1 項目概況
1.1 項目背景
隨著互聯網+、物聯網和智能制造技術的發展,鋼鐵行業積極推進信息化建設,顯著提升了鋼鐵行業的生產能力和管理水平。鋼鐵行業工控系統不斷優化升級,這一發展過程中,工業控制系統的網絡安全面臨著重大挑戰。在全球信息化飛速發展的新形勢下,如何確保鋼鐵行業工控系統的信息安全,一直備受重視。
1.2 項目簡介
某鋼鐵集團成立于2009年2月19日,主要任務是省鋼鐵產業結構調整重點項目鋼鐵精品基地的前期準備、項目建設及后續的生產運營。集團年產鐵810萬噸、鋼850萬噸、鋼材790萬噸,主要工藝有原料場、燒結、球團、高爐、轉爐、精煉、連鑄、熱連軋機組、爐卷軋機、寬厚板軋機、酸軋、熱鍍鋅、電鍍鋅等。配套設施包括1個30萬噸級鐵礦石碼頭接卸泊位,4個1萬噸級和3個4萬噸級件雜貨泊位,2臺25MW高爐余壓發電機組,2350MW超臨界火電發電機組等。項目投產后,主要產品為高附加值的熱軋薄板、冷軋薄板、鍍層鋼板、寬厚板等,覆蓋海洋工程、高端制造業、新興產業、建筑用鋼等領域。
隨著《中華人民共和國網絡安全法》和《國家網絡空間安全戰略》《網絡安全等級保護基本要求2.0》等法規和政策的相繼出臺,網絡安全被提升到了戰略高度,國內各大企業都開始不斷倡導、建設和完善其網絡安全建設,以應對網絡空間安全的嚴峻挑戰。兩化融合和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中,隨之而來的通信協議漏洞問題也日益突出。工控系統網絡面臨的威脅也更大。
工業控制系統面臨復雜的外部和內部威脅,主要集中在以下幾個方面:
(1)外部攻擊的發展:工業控制系統采用大量的IT技術,互聯性逐步加強,神秘的面紗逐步被揭開,工業控制網絡安全日益進入黑客的研究范圍,工業控制網絡安全已成為一個重要的研究方向。
(2)內部威脅的加劇:工業控制系統普遍缺乏網絡控制機制,高權限賬號往往掌握著數據庫和業務系統的命脈,任何一個操作都可能導致數據的修改和泄露。缺乏事后追查的有效工具,也讓責任劃分和威脅追蹤變得更加困難。
(3)應用軟件的威脅:設備供應商提供的應用授權版本不可能十全十美,各種各樣的后門、漏洞等問題都有可能出現。出于成本的考慮,工業控制系統的組態軟件一般與其工控系統是同一家公司的產品,在測試節點問題容易隱藏,且組態軟件的不成熟也會為系統帶來威脅。
(4)多種病毒的泛濫:病毒可通過移動存儲設備、外來運維的電腦、無線系統等進入系統,當病毒侵入網絡后,自動收集有用信息,如關鍵業務指令、網絡中傳輸的明文口令等,或是探測網內計算機的漏洞,向網內計算機傳播。由于病毒在網絡中大規模地傳播與復制,極大消耗網絡資源,嚴重時有可能造成網絡擁塞、網絡風暴甚至網絡癱瘓,這是影響工業控 制系統網絡安全的主要因素之一。
1.3 項目目標
建立自動化生產系統的安全加固與主動預警的安全防護體系,從網絡層、主機層、系統層、應用層和管理制度等多方面進行主動式威脅管理,提高工業控制系統整體安全防護等級,保證鋼鐵企業工業控制系統的穩定有序運行。
(1)建設工控網絡邊界安全防護及終端計算環境安全防護
通過技術手段對在工控網絡邊界部署安全產品,以鋼鐵生產工藝流程為單位,對安全生產網絡進行安全域的劃分,堅持“橫向分區、縱向分層”的原則構建可信工控系統,防護網絡攻擊與威脅,保證工業生產系統安全,打造工控安全計算白環境。部署統一運維平臺進行工控網絡安全工作高效可靠管理,初步建立工控網絡安全管理體系,即同時利用技術手段和管理手段保證企業安全生產。
