今日頭條
官方微信
官方抖音
案例頻道★ 杭州安恒信息技術(shù)股份有限公司
1 項目概況
1.1 項目背景
某生物技術(shù)有限公司是一家上市生物制藥企業(yè),致力于人用疫苗及其相關(guān)產(chǎn)品的研究開發(fā)、生產(chǎn)和銷售,為疾病預(yù)防控制提供服務(wù)。
隨著對信息系統(tǒng)的依賴程度不斷增加,原有的信息化設(shè)備已經(jīng)無法滿足業(yè)務(wù)發(fā)展的需要。現(xiàn)需要根據(jù)實際業(yè)務(wù)需求對原有信息化系統(tǒng)進行優(yōu)化和改造,而信息安全建設(shè)作為信息化建設(shè)中必不可少的環(huán)節(jié),需要同步進行。國內(nèi)外安全形式日趨嚴峻,為保障網(wǎng)絡(luò)安全,《網(wǎng)絡(luò)安全法》、關(guān)基保護條例、等保2.0標(biāo)準(zhǔn)等相繼發(fā)布,對企業(yè)的業(yè)務(wù)合規(guī)能力、業(yè)務(wù)系統(tǒng)安全能力和安全運營能力等提出了新的挑戰(zhàn)。
1.2 項目簡介
該企業(yè)在網(wǎng)絡(luò)和生產(chǎn)系統(tǒng)設(shè)計與建設(shè)之初,未考慮到潛在網(wǎng)絡(luò)安全風(fēng)險,未面向生產(chǎn)網(wǎng)絡(luò)進行體系化網(wǎng)絡(luò)安全建設(shè)。隨著企業(yè)信息化建設(shè)不斷推進,給現(xiàn)有的生產(chǎn)網(wǎng)絡(luò)與工控系統(tǒng)帶來很大的風(fēng)險與挑戰(zhàn)。
本項目對該企業(yè)進行網(wǎng)絡(luò)安全整體規(guī)劃與建設(shè),結(jié)合公司的網(wǎng)絡(luò)安全現(xiàn)狀,確定其安全建設(shè)需求,加強其監(jiān)測預(yù)警系統(tǒng)、終端安全查殺能力、應(yīng)急響應(yīng)手段、大數(shù)據(jù)安全平臺和信息系統(tǒng)等級保護建設(shè)的推進工作,全面提升其智能制藥的網(wǎng)絡(luò)安全保護及整網(wǎng)安全能力,并建立一個完善的信息安全預(yù)防、監(jiān)測、防御和響應(yīng)的縱深防御的安全體系,解決其當(dāng)前面臨的網(wǎng)絡(luò)安全風(fēng)險。
1.3 項目目標(biāo)
某生物技術(shù)有限公司擁有11個廠區(qū),本項目需要在滿足政策合規(guī)的前提下,通過建設(shè)企業(yè)級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與綜合管控服務(wù)平臺,實時掌握各生產(chǎn)廠區(qū)工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢,及時通報預(yù)警重大網(wǎng)絡(luò)安全威脅;形成企業(yè)和下屬各生產(chǎn)基地相關(guān)部門協(xié)調(diào)聯(lián)動的網(wǎng)絡(luò)安全監(jiān)測預(yù)警處置工作機制,構(gòu)建網(wǎng)絡(luò)安全綜合防控體系;最終形成工業(yè)安全檢測、工業(yè)安全防御、工業(yè)安全運維、工業(yè)安全響應(yīng)的閉環(huán)體系,如圖1所示。
圖1 總體安全方案設(shè)計架構(gòu)
2 項目實施
2.1 業(yè)務(wù)應(yīng)用場景分析
該生物制藥企業(yè)工業(yè)網(wǎng)絡(luò)安全防御體系仍需完善,系統(tǒng)工業(yè)安全檢測和感知能力不足,沒有建立相應(yīng)的工業(yè)網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和感知系統(tǒng)。工業(yè)網(wǎng)絡(luò)安全重復(fù)檢查、安全風(fēng)險和漏洞重復(fù)通報等問題突出。因此需要具備以下能力:
(1)資產(chǎn)安全集中監(jiān)測能力;
(2)高級威脅檢測能力;
(3)工業(yè)網(wǎng)絡(luò)安全監(jiān)測及處置能力;
(4)可視化溯源分析能力;
(5)工業(yè)安全合規(guī)管理能力。
