网站首页 > 产业安全> 文章内容

2018年工业互联网案例汇编-典型安全解决方案案例

※发布时间:2019-10-6 20:30:25   ※发布作者:habao   ※出自何处: 

  编写说明为落实《中国制造2025》规划,工信部明确了工业转型升级的重 点领域和工作要求。工业互联网作为新一代信息技术与工业系统深度 融合形成的产业和应用生态,是全球工业系统与高级计算、分析、感 应技术以及互联网连接融合的结果。它通过智能机器间的连接并最终 将人机连接,结合软件和大数据分析,重构全球工业、激发生产力, 让世界更美好、更快速、更安全、更清洁且更经济。工业互联网的发 展得到全球主要国家以及我国的高度重视和积极推进,产业界也 正在加速开展相关探索和实践。 工业互联网广泛应用于能源、交通以及市政等关系国计民生的重 要行业和领域,已成为国家关键信息基础设施的重要组成部分。工业 互联网打破了传统工业相对封闭可信的制造,病毒、木马、高级 持续性等安全风险对工业生产的日益加剧,一旦受到网络攻 击,将会造成巨大经济损失,并可能带来灾难和人员伤亡,危及 安全和。工业互联网自身安全可控是确保其在各生产领 域能够落地实施的前提,也是产业安全和的重要基础和保障。 本案例汇编了工业互联网领域十三个典型安全解决方案案例,可 作为工业互联网生态链上下游供应商、工业企业用户等在规划、建设 和运营工业互联网时的安全参照。 本汇编由中国移动通信集团有限公司牵头编制,重点参与单位有 中国信息通信研究院、360 企业安全技术()集团有限公司、北 京威努特技术有限公司、中国电子信息产业集团第六研究所、华为公司、深圳市腾讯计算机系统有限公司、江苏敏捷科技股份有限公司、 长扬科技()有限公司、常州万联网络数据信息安全股份有限公 建文、黄超。其中,林欢、闫霞等协助审核了全文,并提出了诸多宝贵意见,在此一并致谢! 因为案例汇编内容较多,且时间仓促,难免存在诸多不足之处, 希望业界同仁多提宝贵意见。 工业互联网产业联盟 安全组 二〇一八年十一月 工业互联网安全概况工业互联网是涵盖六大重点领域:工业互联网网络、工业传感与控制、工业 互联网软件、工业互联网平台、安全保障以及系统集成服务等。安全作为其中的 重要环节之一,面临着严峻的挑战。一方面,工业领域信息基础设施成为黑客重 点关注和目标,防护压力空前增大。另一方面,相较传统网络安全,工业互 联网安全呈现新的特点,进一步增加了安全防护难度。在此背景下,我国应积极 加强对工业控制系统的安全体系化研究,从安全规划、安全防护、安全运营、安 全测评、应急保障等各方面,提出针对性安全解决方案,积极进行技术试点,探 究技术可行性,逐步形成可推广、可复制的最佳实践,切实提升我国工业互联网 安全技术水平。 工业互联网安全相关政策进展近年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安 全做出了一系列工作部署,提出了一系列工作要求。 2016 12月国家互联网信息办公室发布的《国家网络空间安全战略》提出 要“采取一切必要措施关键信息基础设施及其重要数据不受”。《中 国制造2025》提出要“加强智能制造工业控制系统网络安全保障能力建设,健全 综合保障体系”。 2017 月起正式实施的《中华人民国网络安全法》要求对包括工控系统在内的“可能严重危害、国计民生、公共利益的关键信息基础设施” 实行重点。 2017 年12 月发布的《关于深化“互联网+先进制造业”发展工业互联网的指 导意见》以“强化安全保障”为指导思想、“安全可靠”为基本原则,提出“建 立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全 保障”的主要任务, 为工业互联网安全保障工作制定了时间表和线 年,工业和信息化部陆续发布《工业控制系统信息安全防护指 南》、《工控系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护能力评估工作管理办法》等政策文件,明确工控安全防护、应急以及能力评 估等工作要求,构建了工控安全管理体系,进一步完善了工业信息安全顶层设计。 