今日頭條
官方微信
官方抖音
資訊頻道1、背景介紹
海爾智家以工業(yè)互聯(lián)網(wǎng)為基礎(chǔ)支撐,應(yīng)用于設(shè)計、生產(chǎn)、制造、管理、服務(wù)等諸多環(huán)節(jié),具有高效精準(zhǔn)決策、實時動態(tài)優(yōu)化、敏捷靈活響應(yīng)等特征。海爾智家的工業(yè)互聯(lián)網(wǎng)依托“人/機/物”的互聯(lián)互通,打通產(chǎn)業(yè)要素、產(chǎn)業(yè)鏈和價值鏈,推動建立工業(yè)生產(chǎn)制造與服務(wù)新體系,奠定了全新工業(yè)生態(tài)和新型應(yīng)用模式的關(guān)鍵基礎(chǔ)。當(dāng)前海爾智家的智能制造、工業(yè)互聯(lián)網(wǎng)的實質(zhì)均是數(shù)據(jù)驅(qū)動的智能化,二者融合發(fā)展相得益彰。當(dāng)前形成以網(wǎng)絡(luò)互聯(lián)為基礎(chǔ)、以工業(yè)互聯(lián)網(wǎng)平臺為核心的信息制造體系,打造了制造業(yè)新生態(tài),對我國制造業(yè)發(fā)展產(chǎn)生了深遠(yuǎn)的影響。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)技術(shù)的發(fā)展雖然為海爾智家的發(fā)展以及智慧工廠的推行提供了便利,但同時須面對工業(yè)控制系統(tǒng)安全的嚴(yán)峻挑戰(zhàn)。與傳統(tǒng)的基于TCP/IP協(xié)議的傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)的安全不同,工業(yè)基礎(chǔ)設(shè)施中關(guān)鍵ICS的安全事件會導(dǎo)致系統(tǒng)性能下降,影響系統(tǒng)可用性、關(guān)鍵控制數(shù)據(jù)被篡改或丟失、失去控制、環(huán)境災(zāi)難、人員傷亡、公司聲譽受損、危及公眾生活及國家安全等危害。
近年來,智能制造行業(yè)工業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā),大多數(shù)工業(yè)安全事件是以生產(chǎn)車間現(xiàn)場的工業(yè)主機為主要突破口,其中最為典型的就是 WannaCry勒索病毒攻擊事件,2017年“永恒之藍(lán)”勒索病毒攻擊事件在全球爆發(fā),大量的工業(yè)現(xiàn)場主機受到感染,導(dǎo)致工業(yè)主機頻繁出現(xiàn)藍(lán)屏死機、文件加密、產(chǎn)線被迫停產(chǎn)等問題。因此海爾智家智慧工廠在進(jìn)行安全建設(shè)的過程中,需重點實現(xiàn)對海爾智家生產(chǎn)車間的主機進(jìn)行安全防護(hù),打造基于主機安全、設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全的多層次縱深防御體系,形成工業(yè)企業(yè)安全防護(hù)服務(wù)能力。
2、目標(biāo)與原則
(1)項目建設(shè)目標(biāo)
目標(biāo)一:搭建工業(yè)主機安全防護(hù)體系,部署7000點+工業(yè)白名單軟件
? 工業(yè)主機衛(wèi)士采用的“白名單+”防護(hù)技術(shù)結(jié)合惡意文件檢查,能夠有效抵御病毒、木馬、惡意軟件、0-day攻擊等對工控網(wǎng)絡(luò)工作站、服務(wù)器的攻擊與破壞行為。并基于工業(yè)環(huán)境中主機特點進(jìn)行適配和兼容,真正幫助企業(yè)在保證穩(wěn)定生產(chǎn)的同時發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊,減少蠕蟲、木馬病毒的攻擊,特別是防止勒索病毒、挖礦病毒的攻擊;
? 工業(yè)主機衛(wèi)士的主機加固功能,提高系統(tǒng)訪問權(quán)限,保障數(shù)據(jù)正常流向,增強操作系統(tǒng)的免疫能力;對外能夠加強對USB存儲/非USB存儲的管控,防止外設(shè)帶毒引發(fā)主機中毒危險,提升工業(yè)生產(chǎn)網(wǎng)安全運維。
? 工業(yè)主機衛(wèi)士白名單策略只允許可信的白名單程序可運行,從源頭上阻止惡意文件的執(zhí)行和擴(kuò)散,提升工業(yè)主機的安全穩(wěn)定運行能力;
