn)行呈現(xiàn)。
·安全分析:平臺通過內(nèi)置規(guī)則實(shí)時(shí)分析安全事件與安全風(fēng)險(xiǎn),用戶可查看事件級別、范圍、攻擊手段、處置建議等信息,并提供追蹤溯源能力,協(xié)助人員開展處置工作。
·安全運(yùn)營:平臺提供通報(bào)預(yù)警與工單管理,形成流程化的閉環(huán)安全管理機(jī)制,確保責(zé)任落實(shí)到人。此外,平臺通過SOAR技術(shù),可聯(lián)動(dòng)防火墻、主機(jī)安全及管理系統(tǒng)等設(shè)備,自動(dòng)處置安全事件,顯著加強(qiáng)應(yīng)急處置效率。
3 案例亮點(diǎn)及創(chuàng)新性
(1)經(jīng)濟(jì)效益
此生物制藥行業(yè)工業(yè)互聯(lián)網(wǎng)安全一體化運(yùn)營解決方案在確保安全生產(chǎn)運(yùn)營的基礎(chǔ)上,進(jìn)行網(wǎng)絡(luò)安全建設(shè),提高生物制藥生產(chǎn)運(yùn)營安全性以及生產(chǎn)數(shù)據(jù)的可用性、完整性和保密性;通過從OT網(wǎng)絡(luò)到IT網(wǎng)絡(luò)多重防護(hù)措施,從外到內(nèi)形成一個(gè)縱深的安全防御體系,保障系統(tǒng)整體的安全保障能力;保護(hù)企業(yè)重要資產(chǎn),有效提升企業(yè)工業(yè)網(wǎng)絡(luò)安全技術(shù)水平,減少和避免因網(wǎng)絡(luò)安全事故對生產(chǎn)能力和生產(chǎn)效率的影響,減少和避免經(jīng)濟(jì)損失,有助于降低成本、提高生產(chǎn)效率、保障產(chǎn)能。
本項(xiàng)目幫助某生物技術(shù)有限公司滿足政策法規(guī)的技術(shù)要求,為其11個(gè)廠區(qū)及總部構(gòu)建了以工業(yè)安全態(tài)勢感知為核心的工控安全防護(hù)體系,解決了生產(chǎn)網(wǎng)數(shù)據(jù)共享的安全問題,具備了對安全事件溯源分析和問題定位的能力,提高了安全運(yùn)維人員的工作效率,有顯著的經(jīng)濟(jì)效益。同時(shí),本項(xiàng)目建成后迅速實(shí)現(xiàn)了相關(guān)安全技術(shù)落地,并在集團(tuán)生產(chǎn)基地進(jìn)行了應(yīng)用,保障了基地制造工廠安全,促進(jìn)了集團(tuán)業(yè)務(wù)的快速發(fā)展。
(2)社會效益
該方案應(yīng)用具有免疫特征的安全防護(hù)體系、機(jī)制和關(guān)鍵技術(shù)在保證合規(guī)性建設(shè)的同時(shí),可以持續(xù)解決新技術(shù)、新應(yīng)用所帶來的安全問題。同時(shí)該項(xiàng)目在行業(yè)內(nèi)具有較高的創(chuàng)新性,建設(shè)完成后可以適配大多數(shù)生物制藥企業(yè)及泛制造企業(yè)場景,促進(jìn)了工業(yè)控制網(wǎng)絡(luò)安全技術(shù)的發(fā)展、安全企業(yè)價(jià)值的提升和安全產(chǎn)業(yè)的規(guī)模化發(fā)展。
《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號