工业互联网典型安全问题我国工业互联网安全主要面临以下几方面的问题: (1)工业控制系统漏洞频发,脆弱性高 工控设备的操作系统较为老旧,且升级更新周期长,众多工控系统存在漏洞, 易被恶意病毒或代码感染,脆弱性高。根据国家信息安全漏洞共享平台(CNVD)统 计,2017 年新增信息安全漏洞 4798 个,其中工控系统新增漏洞数 351 2016年同期相比,新增数量几乎加倍,工业控制系统漏洞形势严峻且会持续呈 现高发状态。 (2)生产设备大量于互联网 传统工业生产设备以机械设备为主,随着工业互联网的发展,越来越多的机 械设备进行数字化、信息化、网络化,但同时,安全防护建设速度落后于数 字化信息化建设速度,导致越来越多的机械设备于互联网中。的设备一 旦被者扫描发现,可被远程操控或被利用成为“肉鸡”武器进行 DDoS 等,危害巨大。 (3)企业内网安全性低,易作为跳板渗透工业系统控制层 2018 月份,PositiveTechnologies 公司发布的《2018 工业企业 向量报告》中指出 73%的工业企业办公网络边界防护不严,且普遍存在安全漏 洞,容易被黑客利用作为跳板渗透工业系统控制层。企业内网成为黑客突破工业 网络的最佳入口之一。 (4)数据安全问题 工业互联网的核心是工业数据采集,但目前数据接口、数据格式标准不一导 致数据采集难度加大。且工业互联网的数据体量大、种类多、结构复杂,数据通 信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。 安全解决方案典型案例案例一 基于情报和白名单的轨道交通安全解决方案 方案概述2012 年10 月开工建设的西成高铁,是第一条穿越秦岭进入四川的高速铁, 堪称名副其实的“高速蜀道”,于2017 年12 日全线开通运营。我国高速铁信号系统基于CTCS(中国列车运行控制系统)规范,包括计算机联锁系统(CBI)、 列车自动防护系统(ATP)、列车控制中心(TCC)、无线闭塞中心(RBC)等系统组成。 随着这些数字化、网络化设备在高速铁上的应用,基于通信传输的网络设 备已经成为信号设备中非常重要的一部分。随着高铁信号系统各个子系统之间互 联互通,工业控制系统内部网络性提高,网络管理系统(网管系统)成为高 速铁中不可或缺的网络检测设备。此系统虽然采用了一些安全防护措施,但仍 面临日益严峻的信息安全风险。 典型安全问题高铁信号系统网管子系统可能面对的信息安全风险包括: 操作人员违规使用移动存储设备各地方铁公司一般对在信号系统中使用移动存储设备有比较严格的信息 安全管理措施。但在系统升级、数据备份等过程中仍存在违规操作风险,把病毒 引入系统。 系统组件的供应链污染各铁信号系统集成商一般都建立了比较严格的信息安全管控流程。但由于 系统组件多,生产供应链长,在组件采购、生产、安装、调试过程中易受到病毒 或恶意代码感染。 安全解决方案首先用工业信息安全检查评估工具箱和工业临检 系统进行APT和病毒检测。确认无毒后,部署360 工业安全管理系统、360 主机安全防护软件,进行安全防护。 360 工业信息安全检查评估工具箱结合情报知识库和异常行为检测模 型对实时数据和历史数据进行分析与检测,可为高铁信号系统网管子系统进 行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资产发现、工 控漏洞扫描、工控流量分析、情报分析、安全事件、行为日志、报告自动生 成等服务。该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展 示,实现对的快速检测和持续分析。此外,360 工业安全检查评估工具箱为 便携式产品,带有高清显示屏幕,便于在多个单位进行现场快速分析,接入镜像 流量即可,无需复杂配置。 利用工业临检U 盘对信号系统的网管子系统客户端进行病毒检测,通过终端 的特征及潜在风险、安全缺陷进行抓取、分析、评估。同时,引入360 病毒检测能力和情报,在不影响高铁信号系统网管子系统正常运行的前提下, 帮助用户去检测、评估、自查本身终端安全和风险。一旦检测到可形成 可量化评估报告,为高铁信号系统安全加固,提供防护能力。