? 工業(yè)衛(wèi)士軟件采用輕量的白名單機制對主機進(jìn)行防護(hù),系統(tǒng)資源占用少,安裝部署后對工控系統(tǒng)零影響,無需重啟系統(tǒng)。并且支持在不影響使用的情況下對工控軟件的安裝和升級。
目標(biāo)二:實現(xiàn)工業(yè)信息安全平臺化管理,部署2級管理平臺聯(lián)動體系
? 管理平臺對主機防護(hù)軟件的實時狀態(tài)、配置下發(fā)歷史、資源消耗、及安全事件統(tǒng)一管理,保障多層級工業(yè)網(wǎng)絡(luò)拓?fù)涞膶崟r數(shù)據(jù)展示,隨時掌握生產(chǎn)主機的運行情況;
? 管理平臺可實現(xiàn)單點防護(hù)軟件遠(yuǎn)程管理,在管理中心可實現(xiàn)對主機防護(hù)全部功能配置下發(fā),提高安全運維人員工作效率;
? 實時掌握生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢,幫助用戶呈現(xiàn)整體區(qū)域資產(chǎn)網(wǎng)絡(luò)拓?fù)洌瑢崟r掌握企業(yè)安全態(tài)勢,發(fā)生威脅攻擊事件可及時響應(yīng)處理;
? 通過監(jiān)管平臺實現(xiàn)自動灰過白,保證工業(yè)主機衛(wèi)士的白名單的可信性,防止惡意程序偽裝成白名單進(jìn)程,從而破壞主機的正常運轉(zhuǎn)。
? 通過中心級與園區(qū)級平臺的聯(lián)動,可對終端進(jìn)行手工或自動創(chuàng)建分組,并將相應(yīng)的終端加入相應(yīng)分組,組內(nèi)管理相對應(yīng)的終端,中心級平臺可對地區(qū)級平臺實現(xiàn)異地管控。可對園區(qū)二級安全管理平臺下發(fā)策略,區(qū)級安全管理平臺對終端下發(fā)同步策略,實現(xiàn)工業(yè)主機衛(wèi)士的多級管理聯(lián)動管理。
? 管理平臺可通過syslog日志進(jìn)行安全日志的轉(zhuǎn)發(fā),并可以與未來的態(tài)勢感知平臺進(jìn)行無縫對接。
目標(biāo)三:滿足法律法規(guī)要求,逐步完善工控安全防護(hù)體系
? 項目建設(shè)完成后可滿足等級保護(hù)要求構(gòu)建“一個中心,三重防護(hù)“為網(wǎng)絡(luò)安全技術(shù)設(shè)計的總體思路,對安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理,同時滿足未來監(jiān)管部門在信息安全層面上的硬性要求。
? 補充完善部分智慧工廠安全防護(hù)技術(shù)措施,所部署產(chǎn)品包括工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)審計、日志審計系統(tǒng)、工業(yè)堡壘機等;
? 管理平臺可對邊界安全防護(hù)設(shè)備、安全審計設(shè)備進(jìn)行統(tǒng)一管控和策略下發(fā),建立并持續(xù)完善生產(chǎn)廠區(qū)工控系統(tǒng)安全防護(hù)體系。
(2)項目建設(shè)原則
對于工控系統(tǒng)信息安全建設(shè),應(yīng)當(dāng)以適度安全為核心,以重點保護(hù)為原則,從業(yè)務(wù)的角度出發(fā),重點保護(hù)重要的業(yè)務(wù)系統(tǒng),在方案設(shè)計中應(yīng)當(dāng)遵循以下的原則:
? 重點保護(hù)原則
根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點,通過劃分不同安全保護(hù)等級的信息系統(tǒng),實現(xiàn)不同強度的安全保護(hù),集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。
? 適度安全原則
任何信息系統(tǒng)都不能做到絕對的安全,過多的安全要求必將造成易用性降低和運行的復(fù)雜性,因此要在安全需求、安全風(fēng)險和易用性之間進(jìn)行平衡和折中。
? 風(fēng)險管理原則
進(jìn)行安全風(fēng)險管理,確認(rèn)可能影響信息系統(tǒng)的安全風(fēng)險,正確的識別風(fēng)險、合理的管理風(fēng)險,并讓信息系統(tǒng)的安全風(fēng)險降低到可以接受的水平以內(nèi)。
