资源描述
2020-2021工业互联网典型安全解决方案案例汇编 目 录 1. 工业互联网安全概述 . 1 1.1 工业互联网安全形势 . 3 1.2 工业互联网安全挑战 . 6 2. 典型安全解决方案 . 9 2.1 案例 一:某炼化生产企业生产环境安全解决方案 . 9 2.1.1 方案概述 . 9 2.1.2 典型安全问题 . 9 2.1.3 安全解决方案 . 13 2.1.4 小结 . 21 2.1.5 单位基本信息 . 21 2.2 案例 二 :卡奥斯工业互联网平台安全解决方案 . 22 2.2.1 方案概述 . 22 2.2.2 典型安全问题 . 23 2.2.3 安全解决方案 . 25 2.2.4 小结 . 39 2.2.5 单位基本信息 . 43 2.3 案例 三 :化纤行业工控安全解决方案 . 44 2.3.1 方案概述 . 44 2.3.2 典型安全问题 . 45 工业互联网典型安全解决方案案例汇编( 2020) 2.3.3 安全解决方案 . 46 2.3.4 小结 . 57 2.3.5 单位基本信息 . 59 2.4 案例 四 :鲁布革水电厂工业互联网电力监控系统综合安全防护解决方案 . 60 2.4.1 方案概述 . 60 2.4.2 典型安全问题 . 61 2.4.3 安全解决方案 . 63 2.4.4 小结 . 70 2.4.5 单位基本信息 . 70 2.5 案例 五 :智慧矿山工业互联网安全纵深防御体系建设 . 71 2.5.1 方案概述 . 71 2.5.2 典型安全问题 . 72 2.5.3 安全解决方案 . 73 2.5.4 小结 . 80 2.5.5 单位基本信息 . 80 2.6 案例六:智慧水务典型安全解决方案 . 80 2.6.1 方案概述 . 80 2.6.2 典型安全问题 . 81 2.6.3 安全解决方案 . 83 2.6.4 小结 . 91 工业互联网典型安全解决方案案例汇编( 2020) 2.6.5 单位基本信息 . 91 2.7 案例 七 :工业 5G 边缘计算平台安全解决方案 . 92 2.7.1 方案概述 . 92 2.7.2 典型安全问题 . 92 2.7.3 安全解决方案 . 94 2.7.4 小结 . 100 2.7.5 单 位基本信息 . 100 2.8 案例 八 :大型排水集团生产控制系统安全解决方案 . 101 2.8.1 方案概述 . 101 2.8.2 典型安全问题 . 102 2.8.3 安全解决方案 . 103 2.8.4 小结 . 113 2.8.5 单位基本信息 . 114 2.9 案例 九 : 5G+智慧轨道交通安全解决方案 . 115 2.9.1 方案概述 . 115 2.9.2 典型安全问题 . 119 2.9.3 安全解决方案 . 122 2.9.4 小结 . 132 2.9.5 单位基本信息 . 133 2.10 案例 十 : 某 5G+智慧 轨道交通 安全解决方案 . 134 2.10.1 方案概述 . 134 2.10.2 典型安全问题 . 136 2.10.3 安全解决方案 . 136 2.10.4 小结 . 143 2.10.5 单位基本信息 . 143 2.11 案例 十 一:青岛海尔 5G 智慧工厂安全防护应用案例 . 145 2.11.1 方案概述 . 145 2.11.2 典型安全问题 . 146 2.11.3 安全解决方案 . 147 2.11.4 小结 . 153 2.11.5 单位基本信息 . 154 2.12 案例十二:面向钢铁行业一体化平台 安全解决方案 . 155 2.12.1 方案概述 . 155 2.12.2 典型安全问题 . 157 2.12.3 安全解决方案 . 159 2.12.4 小结 . 174 2.12.5 单位基本信息 . 175 3. 结束语 . 177 1 前 言 工业互联网作为“新基建”的七大领域之一,其重要性上升到一个新的高度。工业互联网的投资和建设将加快我国智能制造步伐,激发新型消费和投资、促进就业创业、解放生产力、打造经济发展新动能,对人们生产生活带来重大而深远的影响。 2020年 12 月,工业互联网专项工作组印发工业互联网创新发展行动计划( 2021-2023年),明确了以落实企业主体责任为导向、以加强安全供给为重点、以培育安全产业为支撑、以强化技术监测服务能力为抓手的工作思路,力争建立起制度更加健全、技术更加先进、政企更加协同安全保障体系。 