(2)建設完善的安全審計措施和未知威脅檢測,完善縱深防御體系
通過旁路監聽與智能分析技術,對系統的控制、采集請求、網絡行為進行詳細審計,對攻擊及時預警。建立事前攻擊的發現和預防,事中攻擊的主動檢測、主動防御,事后及時溯源,做到應急響應。同時構建清晰的資產互訪拓撲,對攻擊場景進行還原,對每個攻擊階段進行回溯分析,通過豐富的可視化技術進行多維呈現。
(3)建設網絡安全監測預警與信息通報的態勢感知平臺
建立針對鋼鐵行業各工藝段工業互聯網的安全監測預警、信息通報、應急處置手段,提高威脅信息的共享,對監測發現的安全風險隱患及時通報;實現工業設備資產感知、工業漏洞感知、工業配置感知、工業協議識別和分析、工業連接和網絡行為感知、工業僵木蠕檢測、工業攻擊鏈的監測和分析等安全態勢感知功能,實時識別和預警工業控制網絡和工業互聯網絡的安全威脅,及時與工業安全設備聯動實現協同防護,并提供攻擊回溯取證和安全態勢定期報告,為制定工控安全策略提供支撐,形成安全閉環,進而實現工業控制網絡和工業互聯網絡安全威脅的可視、可控、可管。
2 項目實施
鑒于當前鋼鐵行業工控系統安全現狀,若要實現同層級不同區域的縱深防護,需要對工業網絡內部通信的各種數據采集協議和控制協議進行深度解析,對工控網絡進行區域劃分與隔離,對工控主機進行安全加固,對工控網絡進行全網安全審計和威脅感知。
建設鋼鐵行業工控安全防護方案的總體思路如圖1所示。
圖1 鋼鐵行業工控安全防護方案建設總體思路
以“一個中心,三重防護”的理念為指導思想,即:一個安全管理中心的管理下,建設“安全計算環境、安全區域邊界、安全通信網絡”的三層防護安全保障技術體系,構建多層次的安全縱深防御機制。
利用AI基因、威脅免疫的新技術理念,為工業互聯網平臺提供可靠的安全架構,在發生基于已知缺陷或漏洞的攻擊時,具有極強的防護能力。此外,也必須重視未知威脅風險,在這一方面,通過網絡安全態勢感知,變被動防御為主動感知內部出現的風險和問題;六方云工業防護設備內核均基于AI人工智能架構,可以實現自主學習、威脅預警、基線比對,從而實現已知威脅和未知威脅的統一化、集約化安全防護。“打防管控”一體化網絡安全威脅免疫體系架構如圖2所示。
圖2 “打防管控”一體化網絡安全威脅免疫體系架構
具體建設方案如下:
2.1 安全區域劃分與隔離防護
(1)安全域劃分:進行安全域劃分,不同安全域配置不同的控制策略,確保核心服務安全。
(2)工業防火墻:在不同工藝廠區生產網的核心交換機前端部署工業防火墻,以保護作業區內部核心生產網絡的安全,抵御來自傳輸網絡的安全威脅。通過工業防火墻對不同的網絡域進行隔離,防護各域的網絡邊界,阻止來自業務辦公網絡的攻擊、病毒、木馬等入侵其它網絡域。抑制在某一個網絡域中的病毒木馬向其它網絡傳播擴散,縮小安全威脅的影響范圍。
通過安全區域劃分和隔離防護能夠解決以下問題:
(1)通過白名單策略和協議分析實現工控網絡之間、工控網絡與管理信息網絡之間的邊界訪問控制。
(2)為工控網絡安全接入管理信息網絡提供邏輯安全隔離手段,實現通訊的單向傳輸。
(3)快速識別網絡上的非法操作、外部攻擊和異常事件,實時告警和阻斷非法數據包。