? 分權(quán)制衡原則
在信息系統(tǒng)中,對所有權(quán)限應(yīng)該進(jìn)行適當(dāng)?shù)貏澐郑姑總€授權(quán)主體只能擁有其中的一部分權(quán)限,使他們之間相互制約、相互監(jiān)督,共同保證信息系統(tǒng)的安全。
? 標(biāo)準(zhǔn)化原則
在方案設(shè)計和設(shè)備選型方面必須遵循國家以及行業(yè)內(nèi)的相關(guān)標(biāo)準(zhǔn),并充分考慮不同產(chǎn)品之間的兼容性。
? 統(tǒng)一安全管理原則
在方案設(shè)計中主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等必須遵循統(tǒng)一安全管理的要求。
3、案例實施與應(yīng)用情況
(1)項目規(guī)劃
基于海爾智家下屬園區(qū)企業(yè)的工業(yè)網(wǎng)絡(luò)安全防護(hù)需求,依靠工業(yè)信息安全保障建設(shè)框架,建設(shè)網(wǎng)絡(luò)安全縱深防御體系框架,打造工業(yè)企業(yè)安全運營與管理平臺,提升工業(yè)企業(yè)安全與運營管理能力,構(gòu)建多層次一體化工業(yè)網(wǎng)絡(luò)安全防御能力,為工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型升級提供保障。基于整體安全建設(shè)規(guī)劃,在當(dāng)前階段主要優(yōu)先考慮到要針對工業(yè)主機進(jìn)行系統(tǒng)化的安全防護(hù)建設(shè),工業(yè)主機做為連接信息世界和物理世界的“橋梁”,做好工業(yè)主機的安全防護(hù)和控制是保障工業(yè)互聯(lián)網(wǎng)安全的核心。一旦工業(yè)主機遭受攻擊和破壞,必然會導(dǎo)致企業(yè)經(jīng)營的損失。從工業(yè)企業(yè)現(xiàn)狀來看,工業(yè)主機主要面臨勒索病毒攻擊、漏洞利用攻擊和外設(shè)引入病毒等潛在安全威脅。工業(yè)主機大多數(shù)采用 Windows 系統(tǒng),存在大量的系統(tǒng)漏洞,且無漏洞補丁可打,工業(yè)主機存在很多的脆弱性風(fēng)險,在眾多的終端安全防護(hù)問題中,USB 等外設(shè)設(shè)備濫用的問題特別突出,容易遭受病毒攻擊,所以有必要優(yōu)先建立一套完善的主機防護(hù)系統(tǒng)。
(2)實施與應(yīng)用的詳細(xì)情況
該案例至目前為止已覆蓋海爾智家冰箱、洗滌、空氣、熱水器、廚電五大產(chǎn)業(yè)17個園區(qū)52家工廠,涉及產(chǎn)品包括工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)審計、日志審計系統(tǒng)、工業(yè)堡壘機、工業(yè)態(tài)勢感知、統(tǒng)一安全監(jiān)管平臺等軟硬件一體化設(shè)備若干及工業(yè)主機衛(wèi)士軟件7000+點,生產(chǎn)網(wǎng)絡(luò)中工業(yè)主機基本使用Windows操作系統(tǒng),還有部分Linux系統(tǒng),存在大量安全隱患。針對工控安全環(huán)境下的主機安全及等級保護(hù)需求,需要針對工業(yè)環(huán)境下的工控主機進(jìn)行安全防護(hù)和主機加固,搭建基于工控系統(tǒng)主機的入侵防護(hù)機制,提升主機安全防護(hù)水平,鑒于工控主機資源配置低、操作系統(tǒng)版本參差不齊,主機防護(hù)軟件采用基于“工業(yè)白名單技術(shù)”的工業(yè)主機衛(wèi)士軟件進(jìn)行安全防護(hù),具備病毒阻止、木馬阻止、惡意程序防護(hù)、未授權(quán)的應(yīng)用程序和服務(wù)阻止,能夠及時識別惡意病毒并告警。此外,需要集成自適應(yīng)分析學(xué)習(xí)功能,通過控制行為邏輯安全性判斷、分布式邏輯行為的綜合分析等,實現(xiàn)異常控制程序、指令等實時分析反饋。