目前,工业互联网 安全仍然面临很多新挑战和问题亟待解决,5G、边缘计算、大数据、人工智能等新技术与工业互联网技术的融合为工业互联网安全带来新的挑战,使传统工业控制系统和自我防护能力差的设备连接到互联网,打破了传统工业网络相对封闭、值得信赖的环境,使得大规模工业控制系统和生产系统成了网络攻击的重点目标。 为使广大工业互联网从业者能了解工业互联网安全的发展情况,工业互联网产业联盟安全组启动编写了工业互联网典型安全解决方案案例汇编( 2020),报告汇编了业内优秀的安全解决方案,希望为解决工业互联网安全的新挑战和突出问题提供有益 参考,共同促进工业互联网安全工作的建设。 2 本报告是在工业和信息化部网络安全管理局指导和支持下 ,由中国移动通信集团有限 公司 牵头编制 , 工业互联网产业联盟安全组多家企业参加编写完成。主要参与单位有:中国信息通信研究院、东软集团股份有限公司、青岛海尔工业智能研究院有限公司、北京双湃智安科技有限公司、江苏亨通信息安全技术有限公司、江苏亨通工控安全研究院有限公司、北京神州绿盟科技有限公司、奇安信科技集团股份有限公司、北京启明星辰信息安全技术有限公司、中国联合网络通信有限公司南京市分公司、南京地铁集团有限公司、江苏启明星 辰信息安全技术有限公司、中兴通讯股份有限公司、南京中新赛克科技有限责任公司、江苏省互联网行业管理服务中心、南京钢铁有限公司。 本报告的参编 人:张峰、田慧蓉、陶耀东、柯皓仁、李江力、于乐、刘晓曼、张弘扬、付俊、苏海洋、谷久宏、刘海洋、申枭、刘小兰、王菁、王敏、沈海峰、范春朝、向海洲、辛毅、林云云、周荣。 工业互联网产业联盟 安全组 二 二一年三月 3 1. 工业互联网安全概述 1.1 工业互联网安全形势 随着我国工业互联网的蓬勃发展,工业互联网已成为中国制造企业转型升级的必然选择,也是我国数字经济发展的重要组成部分。这都离不开国家对于工业互联网建设的大力推动和支持,2021年政府工作报告中指出“ 发展工业互联网 ,搭建更多共性技术研发平台 ,提升中小微企业创新能力和专业化水平 ”,这是“工业互联网”第三次被写入政府工作报告,足以体现我国对工业互联网的重视。 自国务院关于深化“互联网 +先进制造业”发展工业互联网的指导意见将安全保障与网络、平台建设列为工业互联网三大体系之后,各上级单位高度重视工业互联网安全,相继发 布了一系列工业互联网安全方面的指导意见和要求。 2019 年 7 月,工信部等十部门印发的工业互联网安全工作的指导意见中,指导企业建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,探索构建工业互联网安全评估体系。 2019 年 9 月,工业和信息化部发布省级工业互联网安全监测与态势感知平台建设指南,指导各地工业和信息化主管部门、地方通信管理局建设专业化安全监测和预警通报技术手段。 2020 年 3 月,工信部发布了工业和信息化部办公厅关于推动工业互联网加快发展的通知,明确提出加 快新型基础设施建设、加快拓展融合创新应用、加快健全安全保障体系、加快壮 4 大创新发展动能、加快完善产业生态布局、加大政策支持力度等6个方面 20项具体举措。 2020年 5月,工信部发布工业和信息化部关于工业大数据发展的指导意见要求强化数据安全,构建工业数据安全管理体系;加强工业数据安全产品研发。 2020年 12 月,工业互联网专项工作组印发工业互联网创新发展行动计划( 2021-2023年),明确了以落实企业主体责任为导向、以加强安全供给为重点、以培育安全产业为支撑、以强化技术监测服务能力为抓手的工作思路,力争切 实建立起制度更加健全、技术更加先进、政企更加协同的安全保障体系。安全部分主要包括四方面内容:一是落实企业主体责任,实施分类分级管理;二是强化产业协同,推进供给侧加快创新;三是加强示范引领,促进安全产业发展壮大;四是坚持专项带动,提升安全技术监测服务能力。 2021 年 1 月,工信部印发开展工业互联网企业网络安全分类分级管理试点工作的通知,启动部署分类分级试点工作。实施工业互联网企业网络安全分类分级管理制度,要着力打造“ 1 4”的制度体系。“ 1”是工业互联网企业网络安全分类分级管理指南(简称管理指南) 明确将工业互联网企业分为联网工业企业、平台企业、标识解析企业三类,结合企业所属行业的重要性、企业规模、应用工业互联网程度、网络安全风险程度等因素,将企业分成三个级别,同时明确定级流程和安全管理、支持保障等方面的要求。