文獻(xiàn)標(biāo)識碼: A
DOI:10.16157/j.issn.0258-7998.191040
中文引用格式: 李仕奇,,韓慶敏,,杜軍釗,等. 智能工廠信息安全防護(hù)方案[J].電子技術(shù)應(yīng)用,,2019,,45(12):16-19.
英文引用格式: Li Shiqi,Han Qingmin,,Du Junzhao,,et al. Intelligent factory information security protection program[J]. Application of Electronic Technique,2019,,45(12):16-19.
0 引言
自2010年震網(wǎng)(Stuxnet)病毒爆發(fā)后,,國家非常重視國家基礎(chǔ)設(shè)施的信息安全問題,。此后在2012年6月,國務(wù)院發(fā)布《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(國發(fā)[2012]23號)》中明確要求:“保障工業(yè)控制系統(tǒng)安全,。加強(qiáng)核設(shè)施,、航空航天、先進(jìn)制造,、石油石化,、油氣管網(wǎng)、電力系統(tǒng),、交通運(yùn)輸,、水利樞紐、城市設(shè)施等重要領(lǐng)域工業(yè)控制系統(tǒng),,以及物聯(lián)網(wǎng)應(yīng)用,、數(shù)字城市建設(shè)中的安全防護(hù)和管理,,定期開展安全檢查和風(fēng)險(xiǎn)評估。重點(diǎn)對可能危及生命和公共財(cái)產(chǎn)安全的工業(yè)控制系統(tǒng)加強(qiáng)監(jiān)管,?!?/p>
本文介紹了為XX企業(yè)智能工廠提供的信息安全解決方案。工業(yè)控制系統(tǒng)擁有提高效率,、節(jié)能降耗、節(jié)省人力成本,、促進(jìn)產(chǎn)業(yè)升級的明顯效果,。通過建立全面的工業(yè)控制系統(tǒng)信息安全保障體系,達(dá)到保障工業(yè)控制信息安全運(yùn)行,、工廠安全生產(chǎn)的目的,,并由此減少企業(yè)的信息安全事件,保障商業(yè)秘密不外泄,。
1 項(xiàng)目背景
在2015年12月,,工信部印發(fā)《2015年工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查試點(diǎn)工作方案的通知》。在反復(fù)檢查調(diào)研后,,了解到先進(jìn)制造,、軌道交通、電力,、石油石化等各行業(yè)工業(yè)控制系統(tǒng)絕大多數(shù)采用國外的控制系統(tǒng),,并且面臨著實(shí)際因U盤管理不規(guī)范、遠(yuǎn)程運(yùn)維不規(guī)范,、邊界未隔離等原因造成的網(wǎng)絡(luò)病毒蠕蟲,、誤操作或泄密及影響生產(chǎn)等問題,迫切需要實(shí)際的防護(hù)指南進(jìn)一步指導(dǎo),。
因此,,為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》,保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全,,工信部制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》并于2016年11月3日發(fā)布,,要求地方工業(yè)和信息化主管部門根據(jù)工業(yè)和信息化部統(tǒng)籌安排,指導(dǎo)本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控信息安全防護(hù)實(shí)施方案,,推動(dòng)企業(yè)分期分批達(dá)到本指南相關(guān)要求,。
伴隨兩化融合的實(shí)施,先進(jìn)制造業(yè)生產(chǎn)制造中的信息安全問題顯得越來越突出,,一旦網(wǎng)絡(luò)被攻陷,,不僅會(huì)破壞精密機(jī)床設(shè)備,也會(huì)泄密企業(yè)的技術(shù)信息,,一方面損壞企業(yè)形象,,另一方面會(huì)對國家和社會(huì)造成嚴(yán)重不良影響,。
