查看原文
其他

帝造数字时代工业网络安全防线 | 智慧钢铁篇

安帝实验室 安帝Andisec 2022-07-03


01

智慧钢铁行业背景介绍

数字时代,网络边界消失。在工控系统越来越开放的同时,也同步削弱了控制系统与外界的隔离和安全保护。
网络攻击泛化,安全事件频发。从2014年德国钢铁厂遭受APT攻击,2019年世界炼铝巨头挪威海德鲁公司受到LockerGoga的勒索病毒攻击,数条自动化生产线被迫停运,到2020年钢铁制造商EVRAZ遭受勒索软件攻击,致多家工厂停产,充分反映了工业控制系统信息安全面临的严峻形势。国家密集出台政策法规标准,强化网络安全能力建设。2016年工信部发布《工业控制系统信息安全防护指南》,2017年6月1日正式实施的《网络安全法》和2019年12月1日正式实施网络安全等级保护2.0制度,这一系列出台的政策表明工控行业安全已经上升到国家战略的高度。钢铁行业是国家重要关键基础设施,必须加强网络安全防护能力,减弱工控安全风险,降低工控安全事件所造成的影响。


02

建设目标

如何设立钢铁行业在工业网络安全的建设目标,首先满足当前钢铁行业在当前业务飞速发展下的安全防护要求,能够全面提升企业生产网络的整体安全。确保设备、系统、网络的可靠性、稳定性,减少安全维护人员的工作量,提高安全生产管理水平和工作效率,提升公司的精益化管理水平,同时贯彻落实网络安全等级保护等国家及相关部门提出的安全合规要求。


03

钢铁行业工业网络安全现状分析
通过对多个钢铁公司的沟通调研,多数钢铁工控生产系统基本没有安全防护措施,基本处于“裸奔”状态,主要有以下安全问题和风险。


控制系统先天缺陷明显

钢铁行业多采用国外西门子、AB为代表的厂商设备,由于对工控设备的逐步深入研究和设备本身安全的关注,发现了大量安全问题,用户往往并没有安全处理能力,设备均在带“洞”运行。

边界防护能力薄弱

各区域间没有有效隔离。尤其有大量PLC控制器的工业控制网络,仅存在少量的边界防护及隔离的传统IT防火墙设备,不能起到有效隔离防护作用。


架构安全设计不足

网络区域间存在大量非法连接情况。数采系统打通了管理网与生产网,管理网通过防火墙等逻辑隔离手段直接连接办公网,带来的威胁直接影响生产网中工控系统的安全;各区域之间也存在大量非法连接,容易导致各区域间风险的串扰。


终端安全隐患突出

生产环境中操作站多数采用Windows XP及Windows 2000等较老系统,系统在使用期间不断曝出漏洞,系统未进行基线安全加固操作。此外,在生产环境中存在使用U盘、移动硬盘、手机等移动存储介质现象,有可能将传染病毒、木马等威胁因素带入生产系统。由于终端上安装国外设备厂家的应用软件,任何多余操作以及防病毒软件的安装极有可能造成设备宕机、蓝屏或应用软件的破坏等问题。


安全运维审计缺失

工控系统多数由系统集成商或控制厂家进行运维操作,但由于缺乏完善的运维审计机制,并且远程运维时间及管理范围较为宽松,对运维人员的操作过程没有记录、审计,不能发现越权访问、异常操作等行为。


04

安全防护体系建设思路
总体以保障业务系统可用性为前提,在不影响业务系统正常运行的前提下,首先识别安全风险,防范和缓解信息安全风险,将风险控制在可接受的水平,最大限度地为保障工业控制系统安全,建立相应的安全技术体系和管理规范,逐步推进安全防护工作。

安全架构设计

钢铁行业整体安全防护架构设计根据“网络分区、外联管控、网络监测、统一管控”的防护思路,参考《信息安全技术网络安全等级保护基本要求》,同时结合钢铁行业的业务特点和安全需求,同时按照生产优先的原则,以保障工控系统正常运行为出发点,确保方案中的所有安全防护措施的部署不会对正常工业生产构成影响,并充分考虑了与工控系统的软硬件设备的兼容。整体安全防护架构如下图所示:

(安全防护架构图)


