等保2.0下煙草企業(yè)該如何開展安全等級保護(hù)建設(shè)工作
【時間】2020-03-24
【編輯】Admin
【瀏覽量】
【等級保護(hù)QQ交流群】881590869
隨著等保2.0在2019年的正式施行,標(biāo)志著企業(yè)需要按照等保2.0的基本要求來開展安全建設(shè)工作。但多數(shù)企業(yè)對于如何在等保2.0的要求下開展工業(yè)控制系統(tǒng)安全建設(shè)還存在疑惑,所以此次我們結(jié)合在某工煙企業(yè)工控安全建設(shè)的實踐經(jīng)驗,來給大家分享下工煙企業(yè)在等保2.0的要求下該如何開展安全建設(shè)工作。該項目到目前為止,共完成了兩期的工控安全建設(shè)工作,涉及制絲、卷包、動力能管、物流等工煙企業(yè)核心生產(chǎn)業(yè)務(wù)系統(tǒng)。一期項目于2018年完成,主要對各個生產(chǎn)業(yè)務(wù)系統(tǒng)開展安全風(fēng)險評估工作。通過對各生產(chǎn)業(yè)務(wù)系統(tǒng)的資產(chǎn)梳理,從資產(chǎn)的安全特性出發(fā)結(jié)合各生產(chǎn)業(yè)務(wù)系統(tǒng)工藝特點,分析工控系統(tǒng)的威脅來源與自身的脆弱性,歸納岀企業(yè)工控系統(tǒng)面臨的主要安全風(fēng)險,輸出風(fēng)險評估報告,并根據(jù)報告設(shè)計網(wǎng)絡(luò)安全防護(hù)解決方案。二期項目2019年完成,主要依據(jù)一期項目的風(fēng)險評估報告,結(jié)合2019年發(fā)布的等級保護(hù)2.0相關(guān)要求,對一期設(shè)計的安全防護(hù)解決方案進(jìn)行優(yōu)化,并落地實施。二期工控安全建設(shè)工作的核心在于對部署的各類安全設(shè)備定制符合業(yè)務(wù)特點的安全策略,既解決了用戶工控系統(tǒng)中實際存在的安全問題,也幫助企業(yè)完成等保2.0對標(biāo)工作。我們也在積極的配合用戶進(jìn)行第三期項目的規(guī)劃。下面我們以每一期為著點為大家介紹項目安全建設(shè)過程。一期工業(yè)控制系統(tǒng)安全風(fēng)險評估在項目前期,我們了解到客戶的訴求是逐步進(jìn)行企業(yè)的工控安全建設(shè)工作。我們給出的建議是第一期項目優(yōu)先開展風(fēng)險評估工作。企業(yè)對自己的家底摸不清,這也是目前我國工業(yè)企業(yè)用戶都面臨了一個通用的問題。這給企業(yè)如何有效的開展工控安全建設(shè)工作帶來了很大的阻力。經(jīng)過和該企業(yè)相關(guān)安全負(fù)責(zé)人溝通,確定了一期項目工控安全評估的幾個方向,具體如下:
在這一環(huán)節(jié),對資產(chǎn)進(jìn)行安全屬性分析、賦值是關(guān)鍵。需要根據(jù)各業(yè)務(wù)系統(tǒng)內(nèi)資產(chǎn)所承擔(dān)的業(yè)務(wù)重要程度來進(jìn)行賦值。
出于保密考慮,不對賦值的細(xì)節(jié)進(jìn)行公開描述??傮w上該工煙企業(yè)工業(yè)控制系統(tǒng)主要以SIEMENS S7-300/400系列控制設(shè)備為主,網(wǎng)絡(luò)設(shè)備主要以SIEMENS、華為、華三設(shè)備為主,應(yīng)用軟件主要以GE IFix為主;系統(tǒng)中主要用到的工業(yè)協(xié)議有:OPC、S7、Modbus TCP/RTU等。根據(jù)其資產(chǎn)類型,可判斷其存在的脆弱性,結(jié)合其承擔(dān)業(yè)務(wù)的重要程度來綜合賦值。
通過工業(yè)控制系統(tǒng)所處的環(huán)境以及系統(tǒng)的內(nèi)部因素、外部因素識別出威脅源、威脅途徑及其可能發(fā)生的概率;