“ 4”是工业互联网企业网络安全分类分级防护规范(简称安全规范),针对联网工业企业、 5 平台企业、标识解析企业以及工业互联网数据四类对象,分别明确防护要点和不同级别的网络安全防护要求。结合各地工业互联网发展实际,目前选定上海、江苏、广东等 15 个省(区、市)232家重点工业行业的重点企业参与试点 。通过试点进一步完善管理指南,提升安全规范的科学性、有效性和指导性,形成可复制可推广的安全管理模式。 2021 年 3 月,工信部刘烈宏副部长在工业互联网企业座谈会上讲话并指出:一是加强基础设施建设。推进内、外网建设改造和标识解析规模化应用。深化“ 5G+工业互联网”融合发展。加快专业型平台、特色型平台、跨行业跨领域平台建设。二是持续深化融合应用。将工业互联网技术、模式等与各行业的生产实践、行业特性、知识经验紧密结合,打造一批融合应用典型案例,带动形成系统性推广模式。三是夯实产业发展根基。要聚焦核心技术和能 力短板,继续组织实施创新发展工程,加强技术攻关和关键产品研发,助力工业补齐短板、锻造长板。四是培育壮大产业生态。积极协调各方资源和力量,推动形成主体多元、协同创新的产业生态,打好“团体赛”。鼓励地方结合当地实际,探索各具特色发展模式。五是提升安全保障水平。坚持发展与安全并重,落实好主体责任,完善网络安全分类分级管理制度建设,加大网络安全投入力度,加强网络安全技术监测。 2021 年 3 月 8 日,工信部肖亚庆部长在两会“部长通道”上讲话并指出:第一,要打好基础。在原有基础上,未来几年要把工业互联网发展的基础打好。未 来几年工业互联网的发展仍然 6 是一个非常关键的时期。第二,要在融合上下功夫。就是保障工业互联网在发展过程中,将各个行业、各个企业、各个层级相互融合,通过工业互联网产生更多的创新应用,使它为经济发展起到助力和促进作用。第三,工业互联网发展过程中,我们还要把发展和安全平衡好。工业互联网发展,大家也担心安全问题,也关心知识产权保护。我们一手坚定不移抓发展,一手坚定不移保证安全、保护知识产权,把两者结合好,促进工业互联网健康有序发展。工业互联网的发展,未来的前景是非常好的,我们现在有很多应用的场景,在各地已经展现出来了 。下一步,随着“ 5G+工业互联网”的发展,将产生更多的实际应用场景,这些发展会给大家呈现更多的好应用,为满足人民日益增长的美好生活需要,也为我们经济发展,提供更多的载体、平台和融合的空间。 1.2 工业互联网安全挑战 工业互联网涉及的各个层面、环节都可能面临安全风险。在工业互联网安全工作深入推进过程中,一系列新兴和固有的安全问题亟待解决。 ( 1)万物互联的信任体系问题 进入工业互联网时代,人机物要逐步“上网”,“上网”以后如何认证、确保海量设备的安全接入成为实现万物互联的信任问题。同时,企业与企业之间、行业与行业之 间要解决跨区域、跨行业的交叉互信问题。 ( 2)新技术融合带来新风险 工业互联网技术与 5G、边缘计算等新技术的融合以及第三 7 方协作服务的深度介入增加了信息泄露、数据窃取的风险。 5G协议的全面互联网化,被外部攻击的可能性显著增加。边缘计算对工业互联网数据就近处理减少了敏感数据泄露的风险,但安全防护能力不及云中心,对原有的集中式内容监管模式带来挑战。 ( 3)工业数据泄露风险加剧 5G 边缘计算中心通过 API 接口开放给第三方应用,让工业互联网数据在不同应用间共享,这大大增加数据传输和存储的安全风险。由于数据打通导致风险加剧、数据庞杂导致难度加大,而工业数据安全关系着国家安全。工业互联网协同制造倡导的个性化定制、服务化转型都涉及大量用户隐私,用户隐私极易被泄露。关键工业数据成为国家关键数据资源,一旦被窃取将直接威胁国家安全。 ( 4)暴露面持续增大 工业互联网打破了传统网络安全界限。随着 5G+工业互联网、工业上云等工作的推进,工业企业 IT和 OT不断融合,企业内部工业网络、管理网络与互联网逐 步打通,网络日益开放,大量工业互联网设备暴露在互联网上且不断增多,导致大量网络安全威胁从外网向工业内网延伸渗透。暴露在互联网的工业互联网设备长期遭受恶意嗅探。 ( 5)漏洞病毒依旧突出 由于工业互联网设备软件更新缓慢、用户及厂商通常无法及时发现或修复漏洞,导致设备漏洞较多。同时,设备漏洞易被攻击者利用来构建完整攻击链路,并获取更高权限,甚至制造病毒 8 长期危害工业互联网安全。近几年全球水电、核电、制造等重要行业的企业遭受病毒攻击和感染的事件众多,造成了大范围停电、生产线停摆等重大影响。 