即插即用的临检U 盘设备采用国密芯片,是国家密码管理局认证通过的安全芯片,摒弃了传统的数 据加解密处理方式,使数据流加解密速度大幅提升,特别适用于高速数据流加密。 问题处理及安全防护示意图为解决病毒、恶意程序等问题,在高铁信号系统网管子系统主机、服务 器部署基于白名单机制的360主机安全防护软件。该软件基于轻量级“应用程序 白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常 行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主 动阻断未知程序、木马病毒、恶意软件、脚本等运行,为高铁网管系统工业 主机创建干净安全的运行。 对更好对部署的工控安全设备和系统进行管理,对高铁信号系统网管子系统 部署360 工业安全管理系统,全面记录工业网络中的工业主机安全日志等情况, 为高铁信号系统网管子系统提供管理体系。 经过以上操作,高速铁信息安全防护得到极大提高,西成高铁顺利开通运 先进性及创新点该案例解决方案基于情报大数据和白名单技术对高铁信号系统网管子 系统进行安全防护。工业信息安全检查评估工具箱能够快速发现,对流量回 溯取证,及时产生应急响应。工业临检U 盘可对终端、服务器进行全方位的 扫描,对于指标进行总体全面评估、量化结果。360 工业主机防护软件高稳 定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求,操作简单 的特点也符合生产技术人员的操作习惯。 实施效果创新性的将情报、大数据的应用于高铁信号系统网管子系统的安全 防护中,工业信息安全检查评估工具箱基于机器学习、情报对网络研判 引擎;临检U 盘利用360 的大数据中心,采用国密芯片对终端进行评估,基 于白名单机制的主机安全防护软件有着实时报警、日志审计的优势,全链条的立 体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。 案例提供方360 企业安全技术()集团有限公司 案例二工业互联网数据安全解决方案 方案概述随着我国“两化融合”进程的推进与《中国制造2025》的提出,我国工业控 制系统逐步向数字化、网络化、智能化转变,企业研发设计、生产制造、经营管 理、销售服务等各个方面产生了海量数据。近年来,工业互联网的安全问题 的越来越明显,需加强对工业制造数据的智能安全管控。机器学习、自然语言处 理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展,使数据 安全管理呈智能化趋势,数据安全不仅仅是采用一刀切的数据强制加密方式来实 现,更需要根据多样化的需求场景采取不同层次的安全控制手段,实现智能化安 全管理。同时,工业控制网络和信息系统日趋复杂,要求我们必须将信息安全技 术依据一定的安全体系设计进行整合、集成,达到综合防范的要求。加快信息安 全产业发展是建设的需要,是国家信息化建设健康发展的需要,给 处在快速成长阶段的我国数据安全厂商提供了无限的商机。 本方案通过分析工业互联网企业工业设计数据所面临的信息安全问题,提出 了构建面向工业设计数据全生命周期安全管理的解决方案,采用基于内容识别的 数据加密、应用软件指纹识别、安全云存储等技术,为企业间的高效协同提供一 个安全平台。方案具体提出了企业应采取的安全策略和解决措施,阐明了全面构 筑工业互联网数据安全云平台,确保工业设计中上下游企业在高效协同的同 时,最大限度的防止商业秘密数据外泄、防止数据恶意、减少图纸数据大范 围分发的数据残留风险。 典型安全问题根据工信部对《深化“互联网+先进制造业”发展工业互联网的指导意见》 的解读,工业互联网安全问题从实施角度可分为网络安全、数据安全、应用安全 和云安全等几个部分。企业间的设计协同、制造协同逐步由原来的纸质信息传递, 转变为以三维设计模型为核心的电子文件交换,带来了便利的同时,也带来了诸 如:商业秘密泄露、图纸数据随意、电子文件残留等数据安全风险,所以本 方案解决没有安全手段时候协同设计过程中人机交互过程的低效率、易出错(版本迭代时候人工的安全手段导致的版本更新不及时)、协同过程中多人互动图纸 易泄漏问题。