根據(jù)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、主要采用的網(wǎng)絡(luò)設(shè)備、控制設(shè)備、軟件以及工業(yè)協(xié)議等,識別出資產(chǎn)脆弱性的影響程度。對該工煙企業(yè)工業(yè)控制系統(tǒng)現(xiàn)有的安全技術(shù)防護(hù)、安全管理制度等方面進(jìn)行評估,并分析其安全保障措施的有效性、合規(guī)性。結(jié)合工業(yè)控制系統(tǒng)的資產(chǎn)識別、威脅識別、資產(chǎn)脆弱性分析及現(xiàn)有安全管理措施評估等方面,綜合分析該工煙企業(yè)工業(yè)控制系統(tǒng)存在的主要安全風(fēng)險,并輸出風(fēng)險評估報告及安全防護(hù)整改建議。 通過安全風(fēng)險評估,結(jié)合現(xiàn)場實際情況,總結(jié)如下安全問題,這些安全問題在各個煙草企業(yè)都具備一定共性。1) 生產(chǎn)網(wǎng)內(nèi)、外安全域缺乏有效的安全防護(hù)措施,存在著攻擊者通過互聯(lián)網(wǎng)、廠級辦公網(wǎng)作為跳板,利用病毒、木馬遠(yuǎn)程對工控系統(tǒng)實施攻擊的行為;2) 工控系統(tǒng)關(guān)鍵的網(wǎng)絡(luò)節(jié)點缺少異常監(jiān)測、審計等安全措施,無法及時有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常業(yè)務(wù)指令、異常網(wǎng)絡(luò)流量、異常通信行為等安全威脅;3) 病毒防范能力較弱,U盤等移動介質(zhì)使用不規(guī)范。一旦病毒、木馬等惡意代碼進(jìn)入生產(chǎn)網(wǎng)絡(luò),會導(dǎo)致工控主機(jī)系統(tǒng)癱瘓或使應(yīng)用軟件數(shù)據(jù)被篡改,間接導(dǎo)致生產(chǎn)線良品率下降或系統(tǒng)頻繁停機(jī);4) 該工煙企業(yè)工控系統(tǒng)的維修、維護(hù)工作主要靠系統(tǒng)集成商來完成,但該企業(yè)缺少對第三方運維人員操作行為的技術(shù)管理措施,由此也為該企業(yè)帶來極大的安全隱患,容易出現(xiàn)因第三方運維人員的操作失誤而引發(fā)生產(chǎn)事故。二期工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)依據(jù)一期輸出的安全風(fēng)險評估報告及工控安全防護(hù)解決方案,結(jié)合2019年發(fā)布的等保2.0基本要求,對前期的安全防護(hù)解決方案進(jìn)行優(yōu)化,從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)這五個技術(shù)層面升級為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心這五個技術(shù)層面。
強(qiáng)化網(wǎng)絡(luò)安全區(qū)域邊界的防護(hù)能力
首先對生產(chǎn)網(wǎng)進(jìn)行安全域劃分,縱向劃分三個安全域,包括MES層安全域、過程監(jiān)控層安全域和現(xiàn)場控制層安全域;橫向劃分安全管理中心安全域、制絲系統(tǒng)安全域、卷包系統(tǒng)安全域、動力能管安全域、物流系統(tǒng)安全域這五個安全域。在制絲、卷包、動力能管、物流系統(tǒng)、安全管理中心這五個安全域之間部署工業(yè)防火墻進(jìn)行邊界隔離;在策略配置上,首先通過配置基于五元組ACL+白名單訪問控制策略,建立各子系統(tǒng)區(qū)域邊界的安全防護(hù)模型,阻斷一切非法訪問,僅允許與各子系統(tǒng)業(yè)務(wù)相關(guān)的可信流量在網(wǎng)絡(luò)上傳輸,有效防止外部網(wǎng)絡(luò)的攻擊行為和內(nèi)部各子系統(tǒng)之間的非法訪問等行為。在業(yè)務(wù)上,MES層的OPC服務(wù)器需要讀取制絲、卷包、動力能管、物流系統(tǒng)這四個安全域內(nèi)OPC客戶端采集的生產(chǎn)業(yè)務(wù)數(shù)據(jù),所以在工業(yè)防火墻上配置OPC只讀策略,僅允許MES層OPC服務(wù)器對過程監(jiān)控層OPC客戶端的數(shù)據(jù)采集,禁止MES層OPC服務(wù)器對過程監(jiān)控層OPC客戶端寫的操作,該策略有效防止了MES層利用該接口對過程監(jiān)控層OPC客戶端數(shù)據(jù)的非法篡改行為。