2020 年上半年我国联网工控 设备累计发现 946个漏洞隐患,中高危漏洞占比高达 91%。 ( 6) APT攻击危害大 APT针对性强、破坏性大,威胁工业活动。工业互联网直接关系到生产和经济活动,成为了 APT攻击的重点目标。 ( 7)重点行业监控和管理系统存高危隐患 大多数传统工业控制系统和设备更关注系统的实时性与业务的连续性,而网络安全防护能力不足。重点行业如能源、金融、物流、智能制造等,其大型工业云平台和系统持续遭受漏洞利用、拒绝服务、暴力破解等网络攻击。仅水电行业和医疗健康行业,暴露在互联网上的系统中存在高危漏洞隐患的占比分别为 25%和72%,部分遭受境外恶意嗅探。 9 2. 典型安全解决方案 2.1 案例一:某炼化生产企业生产环境安全解决方案 2.1.1 方案概述 某炼化生产公司在业务向数字化转型的过程中,初步形成了生产执行层、操作控制层、管理决策层三层一体的信息化架构体系。随着信息系统与生产系统不断的融合,整个生产环境的网络安全建设就十分重要。该公司已经先后建成投入各类应用系统140余套,经过现场调研评估,我们发现用户的网络存在缺少有效隔离、安全加固、审计监控、终端防护、运维审计和安全管理等六类安全问题。参照分层分区、集中管理和技管结合这三点建设思路,根据现场网络 业务系统情况,从终端、网络、平台等维度部署安全设备,为安全管理提供数据和响应支持,最终保护其生产网络环境的平稳运行。本方案能够提供多层次的安全管理,能够实现事前可检测与事后可溯源的全方位立体式的审计功能,很好的提升了用户生产环境的网络安全技术能力。在重视技术手段进行安全防护的同时,我们帮助客户建立起了安全管理体系,为用户提供了更全面的网络安全保障。 2.1.2 典型安全问题 随着工业领域的不断发展,各国抛出了各自的全新发展理念,如德国的工业 4.0,美国的先进制造和中国的“中国智造”“两化融合”等。工信部印发的工业互联网创新发展行动计划( 2021-2023年)将推动信息技术( IT)网络与生产控制( OT)网络融合作为重点行动内容之一。各国都不约而同的在强调工业 10 控制网络与外部管理信息网络的融合,以便更精准的控制工业系统,提高生产效率。 在某公司炼化生产工作不断提升的同时,其信息化建设也在同步进行,符合国家 IT与 OT网络融合的总体行动方针。公司先后建成投入各类应用系统 140余套,初 步形成了生产执行层、操作控制层、管理决策层三层一体的信息化架构体系。其目前有DCS 系统 19 余套,主要装置都采用了 DCS 系统,主要厂商有YOKOGAWA, HONEYWELL和浙江中控等。随着该公司的业务生产向数字化转型的过程中,为了实现感知式管理生产过程,整个生产环境的网络安全建设就十分重要。该公司生产环境原有拓扑示意图如图所示。 11 图 1 某石化公司炼化生产网络拓扑示意图 石化公司的生产相关网络环境根据生产需要及总公司相关规定分为三层,底层包含生产设备 PCS的过程控制层,中间层为生产操作控制层,有工程师站、操作员站等,其中的 MES系统作为数据采集及处理单元,起到承上启下的作用。最上层为管理决策层, ERP系统通过 MES系统提供的数据支撑对整个生产过程进行管理,此外该层还有邮件服务器和 WEB服务器等非生产必须的网络服务。 经过我们的现场调研与评估,发现该公司的网络环境主要有 12 以下六大问题。 1、 未划分安全域 目前石化公司未进行安全域划分,各子系统没有进行有效隔离,并且各层间 通信也没有 做适当的隔离,处于边界不清,缺失边界访问控制的状态。需要在不间断业务的情况下,理清各业务系统关系,并加入有效隔离机制。 2、 安全配置不全 安全配置不全面问题较突出,在网设备没有进行安全加固,如补丁更新、密 码强度与期限等配置。需要对在网设备进行全面排查并进行安全加固。 3、 监控手段缺失 目前网络中缺少安全风险监控手段,不能及时了解网络运行情况,一旦出现 问题,不能快速完成响应的处理动作。需要配置相应的审计手段,对网络中的流量进行全面监控,及时发现并处理风险监控手段。 4、 防护软件缺失 工程师(操作员)站无防护软件,且多使用较老版本的Windows平台且无 补丁更新,同时缺少身份认证,接入控制手段。需要对工程师站进行终端安全软件部署,在操作系统不能更新的情况下保证 13 终端安全。 5、 运维审计缺失 导致设备配置变更记录缺失,一旦出现问题,无法快速定位到相关设备及相 关人员。 