深圳融安网络科技有限公司
1 项目概况
1.1 项目背景
广西广投新材料集团有限公司旗下的南南铝加工、柳州银海铝、来宾新材、正润新材和桂东电子等五家企业是集研发、生产和经营为一体的航空航天交通铝新材料先进制造商,所生产的产品广泛应用于航空航天、轨道交通、汽车、船舶、3C电子等领域。为积极响应国家号召,紧随“智能制造”前进步伐,提高企业自身竞争力以及谋求企业更好的发展,广西广投新材料集团针对旗下各生产企业进行智能制造升级和改造,通过采取最新的技术构成高效、品质优良、满足生产要求和低成本的智能化制造执行系统MES,进一步提高生产效率,推进产供销一体化。根据“同步规划、同步建设、同步运行”的原则,在推进业务系统智能制造升级改造的同时,同步纳入网络安全建设。
当前,广西广投新材料集团有限公司旗下各生产企业的生产系统及配套的辅控系统网络安全防护措施薄弱,安全防护技术滞后,新增的MES系统在促进生产业务的“智能制造”同时也带来对应的网络安全防护挑战,现有的防护技术已不能满足当今的网络安全防护需求,亟需进行网络安全建设改造。
1.2 项目简介
广西广投新材料集团有限公司旗下各生产线的生产系统肩负着集团日常生产的重任,而系统的安全稳定运行关系到企业经营的“命脉”,因此,保障生产系统的网络安全稳定运行至关重要。
依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)标准要求,遵循“一个中心三重防御”的技术防护指导,结合工业控制系统的网络层次架构,分别从企业资源层、生产管理层、过程监控层、现场控制层和现场设备层各层面入手,运用工控协议解析、指纹识别、黑白名单机制和主动防御等工业控制系统防护技术,添加安全隔离、入侵检测、安全审计和恶意代码防范等技术措施,并形成统一安全管理中心,优化日常安全管理体系,健全安全管理制度,提升生产系统网络安全整体防护能力水平,满足等级保护标准要求,实现“合规”安全生产。
1.3 项目目标
为贯彻落实《中华人民共和国网络安全法》要求,依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),结合《工业控制系统信息安全防护指南》等工控行业指导文件,本次项目的实施目标如下:
(1)建立和完善工业信息安全保障系统,增强态势感知的安全预警能力、及时有效的安全防御能力、快速响应的应急处置能力和安全可靠的灾难恢复能力,实现网络安全由边界防护、被动防御向全域联动、主动防御转变。
(2)确保企业生产所需的通信网络和服务不中断,工业生产设备、控制系统、信息系统可靠、正常运行,数据不因偶然或者恶意的原因遭受破坏、更改、泄露,全面提高广西广投新材料集团有限公司的信息防护水平。
(3)使广西广投新材料集团有限公司整体满足通过信息安全等级保护二级测评要求,形成与智慧制造相适应的网络安全保障系统。
2 项目实施
2.1 应用场景分析
铝加工生产车间包括熔铸、挤压、热轧和冷轧车间等重要生产车间,各车间均部署有多套PLC控制设备,主要包括Siemens S7-300、Siemens S7-400和AB SLC5等,并由此组成了单个工艺或生产线的PLC控制系统,系统网络拓扑图如图1所示。
图1 生产车间PLC系统网络拓扑图
经过现场调研和风险评估,各生产车间生产系统存在以下安全隐患:
(1)生产系统网络存在违规外联至办公网的现象,网络边界缺乏可靠隔离技术防护措施。
(2)生产系统内部缺乏入侵检测、安全审计以及集中监测等技术措施。
(3)PLC、组态软件以及上位机操作系统存在大量高中危安全漏洞,缺乏安全漏洞防范技术措施。
(4)上位机等操作站缺乏恶意代码防范技术措施,病毒防护技术手段“空白”。
(5)上位机等操作站针对USB外设接入等行为缺乏有效的技术管控措施,外设终端等设备可随意通过USB接口方式接入。
(6)上位机操作系统、数据库、组态软件和应用软件等未进行安全加固,存在弱口令等现象。
2.2 解决方案
(1)边界防护
在各生产车间网络的边界处部署工业防火墙和工业隔离网闸,采用适用于工控网络的“黑白名单”机制和协议解析,细化访问控制粒度,对非法及异常访问行为进行拦截阻断,降低设备厂家远程接入运维时面临的网络安全风险。
(2)网络监测
分别在各生产车间网络关键节点中旁路部署工业入侵检测系统和监测审计系统,对攻击行为进行检测和告警,实现网络流量的采集分析监测和异常告警。
(3)日志审计
分别在各生产车间网络中部署日志审计系统,实现日志信息的收集和集中分析,并提供日志查询、历史日志查询和事件告警功能,及时了解网络设备运行状态,识别存在的安全事件,提高系统安全防护能力。
