湖北某卷烟厂生产控制系统网络安全建设项目

信息化观察网
北京安帝科技有限公司
安帝科技提供了技术支撑及安全解决方案,全面建立防护、检测和预警的一体化防护体系,以“一个中心,三重防护”为核心,搭建烟草工业企业的纵深安全防护技术体系,建设工业网络安全态势感知平台,完善信息安全管理体系及信息安全管理制度,提供企业的综合防御能力,为企业在“十四五”规划中实现数字化转型、开展智能制造保驾护航。

摘要:据调研,卷烟厂的工业控制系统中缺乏网络状态监控和操作日志行为审计措施,缺乏网络事件记录和跟踪能力,如发生网络安全问题,很难对事件发生的根源进行定位,需增强工业控制网络的监测能力。安帝科技提供了技术支撑及安全解决方案,全面建立防护、检测和预警的一体化防护体系,以“一个中心,三重防护”为核心,搭建烟草工业企业的纵深安全防护技术体系,建设工业网络安全态势感知平台,完善信息安全管理体系及信息安全管理制度,提供企业的综合防御能力,为企业在“十四五”规划中实现数字化转型、开展智能制造保驾护航。

一、湖北某卷烟厂工控网络现状

烟草行业是国内自动化应用和数字化较为全面的生产企业,随着数字化发展的不断深入,信息化和数字化的大大提高,生产控制系统、网络也引入了各种信息安全隐患。近年来,《工业控制系统信息安全防护指南》、《网络安全法》、等保2.0等政策不断出台,国家对工业生产系统的重视不断提升,烟草作为工业重点行业,其生产系统安全,网络安全及攻防能力对等,网络态势实时检测预警都被提出要求。

根据对湖北某卷烟厂的实地调研情况,主要发现了以下安全问题:

主机及应用软件漏洞

卷烟厂工业控制系统的操作员站、工程师站、服务器等物理主机大部分采用的都是Windows操作系统,监控组态软件、数据库等应用软件主要采用的是SIEMENS、施耐德电气等工业自动化主流厂商产品;由于卷烟厂工控系统实际的运行环境特点,通常情况下,工业控制系统主机操作系统、应用软件很少进行补丁升级,即使可以进行补丁升级,生产管理运维人员为了保证生产的正常运行,也不会轻易去对软件补丁升级。这样就会导致工业控制系统主机的防护能力非常脆弱,一旦遭受病毒、恶意代码攻击,很容易造成系统瘫痪。

卷烟厂的卷包数采车间的设备由于比较老旧(有些HMI内存只有1G),系统配置与性能均较低,无法保证完全无影响地安装杀毒软件或主机防护系统。

卷烟厂的上位机操作系统大部分未安装杀毒软件,无法防范恶意代码和恶意软件攻击。

检查的主机均很少或未关闭不使用的系统服务端口,也未封闭主机不用的物理端口;主机外设接入无管控,可随意进行插拔U盘等外设接入操作,很容易造成主机感染外来病毒或网内交叉感染不同的病毒,并通过网络在区域内网中传播。

缺乏有效的网络监控和审计

卷烟厂的工业控制系统中缺乏网络状态监控和操作日志行为审计措施,缺乏网络事件记录和跟踪能力,如发生网络安全问题,很难对事件发生的根源进行定位,无法从事件得到经验教训;在日志安全方面,大部分服务器在日志审计方面都没有比较完善的保障机制;由于缺乏对管理和技术人员操作行为的有效安全监管和审计,误操作或者恶意操作安全风险较大。

缺乏对网络全局监控的技术措施

卷烟厂缺少对生产网络中的控制系统和安全设备的安全统一监视和管理的综合平台,无法对设备资产管理、设备运行状况监控、安全报警、安全事件感知、记录和分析及后续处理的统一管理,无法分析和评价各车间区域整体主机设备运行的优良状况。

二、技术方案

针对卷烟厂的实际安全需求,通过实地调研和分析,建设一套稳定、先进、高效的安全防护、安全监测体系,实现对工控网络内的服务器、操作员站、工程师站等主机的安全防护,展现卷烟厂的生产网络的整体态势,提升卷烟厂的整体工控安全监管水平和防御能力。

本项目方案涉及卷烟厂制丝车间、卷包数采车间、动力能管车间三个车间的生产控制系统,设计的技术方案的示意图如下所示:

1.png

技术方案示意图

2.1主机安全加固

针对生产控制系统的主机端可能存在的风险,在工控网络内的独立服务器、操作员站、工程师站、现场HMI等上位机部署针对现场工业控制系统的环境特点的工控主机安全防护系统,在部署过程中,无需调整网络架构,对现场生产运行不产生影响。

