帝造数字时代工业网络安全防线 | 智慧钢铁篇
01
智慧钢铁行业背景介绍
数字时代,网络边界消失。在工控系统越来越开放的同时,也同步削弱了控制系统与外界的隔离和安全保护。02
如何设立钢铁行业在工业网络安全的建设目标,首先满足当前钢铁行业在当前业务飞速发展下的安全防护要求,能够全面提升企业生产网络的整体安全。确保设备、系统、网络的可靠性、稳定性,减少安全维护人员的工作量,提高安全生产管理水平和工作效率,提升公司的精益化管理水平,同时贯彻落实网络安全等级保护等国家及相关部门提出的安全合规要求。
03
控制系统先天缺陷明显
边界防护能力薄弱
架构安全设计不足
网络区域间存在大量非法连接情况。数采系统打通了管理网与生产网,管理网通过防火墙等逻辑隔离手段直接连接办公网,带来的威胁直接影响生产网中工控系统的安全;各区域之间也存在大量非法连接,容易导致各区域间风险的串扰。终端安全隐患突出
生产环境中操作站多数采用Windows XP及Windows 2000等较老系统,系统在使用期间不断曝出漏洞,系统未进行基线安全加固操作。此外,在生产环境中存在使用U盘、移动硬盘、手机等移动存储介质现象,有可能将传染病毒、木马等威胁因素带入生产系统。由于终端上安装国外设备厂家的应用软件,任何多余操作以及防病毒软件的安装极有可能造成设备宕机、蓝屏或应用软件的破坏等问题。安全运维审计缺失
工控系统多数由系统集成商或控制厂家进行运维操作,但由于缺乏完善的运维审计机制,并且远程运维时间及管理范围较为宽松,对运维人员的操作过程没有记录、审计,不能发现越权访问、异常操作等行为。04
安全架构设计
钢铁行业整体安全防护架构设计根据“网络分区、外联管控、网络监测、统一管控”的防护思路,参考《信息安全技术网络安全等级保护基本要求》,同时结合钢铁行业的业务特点和安全需求,同时按照生产优先的原则,以保障工控系统正常运行为出发点,确保方案中的所有安全防护措施的部署不会对正常工业生产构成影响,并充分考虑了与工控系统的软硬件设备的兼容。整体安全防护架构如下图所示:
安全方案设计
安全通信网络
办公网为与生产网之间采用单向技术隔离手段,实现数据单向从生产网向办公网摆渡。生产网应根据钢铁行业的业务特点划分为不同的安全域,本方案中主要划分为烧结厂、炼铁厂、炼钢厂、轧钢厂等业务区域,以及服务器区、操作站群区及安全管理区。安全域之间采用工业防火墙进行隔离,并配置通信网络和工控协议的最小化策略。
安全区域边界
在生产网各区域边界及生产网至办公网边界部署工业防火墙和工业网闸,设置最小化访问策略,保证跨越边界的访问和数据流通过边界设备提供的受控接口。在生产网络区域内部署工业安全流量日志分析系统,该系统可以将操作员站和工程师站上部署的工业主机行为探针进行联动,对非授权设备私自联到内部网络的行为进行监查,对内部用户非授权联到外部网络的行为进行监查,实现及时告警并处置。此外,工业安全流量日志分析系统可以实现对网络攻击特别是新型网络攻击行为的分析,实现及时告警并处置。
安全计算环境
通过在生产网安全管理区部署堡垒机,实现业务系统的安全运维审计。堡垒机对登录的用户进行身份标识和鉴别,身份标识具有唯一性;用户在远程运维业务系统管理时,可以防止鉴别信息在网络传输过程中被窃听;业务系统管理可以启用堡垒机实现两种用户身份鉴别技术,实现双因子身份认证;通过堡垒机也可以实现对登录的用户分配业务账号及业务系统管理权限。
考虑到钢铁行业业务持续性的需求,业务系统不能遵循最小安装原则,仅安装需要的组件和应用程序,以及修复已知的漏洞、查杀恶意代码等措施。可以安装工业主机行为探针,不影响现有业务程序及网络的正常访问,在出现异常连接及行为时可以及时进行阻断。
安全管理中心
在生产网内设置安全管理区域,部署工业安全监测平台,可以对分布在生产网中的安全设备进行统一安全管控。工业安全流量日志分析系统、工业防火墙、工业网闸、堡垒机等设备通过安全的信息传输路径将数据上传至工业安全监测平台,平台能进行集中监测,对分散在各个设备上的审计数据进行收集汇总和集中分析;及时发现网络中发生的各类安全事件,并进行识别、报警和分析。
方案特点
满足等保合规
满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求以及防护指南等政策的有关要求。
实现立体防护
从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现工控网络全面的安全保护
技防人防并重
安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
零影响部署
所有安全组件均采用单独组网方式,不对现有网络造成任何影响,确保将设备对工控网络的干扰降低到最低。
多协议支持
支持常见工控协议:S7、Modbus、OPC、IEC61850、IEC60870、IEC104、DLT645、BacNet、CIP、DNP3、MMS、ProfiNet、EIP等50多种工业协议的深度解析。
05
安全规范化建设价值
1.符合政策法规
满足《网络安全法》框架下关键信息基础设施保护制度,网络安全等级保护制度以及防护指南等政策要求。
2.安全防护,快速响应
防止生产业务区域之间的违规访问和恶意攻击;
针对网络和主机的攻击进行实时可视化展示;
避免工业主机的非法访问及病毒传播;
3.安全审计,有效溯源
有效监测生产控制系统的运行状态及操作指令;
避免越权操作和误操作造成生产事故;
安全事件的事后审计和溯源,快速解决安全事件;
06
总结
钢铁行业属于国家关键信息基础设施,承载着重大的国家命脉,威胁着社会民生、国家安全。网络安全防御是钢铁行业生产管理体系架构中的关键支撑,安帝科技拥有完善的工业网络安全产品和专业的工业网络安全服务体系,从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,形成钢铁行业纵深防护体系,助力企业实现提质增效的运营目标。
往期精选
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的探索和实践,创新应用网络空间行为学及工业网络行为验证,构建了工业大数据深度分析、威胁情报共享、威胁感知和协同响应等核心能力优势,为电力、石油石化、煤炭、烟草、轨道交通、智能制造等关键信息基础设施行业提供安全产品、服务和综合解决方案,工业网络安全态势感知平台已部署3600余家电厂。
点击“在看”鼓励一下吧