針對工業(yè)現(xiàn)場上位機和服務(wù)器進(jìn)行主機安全監(jiān)控和加固,集成文件、目錄、注冊表、進(jìn)程、服務(wù)、用戶、外設(shè)多種類型的訪問控制和防護(hù)手段,能確保在工業(yè)環(huán)境下業(yè)務(wù)安全穩(wěn)定地運行,避免外部安全威脅和非法人員操作,有效地阻斷黑客入侵、敏感信息泄漏等多種安全威脅,將傳統(tǒng)操作系統(tǒng)升級為安全操作系統(tǒng),彌補了傳統(tǒng)信息安全防護(hù)手段的缺陷,為工業(yè)環(huán)境及行業(yè)提供一套完整的主機安全防護(hù)和加固方案。
部署示意圖
在每個園區(qū)分廠的工控機上部署工業(yè)主機衛(wèi)士軟件,防止惡意程序啟動。提供完全適用于工業(yè)互聯(lián)網(wǎng)絡(luò)環(huán)境的專業(yè)主機安全防護(hù),能有效防護(hù)IT網(wǎng)絡(luò)病毒和工控病毒如勒索病毒、“震網(wǎng)”病毒,控制不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫用,有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。工業(yè)工業(yè)主機衛(wèi)士軟件部署在工控內(nèi)網(wǎng)Windows工作站或服務(wù)器,配合安全管理中心監(jiān)管平臺可進(jìn)行多節(jié)點下發(fā)策略、實時告警、日志匯總和統(tǒng)一管理。所有工業(yè)主機衛(wèi)士軟件通過網(wǎng)絡(luò)連接到統(tǒng)一管理平臺,管理員可對所有工業(yè)主機衛(wèi)士軟件客戶端下發(fā)規(guī)則和策略,并進(jìn)行日志分析統(tǒng)計。
(3)案例創(chuàng)新性
功能亮點
? 代理模式:此特色功能代理模式,工業(yè)衛(wèi)士支持通過代理模式進(jìn)行管理,滿足多個隔離網(wǎng)絡(luò)的集中配置管理,可在隔離網(wǎng)絡(luò)中進(jìn)行單向數(shù)據(jù)接收。能夠解決海爾生產(chǎn)現(xiàn)場測試發(fā)現(xiàn)的工廠主機網(wǎng)絡(luò)受限情況,通過其他廠區(qū)內(nèi)其他未受限主機外聯(lián)至管理平臺,實現(xiàn)平臺對受限主機的納管,保障平臺對所有主機的納管能力。
? 白名單追蹤:此功能能夠減少運維人員后期維護(hù)的工作量,并提高工業(yè)主機運行穩(wěn)定性。對于白名單內(nèi)的程序如有更新升級或釋放腳本,可對升級、新產(chǎn)生的文件自動追蹤加入白名單,避免了生產(chǎn)現(xiàn)場程序出錯與反復(fù)多次掃描添加白名單。
? 安全基線檢查與加固:此功能應(yīng)國家等保三級標(biāo)準(zhǔn)要求,可對主機安全進(jìn)行加固,提升了工業(yè)主機的安全防護(hù)能力,檢查工控主機操作系統(tǒng)的安全配置是否合規(guī),能否達(dá)到預(yù)期的網(wǎng)絡(luò)安全基本要求。
? 管理平臺跳轉(zhuǎn)主機衛(wèi)士:此功能支持通過監(jiān)管平臺可遠(yuǎn)程跳轉(zhuǎn)至對應(yīng)主機的衛(wèi)士界面,便于遠(yuǎn)程調(diào)整安全配置,避免安全運維管理人員頻繁生產(chǎn)車間走動現(xiàn)場調(diào)試,提高了后期運維效率。
? 工業(yè)組態(tài)管理:此功能通過工業(yè)主機作為探針,能夠自動獲取終端上的組態(tài)信息,并上傳到管理平臺,實現(xiàn)對PLC等控制設(shè)備的監(jiān)控和管理,便于海爾智家對PLC等設(shè)備的統(tǒng)一信息收納與匯總。
性能亮點
? 資源占用低、部署不重啟:工業(yè)衛(wèi)士軟件采用輕量的白名單機制對主機進(jìn)行防護(hù),系統(tǒng)資源占用少,安裝部署后對工控系統(tǒng)零影響,無需重啟系統(tǒng)。支持在不影響使用的情況下對工控軟件的安裝和后臺升級,能夠適應(yīng)海爾生產(chǎn)現(xiàn)場部分工業(yè)終端的配置較低的情況。
? 操作系統(tǒng)、工業(yè)軟件兼容廣:工業(yè)衛(wèi)士收集大量工控現(xiàn)場使用的不同操作系統(tǒng)及常見工控軟件,配置內(nèi)置白名單庫。其中操作系統(tǒng)包括Win sever 2008、Win sever 2012、Win sever 2018、Win2000、Win XP、Win 7、Win10、Linux、Unix、銀河麒麟、麒麟信安、統(tǒng)信、凝思等;適配工控系統(tǒng)軟件包括西門子WINCC、施耐德Intouch/Citech、GE Ifix/Cimplcity、羅克韋爾Rsview、北京亞控Kingview、力控Forcecontrol等國內(nèi)外主流工控廠商工業(yè)應(yīng)用軟件。能夠保障衛(wèi)士與工控軟件及操作系統(tǒng)良好的兼容性,對海爾生產(chǎn)制造業(yè)務(wù)零影響。