安全方案设计

本方案基于安全性和合规性两方面的考虑,按照等级保护2.0新标准和其他行业相关技术要求,本着一个中心三重防护的理念进行设计。
  • 安全通信网络

办公网为与生产网之间采用单向技术隔离手段,实现数据单向从生产网向办公网摆渡。生产网应根据钢铁行业的业务特点划分为不同的安全域,本方案中主要划分为烧结厂、炼铁厂、炼钢厂、轧钢厂等业务区域,以及服务器区、操作站群区及安全管理区。安全域之间采用工业防火墙进行隔离,并配置通信网络和工控协议的最小化策略。
  • 安全区域边界

在生产网各区域边界及生产网至办公网边界部署工业防火墙和工业网闸,设置最小化访问策略,保证跨越边界的访问和数据流通过边界设备提供的受控接口。在生产网络区域内部署工业安全流量日志分析系统,该系统可以将操作员站和工程师站上部署的工业主机行为探针进行联动,对非授权设备私自联到内部网络的行为进行监查,对内部用户非授权联到外部网络的行为进行监查,实现及时告警并处置。此外,工业安全流量日志分析系统可以实现对网络攻击特别是新型网络攻击行为的分析,实现及时告警并处置。

  • 安全计算环境

通过在生产网安全管理区部署堡垒机,实现业务系统的安全运维审计。堡垒机对登录的用户进行身份标识和鉴别,身份标识具有唯一性;用户在远程运维业务系统管理时,可以防止鉴别信息在网络传输过程中被窃听;业务系统管理可以启用堡垒机实现两种用户身份鉴别技术,实现双因子身份认证;通过堡垒机也可以实现对登录的用户分配业务账号及业务系统管理权限。

考虑到钢铁行业业务持续性的需求,业务系统不能遵循最小安装原则,仅安装需要的组件和应用程序,以及修复已知的漏洞、查杀恶意代码等措施。可以安装工业主机行为探针,不影响现有业务程序及网络的正常访问,在出现异常连接及行为时可以及时进行阻断。

  • 安全管理中心

在生产网内设置安全管理区域,部署工业安全监测平台,可以对分布在生产网中的安全设备进行统一安全管控。工业安全流量日志分析系统、工业防火墙、工业网闸、堡垒机等设备通过安全的信息传输路径将数据上传至工业安全监测平台,平台能进行集中监测,对分散在各个设备上的审计数据进行收集汇总和集中分析;及时发现网络中发生的各类安全事件,并进行识别、报警和分析。


方案特点  

  • 满足等保合规

满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求以及防护指南等政策的有关要求。

  • 实现立体防护

从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现工控网络全面的安全保护

  • 技防人防并重

安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。

  • 零影响部署

所有安全组件均采用单独组网方式,不对现有网络造成任何影响,确保将设备对工控网络的干扰降低到最低。

  • 多协议支持

支持常见工控协议:S7、Modbus、OPC、IEC61850、IEC60870、IEC104、DLT645、BacNet、CIP、DNP3、MMS、ProfiNet、EIP等50多种工业协议的深度解析。


05

安全规范化建设价值

1.符合政策法规

  • 满足《网络安全法》框架下关键信息基础设施保护制度,网络安全等级保护制度以及防护指南等政策要求。

2.安全防护,快速响应

  • 防止生产业务区域之间的违规访问和恶意攻击;

  • 针对网络和主机的攻击进行实时可视化展示;

  • 避免工业主机的非法访问及病毒传播;

3.安全审计,有效溯源

  • 有效监测生产控制系统的运行状态及操作指令;

  • 避免越权操作和误操作造成生产事故;

  • 安全事件的事后审计和溯源,快速解决安全事件;


06

总结

钢铁行业属于国家关键信息基础设施,承载着重大的国家命脉,威胁着社会民生、国家安全。网络安全防御是钢铁行业生产管理体系架构中的关键支撑,安帝科技拥有完善的工业网络安全产品和专业的工业网络安全服务体系,从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,形成钢铁行业纵深防护体系,助力企业实现提质增效的运营目标。



往期精选

安帝科技当选中国信息协会信息安全专业委员会新一任工业互联网安全工作部牵头单位

记一次挖矿木马清理

安帝科技直聘 | 不招打工人,只招合伙人,安帝科技2021春季招聘ing!



安帝科技ANDISEC


北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的探索和实践,创新应用网络空间行为学及工业网络行为验证,构建了工业大数据深度分析、威胁情报共享、威胁感知和协同响应等核心能力优势,为电力、石油石化、煤炭、烟草、轨道交通、智能制造等关键信息基础设施行业提供安全产品、服务和综合解决方案,工业网络安全态势感知平台已部署3600余家电厂。


点击“在看”鼓励一下吧


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存