提升網(wǎng)絡(luò)內(nèi)、外未知威脅檢測能力
該工煙企業(yè)生產(chǎn)網(wǎng)核心交換機(jī)與廠級辦公網(wǎng)連接,存在經(jīng)過廠級辦公網(wǎng)絡(luò)來自互聯(lián)網(wǎng)的攻擊風(fēng)險,在等保1.0的基本要求下,需在此邊界處部署入侵檢測/防御措施,對非法攻擊/惡意代碼傳播行為進(jìn)行檢測,故在一期項目方案設(shè)計中依據(jù)等保1.0的要求,設(shè)計部署入侵檢測系統(tǒng)作為邊界防御能力的補(bǔ)強(qiáng)。但在等保2.0中,更強(qiáng)調(diào)網(wǎng)絡(luò)空間安全,強(qiáng)調(diào)對未知、新型攻擊的識別,對APT攻擊的識別。所以結(jié)合等保2.0的要求,對一期的設(shè)計方案進(jìn)行優(yōu)化,在生產(chǎn)網(wǎng)與廠級網(wǎng)的核心交換機(jī)上旁路部署網(wǎng)絡(luò)威脅感知系統(tǒng),抓取生產(chǎn)網(wǎng)網(wǎng)絡(luò)流量,采用威脅情報數(shù)據(jù)及網(wǎng)絡(luò)行為分析技術(shù)對抓取的網(wǎng)絡(luò)流量進(jìn)行實時檢測、分析,深度檢測網(wǎng)絡(luò)內(nèi)、外存在的新型網(wǎng)絡(luò)攻擊行為或APT攻擊行為。同時在制絲、卷包、動力能管、物流等系統(tǒng)內(nèi)部通過抓取各子系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點網(wǎng)絡(luò)流量,梳理網(wǎng)絡(luò)訪問關(guān)系,建立正常網(wǎng)絡(luò)訪問通信模型,形成“業(yè)務(wù)通信基準(zhǔn)庫”,及時有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常業(yè)務(wù)指令、異常網(wǎng)絡(luò)流量、異常通信行為等安全風(fēng)險并進(jìn)行告警,保證了只有可信流量才能在各子系統(tǒng)網(wǎng)絡(luò)中傳輸。
構(gòu)建基于業(yè)務(wù)的工控主機(jī)安全模型
在生產(chǎn)網(wǎng)各子系統(tǒng)的服務(wù)器、工程師站、操作員站等工控主機(jī)上部署主機(jī)安全防護(hù)軟件;通過對系統(tǒng)、外設(shè)、網(wǎng)絡(luò)、應(yīng)用的四重鎖定,有效的阻止病毒、木馬及“0-Day”漏洞的感染以及被利用,保護(hù)系統(tǒng)關(guān)鍵資源。從而實現(xiàn)工控主機(jī)從啟動、加載到持續(xù)運行過程的全生命周期安全防護(hù),從根本上解決了防病毒軟件帶來的誤殺、漏殺、占用系統(tǒng)資源、需要聯(lián)網(wǎng)升級病毒庫等問題,最終構(gòu)建基于業(yè)務(wù)行為的工控主機(jī)安全計算環(huán)境。 在工業(yè)控制系統(tǒng)內(nèi)防病毒軟件的不適用已經(jīng)被廣泛認(rèn)識到,目前通用的解決方案一般均是采用白名單技術(shù)來代替殺毒軟件,采用基于白名單技術(shù)的防護(hù)軟件已被測評公司和企業(yè)用戶認(rèn)可。
建立統(tǒng)一安全管理中心,強(qiáng)化集中安全管理