運維亮點
? 多重管理方式:針對工控主機操作系統(tǒng)老舊,界面和鼠標(biāo)操作困難,以及主機鎖在玻璃柜中,主機位置特殊,觸摸屏不易操作等問題。工業(yè)衛(wèi)士支持遠(yuǎn)程web界面登陸且功能界面完全一致,能方便用戶實時遠(yuǎn)程設(shè)置白名單、查看審計事件、配置主機加固策略、進(jìn)行用戶管理等。對于多主機的集群部署,還可通過監(jiān)管平臺進(jìn)行遠(yuǎn)程運維管理。
? 多集群高可靠:可通過監(jiān)管平臺對工業(yè)衛(wèi)士進(jìn)行遠(yuǎn)程運維管理,且兼容冗余雙環(huán)網(wǎng)結(jié)構(gòu),工業(yè)衛(wèi)士支持雙鏈路主備模式和多集群模式,工業(yè)衛(wèi)士支持向兩個集群地址發(fā)送數(shù)據(jù),向三個日志服務(wù)器發(fā)送日志,充分保證數(shù)據(jù)備份與安全。
(4)交付過程中典型技術(shù)問題及解決思路
? 更新MES系統(tǒng)不可用
現(xiàn)場情況:采用的MES系統(tǒng),經(jīng)常會通過內(nèi)部網(wǎng)絡(luò)向工業(yè)主機傳送新的文件程序,在交付工業(yè)衛(wèi)士時發(fā)現(xiàn),啟動白名單后會導(dǎo)致其MES更新失敗導(dǎo)致不可使用,但客戶又需要將MES程序納入白名單進(jìn)行防護(hù)。
解決思路:通過對MES程序下發(fā)定位分析,其更新程序是通過推送傳輸至工業(yè)主機,非程序主動釋放的組件,所以工業(yè)衛(wèi)士的白名單自動跟蹤功能無法跟蹤,通過工業(yè)衛(wèi)士的目錄白名單解決這一問題,將MES系統(tǒng)更新文件路徑目錄追加為目錄白名單,其余任采用文件白名單,能夠保證在整體白名單防護(hù)的情況下MES系統(tǒng)更新文件的識別,不影響MES系統(tǒng)更新。
? 在防護(hù)模式下攔截MTT集線器,導(dǎo)致觸摸不可用
現(xiàn)場情況:在防護(hù)模式下攔截MTT集線器,導(dǎo)致觸摸不可用,該外設(shè)較特殊,無法被自動掃描到,須手動對相關(guān)主機MTT集線器加入外設(shè)白名單。
解決思路:手動重啟主機并掃描每臺含有MTT集線器設(shè)備,確保外設(shè)已加白名單。
4、應(yīng)用價值與效益
(1)工業(yè)主機安全防護(hù)能力大幅提升
實現(xiàn)對工業(yè)主機的威脅分析和預(yù)警,能夠有效抵御勒索病毒、蠕蟲病毒、木馬、惡意軟件、0-day攻擊等對工控網(wǎng)絡(luò)主機的攻擊與破壞行為,自目前為止累計7700+個病毒文件被清除,主要樣本為tasksche、svchost、mssecsvr、mssecsvc等木馬、勒索類病毒等。基于工業(yè)環(huán)境中主機特點進(jìn)行適配和兼容,幫助企業(yè)在保證穩(wěn)定生產(chǎn)的同時發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊。同時提高系統(tǒng)訪問權(quán)限,保障數(shù)據(jù)正常流向,增強操作系統(tǒng)的免疫能力;對外能夠加強對 USB 存儲/非 USB 存儲的管控,防止外設(shè)帶毒引發(fā)主機中毒危險,提升工業(yè)生產(chǎn)網(wǎng)安全運維,實現(xiàn)工業(yè)主機從啟動、加載、運行等過程全生命周期的安全防護(hù)。
(2)滿足法律法規(guī)要求,逐步完善工控安全防護(hù)體系
部分智慧工廠可滿足等級保護(hù)“一個中心,三重防護(hù)”相關(guān)要求,補充完善部分智慧工廠安全防護(hù)技術(shù)措施,管理平臺已實現(xiàn)對邊界安全防護(hù)設(shè)備、安全審計設(shè)備進(jìn)行統(tǒng)一管控和策略下發(fā),建立并持續(xù)完善生產(chǎn)廠區(qū)工控系統(tǒng)安全防護(hù)體系。
北京市公安局海淀分局備案號:11010802023656號