6、 管理流程待完善 安全管理流程不完善,易导致因人为因素或流程科学性导致的数据泄露,引 入恶意代码等问题。 2.1.3 安全解决方案 根据现有网络客观情况,网络中突出问题及等级保护等相关规定,制定了本方案。本方案增强用户网络的互通能力,建立多层级网络安全体系,实现跨系统的互操作。基于 原来的业务网络结构 ,推动信息技术( IT)网络 与生产控制 ( OT) 网络融合 。 本方案决定遵循以下原则进行部署。 垂直分层,水平分区原则 以不中断现有业务为前提,最大程度保持现有网络拓扑,保持原有生产网络的三个层级,即生产执行层、操作控制层和管理决策层,但要对各层之间部署有效的隔离措施和监管技术手段。同时,要对同层各生产环节进行分区管理,对内服务的系统不宜与对外服务的系统处于同一分区,生产系统与非生产系统不宜划分为同一区,如管理层中负责企业资源管理的 ERP系统与对企业外提供 WEB服务的系统不宜划分为同一区域管理。 14 技术与管理并重原则 目前客户方除需要技术手段确保信息安全外,更重要的是补足管理制度方面的短板,把管理措施和技术措施有机结合起来,依 靠管理措施来弥补技术措施的缺陷,保障安全技术措施的正确实施,更有效保障炼化生产的整体安全性。 集中管理原则 统一管理是建设信息安全等级保护深度防御系统的基本要求。同时,在全面推广信息安全等级保护深度防御工程时,按照统一信息系统安全管理的规范进行规划和设计,确保信息安全防护水平的一致。对业务系统范围内的资源和用户进行统一标记,按照访问控制策略来进行实施,对于各个终端、服务器和边界的事件应统一由审计中心进行分析和响应。另外,应建立全系统范围的网络管理和监控系统,做到管理全局统一,监控严密,响应及时。 根据以上原 则,有如下防护方案。 15 图 2 某石化公司炼化生产网络拓扑示意图 方案中首先对各生产系统进行层次和区域的划分,对生产环境和非生产环境进行区分管理,并根据需要部署工业级防火墙,确保环境得到纵向的纵深防御能力,并对生产环境进行横向分区隔离,保证跨域访问能够被控制。在网络中需要部署入侵检测系统,在不影响现有网络状况及运行的情况下,对网段上监听,采集网络数据,及时检测出网络中出现的异常数据及非法入侵,对网络中的活动进行审计,生成完整记录,便于事件追溯。同时,对生产网络内部终端等 进行加固并部署完全软件进行对主机内 16 部的软件流量等的管控。 具体实施方案如下: 1、 主机安全方面 根据石化公司系统现状,工程师(操作员)站主机使用的是Windows 操作系统,且版本较老,有存在安全漏洞风险。并且,这些主机存在未管控的 USB端口及光驱,使用时很容易将病毒木马带入终端,然后通过终端散播到网络的各个区域,最终致使整体生产网络瘫痪。 通过部署工控主机安全防护软件,确保这些设备的安全。工控主机安全防护软件采用“白名单”管理技术,通过对数据采集和分析,生成工业控制软件正常行为的白名单,与现网中的实时传输数据进 行比较、匹配、判断,做到只有确认合法的软件才可以运行。如果发现其用户节点的行为不符合白名单中的行为特征,其主机安全防护系统将会对此行为进行阻断或告警,以此避免主机网络受到未知漏洞威胁。 2、 网络隔离方面 生产执行层、操作控制层和管理决策层隔离及各生产工艺间需要部署防火墙并开启访问控制功能,实现逻辑隔离和报文过滤。 防火墙通过会话状态检测、包过滤及协议深度访问控制,阻止各类非授权访问行为。使用白名单防护策略,缺省禁掉所有访问,只有配置可信的流量才可通过防火墙进行跨域信息交换。同时,可以对操作人员与设备进行基于 IP、 MAC、协议或任意组合方式的访问进行控制。 17 3、 威胁检测方面 在生产执行层和管理层的汇聚交换机处做接口流量镜像,旁路部署入侵检测系统,在网络上监听、采集网络数据,实时检测网络中出现的异常数据、非法入侵,根据预定义策略实时报警,并完整记录检测情况,便于之后的事件追溯。 入侵检测系统通过对攻击或入侵的检测及响应,可以有效地发现和防止大部分的网络犯罪行为,给网络安全管理提供了一个集中、方便、有效的工具。使用入侵检测系统的数据检测、主动扫描、网络审计、统计分析功能,可以进一步监控网络故障,完善网络管理。 4、 运维审计方面 在过程控制网络中部署一套运维审计系统,运维审计系统旁挂部署在该区域核心交换机。通过该系统实现运维人员仅能通过运维审计系统访问所需运维的设备,避免运维人员直接访问服务器区对重要服务器进行配置更改等。 