针对工业设计数据面临的三大及痛点,敏捷科技工业互联网数 据安全云平台构建了面向工业设计数据全生命周期安全管理的解决方案,包括: 终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失。 安全解决方案针对工业设计数据面临的三大,敏捷科技工业互联网数据安全云平台构 建了面向工业设计数据全生命周期安全管理的解决方案,包括工业图纸协同研发 设计环节的安全可控,及图纸下单给外协方的电子商务结算环节、出图进行资源 调配确定生产计划环节,直至下发至智能车间生产环节,及后续产品发布环节的 图纸安全控制问题,主要包括:终端数据智能安全、网络数据防截获、云平台数 据防泄露和丢失等功能。 多种系统集成模式本平台借助敏捷科技核心专利技术,基于我国密码标准算法构建。通过终端 数据智能安全防护、网络数据安全防护、云平台数据安全防护等三方面的数据防 护作用,确保工业设计中上下游企业在高效协同的同时,最大限度的防止商 业秘密数据外泄、防止数据恶意、减少图纸数据大范围分发的数据残留风险。 如下图所示: 终端数据智能安全防护终端数据安全防护由五个子系统组成,包括:数据智能安全子系统、终端虚 拟化桌面子系统、终端桌面安全子系统、终端外设控制子系统、文件透明加密子 系统。 数据智能安全子系统包括终端核心数据加密防护、网络出口拦截、数据 定期扫描、数据度分析等功能。 终端虚拟化桌面子系统包括传输加密、介质加密、密钥产生和使用、容错备 份还原、断线续用、服务器多机热备、域控身份认证等功能。 终端桌面安全子系统:通过远程、补丁推送、软硬件资产统计、终端程 序控制策略、本地虚拟运行等技术使终端桌面工作安全。 终端外设控制子系统:不论是打印端口、串口、1394 还是USB 接口,系统都 可以进行开关及内容过滤控制,并且针对USB 移动存储设备提供注册、审计、私 有格式等功能,确保终端外设安全可控。 文件透明加密子系统:确保终端用户在操作电子文件的方式不发生改变的情 况下,电子文件以密文方式存储。采用驱动层透明动态加解密技术,在操作系统 和磁盘之间的数据加密和解密程序,自动对存储到磁盘的数据作加密运算,对从 磁盘读取的数据做解密操作。通过指定文档类型、或者处理进程,能够达到所有 存储介质上存在的该类型文件全部加密,有效防止机密信息泄漏。 敏捷科技工业互联网数据安全云平台在网络数据安全防护方面,提供了虚拟安全网络子系统。该子系统采用基于P2P 技术构建的先进的虚拟安全域/网技术, 根据权限和安全策略动态的将被访问的各种应用系统资源划分到一个的安 全虚拟网络中,确保具体业务应用系统的专用性和“干净性”,实现了基于 具体业务应用系统的动态“专网专用”,也从安全管理角度上对网络数据进行安 全精细化管理。 云平台数据安全防护云平台安全防护由五个子系统组成,包括:统一身份认证管理子系统、数据 库加密存储子系统、多租户数据隔离子系统、用户异常行为检测子系统、分布式 数据备份子系统。 统一身份认证管理子系统:从用户的应用安全需求出发,提出了“深度整合, 全面安全”之,在应用系统的身份认证、资源访问控制、用户操作审计、数 据加密解密、时间戳服务、网络数字签章、数据签名与统一验证、关键交易验证 等方面分层次深入整合,满足应用系统内部和外部安全需求。 统一身份认证与授权管理平台设计数据库加密子系统:对数据库中的数据进行加密处理,即使某一用户非法入 侵到系统中或者盗得数据存储介质,没有相应的解密密钥,他仍然不能得到所需 数据。 10加密数据存储体系结构 可搜索加密子系统:根据云平台的需求,对关键字密文进行搜索。 查询语句、表、视图元组 元组,数据集、键 结构化记录加密 字段物理记录 密钥加密 加密 字段 11带关键字检索的公钥加密方案 密钥生成算法 ,生成可以检索关键字 ,一个PEKS 那么该算法输出Yes(1),否则输入NO(0)。用户异常行为检测子系统:总体功能分为三大部分:审计数据采集、分析引 擎、审计管理平台。审计数据采集是整个系统的基础,为系统审计提供数据源和 状态监测数据;分析引擎对采集的原始数据按照不同的维度进行数据的分类,同 时按照安全策略和行为规则对数据进行分析;管理平台是安全审计的Web 管理平 台,包含了安全审计平台的管理功能和信息发布管理功能。 