信息化觀察網(wǎng)

摘要：據(jù)調(diào)研，卷煙廠的工業(yè)控制系統(tǒng)中缺乏網(wǎng)絡(luò)狀態(tài)監(jiān)控和操作日志行為審計(jì)措施，缺乏網(wǎng)絡(luò)事件記錄和跟蹤能力，如發(fā)生網(wǎng)絡(luò)安全問題，很難對事件發(fā)生的根源進(jìn)行定位，需增強(qiáng)工業(yè)控制網(wǎng)絡(luò)的監(jiān)測能力。安帝科技提供了技術(shù)支撐及安全解決方案，全面建立防護(hù)、檢測和預(yù)警的一體化防護(hù)體系，以“一個中心，三重防護(hù)”為核心，搭建煙草工業(yè)企業(yè)的縱深安全防護(hù)技術(shù)體系，建設(shè)工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺，完善信息安全管理體系及信息安全管理制度，提供企業(yè)的綜合防御能力，為企業(yè)在“十四五”規(guī)劃中實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型、開展智能制造保駕護(hù)航。

一、湖北某卷煙廠工控網(wǎng)絡(luò)現(xiàn)狀

煙草行業(yè)是國內(nèi)自動化應(yīng)用和數(shù)字化較為全面的生產(chǎn)企業(yè)，隨著數(shù)字化發(fā)展的不斷深入，信息化和數(shù)字化的大大提高，生產(chǎn)控制系統(tǒng)、網(wǎng)絡(luò)也引入了各種信息安全隱患。近年來，《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《網(wǎng)絡(luò)安全法》、等保2.0等政策不斷出臺，國家對工業(yè)生產(chǎn)系統(tǒng)的重視不斷提升，煙草作為工業(yè)重點(diǎn)行業(yè)，其生產(chǎn)系統(tǒng)安全，網(wǎng)絡(luò)安全及攻防能力對等，網(wǎng)絡(luò)態(tài)勢實(shí)時檢測預(yù)警都被提出要求。

根據(jù)對湖北某卷煙廠的實(shí)地調(diào)研情況，主要發(fā)現(xiàn)了以下安全問題：

主機(jī)及應(yīng)用軟件漏洞

卷煙廠工業(yè)控制系統(tǒng)的操作員站、工程師站、服務(wù)器等物理主機(jī)大部分采用的都是Windows操作系統(tǒng)，監(jiān)控組態(tài)軟件、數(shù)據(jù)庫等應(yīng)用軟件主要采用的是SIEMENS、施耐德電氣等工業(yè)自動化主流廠商產(chǎn)品；由于卷煙廠工控系統(tǒng)實(shí)際的運(yùn)行環(huán)境特點(diǎn)，通常情況下，工業(yè)控制系統(tǒng)主機(jī)操作系統(tǒng)、應(yīng)用軟件很少進(jìn)行補(bǔ)丁升級，即使可以進(jìn)行補(bǔ)丁升級，生產(chǎn)管理運(yùn)維人員為了保證生產(chǎn)的正常運(yùn)行，也不會輕易去對軟件補(bǔ)丁升級。這樣就會導(dǎo)致工業(yè)控制系統(tǒng)主機(jī)的防護(hù)能力非常脆弱，一旦遭受病毒、惡意代碼攻擊，很容易造成系統(tǒng)癱瘓。

卷煙廠的卷包數(shù)采車間的設(shè)備由于比較老舊（有些HMI內(nèi)存只有1G），系統(tǒng)配置與性能均較低，無法保證完全無影響地安裝殺毒軟件或主機(jī)防護(hù)系統(tǒng)。

卷煙廠的上位機(jī)操作系統(tǒng)大部分未安裝殺毒軟件，無法防范惡意代碼和惡意軟件攻擊。

檢查的主機(jī)均很少或未關(guān)閉不使用的系統(tǒng)服務(wù)端口，也未封閉主機(jī)不用的物理端口；主機(jī)外設(shè)接入無管控，可隨意進(jìn)行插拔U盤等外設(shè)接入操作，很容易造成主機(jī)感染外來病毒或網(wǎng)內(nèi)交叉感染不同的病毒，并通過網(wǎng)絡(luò)在區(qū)域內(nèi)網(wǎng)中傳播。

缺乏有效的網(wǎng)絡(luò)監(jiān)控和審計(jì)

卷煙廠的工業(yè)控制系統(tǒng)中缺乏網(wǎng)絡(luò)狀態(tài)監(jiān)控和操作日志行為審計(jì)措施，缺乏網(wǎng)絡(luò)事件記錄和跟蹤能力，如發(fā)生網(wǎng)絡(luò)安全問題，很難對事件發(fā)生的根源進(jìn)行定位，無法從事件得到經(jīng)驗(yàn)教訓(xùn)；在日志安全方面，大部分服務(wù)器在日志審計(jì)方面都沒有比較完善的保障機(jī)制；由于缺乏對管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計(jì)，誤操作或者惡意操作安全風(fēng)險(xiǎn)較大。