5、 WEB防护方面 在对外提供 WEB服务的区域部署 WEB防火墙,用于有效弥补出口防火墙对 WEB应用攻击防护能力不足的问题,该产品针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合 WEB应用安全解决方案。 事前, WEB应用防火墙能够提供 WEB应用漏洞扫描功能,检测 WEB 应用程序是否存在 SQL 注入,跨站脚本漏洞;事中, WEB应用防火墙能够对黑客入侵行为、 SQL注入 /跨站脚本等各类 WEB工业互联网典型安全解决方案案例汇编( 2020) 18 应用攻击、 DDoS 攻击进行有效检测和阻断;事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险。 6、 上网行为管理方面 在互联网出口部署上网行为管理产品,有效控制内部上网行为可能引入的风险。所部署的上网行为管理产品拥有丰富的上网行为管理、审计以及专业的流控功能,致力于控制互联网用户和管理对互联网的使用,包括对网 页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。通过优化上网管理,有效提高企业内部 IT 资源的使用安全,帮助企业提高生产力,提升网络资源利用率,降低法律风险。 在做到技术层面的防护同时,我们同样重视安全管理方面的建设。 安全管理体系建设的核心思想是调整原有管理模式和管理策略,形成统一的系统整体安全管理体系。 7、 人员安全管理制度方面 人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。 确定公司由统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理 ,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统账户和相关权限等措施。 8、 系统运维管理制度方面 工业互联网典型安全解决方案案例汇编( 2020) 19 环境和资产安全管理制度 环境包括计算机、网络机房环境以及设有网络终端的办公环境,明确环境安全管理的责任部门或责任人,对重要区域设置门禁控制手段或使用视频监控等措施。资产包括介质、设备、设施、数据、软件、文档等,应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。 设备和介质安全管理制度 明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面做出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。 日常运行维护制度 明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和操作规程并落实 执行;正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施,对运行安全进行监督检查。 集中安全管理制度 信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全 20 配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。 事件处置与应急响应制度 按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部 门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度,信息系统发生较大、重大、特别重大安全事件时,用户单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。 系统建设管理制度 系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方(如集成方、开发方、测评方、安全服务方等)完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发 、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。 系统安全管理制度 制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,信息系统安全状况未达到安全保护等级要求的, 21 应当进一步开展整改。 