深圳融安網絡科技有限公司
1 項目概況
1.1 項目背景
廣西廣投新材料集團有限公司旗下的南南鋁加工、柳州銀海鋁、來賓新材、正潤新材和桂東電子等五家企業是集研發、生產和經營為一體的航空航天交通鋁新材料先進制造商,所生產的產品廣泛應用于航空航天、軌道交通、汽車、船舶、3C電子等領域。為積極響應國家號召,緊隨“智能制造”前進步伐,提高企業自身競爭力以及謀求企業更好的發展,廣西廣投新材料集團針對旗下各生產企業進行智能制造升級和改造,通過采取最新的技術構成高效、品質優良、滿足生產要求和低成本的智能化制造執行系統MES,進一步提高生產效率,推進產供銷一體化。根據“同步規劃、同步建設、同步運行”的原則,在推進業務系統智能制造升級改造的同時,同步納入網絡安全建設。
當前,廣西廣投新材料集團有限公司旗下各生產企業的生產系統及配套的輔控系統網絡安全防護措施薄弱,安全防護技術滯后,新增的MES系統在促進生產業務的“智能制造”同時也帶來對應的網絡安全防護挑戰,現有的防護技術已不能滿足當今的網絡安全防護需求,亟需進行網絡安全建設改造。
1.2 項目簡介
廣西廣投新材料集團有限公司旗下各生產線的生產系統肩負著集團日常生產的重任,而系統的安全穩定運行關系到企業經營的“命脈”,因此,保障生產系統的網絡安全穩定運行至關重要。
依據《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)標準要求,遵循“一個中心三重防御”的技術防護指導,結合工業控制系統的網絡層次架構,分別從企業資源層、生產管理層、過程監控層、現場控制層和現場設備層各層面入手,運用工控協議解析、指紋識別、黑白名單機制和主動防御等工業控制系統防護技術,添加安全隔離、入侵檢測、安全審計和惡意代碼防范等技術措施,并形成統一安全管理中心,優化日常安全管理體系,健全安全管理制度,提升生產系統網絡安全整體防護能力水平,滿足等級保護標準要求,實現“合規”安全生產。
1.3 項目目標
為貫徹落實《中華人民共和國網絡安全法》要求,依據《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019),結合《工業控制系統信息安全防護指南》等工控行業指導文件,本次項目的實施目標如下:
(1)建立和完善工業信息安全保障系統,增強態勢感知的安全預警能力、及時有效的安全防御能力、快速響應的應急處置能力和安全可靠的災難恢復能力,實現網絡安全由邊界防護、被動防御向全域聯動、主動防御轉變。
(2)確保企業生產所需的通信網絡和服務不中斷,工業生產設備、控制系統、信息系統可靠、正常運行,數據不因偶然或者惡意的原因遭受破壞、更改、泄露,全面提高廣西廣投新材料集團有限公司的信息防護水平。
(3)使廣西廣投新材料集團有限公司整體滿足通過信息安全等級保護二級測評要求,形成與智慧制造相適應的網絡安全保障系統。
2 項目實施
2.1 應用場景分析
鋁加工生產車間包括熔鑄、擠壓、熱軋和冷軋車間等重要生產車間,各車間均部署有多套PLC控制設備,主要包括Siemens S7-300、Siemens S7-400和AB SLC5等,并由此組成了單個工藝或生產線的PLC控制系統,系統網絡拓撲圖如圖1所示。
圖1 生產車間PLC系統網絡拓撲圖
經過現場調研和風險評估,各生產車間生產系統存在以下安全隱患:
(1)生產系統網絡存在違規外聯至辦公網的現象,網絡邊界缺乏可靠隔離技術防護措施。
(2)生產系統內部缺乏入侵檢測、安全審計以及集中監測等技術措施。
(3)PLC、組態軟件以及上位機操作系統存在大量高中危安全漏洞,缺乏安全漏洞防范技術措施。
(4)上位機等操作站缺乏惡意代碼防范技術措施,病毒防護技術手段“空白”。
(5)上位機等操作站針對USB外設接入等行為缺乏有效的技術管控措施,外設終端等設備可隨意通過USB接口方式接入。
(6)上位機操作系統、數據庫、組態軟件和應用軟件等未進行安全加固,存在弱口令等現象。
2.2 解決方案
(1)邊界防護
在各生產車間網絡的邊界處部署工業防火墻和工業隔離網閘,采用適用于工控網絡的“黑白名單”機制和協議解析,細化訪問控制粒度,對非法及異常訪問行為進行攔截阻斷,降低設備廠家遠程接入運維時面臨的網絡安全風險。
(2)網絡監測
分別在各生產車間網絡關鍵節點中旁路部署工業入侵檢測系統和監測審計系統,對攻擊行為進行檢測和告警,實現網絡流量的采集分析監測和異常告警。
(3)日志審計
分別在各生產車間網絡中部署日志審計系統,實現日志信息的收集和集中分析,并提供日志查詢、歷史日志查詢和事件告警功能,及時了解網絡設備運行狀態,識別存在的安全事件,提高系統安全防護能力。