12用户异常行为检测子系统功能 数据安全隔离子系统:采用用户行为采集技术,用户行为分析技术和数据迁 移技术,可以实现用户行为的有效,当发现云平台中存在正在进行的用 户时,动态调整受到数据的安全级别,和云平台的访问授权策略,时刻确保 云平台中收据的有效隔离,以免受恶意用户的。 基于内容识别的终端数据智能安全管理采用的智能安全分析技术、操作系统内核技术、高强度的加密算法、灵活易 用的安全策略,对数据提供含数据发现、数据识别、数据分类、数据加密、 数据分级、权限管控以及预警审计等全方位管控能力,有效的解决了企业内部合 法用户有意或者无意的信息泄漏。 满足高性能要求的安全云桌面数据集中管控安全云桌面数据集中管控平台技术的优势表现在它大大提升了现有 PC 使用效率,实现了IT部门对分散的PC 的集中式管理,以及客户数据、应用与底 层硬件基础设施剥离所带来的高度安全性和灵活性。站在管理优化的角度,它赋 管理者战略性的基础架构中央管理能力和安全控制能力。而在用户层面,使用习惯的无需改变、PC 应用的无缝兼容、个性化桌面应用的灵活调用更是帮 助用户将这一新架构顺利实施的推动因素之一。 “云+网+端”一体化云数据安全解决方案要解决云平的数据安全问题,仅仅在终端、网络、云平台中的任何 一方面实施是不够的,必须要通过融合云平台数据安全管理技术、终端数据 安全管理技术、网络安全传输技术为一体,实现对云数据的全程一体化安全管理。 在云平台数据中心,重点完成用户身份认证、多租户模式下的数据隔离、租户行 为异常审计、结构化数据和非结构化数据的透明加密。在终端,重点完成用户密 钥生成、终端安全、终端外设安全、终端文件透明加密。在网络传输过 程,重点负责完成终端与云平台之间建立虚拟安全通道。 针对结构化、非结构化数据的加密处理数据在云计算下有结构化、非结构化两种存储形态,对关键重要数据 的加密处理是确保数据安全的重要手段。敏捷科技数据安全云平台提供了针对云 计算下非结构化数据与结构化数据的透明加密方案。 基于分区分域分级设计的云安全运维与安全管理工业云平台相对复杂,涉及多类业务,多类系统,因此在安全防护上需 要进一步细化安全域的划分以及不同安全域、不同安全级别的访问控制设计。实 现安全运维操作的分级管理,对不同级别的用户予符合其安全职责划分的操作或 审计权限,实现安全运维。日常安全运营与应急响应相结合,以数据为驱动 力,以安全分析为工作重点。 实施效果本平台通过终端数据智能安全防护、网络数据安全防护、云平台数据安全防 护等三方面的数据防护作用,确保工业数据集中管控的同时实现安全可靠管理, 有效工业企业的核心资产、知识产权及其它相关数据。 产品融合集成 2000+信息系统,在制造、能源、设计、交通、、军工、 文教卫、汽车电子、轻工纺织、冶金水电、生物医药等500+关键领域得到广泛应 用,累计客户量过万,每天有1000 万+人使用该产品数据,目前已有客户包 括中国中车、中国一汽、长安汽车、中石油、中粮集团、国防大学、江苏省档案 馆等,涵盖了机械、汽车、电子、国防、能源、交通、建筑、化工、商贸、现代服务业、、研究院所等。 项目所采用的内核级主动加密、应用软件指纹识别的加密槽等技术通过科技 鉴定属国内外首创,填补了工业互联网安全领域的技术空白,弥补高端和前 沿研究开发方面的不足;有利于强化产业技术原始创新能力,抢占工业互联网技 术发展制高点;有利于促进产业的融合,带动工业互联网领域信息安全相关产业 的共同发展,培养工业互联网领域高水平和专业化的创新人才;有利于核心 工业数据,国家制造业主权;有利于形成工业大数据系列技术和应用标准, 推进产业生态建设,为促进全国工业互联网行业持续健康发展提供有力支撑。 案例提供方江苏敏捷科技股份有限公司 案例三汽车制造行业病毒应急处理和安全解决方案 方案概述由于工业控制系统(以下简称工控系统)上位机操作系统老旧且长期未升级, 存在很多的安全漏洞,病毒问题一直是工控系统主机安全的一个棘手问题, 从震网病毒到 2017 年末的工业者,这些如幽灵般游荡在工控系统网络中的 杀手总是伺机而动,一旦得手就会带来巨大的危害。 