2.1.4 小结 本方案的主要价值有三点。首先在于保护其生产网络环境的平稳运行,达到“只有可信任的设备才能接入控制网络”“只有可信任的消息才能在网络上传输”“只有可信任的软件才允许被执行”的防护效果。其次本方案部署了多维度的审计系统,从上网行为审计到攻击行为审计,从管理层到生产执行层部署了全面的审计系统,确保能够提供事前可检测与事后可溯源的全方位立体式的审计手段。以上两点强化了企业的自身防护与审计技术能力,初步建立了集中化安全态势感知和综合防护系统,提升了网络和数据安全技术能力。也为后续接入区域级平台形成多方联动、运行高效的 技术服务保障体系做好准备。最后,在重视通过技术手段进行安全防护的同时,同样重视客户安全管理体系的建设,帮助用户分别在人员安全管理、系统运维管理、系统建设管理、系统安全管理等方面建立了制度性要求,通过二者的有机结合,更好地为用户提供信息安全保障。 2.1.5 单位基本信息 东软创立于 1991 年,是中国第一家上市的软件公司,一直以来致力于信息技术的创新。东软以软件技术为核心,面向全球市场提供成熟先进的网络安全产品与服务、提供智慧城市、医疗健康与社会保障、智能汽车互联等领域的创新型解决方案。目前,东软在全球拥有近 20000 名 员工,在中国建立了覆盖 60 多个城市的研发、销售及服务网络,在美国、日本、欧洲等地设有子公 22 司。 东软网络安全事业部成立于 1996 年,连续多年保持稳健增长。以业务驱动安全为核心,致力于业务安全的技术研究,为客户提供基于业务安全的网络安全防御体系。为适应云计算、移动互联网、物联网、大数据、关键基础设施等新技术在各种网络环境中的应用,东软陆续推出 160G 数据中心防火墙、虚拟安全网关、桌面型无线安全网关、云安全交付网关、自主可控国产芯片网关、预警威胁管控平台等系列产品。东软 NetEye 旗下产品及服务被广泛应用于能源、 政府、金融、电信、医疗等行业。 东软网络安全业务在未来将通过自身行业安全积累,凭借IT 技术优势和经验,融合云计算、大数据、人工智能等新技术,积极适应网络安全市场新需求,引领网络安全市场新变化。 2.2 案例 二 :卡奥斯工业互联网平台安全解决方案 2.2.1 方案概述 为了让海尔卡奥斯工业互联网平台融合全新的工业安全理念和工业信息安全技术并为工业企业在物联网时代下提供完整信息安全解决方案。卡奥斯工业安全态势感知平台应用而生。 卡奥斯工业安全态势感知平台,是集安全态势感知和安全运营于一体的综合性工业网络安全平台。以卡奥斯工业互联网 平台企业用户资产为防护目标,以用户数据安全为核心,基于整体环境动态地洞悉安全风险,以安全大数据为基础,从全局视角对安全威胁进行发现识别、理解分析和响应处置。最终形成针对网络安全的决策与行动,是网络安全能力的有效落地策略。 23 参考 工业互联网创新发展行动计划 建立企业级安全服务平台。平台辐射卡奥斯生态内的上万家客户。为平台客户赋能安全能力,推动工业互联网网络安全 技术与工业机理模型 的 融合创新 。 工业互联网是连接工业全系统、全产业链、全价值链,支撑工业智能化发展的关键基础设施,具有开放、互联、跨域、融合等特点,这是 工业互联网的独特优势,也是工业互联网发展的一个重要前提和基础。同时由于它打破了以往相对清晰的安全边界,因此也带来了新的安全难题。特别是与互联网相连后,既面临来自互联网的外部威胁,又与工业生产等内部安全问题相互交织。 为解决这些问题,夯实安全基础,保障工业互联网安全发展,海尔建立了卡奥斯工业安全态势感知平台,平台集安全态势感知和安全运营于一体,是行业内首个打通工业互联网工业网络安全要素的安全监测服务平台。平台基于整体环境,以安全大数据为基础,工业企业内外网安全监测为核心、协同联动和信息共享为驱动,从全局视角对 安全威胁进行发现识别、理解分析和响应处置。最终形成针对网络安全的决策与行动。 2.2.2 典型安全问题 1、 建立家电行业工业互联网系统安全防护体系顶层设计 目前在工业的安全防护建设中,所采用的仍然是传统的针对IT 系统的安全防护理论与防护体系,这在面对工业控制系统网络安全防护的特殊要求面前显得力不从心。此外,目前所推出的各类工业网络的安全防护解决方案,并没有对这些安全防护产品 24 之间的关系进行统筹考虑与分析,缺乏对工业控制网络的安全防护问题的顶层设计。 