該企業(yè)具有生物制藥行業(yè)的典型特點:廠區(qū)分散、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、各工廠工控系統(tǒng)品牌和型號不統(tǒng)一。項目方案中,根據(jù)業(yè)務(wù)需求規(guī)劃安全域并制定詳細的訪問控制策略,部署網(wǎng)絡(luò)安全設(shè)備構(gòu)建分域控制與縱深防御的安全防護體系,同時通過全面的工業(yè)協(xié)議解析能力及多源異構(gòu)日志分析能力,將安全數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一、標(biāo)準(zhǔn)的數(shù)據(jù)格式,利用工業(yè)安全態(tài)勢感知平臺進行大數(shù)據(jù)處理,成功打通各安全域的信息孤島,形成工業(yè)安全運營閉環(huán)管理體系,做好協(xié)同防御。
2.2 技術(shù)方案
項目總體設(shè)計采用分域控制與縱深防御相結(jié)合的方式,如圖2所示。
圖2 項目技術(shù)方案示意圖
(1)分域控制:將智能制藥操作系統(tǒng)和外部系統(tǒng)依據(jù)系統(tǒng)的應(yīng)用功能、資產(chǎn)價值及資產(chǎn)所面臨的風(fēng)險,從結(jié)構(gòu)上劃分為不同的安全區(qū)域,并以安全區(qū)域為單位進行安全防御技術(shù)措施的建設(shè)。
(2)縱深防御:智能制藥操作系統(tǒng)圍繞安全管理中心,從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境三個維度進行安全技術(shù)和措施的設(shè)計;通過集中管理,對確認的重大威脅或攻擊進行安全聯(lián)動防護,充分考慮各種技術(shù)的組合和功能的互補性,從外到內(nèi)形成一個縱深的安全防御體系。
2.2.1 安全管理中心
(1)新建安全管理域
在服務(wù)器區(qū)新建安全管理域,在安全管理域內(nèi)部署工業(yè)安全態(tài)勢感知平臺、堡壘機、工業(yè)安全管理平臺等安全設(shè)備,在安全管理域與服務(wù)器區(qū)之間部署下一代防火墻,實現(xiàn)服務(wù)器區(qū)與安全管理域的訪問控制。
(2)工業(yè)安全管理平臺
對各安全域的安全設(shè)備進行集中管控、狀態(tài)監(jiān)測、策略配置下發(fā)等,及時發(fā)現(xiàn)、報告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為,統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測、安全防護和應(yīng)急處置。
(3)綜合日志審計平臺
采集各個安全域的日志信息進行審計,支持各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、應(yīng)用及數(shù)據(jù)庫等,滿足政策法規(guī)要求的日志留存期限,支撐事件分析與攻擊溯源。
(4)運維審計與風(fēng)險控制系統(tǒng)(堡壘機)
通過賬號管理、身份認證、自動改密、資源授權(quán)、實時阻斷、同步監(jiān)控、審計回放和自動化運維流程管理等功能,增強運維管理的安全性。
2.2.2 安全通信網(wǎng)絡(luò)
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域,即在生產(chǎn)網(wǎng)服務(wù)器與辦公網(wǎng)服務(wù)器之間部署下一代防火墻,通過安全策略實現(xiàn)單向隔離,有效阻隔外部威脅的入侵;
在工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的安全域。本項目根據(jù)工控系統(tǒng)的業(yè)務(wù)屬性及地理位置等因素,使用工業(yè)防火墻將各工廠劃分為獨立安全域。工業(yè)防火墻具有bypass功能,可確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
2.2.3 安全區(qū)域邊界
在各個工廠的生產(chǎn)設(shè)備匯聚交換機數(shù)據(jù)出口處部署訪問控制設(shè)備(工業(yè)防火墻),配置訪問控制策略,禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù),深度解析工業(yè)協(xié)議,禁止非白名單工業(yè)協(xié)議傳輸;使用工業(yè)安全監(jiān)測審計平臺及流量分析系統(tǒng),在工業(yè)控制系統(tǒng)安全域內(nèi)進行異常行為和異常流量監(jiān)測。
(1)工業(yè)防火墻
工業(yè)網(wǎng)絡(luò)內(nèi)部安全域間使用工業(yè)防火墻進行邊界劃分,并配置訪問控制策略,利用工業(yè)防火墻的多業(yè)務(wù)端口實現(xiàn)橫向隔離,只允許特定設(shè)備的特定協(xié)議通過(如OPC、Modbus等)。工業(yè)防火墻具有bypass功能,可確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