根据工控系统现场业务特征及应用建立动态白名单策略,不依赖于特征库,无需频繁升级;采用可信白名单机制,解决操作系统、杀毒软件等因无法升级补丁带来的安全问题,保证系统的稳定运行;保护系统合法设备接入、合法信息传输及合法程序运行;通过禁止或允许移动存储设备在服务器上使用,有效防止移动存储设备随意接入对服务器系统的安全威胁;提供移动介质授权管理,移动介质在使用前均须经过授权;禁止非授权外设存储的接入。有效防止由于非授权移动存储接入而产生的攻击。

各终端软件部署完成后可通过安全管理平台进行统一管理、策略配置、告警显示等,使管理人员清楚、及时的掌握服务器、工作站和现场HMI终端的运行情况。

2.2工业网络安全监测

依据“设备自身感知、数据就地采集”的原则,在制丝车间、动力中心车间、卷包车间汇聚交换机处旁路部署工控安全监测与审计系统,可以提供全面的网络行为审计功能,通过设定行为审计策略,实现工控设备异常行为、网站访问、邮件协议、文件上传下载、远程连接等网络应用行为进行监测,对符合行为策略的事件实时告警并记录,系统提供基于协议识别的流量分析功能,可以深度解析S7、DCERPC、Modbus、ENIP/CIP、DNP3等工业协议,实时统计出当前网络中的各种报文流量,进行综合流量分析,为流量管理策略的制定提供可靠支持,通过检测生产控制系统中的操作行为和异常网络行为,以便于事后进行事件取证和定责。

在制丝车间、动力中心车间、卷包车间汇聚交换机处旁路部署工控流量日志分析系统,实现对工业生产网络中的服务器、工作站、网络设备和安全防护设备等安全事件采集分析,在提供本地监视的基础上,将分析后的信息转发至上级管理平台,提供准确的网络事件告警、日志等信息。从而推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”的转变,全面实现“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的防控目标。

2.3.工业网络安全态势感知

工业互联网安全态势感知平台是针对生产网侧系统安全事件统一管理的软硬件一体化“统一安全管理平台”产品,可以部署在卷烟厂生产网的核心交换机处。工业互联网安全态势感知平台通过对工控网络中的安全事件进行统一的管理和关联分析,实现对全网的安全设备、网络设备,系统及主机的统一监控、实时告警、流量分析等。综合实现了安全事件报警、全流量采集存储分析、全流量安全回溯分析、攻击追踪溯源取证、高级攻击检测、告警事件管理、网络流间行为检测、拓扑管理、知识库管理、响应与处理、关联分析、安全事件管理、工业系统行为监测等。

三、案例亮点和创新点

3.1.多级统管平台,针对需求开发

与同类别方案相比,本项目设计的方案增加的相关安全设备所采集的信息更加全面,也更具合规性,能完全适应工控系统安全防护在稳定性与机密性的共同需求。方案中所有信息安全产品均为我公司自主研发,自主可控,安全产品联动安全性更高,根据本项目提供的定制化功能开发更贴近企业现场实际生产现状,真正做到了贴近工业现场的安全监测和防护。

3.2.主动防御监测,应对未知威胁

通过构建的主动防御监测体防护体系,在增加终端安全加固和网络安全监测能力的同时,通过对网络的分析和预警,可以更好的应对未知威胁和攻击,在满足合规性的同时,更是实现对网络攻击特别是未知的新型网络攻击的检测与分析。

3.3.轻量级部署,不影响正常生产

本次方案部署的主机加固产品,占用主机内存很小,而且兼容性好,支持在大部分windows和linux操作系统上安装部署,安装后不会影响原有主机的正常运行;工控安全监测与审计系统和工控流量日志分析系统产品都是采用的旁路部署的方式,部署时不需要更改原有的生产网络的架构,对卷烟厂的网络几乎不会有影响。

3.4.扩展体系建设,全生命周期支撑

核心技术上通过安全产品自主研发、自主可控,安全产品联动安全性更高;安全防护上提供适用不同强度、不同业务场景的工控安全防护方案;技术服务上提供专家级的咨询服务、运维服务、评估服务以及人工加固等;方案制定上提供可智能升级的工控安全解决方案,满足合规性构建的同时,满足用户实际需求;体系建设上融入管理和支撑体系,全面考虑人、物、事等多维安全保障,体现动态安全的前沿思想。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论