等保2.0相比等保1.0,明顯的變化在于需要在網(wǎng)絡(luò)中建立統(tǒng)一安全管理中心。我們在解決方案設(shè)計中在增加了統(tǒng)一安全管理中心的設(shè)計。安全管理中心由多臺安全設(shè)備組成,單獨形成一個安全區(qū)域,其中部署統(tǒng)一安全管理平臺,實現(xiàn)對生產(chǎn)網(wǎng)中安全產(chǎn)品的集中管理,包括策略統(tǒng)一配置、狀態(tài)統(tǒng)一監(jiān)控、網(wǎng)絡(luò)拓?fù)淇梢暬约鞍踩录?、安全日志(如:攻擊日志、流量日志、訪問日志、主機(jī)日志、系統(tǒng)日志)的關(guān)聯(lián)分析。幫助企業(yè)用戶方便對企業(yè)安全狀態(tài)的了解。其次在統(tǒng)一安全管理中心中部署安全運維管理系統(tǒng),利用安全運維管理系統(tǒng)切斷運維終端對工業(yè)網(wǎng)絡(luò)設(shè)備或資源的直接訪問,采用協(xié)議代理的方式,實現(xiàn)對生產(chǎn)網(wǎng)中網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫設(shè)備集中有序的安全運維管理,同時通過給運維人員創(chuàng)建唯一的身份認(rèn)證賬號,對運維人員從登錄到退出的全程操作行為進(jìn)行審計,進(jìn)一步加強(qiáng)工控系統(tǒng)及設(shè)備運維全過程的安全管控。安全產(chǎn)品部署專網(wǎng)化,業(yè)務(wù)流轉(zhuǎn)“零”影響工控系統(tǒng)安全建設(shè)另一個重要關(guān)注點在于安全設(shè)備的引入不應(yīng)對原有業(yè)務(wù)系統(tǒng)造成影響。工煙企業(yè)的制絲、卷包等系統(tǒng)部分工藝段對業(yè)務(wù)數(shù)據(jù)傳輸?shù)乃俾室蠓浅8?,為保證系統(tǒng)業(yè)務(wù)數(shù)據(jù)、流量傳輸?shù)母咝?、穩(wěn)定性,我們設(shè)計了安全設(shè)備管理獨立組網(wǎng)的管理方式,所有安全產(chǎn)品支持自組網(wǎng)功能,在實施部署過程中,所有安全產(chǎn)品獨立組網(wǎng),策略的下發(fā)、日志的采集等動作均不占用工控業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)帶寬,既保證工控業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運行,也保證了業(yè)務(wù)數(shù)據(jù)、流量的傳輸速率。采用獨立組網(wǎng)的同時,安全設(shè)備與安全管理平臺的數(shù)據(jù)傳輸也采用了加密傳輸?shù)姆绞?,有效保障了安全?shù)據(jù)傳輸?shù)陌踩浴_@一設(shè)計也充分符合等保2.0中對于安全管理中心的技術(shù)要求。該項目案例中我們通過安全風(fēng)險評估幫助該企業(yè)摸清了家底,通過基于等保2.0基本要求與實際業(yè)務(wù)需求設(shè)計網(wǎng)絡(luò)安全防護(hù)建設(shè)方案、制定安全策略,幫助企業(yè)解決了其工業(yè)控制系統(tǒng)中存在的主要安全風(fēng)險,同時也幫助企業(yè)完成了等保2.0合規(guī)性要求的對標(biāo)。2020年,該企業(yè)的下一步安全建設(shè)目標(biāo)是企業(yè)級態(tài)勢感知平臺的建設(shè),這也是為進(jìn)一步實現(xiàn)工業(yè)互聯(lián)網(wǎng)、互聯(lián)互通而奠定基礎(chǔ)。我們一直深耕煙草行業(yè)工控安全建設(shè),有著經(jīng)驗豐富的技術(shù)服務(wù)團(tuán)隊,近年積累了大量的煙草工業(yè)、商業(yè)工控網(wǎng)絡(luò)安全等級保護(hù)合規(guī)建設(shè)經(jīng)驗,對于煙草行業(yè)生產(chǎn)網(wǎng)業(yè)務(wù)系統(tǒng)、業(yè)務(wù)場景的工控安全建設(shè)有著深入的理解,希望此次的案例分享能夠幫助更多的煙草企業(yè)找到工控系統(tǒng)基本等級保護(hù)2.0建設(shè)的方向,為更多的煙草企業(yè)的工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)提供堅實的后盾。