(2)工業(yè)安全監(jiān)測審計平臺
在各工廠的生產(chǎn)設(shè)備匯聚交換機上部署工業(yè)安全監(jiān)測審計平臺,實時監(jiān)測生產(chǎn)過程中產(chǎn)生的所有流量,識別多種工控協(xié)議,實現(xiàn)對工業(yè)控制系統(tǒng)內(nèi)的異常流量、異常行為、異常操作、非法接入等安全風(fēng)險的實時告警。
(3)流量分析系統(tǒng)
在各工廠的終端匯聚交換機上部署流量分析系統(tǒng),內(nèi)置海量威脅檢測規(guī)則,覆蓋多種安全場景,有效識別各類IT、OT類網(wǎng)絡(luò)攻擊行為,實時告警并與工業(yè)安全態(tài)勢感知系統(tǒng)聯(lián)動處置,從而實現(xiàn)高效精準(zhǔn)的威脅檢測。
2.2.4 安全計算環(huán)境
針對此生物制藥企業(yè)應(yīng)用主機安全及管理系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)和工控漏洞掃描平臺,實現(xiàn)主機反病毒、外設(shè)管理、數(shù)據(jù)庫審計、資產(chǎn)脆弱性識別等能力,構(gòu)建安全計算環(huán)境。
(1)主機安全及管理系統(tǒng)
在安全域的計算機部署主機安全客戶端,在安全管理中心部署主機安全及管理系統(tǒng)平臺,對所有主機安全客戶端進行統(tǒng)一管理。集成系統(tǒng)加固與防護、網(wǎng)絡(luò)加固與防護等功能,內(nèi)置文件誘餌引擎對勒索病毒具有專防專殺能力;內(nèi)核級東西向流量隔離技術(shù),實現(xiàn)網(wǎng)絡(luò)隔離與防護;擁有補丁修復(fù)、外設(shè)管控、文件審計、違規(guī)外聯(lián)檢測與阻斷等主機安全能力。
(2)數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)
在生產(chǎn)網(wǎng)服務(wù)區(qū)內(nèi)部署數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng),對數(shù)據(jù)主機事件、網(wǎng)絡(luò)事件、數(shù)據(jù)庫時間、應(yīng)用系統(tǒng)事件進行審計,并按照目標(biāo)標(biāo)識和事件類型等條件進行統(tǒng)計;通過綜合關(guān)聯(lián)分析,發(fā)現(xiàn)潛在危害和異常事件。
(3)工控漏洞掃描平臺
可對生產(chǎn)網(wǎng)絡(luò)內(nèi)的設(shè)備進行漏洞掃描。工控漏掃擁有豐富的漏洞信息庫,支持對傳統(tǒng)IT系統(tǒng)(包括主流操作系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化系統(tǒng))的漏洞掃描與配置核查,以及對工業(yè)控制系統(tǒng)的漏洞識別檢測,能夠及時發(fā)現(xiàn)安全漏洞,全面掌握當(dāng)前工業(yè)控制網(wǎng)絡(luò)及系統(tǒng)中的安全風(fēng)險,協(xié)助管理者進行漏洞修復(fù)。
2.2.5 工業(yè)安全態(tài)勢感知
工業(yè)安全態(tài)勢感知平臺是生物制藥行業(yè)工業(yè)互聯(lián)網(wǎng)安全解決方案的大腦,采用安全大數(shù)據(jù)技術(shù)對工業(yè)安全數(shù)據(jù)進行深度分析,形成安全監(jiān)測、安全分析、安全運營能力,并提供可視化安全態(tài)勢感知呈現(xiàn)。工業(yè)安全態(tài)勢感知打通了信息固定,將各個安全設(shè)備與系統(tǒng)進行聯(lián)動,構(gòu)建了一體化動態(tài)響應(yīng)的工業(yè)信息安全防御體系,如圖3所示。
圖3 工業(yè)安全態(tài)勢感知平臺示意圖
(1)數(shù)據(jù)采集
·支持多源異構(gòu)數(shù)據(jù)采集,收集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機和應(yīng)用系統(tǒng)等日志;
·支持流量采集,可采集全流量信息,深度解析工業(yè)協(xié)議與傳統(tǒng)IT協(xié)議,識別異常通信行為;
·支持資產(chǎn)信息探測,可通過主動探測、流量識別、安全設(shè)備上報等方式,精準(zhǔn)識別資產(chǎn)信息;