通过本项目的建设,可以形成一个情报收集、维护、使用的综合型平台,使情报有效落地,更高效的利用情报完善攻击发现、事件分析响应、事件处置及预防等相关工作。 2、 建立工业信息安全的态势感知能力 在实际工作过程中 发现, 企业对自己所处网络环境的安全状况并不清晰。对自己在公网上的暴露程度不了解,对已经发生的网络安全事件不敏感,对网络安全没有预知能力也没有应对能力。 通过建立态势感知平台实现对安全状况的综合分析和量化评估。比如,对 资产暴露发生的变化及安全 问题 出现 进行全面、快速和准确地捕获和分析,帮助企业了解 其暴露在互联网中的 资产的 状况和安全威胁,帮助 监管单位了解区域内 资产 的安全态势 ,并实现实时、动态的可视化展现,展现的内容包括全国基于地理信息的综合态势,基于漏洞严重性、影响范围等综合因素的漏洞态势。 采用工业互联网基于业务关联的资产风险评估模型,实现准确实时的在线资产风险评估、监测单位风险评估、区域风险评估和行业风险评估,及时掌握工业互联网资产、监测单位的安全态势觉察、跟踪和分析。通过资产风险评估模型,能够实时掌握工业 互联网资产 整体风险 态势、监测 企业的 风险态势、 区域 风险态势和行业风险态势 ,及时预警通报所监测范围内的安全威胁、安全风险和安全隐患; 利用精确的地图定位 抓重点 , 知 短板, 重点 25 进行 问题 的 问题 整改。 3、 建立工业网络安全管理体系 工业生产中,连续生产是第一要素,如何结合工业生产的特点,合理的对工业网络安全进行管理是解决工业网络安全的难点。目前所采用的安全管理方法,往往会与企业的业务需求产生冲突,甚至为了追求可用性而牺牲安全。建立一套行之有效而且能够适用于工业生产特点的安全管理体系势在必行。 4、 建立有效的工业互联网综合防护体系 在工业企业的日常运营中出现网络安全问题,往往不能及时的定位、解决。而 且问题往往会涉及多个设备,需要跨多个厂家多个专业来解决。对企业而言,问题不能在第一时间解决造成了问题扩散,增加了问题造成的损失。对设备厂家也需要浪费大量人力物力协助企业来解决问题。 通过企业风险评估和上报的安全事件全面感知工业互联网安全态势,掌握重点企业安全现状,落实安全管理职责,协助企业进行安全检查和事件整改,加强与外部资源联系例如工控系统集成商或者原厂的合作,通过实时的威胁情报分享和风险通报,形成协同安全解决方案。 2.2.3 安全解决方案 海尔承接国家战略,集成工业互联网企业生产网络安全全要素,建设工业互联网安全 态势感知系统,形成安全可视化运营平台。全面掌握工业互联网企业下属所有工厂的生产网络运行状态,包括关键事件、安全态势、资产统计、漏洞展现、威胁告警等, 26 建立三级联动的综合防护体系。平台解决工业互联网企业工业网络监控能力和分析能力不足导致的工业安全威胁不可知的问题,降低资产威胁分析的成本,提高威胁告警精准度,同时平台提供安全防护、安全态势感知、威胁处置、应急响应四类网络安全服务,全方位助力工业互联网企业智能制造安全升级。 1、 项目总体架构和主要内容 ( 1)技术架构 平台主要包括应用服务层、数据采集层、数据存储、数据分析层等内容,整体组成如下图 1所示: 图 3 技术架构 图 数据采集层 为实现工业互联网安全监测预警平台的价值,首先需要对重点单位工业互联网网络空间进行资产探测,发现工业互联网资产 27 后进行资产识别和漏洞识别,为后续的应用系统开发提供基础支撑。 数据存储层 数据存储层为整个系统提供了底层的数据存储服务,工业互联网安全监测预警平台作为一个大数据平台需要采集存储分析海量数据,因此为了支持本地私有云海量数据的存储与快速查询,数据中 心采用自主研发优化的智能检索引擎 ES,满足大量的数据搜索请求和数据存储等需求,实现更高的查询性能。 ES提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful web接口,能够达到实时搜索,稳定,可靠,快速,安装使用方便。在不考虑网络性能的前提下,支持 2000亿条日志记录以上的入库和查询,响应时间需要在 3秒之内。 数据分析层 数据分析层主要目的在于为上层应用系统提供数据加工、统计、计算等相关能力。数据分析包含了智能检索引擎、数据挖掘引擎、关联分析引擎、统计分析引擎、 3D可视化引擎和数据处理引擎等,为在上 层提供多种查询、分析及计算以支撑不同的应用系统,为上层应用系统提供数据支撑。 应用服务层 应用服务层根据平台建设目标和实际业
展开阅读全文