(4)上位機安全
部署工業終端安全衛士和USB安全防御系統,對操作系統進行安全加固,采取“白名單”機制,實現病毒主動免疫和USB接入行為管控。
(5)集中管控
建立安全管理中心,部署統一安全管理平臺和堡壘機,實現對網絡安全設備的統一安全管控,及安全設備的狀態監控、審計管理和策略管理等集中管控功能,構筑安全管理中心平臺,提升整體網絡安全防護和運維管控水平。
(6)漏洞管控
部署工業安全評估系統,定期對工控系統進行安全評估和漏洞掃描,及時發現系統網絡中存在的安全隱患,識別存在的已知安全漏洞,通過網絡“黑名單”方式進行安全漏洞防護,消除或降低面臨的威脅風險。
(7)管理優化
根據等保2.0的安全管理要求,從安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等層面,進行管理制度修編和梳理,建立安全管理制度體系和日常安全運維操作規程,加強安全培訓、安全評估和應急預案,提升企業日常網絡安全運維水平。
2.3 實際應用效果
(1)增強防護,保障安全生產
通過采取技術和管理等一系列措施,彌補現有生產系統網絡安全層面的空白,提高安全防護水平,降低遭受攻擊破壞的風險,保障生產系統網絡的安全穩定運行,助力企業安全生產。
(2)安全合規,推動網絡建設
安全合規建設,滿足網絡安全法和等級保護標準要求,推動工控網絡安全工作的開展和落實,助力企業提升網絡安全防護水平。
(3)網絡可視,助于安全管控
通過智能學習構建可視化工控網絡拓撲,使工控網絡“看得見、摸得著”,幫助管理人員輕松掌握網絡安全狀況,提高運維工作效率。
(4)實時監測,構建主動防御
采取“白名單”為主“黑名單”為輔的措施,對網絡行為進行監測、控制和預警,實現“事前監控、事中控制”,靜態和動態的主動防御體系對保障生產控制系統的安全穩定運行起到至關重要的作用。
(5)安全審計,便于歷史追蹤
對工控協議行為進行深度解析,為網絡行為活動提供流量審計、行為審計、協議審計和內容審計,生成審計記錄,一旦發生安全事件,能夠提供清晰溯源定位支撐,為“事后追蹤”提供有力證據保障。
3 案例亮點
(1)項目推廣性分析
· 提高制造業工業控制系統的安全防護能力,促進項目成果在新材料集團所管理的子單位內推廣應用。
本項目應用了基于制造業工業控制系統的防護手段,構建了以安全可控為目標、監控審計為特征的制造業工業控制系統新一代主動防御體系,提高了制造業工業控制系統整體安全性。項目的成功實施,為在公司范圍內其他鋁廠工業控制系統中推廣應用奠定基礎,提高公司一體化安全防護的能力。
· 促進項目成果在其他重要行業的推廣應用。
本項目應用的基于工業控制系統的防護裝備是實現主動防御的重要技術手段,已獲國家和網絡安全行業廣泛認可。基于工控系統防護技術、具有監控審計特征的主動安全防護體系和監測系統在制造業工業控制系統中的規模應用,為其在其他行業的大范圍推廣提供了重要參考。
(2)項目示范性分析
形成制造業高安全等級的生產控制安全防護典型示范。
本項目實施的具有免疫特征的安全防護體系和機制、關鍵技術不僅可應用于制造業工業控制系統,同時可應用于廣泛部署工業控制系統的其他行業企業,有助于提高其他行業整體的網絡安全水平。
(3)安全性分析
提高制造業工業控制系統安全運行的穩定性和可靠性,降低安全事件造成的經濟損失。
本項目成果為制造業工業控制系統提供綜合的安全防護方案,保障了工業控制系統安全穩定運行,實現對病毒、木馬等惡意程序的免疫,可防范內外部人員攻擊、軟件后門利用等多種威脅,為工業控制系統的安全保障能力符合國家等保要求提供技術支撐,避免重大停產事故和控制系統安全事件帶來的經濟損失,顯著加強工業控制系統在國際網絡戰環境下防范新型攻擊的能力,進而有效保障國民經濟的穩定發展。
(4)示范性分析
形成國家網絡安全重大戰略典型示范。
本項目設計思想、核心技術、相關成果不僅適合于南南鋁加工工業控制系統,而且適用于其它等保同級控制系統,本項目成果在新材料集團南南鋁加工的示范應用,將為其在國內其他重要工業控制系統中推廣應用積累寶貴經驗。同時,項目提出符合國家標準、體系化的解決方案,將促進國內網絡安全產業鏈的發展,提高國家重要工業控制系統的安全防護能力。
(5)創新性分析
促進國家網絡安全產業發展,引領科技創新。
本項目全部采用國產軟硬件產品,帶動國內軟硬件產業優化升級,有利于推進我國關鍵基礎設施網絡安全等級保護建設,推動網絡安全產業的發展,完善相關產業生態環境,增強我國網絡安全產業的國產化替代能力。