国内某知名新能源汽车制造企业遭受病毒,生产制造产线几台上位机莫 名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被 迫停止生产。该企业日产值超百万,停产直接损失严重,虽然信息门采取 了若干紧急处理措施,但收效甚微。为了尽快解决问题恢复生产,该企业紧急向 360 安全监测与响应中心进行了求助。 典型安全问题工业现场的上位机大多老旧,服役10 年以上仍在运行的主机也很常见,而 工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。工业 生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。 该企业生产网络与办公网络连通,未部署采取安全防护措施;生产制造产线 上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。 由于上位机操作系统都是老旧的Windows XP,感染病毒之后频繁蓝屏重启, 无法在问题终端采样进行病毒分析。在生产网络核心交换机旁部署360 业安全检查评估系统对生产网络数据流量进行检测,该设备基于360行业领先的 安全大数据能力生成度海量恶意情据库,对工业控制网络进行自动 化数据采集与关联分析,识别网络中存在的各种安全。借助工业安全检查评 估系统的强大检测分析能力,安服人员很快判定该企业上位机感染了“之蓝” 蠕虫病毒(也称为WannaCry)。 应急处置安服人员发现上位机感染 WannaCry 病毒之后,为了避免上位机中数据被加 密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为 病毒网站,并通过策略设置将生产网上位机 DNS 指向此伪装服务器,了 WannaCry 病毒的后续影响。 该企业生产园区占地范围很大,感染病毒的上位机几乎遍布整个园区,单纯 依靠人力难以逐一定位问题终端。360 工业安全检查评估工具箱在此过程中发挥 了巨大作用,不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的 IP 地址和 MAC 地址,结合企业提供的资产清单,安服人员和厂方技术人员很快 确定了绝大部分问题终端的具体。 感染处理完成定位之后,360 安服人员即刻赶往最近的问题终端,第一时间关闭了445 端口,避免病毒进一步扩散。经过与厂方生产技术工程师细致沟通,得知以下信 专用的生产软件对操作系统版本有严格,无法对操作系统进行打补丁操作; 重装系统会导致专用软件授权失效,带来经济损失。结合上述信息,安服人员只能对问题终端采取杀毒处理。为了避免杀毒过程 中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然 后用360 推出的WannaCry 病毒专杀工具进行杀毒处理,清除感染的病毒。 安全加固为了避免处理完成的上位机再次感染病毒,安服人员在上位机上部署安装了 360 工业主机防护软件,该软件基于轻量级“应用程序白名单”技术,能够智能 学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防 护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病 毒、恶意软件、脚本等运行,为工业主机创建干净安全的运行。 13问题处理及安全防护示意图 同时,为了避免U 盘混用带来的病毒串扰风险,安服人员利用360 工业主机 防护软件对U 盘使用进行性注册和读写控制策略配置,仅允许生产技术工程 师专用的U 盘识别和使用。 此外,为了Windows 网络共享协议相关端口带来的风险,安服人员 通过ACL 策略配置关闭了TCP 端口135、139、445 和UDP 端口137、138,并利 用360 安全卫士的“NSA 武器库免疫工具”关闭存在高危风险的服务,从而对 NSA 黑客武器的系统漏洞彻底“免疫”。 经过以上病毒清除和安全加固手段,不仅解决了感染 WannaCry 病毒带来的 蓝屏重启问题,而且极大的提升了上位机的主动防御能力,实现了上位机从启动、 加载到持续运行过程全生命周期的安全保障。 