·支持漏洞信息采集,能夠采集各類IT資產(chǎn)與工控資產(chǎn)漏洞及不安全配置等風(fēng)險。
(2)安全數(shù)據(jù)分析
平臺結(jié)合IT與OT應(yīng)用場景,內(nèi)置1300多種安全分析模型,包括180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權(quán)限檢測類模型、210多種命令控制檢測類模型和30多種資產(chǎn)破壞類檢測模型,覆蓋Intrusion Kill Chain的各個維度,能有效識別各類網(wǎng)絡(luò)攻擊。
此外,平臺支持自定義工業(yè)安全模型,可根據(jù)用戶實際業(yè)務(wù)場景,將安全生產(chǎn)指標(biāo)與網(wǎng)絡(luò)安全指標(biāo)進行融合分析,從中發(fā)現(xiàn)威脅與風(fēng)險,并進行有效的處置。當(dāng)前支持規(guī)則模型、統(tǒng)計模型、情報模型、關(guān)聯(lián)模型和AI模型等自定義模型。
(3)業(yè)務(wù)應(yīng)用
·資產(chǎn)管理:提供資產(chǎn)底數(shù)管理能力,可在線監(jiān)控網(wǎng)內(nèi)資產(chǎn),并識別資產(chǎn)基礎(chǔ)信息、網(wǎng)絡(luò)環(huán)境、安全事件、安全隱患等信息,將資產(chǎn)、事件、人員/單位相關(guān)聯(lián),為應(yīng)急響應(yīng)提供基礎(chǔ)。
·安全監(jiān)測:可實時監(jiān)測資產(chǎn)、安全事件、安全隱患、工控系統(tǒng)生產(chǎn)指標(biāo)及其他用戶關(guān)注的信息,通過多種可視化方式進行呈現(xiàn)。
·安全分析:平臺通過內(nèi)置規(guī)則實時分析安全事件與安全風(fēng)險,用戶可查看事件級別、范圍、攻擊手段、處置建議等信息,并提供追蹤溯源能力,協(xié)助人員開展處置工作。
·安全運營:平臺提供通報預(yù)警與工單管理,形成流程化的閉環(huán)安全管理機制,確保責(zé)任落實到人。此外,平臺通過SOAR技術(shù),可聯(lián)動防火墻、主機安全及管理系統(tǒng)等設(shè)備,自動處置安全事件,顯著加強應(yīng)急處置效率。
3 案例亮點及創(chuàng)新性
(1)經(jīng)濟效益
此生物制藥行業(yè)工業(yè)互聯(lián)網(wǎng)安全一體化運營解決方案在確保安全生產(chǎn)運營的基礎(chǔ)上,進行網(wǎng)絡(luò)安全建設(shè),提高生物制藥生產(chǎn)運營安全性以及生產(chǎn)數(shù)據(jù)的可用性、完整性和保密性;通過從OT網(wǎng)絡(luò)到IT網(wǎng)絡(luò)多重防護措施,從外到內(nèi)形成一個縱深的安全防御體系,保障系統(tǒng)整體的安全保障能力;保護企業(yè)重要資產(chǎn),有效提升企業(yè)工業(yè)網(wǎng)絡(luò)安全技術(shù)水平,減少和避免因網(wǎng)絡(luò)安全事故對生產(chǎn)能力和生產(chǎn)效率的影響,減少和避免經(jīng)濟損失,有助于降低成本、提高生產(chǎn)效率、保障產(chǎn)能。
本項目幫助某生物技術(shù)有限公司滿足政策法規(guī)的技術(shù)要求,為其11個廠區(qū)及總部構(gòu)建了以工業(yè)安全態(tài)勢感知為核心的工控安全防護體系,解決了生產(chǎn)網(wǎng)數(shù)據(jù)共享的安全問題,具備了對安全事件溯源分析和問題定位的能力,提高了安全運維人員的工作效率,有顯著的經(jīng)濟效益。同時,本項目建成后迅速實現(xiàn)了相關(guān)安全技術(shù)落地,并在集團生產(chǎn)基地進行了應(yīng)用,保障了基地制造工廠安全,促進了集團業(yè)務(wù)的快速發(fā)展。
(2)社會效益
該方案應(yīng)用具有免疫特征的安全防護體系、機制和關(guān)鍵技術(shù)在保證合規(guī)性建設(shè)的同時,可以持續(xù)解決新技術(shù)、新應(yīng)用所帶來的安全問題。同時該項目在行業(yè)內(nèi)具有較高的創(chuàng)新性,建設(shè)完成后可以適配大多數(shù)生物制藥企業(yè)及泛制造企業(yè)場景,促進了工業(yè)控制網(wǎng)絡(luò)安全技術(shù)的發(fā)展、安全企業(yè)價值的提升和安全產(chǎn)業(yè)的規(guī)模化發(fā)展。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號