案例精选丨守护智能制造,让安全环环相扣
在勒索病毒大爆发时,某智能制造企业(以下简称“企业”)部分生产线也遭受到冲击,造成了部分产线失能。本文章将结合此企业工业控制系统网络安全建设案例,来阐述以“白环境”为基础,结合“主动防御”技术,实现对有组织的威胁源发起的恶意攻击阻断,最终增强企业工业控制系统对网络攻击的免疫力。
项目背景
近年来,随着两化融合发展进程的不断深入,传统制造业的信息化、智能化已经成为必然的发展方向。在提升生产效率、降低生产成本的同时,将原本相对封闭的生产系统暴露,从而被动式地接收来自外部和内部的威胁,导致安全事件频发。
2017年至今,“勒索病毒”、“挖矿病毒”等词语频繁出现在各大新闻媒体上,对应着“起亚汽车美国分公司勒索病毒事件”、“本田Ekans勒索软件攻击事件”、“台积电勒索病毒事件”等工业网络安全事件,同样Nozomi Networks今年发布的《New OT/IoT Security Report》中也提到了智能制造行业是受威胁最大的行业,加强智能制造行业工业控制系统网络安全建设迫在眉睫。
面对日益严峻的网络安全形势,我国高度重视工业控制系统网络安全工作,已出台相关法律法规、政策要求,如《中华人民共和国网络安全法》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》、《关于深化制造业与互联网融合发展的指导意见》和《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等。企业高度重视工业控制系统网络安全建设工作,按照国家法律法规、政策要求针对工业控制系统进行工控安全建设,保障生产业务系统的稳定、高效、安全运行。
项目现状
企业工业控制系统遭受病毒攻击后,工控主机出现非法远程登录并存在非授权重启的现象。威努特技术人员在2小时内到达现场,协助客户定位问题,将现网问题妥善处理后对该公司生产系统网络安全现状与问题进行了体系化分析。
通过实地调研发现,该企业工业控制系统内部区域划分明确、网络架构清晰,但针对生产系统的工控网络防护较为薄弱,无法确保其阻断来自外部有组织的团体和拥有较为丰富资源的威胁源发起的恶意攻击,也不符合“等保2.0”中安全通信网络、安全区域边界、安全计算环境和安全管理中心对工业控制系统的要求。该企业工业控制系统网络安全现状具体如下:
网络拓扑现状
图3 网络现状拓扑
该企业总体分为办公楼(管理大区)与智能制造工厂(生产大区)。智能制造工厂内包含若干生产车间,车间内控制器、工程师站和摄像头通过接入交换机(主、备)、光纤盒与工厂内汇聚交换机相连;智能制造工厂内工坊、服务器区、无线接入区、临时接入区和立体仓库均接入汇聚交换机。智能制造工厂通过汇聚交换机与办公楼内核心交换机相连。
网络安全现状
区域间缺乏访问控制、恶意代码防护手段
该企业办公楼(管理大区)与智能制造工厂(生产大区)间未做有效隔离;智能制造工厂内部各生产车间、工坊、服务器区、无线接入区、临时接入区以及立体仓库之间未做有效隔离,存在网络层面各区域间非授权访问风险及病毒横向传播风险。
存在工控流量监视盲区
智能制造工厂内部无工业流量监测审计手段,无法对异常流量攻击、工控指令攻击和控制参数非授权篡改进行实时监测和告警。存在对网络入侵“看不见”、“摸不清”的情况。
工控主机“带毒”、“裸奔”运行
智能制造工厂内服务器、工程师站、监控机等主机设备无恶意代码防范手段;存在移动介质滥用、主机网络端口无管控、默认账户未删除或未重命名等现象,使主机易遭受由网络层面以及移动介质层面发起的病毒攻击,无法有效遏制其传播。
设备日志无留存
智能制造工厂内主机设备和网络设备未开启日志外发和备份功能,不具备对异常状态、攻击事件的复盘和追溯能力,同时也不符合《中华人民共和国网络安全法》中对日志留存6个月的要求。
远程运维无管控
智能制造工厂内工控主机存在通过Teamviewer远程调试的现象,但远程调试环境中未对用户身份进行统一认证;对资源的访问、高危命令的执行缺乏有效监测和管控。
缺少漏洞发现与管理手段
智能制造工厂内工控环境无漏洞扫描技术手段,无法针对设备及系统的漏洞进行全生命周期的管理,导致生产系统易受漏洞利用攻击。
无安全管理中心
智能制造工厂内缺少安全管理中心,无法做到对安全设备的集中管控及安全事件的集中处理。
项目建设
基于对该企业工业控制系统网络安全现状及问题的梳理及对网络安全事件的分析,结合工控系统运行环境相对稳定、系统更新频率较低的特点,依照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中“一个中心、三重防护”的要求构筑符合企业工业控制系统的网络安全纵深防御体系。具体如下:
图4 智能制造工厂网络安全建设拓扑
安全区域边界
在该企业办公楼(管理大区)与智能制造工厂(生产大区)区域边界、智能制造工厂内部各生产车间、工坊、服务器区等区域间部署工业防火墙进行逻辑隔离。
通过工业防火墙实现对该厂区工控系统通信协议Modbus和OPC三重解析和控制——访问控制列表控制、工控协议值域控制、工控协议时序逻辑控制,阻断恶意代码传播、非授权访问以及嵌入在工业协议会话中的违规操作指令。除此之外,工业防火墙还可阻止Flood、Land等攻击,从而强化区域边界安全防护能力。
图5 工业防火墙
安全网络通信
在智能制造工厂汇聚交换机、接入交换机镜像部署工控安全监测与审计系统对生产网络内部流量进行实时监测,及时发现异常通信流量,如DDoS、无流量等。工控安全监测与审计系统可对工业通信流量建模,对工控指令攻击、控制参数非授权篡改、病毒和蠕虫等恶意代码攻击行为进行实时监测和告警,进行事前监控、事中记录、事后审计。
图6 工控安全监测与审计系统
安全计算环境
在智能制造工厂内服务器、工程师站、监控机上部署工控主机卫士,通过文件级应用白名单机制,可以有效防止已知、未知恶意代码攻击,从而消除“0-Day”漏洞利用的风险。
图7 工控主机卫士
工控主机卫士具备外设管控、安全基线加固、多因素登录等模块,实现对工控主机U盘、光驱、移动热点的管控。同时可对路径、文件开启访问控制策略,通过内置BLP、Biba模型定义主客体和“向上”、“向下”访问规则,保护工控机上数据备份、敏感授权和知识产权的机密性与完整性。
安全管理中心
在智能制造工厂建立安全管理中心,部署统一安全管理平台、日志审计与分析系统、安全运维管理系统和工控漏洞扫描系统。
在汇聚交换机接入统一安全管理平台,实现对全网安全设备的统一配置和监测,降低运维成本并提高运维效率。
图8 统一安全管理平台
在汇聚交换机接入日志审计与分析系统,收集智能制造工厂内网络设备、安全设备、服务器、工程师站等设备的日志,并进行范化与关联分析。实现全网设备日志备份的同时,也帮助安全管理人员从海量日志中迅速、精准地识别安全事件,及时对安全事件进行追溯或干预。
图9 日志审计与分析系统
在汇聚交换机接入安全运维管理系统。通过该设备切断远程运维终端、人员对工控资源的直接访问。在满足该智能工厂远程调试需求的同时,实现第三方人员的运维权限划分、授权和运维行为审计。
图10 安全运维管理系统
在汇聚交换机接入工控漏洞扫描系统,有计划地对工控系统中主机设备、网络设备和控制器设备进行漏洞检测,及时发现可被利用漏洞,实现漏洞管理。
图11 工控漏洞扫描系统
安全态势感知
在该智能制造企业办公楼核心交换机接入工业安全态势感知平台。通过该平台可以理清资产、实时监测联网设备运行状态、及时发现安全威胁、深度挖掘历史事件,可以为安全防护提供监测预警、为等保合规提供辅助指导、为安全事故提供溯源能力,达到“事前预警、事中监测、事后回溯”的效果,满足对网络安全态势全天候、全方位感知的要求。
图12 工业安全态势感知平台
安全应急演练
为贯彻网络安全防护体系“实战化、体系化、常态化”实践,促进信息预警通报机制以及队伍建设等立体化建设,在本次安全建设中组织该企业相关人员、部门进行安全应急演练。在本次演练中模拟因安全设备未妥善部署导致工控设备感染病毒的场景,复现该企业工业控制系统被病毒攻击的状态。指导现场安全运维人员实施应急演练:第一阶段,上报、预案启动;第二阶段,杀毒失败,备机替换;第三阶段,事故控制,生产恢复;第四阶段,事件调查。
通过本次应急演练,逐步提高该企业工业控制系统信息安全事件应急反应能力和处置水平,确保一旦发生工业控制系统信息安全事件,能够有效组织、快速反应、高效运转、临事不乱,最大限度地减少工业控制系统信息安全事件的危害,保障企业财产安全。同时,通过本次应急演练深化安全基础建设和安全管理制度、安全组织机构、安全管理人员、系统建设管理、系统运维管理的重要性,落实GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的要求。
客户价值
合规性
本项目安全防护建设遵循等保“一个中心,三重防护”的技术路线,切实提升该企业工控系统网络安全防护能力,符合国家相关政策和标准要求。
体系化
本项目为该企业建立全方位工控安全防护框架体系。从网络安全基础、安全设备集成管控和全厂综合协同,由浅至深完成建设,最终达到“动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”目标。
可复制性
本次工控网络安全建设为该企业所属集团树立了工控网络安全建设标杆,安全建设方案和模式复制至该集团公司东北、西南区域智能制造工厂,“环环相扣”守护集团各个子公司的工控网络安全。