(4)上位机安全
部署工业终端安全卫士和USB安全防御系统,对操作系统进行安全加固,采取“白名单”机制,实现病毒主动免疫和USB接入行为管控。
(5)集中管控
建立安全管理中心,部署统一安全管理平台和堡垒机,实现对网络安全设备的统一安全管控,及安全设备的状态监控、审计管理和策略管理等集中管控功能,构筑安全管理中心平台,提升整体网络安全防护和运维管控水平。
(6)漏洞管控
部署工业安全评估系统,定期对工控系统进行安全评估和漏洞扫描,及时发现系统网络中存在的安全隐患,识别存在的已知安全漏洞,通过网络“黑名单”方式进行安全漏洞防护,消除或降低面临的威胁风险。
(7)管理优化
根据等保2.0的安全管理要求,从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等层面,进行管理制度修编和梳理,建立安全管理制度体系和日常安全运维操作规程,加强安全培训、安全评估和应急预案,提升企业日常网络安全运维水平。
2.3 实际应用效果
(1)增强防护,保障安全生产
通过采取技术和管理等一系列措施,弥补现有生产系统网络安全层面的空白,提高安全防护水平,降低遭受攻击破坏的风险,保障生产系统网络的安全稳定运行,助力企业安全生产。
(2)安全合规,推动网络建设
安全合规建设,满足网络安全法和等级保护标准要求,推动工控网络安全工作的开展和落实,助力企业提升网络安全防护水平。
(3)网络可视,助于安全管控
通过智能学习构建可视化工控网络拓扑,使工控网络“看得见、摸得着”,帮助管理人员轻松掌握网络安全状况,提高运维工作效率。
(4)实时监测,构建主动防御
采取“白名单”为主“黑名单”为辅的措施,对网络行为进行监测、控制和预警,实现“事前监控、事中控制”,静态和动态的主动防御体系对保障生产控制系统的安全稳定运行起到至关重要的作用。
(5)安全审计,便于历史追踪
对工控协议行为进行深度解析,为网络行为活动提供流量审计、行为审计、协议审计和内容审计,生成审计记录,一旦发生安全事件,能够提供清晰溯源定位支撑,为“事后追踪”提供有力证据保障。
3 案例亮点
(1)项目推广性分析
· 提高制造业工业控制系统的安全防护能力,促进项目成果在新材料集团所管理的子单位内推广应用。
本项目应用了基于制造业工业控制系统的防护手段,构建了以安全可控为目标、监控审计为特征的制造业工业控制系统新一代主动防御体系,提高了制造业工业控制系统整体安全性。项目的成功实施,为在公司范围内其他铝厂工业控制系统中推广应用奠定基础,提高公司一体化安全防护的能力。
· 促进项目成果在其他重要行业的推广应用。
本项目应用的基于工业控制系统的防护装备是实现主动防御的重要技术手段,已获国家和网络安全行业广泛认可。基于工控系统防护技术、具有监控审计特征的主动安全防护体系和监测系统在制造业工业控制系统中的规模应用,为其在其他行业的大范围推广提供了重要参考。
(2)项目示范性分析
形成制造业高安全等级的生产控制安全防护典型示范。
本项目实施的具有免疫特征的安全防护体系和机制、关键技术不仅可应用于制造业工业控制系统,同时可应用于广泛部署工业控制系统的其他行业企业,有助于提高其他行业整体的网络安全水平。
(3)安全性分析
提高制造业工业控制系统安全运行的稳定性和可靠性,降低安全事件造成的经济损失。
本项目成果为制造业工业控制系统提供综合的安全防护方案,保障了工业控制系统安全稳定运行,实现对病毒、木马等恶意程序的免疫,可防范内外部人员攻击、软件后门利用等多种威胁,为工业控制系统的安全保障能力符合国家等保要求提供技术支撑,避免重大停产事故和控制系统安全事件带来的经济损失,显著加强工业控制系统在国际网络战环境下防范新型攻击的能力,进而有效保障国民经济的稳定发展。
(4)示范性分析
形成国家网络安全重大战略典型示范。
本项目设计思想、核心技术、相关成果不仅适合于南南铝加工工业控制系统,而且适用于其它等保同级控制系统,本项目成果在新材料集团南南铝加工的示范应用,将为其在国内其他重要工业控制系统中推广应用积累宝贵经验。同时,项目提出符合国家标准、体系化的解决方案,将促进国内网络安全产业链的发展,提高国家重要工业控制系统的安全防护能力。
(5)创新性分析
促进国家网络安全产业发展,引领科技创新。
本项目全部采用国产软硬件产品,带动国内软硬件产业优化升级,有利于推进我国关键基础设施网络安全等级保护建设,推动网络安全产业的发展,完善相关产业生态环境,增强我国网络安全产业的国产化替代能力。