(4)基于深度數據包解析的黑白名單防護,在遵循工業控制系統可用性與完整性的基礎上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,進而生成白名單。如:操作碼、操作類型、數據類型、功能碼數值、具體內容等,能更精準地判斷出非法操作、異常事件、外部攻擊。同時結合已知的工控軟件漏洞、控制器漏洞、操作系統漏洞、Exploit Kit特征、ShellCode特征、蠕蟲木馬的通訊特征、僵尸網絡的C&C通訊特征等黑名單防護簽名庫,實現更全面的安全防護。
2.2 工控主機安全防護
在服務器與操作員站、工程師站上部署工業衛士,采用輕量級的軟件“白名單”機制,僅允許運行受信任的PE文件,完善相應的加固策略,提升安全級別,有效阻止病毒、木馬等惡意軟件的執行,實現工控主機從啟動、加載、運行等過程全生命周期的安全保障。同時對USB端口等接口進行全面管控,使得U盤等未授權設備無法接入終端計算機,有效防范通過USB接口發起的高級攻擊。通過一鍵部署內置白名單提高衛士安裝部署的效率,并可通過集中管理平臺進行策略下發。
通過主機安全防護能夠解決以下問題:
(1)對操作員站運行的進程和應用程序設置白名單,只有白名單中的進程和應用程序才允許運行;阻止非法程序的運行。
(2)對多種可執行文件類型如Windows操作系統exe、bat、vbs、cmd、reg等12種可執行文件進行實時監管,并阻止非白名單內的進程運行,對Linux系統的ELF、Perl、Python、Shell等腳本文件進行防護,增強防護范圍。
(3)對移動存儲介質進行全面管控,跟蹤、記錄移動存儲介質的行為,實現對移動存儲的安全信任管理。
(4)黑客可利用工控主機的受信任軟件和系統工具繞過病毒檢查及白名單防護,通過進程保護技術、內存空間保護技術,檢查無文件注入、遠程進程注入、遠程修改內存等攻擊注入方式,防范Dll注入攻擊行為,能夠有效防范“心臟滴血”“永恒之藍”等病毒。
(5)安全事件及用戶行為審計,如文件操作、進程活動、系統日志、系統賬戶變更、信息泄密、資源濫用等。
2.3 流量監測與審計設備
通過在匯聚交換機和環網主交換機旁路部署流量監測與審計設備,對網絡通信流量進行有效監視和威脅檢測,對向內網進行生產數據非法收集、惡意攻擊、數據篡改、違規操作進行告警和審計,為網絡安全管理人員提供線索依據和事件還原功能;實時監測工控網絡安全狀態,解析網絡中異常數據并實時告警,幫助用戶掌握工業控制網絡運行狀況;對網絡中存在的活動提供行為、內容、協議、流量審計,生成完整記錄,為事件溯源追蹤提供幫助;對未知設備接入工業控制系統網絡實時告警,迅速發現工業控制網絡系統中存在的非法接入。
通過流量監測與審計設備能夠解決以下問題:
(1)深入的工業網絡識別:對鋼鐵行業工控系統中使用的工控協議進行深度解析(如:ModbusTCP、GE-SRTP、OPC DA、DNP3、S7、IEC104、MMS、PROFINET、BACnet、GOOSE、SV、Ethernet/IP、OPC UA_TCP等)。
(2)攻擊監測:內置工業攻擊特征和網絡攻擊特征庫,對特征攻擊、洪水攻擊、端口掃描、錯包攻擊等攻擊方式識別告警。
(3)惡意代碼防護:內置惡意代碼引擎,通過異常檢查發現網絡內主機可能感染的惡意代碼以及感染惡意代碼的嚴重程度。