经过此次事件,该企业对工业控制系统安全性更加重视,决定采取360 整体 工控安全防护措施,逐步建设形成覆盖汽车制造产线全链条的立体化工控安全技 术防护方案。 360工业安全检查评估工具箱和工业主机防护软件是解决工业主机脆弱性 问题的一剂良药。360 工业安全检查评估工具箱基于360 领先的情报大数据 能力快速识别和资产。工业主机防护软件基于轻量级“应用程序白名单”技 术,高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求, 操作简单的特点也符合生产技术人员的操作习惯。该方案能够适用于大部分工业 控制系统,是一套成熟可靠的安全解决方案。 实施效果针对汽车制造行业容易被病毒的安全问题,首先部署伪装病毒服务器阻 止病毒的后续影响,利用360 工业安全检查评估工具箱快速识别定位病毒, 工业主机防护能够自动生成工业主机操作系统及专用工业软件正常行为模式的 “白名单”防护基线,为工业主机创建安全的运行。 案例提供方360 企业安全技术()集团有限公司 案例四某电厂信息安全监管与预警平台建设案例 方案概述近年来,电力行业中的自动化与控制系统的网络安全问题受到关注与重视。 网络安全防护措施不再是“锦上添花”,而是至关重要。在过去 10 年内,包括 水电站在内的各种电站均配有自动化与控制系统。基于式标准 (如:IEC61850 或者IEC60870-5-104)并采用可靠以太网技术进行开发,使不同厂 家间的产品和系统间实现了操作互通。 系统越来越复杂,互联也越来越多,为电站的运行人员提供了更多信息,进 一步提高了实时水平。该变化不是发生在单个电站,而是涉及到整个公用设 施系统。随伴着电力能源市场中电厂控制系统、调度和交易系统之间网络通信应 用的稳步发展,公用设施系统发展与时俱进。 从经营角度看,先进技术带来了巨大效益,但与传统工业控制系统面临的问 题类似,电站业主和运行人员也面临网络安全。过去几年来,电力工业领域 网络事件显著上升,控制系统中发现的漏洞也越来越多。水电厂作为重要基 础设施,梦见杀人流血重要性高且具有一定的战略意义,一旦遭受影响巨大,较易成为敌 对的目标。因此如何更有效的结合水电厂既有防护措施和业务系统,提 高安全防护等级,保障业务持续稳定,是一个需要考虑的关键问题。 某电站是某省实施西部大开发战略的标志性工程和国家西电东送的电 源和重点工程。工程以发电为主,兼有防洪、灌溉、拦沙及航运等综合利用效益。 某电站是中国目前水电站单机容量最大的电站之一。 典型安全问题现某电厂生产控制系统中,生产控制大区与管理信息区已实现单向隔离,与 某集控中心、某省中调和南网总调远动通道已实现纵向加密,控制区与区通 过南网调度数据网已实现逻辑隔离。但与此同时,当前的安全措施也存在一定的 不足,网络边界防护、大区病毒防护、安全审计、操作系统加固等还不完善, 具体需求如下: 需要满足《电力系统安全防护总体方案》(36号文)有关电厂安全防护 的相关要求,需要满足电网的电力调度安全防护和国家能源局电力系统安全 防护的重点要求; 目前水电厂内各系统(各机组测温系统、开关站系统、共用系统、厂用电系统和坝区系统等)之间未进行有效的网络隔离,可随意互访,单区域或单节 点遭受病毒感染或恶意将直接影响其它区域的正常运转,尤其是底层控制系 统,需按关要求采取安全隔离措施,防范病毒扩散及恶意行为对其它系 统造成影响等; 随着水电厂智能化、信息化等新技术的应用,“无人值班,少人值守”的远程管理模式快速发展,机组和远方集控中心通过网络进行数据及控制指 令传输,使生产控制大区遭受的风险增加,需采取相应手段对关键指令下发 及误操作等行为进行实时监测和告警; 发电厂生产控制系统中的管理终端(如服务器、工程师站、操作员站等)存在移动介质、串口设备、并口设备等外设和主机安全策略配置级别较低的 情况,需采取有效措施对移动U 盘等外设的使用进行管理,并增强主机安全防护 能力; 电厂在执行特定工作(如系统调试和)时,需要通过本地或远程方式接入第三方设备,就需要对接入的人员及终端设备采取有效的安全监管措施,需 要重点管控过程中的关键操作行为并对所有操作行为进行取证。 