缺乏對網(wǎng)絡(luò)全局監(jiān)控的技術(shù)措施

卷煙廠缺少對生產(chǎn)網(wǎng)絡(luò)中的控制系統(tǒng)和安全設(shè)備的安全統(tǒng)一監(jiān)視和管理的綜合平臺，無法對設(shè)備資產(chǎn)管理、設(shè)備運(yùn)行狀況監(jiān)控、安全報(bào)警、安全事件感知、記錄和分析及后續(xù)處理的統(tǒng)一管理，無法分析和評價(jià)各車間區(qū)域整體主機(jī)設(shè)備運(yùn)行的優(yōu)良狀況。

二、技術(shù)方案

針對卷煙廠的實(shí)際安全需求，通過實(shí)地調(diào)研和分析，建設(shè)一套穩(wěn)定、先進(jìn)、高效的安全防護(hù)、安全監(jiān)測體系，實(shí)現(xiàn)對工控網(wǎng)絡(luò)內(nèi)的服務(wù)器、操作員站、工程師站等主機(jī)的安全防護(hù)，展現(xiàn)卷煙廠的生產(chǎn)網(wǎng)絡(luò)的整體態(tài)勢，提升卷煙廠的整體工控安全監(jiān)管水平和防御能力。

本項(xiàng)目方案涉及卷煙廠制絲車間、卷包數(shù)采車間、動力能管車間三個車間的生產(chǎn)控制系統(tǒng)，設(shè)計(jì)的技術(shù)方案的示意圖如下所示：

技術(shù)方案示意圖

2.1主機(jī)安全加固

針對生產(chǎn)控制系統(tǒng)的主機(jī)端可能存在的風(fēng)險(xiǎn)，在工控網(wǎng)絡(luò)內(nèi)的獨(dú)立服務(wù)器、操作員站、工程師站、現(xiàn)場HMI等上位機(jī)部署針對現(xiàn)場工業(yè)控制系統(tǒng)的環(huán)境特點(diǎn)的工控主機(jī)安全防護(hù)系統(tǒng)，在部署過程中，無需調(diào)整網(wǎng)絡(luò)架構(gòu)，對現(xiàn)場生產(chǎn)運(yùn)行不產(chǎn)生影響。

根據(jù)工控系統(tǒng)現(xiàn)場業(yè)務(wù)特征及應(yīng)用建立動態(tài)白名單策略，不依賴于特征庫，無需頻繁升級；采用可信白名單機(jī)制，解決操作系統(tǒng)、殺毒軟件等因無法升級補(bǔ)丁帶來的安全問題，保證系統(tǒng)的穩(wěn)定運(yùn)行；保護(hù)系統(tǒng)合法設(shè)備接入、合法信息傳輸及合法程序運(yùn)行；通過禁止或允許移動存儲設(shè)備在服務(wù)器上使用，有效防止移動存儲設(shè)備隨意接入對服務(wù)器系統(tǒng)的安全威脅；提供移動介質(zhì)授權(quán)管理，移動介質(zhì)在使用前均須經(jīng)過授權(quán)；禁止非授權(quán)外設(shè)存儲的接入。有效防止由于非授權(quán)移動存儲接入而產(chǎn)生的攻擊。

各終端軟件部署完成后可通過安全管理平臺進(jìn)行統(tǒng)一管理、策略配置、告警顯示等，使管理人員清楚、及時的掌握服務(wù)器、工作站和現(xiàn)場HMI終端的運(yùn)行情況。

2.2工業(yè)網(wǎng)絡(luò)安全監(jiān)測

依據(jù)“設(shè)備自身感知、數(shù)據(jù)就地采集”的原則，在制絲車間、動力中心車間、卷包車間匯聚交換機(jī)處旁路部署工控安全監(jiān)測與審計(jì)系統(tǒng)，可以提供全面的網(wǎng)絡(luò)行為審計(jì)功能，通過設(shè)定行為審計(jì)策略，實(shí)現(xiàn)工控設(shè)備異常行為、網(wǎng)站訪問、郵件協(xié)議、文件上傳下載、遠(yuǎn)程連接等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測，對符合行為策略的事件實(shí)時告警并記錄，系統(tǒng)提供基于協(xié)議識別的流量分析功能，可以深度解析S7、DCERPC、Modbus、ENIP/CIP、DNP3等工業(yè)協(xié)議，實(shí)時統(tǒng)計(jì)出當(dāng)前網(wǎng)絡(luò)中的各種報(bào)文流量，進(jìn)行綜合流量分析，為流量管理策略的制定提供可靠支持，通過檢測生產(chǎn)控制系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，以便于事后進(jìn)行事件取證和定責(zé)。