(4)攻擊事件識別與取證:利用未知攻擊識別方法(使用AI技術,自動化建立網絡行為安全基線,對未知威脅行為識別及告警),記錄網絡攻擊事件ID、事件名稱,保留事件攻擊的數據包。
2.4 安全運營管理中心
2.4.1 統一運維監管平臺
在生產控制系統數據中心部署統一運維監管平臺對工控系統內的安全防護設備進行統一安全管理,即統一配置、管理、安全策略修改下發、監控通信流量與安全事件,對工控網絡內的安全威脅從整體視角進行安全事件分析、安全攻擊溯源、安全事件根因挖掘等。
通過統一運維監管平臺能夠解決以下問題:
(1)對所有安全設備實行集中管理;
(2)工業網絡可視化管理,包括工控設備、網絡設備、安全復審;
(3)工業網絡通信流量全面監測,網絡流量視圖、統計視圖;
(4)安全維護界面簡化,提升安全產品運營管理成本。
2.4.2 全流量威脅檢測與回溯系統
全流量威脅檢測與回溯系統采用分析平臺和數據、文件、流量采集探針的形式,基于新一代高性能分布式大數據平臺,搭載自主知識產權的大數據AI分析引擎,采用無監督學習算法,以內網資產為核心構建AI模型,全面檢測高級威脅和未知威脅;高效處理海量數據,自動發現內網資產,構建清晰的資產互訪拓撲;全流量AI未知威脅檢測結合威脅情報進行威脅溯源,精準還原攻擊場景,采用攻擊鏈對每個攻擊階段進行回溯分析,并留存攻擊取證報文;結合AI檢測、規則檢測進行關聯分析,自動評估風險資產,通過豐富的可視化技術進行多維呈現。
2.4.3 態勢感知系統
安全運營管理中心是安全綜合防護系統面向安全管理人員進行整體趨勢查看、安全事件追溯的綜合辦事中心,應以安全態勢感知為基礎,對日常安全防護中需要的用戶身份、密鑰分發、策略調試、遠程運維及資產與漏洞狀態等進行統一的運維管控;通過態勢感知的智能分析與建議能力,將安全管理從運維提升到運營層面,不斷提高安全防護水平。在功能實現上,將態勢感知和運維管理功能融合成一個Web管理后臺,分別提供分析和運維管理功能,以采集的數據為基礎,結合威脅情報,運用聚類分析、邏輯森林、神經網絡等AI算法實現對威脅的預警。以IT和OT資產為基礎、以業務信息系統為核心、以客戶體驗為指引,從監控、審計、風險、運維四個維度建立一套可度量的統一業務支撐平臺,使得用戶能夠對業務信息系統進行性能的監控與配置,事件的分析審計預警,風險與態勢的度量與評估,安全運維流程的標準化、例行化、常態化,最終實現業務信息系統的持續安全運營。
3 案例亮點
(1)自主AI算法引擎創新
安全防護設備采用了自主研發的AI算法引擎,將OT與IT的防護引擎、知識庫、防護功能進行了一體化設計,從而滿足鋼鐵行業工控系統對時延和抖動的要求,提高了高級威脅和未知威脅的檢測準確率。
(2)未知威脅檢測與自主響應
借助人工智能、大數據挖掘等技術,建立工業設備在數字空間的行為基線模型,對鋼鐵企業工控系統中的設備資產的行為進行實時在線的機器學習,發現異常和威脅行為,有效降低高級持續性威脅、數據泄漏、病毒感染、操作失誤及其他風險。
(3)系統自我強化能力創新
基于人工智能技術的威脅檢測與免疫系統貼合工業互聯網實際需求,無需持續升級特征庫及威脅情報,無需連接互聯網。
(4)無格式日志智能分析
利用人工智能聚類算法和大數據分析,可以對海量日志進行自動分類和特征提取,系統自動識別日志可變字段和固定字段,實時對日志進行分類聚合,為快速定位和處理威脅提供依據。