安全解决方案经过对现场网络结构、主机设备、系统软件、安全设备等运行情况进行安全 调研和分析,识别出系统资产和脆弱性,确认了水电站现场所存在的安全隐患和 安全防护缺失项,明确了采用自主可控的工控安全核心技术的技术线。为加强 某水电站网络安全防护,构建的安全防护方案如下: 在各机组LCU与控制网络之间部署工业防火墙,通过对Modbus 协议进行 深度解析与“白名单”控制功能,能有效电厂使用的施耐德 Quantum 系列 PLC,防止针对PLC 漏洞的恶意行为及违规操作; 中的网络流量进行实时监测,特别是异常指令下发、违规操作等行为,同时记录原始pcap 文件,以便调查取证。 旁部署入侵检测设备,通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络 或系统中是否存在违反安全策略的行为和被的迹象。 在主控层的工程师站、操作员站和服务器上部署主机加固系统,对系统中安全相关的设置进行全面扫描及策略设置,对关键业务进程、程序予以, 建立白名单库,将普通操作系统透明提升为安全操作系统,大大提高工业主机的 安全性; 在控制环网交换机上部署安全运维管理系统,实现账号统一管理、资源和权限统一分配、操作全程审计,提升运维过程的安全性。 通过统一安全管理平台对所部署的安全设备进行统一的安全管理,包括策略下发、日志审计、报警展示等,简化运维管理工作流程、提高运维管理工作 效率。 14某水电站安全防护方案 先进性及创新点通过建立可信任网络“白”和“白名单”防护,以自主可控的核心 技术投入,以完全符合工业现场的产品设计,为某电厂构筑 “安全白”整 体防护体系,某电厂生产控制系统信息安全监管与预警平台系统设施的稳定 运行,达到“只有可信任的设备,才能接入控制网络”、“只有可信任的消息,才能在网络上传输”、“只有可信任的软件,才允许被执行”的防护效果。该方 案打破了传统“黑”的防护模式,打破工控安全信息孤岛,以更符合工业现场特 性的防护手段,以“一个中心,三重防护”的防御体系,将传统的“被动防护” 为“主动防御”。 解决方案具有完全自主的知识产权,满足《电力系统安全防护总体方案》(36 号文)要求; 有效检测工业网络中通信异常和协议异常并进行阻断,实现控制系统的安全网络隔离、访问控制以及专用工控协议的深度解析,避免关键控制设备被攻 击,防止造成重大生产事故、人员伤亡和不良社会影响; 提升了现有操作系统的安全等级,有效的防止来自内部的误操作和恶意操作; 对服务器日常访问、操作进行和审计,实现对用户运维过程的标准化管理; 实时监测针对工业协议的网络、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的,帮助客户及时采取应对措施,避免 发生安全事故; 将工控网络中的安全设备和系统统一管理,减少管理人员的工作量,降低企业人力资源的投入,通过技术手段弥补人工管理方式上的不足,提高企业工 控网络安全管理效率; 实现水电站总体安全现状分析,帮助客户实时了解自身安全状况,并提供简便易用的回溯功能,为工业控制系统安全事故调查提供技术手段; 全面提高生产控制网络的整体安全性,为华能澜沧江某水电厂安全生产保驾护航。 案例提供方威努特技术有限公司 案例五石化油气工业互联网安全解决方案 方案概述当前,世界深刻认识到信息技术的重要性,纷纷确立了以推进信息技术 发展为特征的发展战略,并加大对信息技术投入,促进和保障信息技术的应 用,尤其在工业领域应用信息技术方面都进行了持续关注。近十年来,国际 金融危机频发,造成工业增长明显放缓,下行压力加大,大批中小企业陷入困境, 大企业受到重创。但在金融危机的影响下,都提出“IT 救市”计划,希望通 过信息技术,促使工业企业管理更加精细化、成本更加集约化,实现调整产业结 构、加快新兴产业发展。石化油气工业是我国重要的战略性产业,对国民经济和 有着重要作用。如何提升石化油气工业的运营效率和确保安全生产成为 当前行业关注的重点。 腾讯工业互联网安全平台的价值主张是助力客户“共生共赢”:

  

关键词:工业安全
相关阅读
  • 没有资料