在制絲車間、動力中心車間、卷包車間匯聚交換機(jī)處旁路部署工控流量日志分析系統(tǒng)，實(shí)現(xiàn)對工業(yè)生產(chǎn)網(wǎng)絡(luò)中的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備等安全事件采集分析，在提供本地監(jiān)視的基礎(chǔ)上，將分析后的信息轉(zhuǎn)發(fā)至上級管理平臺，提供準(zhǔn)確的網(wǎng)絡(luò)事件告警、日志等信息。從而推動網(wǎng)絡(luò)安全管理從“靜態(tài)布防、邊界監(jiān)視”向“實(shí)時管控、縱深防御”的轉(zhuǎn)變，全面實(shí)現(xiàn)“外部侵入有效阻斷、外力干擾有效隔離、內(nèi)部介入有效遏制、安全風(fēng)險(xiǎn)有效管控”的防控目標(biāo)。

2.3.工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺是針對生產(chǎn)網(wǎng)側(cè)系統(tǒng)安全事件統(tǒng)一管理的軟硬件一體化“統(tǒng)一安全管理平臺”產(chǎn)品，可以部署在卷煙廠生產(chǎn)網(wǎng)的核心交換機(jī)處。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺通過對工控網(wǎng)絡(luò)中的安全事件進(jìn)行統(tǒng)一的管理和關(guān)聯(lián)分析，實(shí)現(xiàn)對全網(wǎng)的安全設(shè)備、網(wǎng)絡(luò)設(shè)備，系統(tǒng)及主機(jī)的統(tǒng)一監(jiān)控、實(shí)時告警、流量分析等。綜合實(shí)現(xiàn)了安全事件報(bào)警、全流量采集存儲分析、全流量安全回溯分析、攻擊追蹤溯源取證、高級攻擊檢測、告警事件管理、網(wǎng)絡(luò)流間行為檢測、拓?fù)涔芾?、知識庫管理、響應(yīng)與處理、關(guān)聯(lián)分析、安全事件管理、工業(yè)系統(tǒng)行為監(jiān)測等。

三、案例亮點(diǎn)和創(chuàng)新點(diǎn)

3.1.多級統(tǒng)管平臺，針對需求開發(fā)

與同類別方案相比，本項(xiàng)目設(shè)計(jì)的方案增加的相關(guān)安全設(shè)備所采集的信息更加全面，也更具合規(guī)性，能完全適應(yīng)工控系統(tǒng)安全防護(hù)在穩(wěn)定性與機(jī)密性的共同需求。方案中所有信息安全產(chǎn)品均為我公司自主研發(fā)，自主可控，安全產(chǎn)品聯(lián)動安全性更高，根據(jù)本項(xiàng)目提供的定制化功能開發(fā)更貼近企業(yè)現(xiàn)場實(shí)際生產(chǎn)現(xiàn)狀，真正做到了貼近工業(yè)現(xiàn)場的安全監(jiān)測和防護(hù)。

3.2.主動防御監(jiān)測，應(yīng)對未知威脅

通過構(gòu)建的主動防御監(jiān)測體防護(hù)體系，在增加終端安全加固和網(wǎng)絡(luò)安全監(jiān)測能力的同時，通過對網(wǎng)絡(luò)的分析和預(yù)警，可以更好的應(yīng)對未知威脅和攻擊，在滿足合規(guī)性的同時，更是實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測與分析。

3.3.輕量級部署，不影響正常生產(chǎn)

本次方案部署的主機(jī)加固產(chǎn)品，占用主機(jī)內(nèi)存很小，而且兼容性好，支持在大部分windows和linux操作系統(tǒng)上安裝部署，安裝后不會影響原有主機(jī)的正常運(yùn)行；工控安全監(jiān)測與審計(jì)系統(tǒng)和工控流量日志分析系統(tǒng)產(chǎn)品都是采用的旁路部署的方式，部署時不需要更改原有的生產(chǎn)網(wǎng)絡(luò)的架構(gòu)，對卷煙廠的網(wǎng)絡(luò)幾乎不會有影響。

3.4.擴(kuò)展體系建設(shè)，全生命周期支撐

核心技術(shù)上通過安全產(chǎn)品自主研發(fā)、自主可控，安全產(chǎn)品聯(lián)動安全性更高；安全防護(hù)上提供適用不同強(qiáng)度、不同業(yè)務(wù)場景的工控安全防護(hù)方案；技術(shù)服務(wù)上提供專家級的咨詢服務(wù)、運(yùn)維服務(wù)、評估服務(wù)以及人工加固等；方案制定上提供可智能升級的工控安全解決方案，滿足合規(guī)性構(gòu)建的同時，滿足用戶實(shí)際需求；體系建設(shè)上融入管理和支撐體系，全面考慮人、物、事等多維安全保障，體現(xiàn)動態(tài)安全的前沿思想。