XX企業(yè)主要從事軌道交通車輛關(guān)鍵零部件研發(fā)、設(shè)計(jì),、制造和服務(wù),,為保護(hù)自身網(wǎng)絡(luò)及核心技術(shù)安全,計(jì)劃通過本次項(xiàng)目對網(wǎng)絡(luò)進(jìn)行改造,,提升整體網(wǎng)絡(luò)安全防護(hù)能力[1-2],。
2 現(xiàn)狀與風(fēng)險(xiǎn)概述
XX企業(yè)擁有多條生產(chǎn)軌道交通零部件的生產(chǎn)線,生產(chǎn)工序覆蓋從冶煉到輪對總成全部流程,,可以滿足軌道交通機(jī),、客、貨,、動(dòng)全系列及工礦冶金等產(chǎn)品的制造需求,。
企業(yè)已成功實(shí)施MES、OA,、LIMS,、ERP等信息管理系統(tǒng),并且將具有感知、監(jiān)控能力的各類采集,、控制傳感器或控制器,,以及移動(dòng)通信、智能分析等技術(shù)融入到了工業(yè)生產(chǎn)過程各個(gè)環(huán)中,。還基于各種網(wǎng)絡(luò)互聯(lián)技術(shù),,從工業(yè)設(shè)計(jì)、工藝,、生產(chǎn),、管理、服務(wù)等涉及企業(yè)從創(chuàng)立到結(jié)束的全生命周期串聯(lián)起來,。通過這些積累下來的數(shù)據(jù)還可以實(shí)現(xiàn)產(chǎn)品全生命周期的管理,,為打造先進(jìn)的全自動(dòng)數(shù)字化智能工廠打下夯實(shí)的基礎(chǔ)。所以安全的,、健康的網(wǎng)絡(luò)環(huán)境就顯得尤為重要,。
經(jīng)過深入企業(yè)進(jìn)行現(xiàn)場調(diào)研和技術(shù)交流發(fā)現(xiàn),該企業(yè)生產(chǎn)車間的辦公網(wǎng),、生產(chǎn)網(wǎng)通過核心交換機(jī)連在一起,。各車間與業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng)和輔助管理系統(tǒng)、服務(wù)器,、主要網(wǎng)絡(luò)設(shè)備均運(yùn)行在同一網(wǎng)絡(luò)內(nèi),。生產(chǎn)網(wǎng)與辦公網(wǎng)僅通過VLAN和ACL等策略進(jìn)行網(wǎng)絡(luò)訪問進(jìn)行限制或隔離,暫無其他相關(guān)網(wǎng)絡(luò)安全防護(hù)措施。
經(jīng)實(shí)際現(xiàn)場訪談與勘察發(fā)現(xiàn),,工業(yè)控制系統(tǒng)面臨的信息安全問題主要有以下幾方面:
(1)網(wǎng)絡(luò)核心節(jié)點(diǎn)互聯(lián)互通,,未進(jìn)行安全加固,缺乏安全管控設(shè)備,,存在嚴(yán)重的信息安全隱患,;
(2)生產(chǎn)車間多臺上位機(jī)、服務(wù)器被惡意攻擊,,在車間發(fā)現(xiàn)有設(shè)備關(guān)聯(lián)境外IP,、域名,具體威脅影響不明確,;
(3)高精類數(shù)控設(shè)備通過使用U盤或連入網(wǎng)絡(luò)傳輸數(shù)據(jù),,可能會(huì)被傳染病毒或惡意代碼,進(jìn)而嚴(yán)重影響生產(chǎn)的產(chǎn)量,、質(zhì)量及效率。
(4)未對工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離,、惡意代碼,、異常監(jiān)測、訪問控制等一系列的防護(hù)措施,,很容易發(fā)生病毒或攻擊,,影響全部車間甚至整個(gè)企業(yè)。
(5)未對操作站主機(jī)及服務(wù)器端進(jìn)行必要的安全配置,,使得一旦能接觸訪問到該主機(jī)則被攻擊的成功機(jī)會(huì)很高,。
(6)對相關(guān)人員的操作未進(jìn)行審計(jì)記錄,一旦發(fā)生安全事件后很難取證,。
(7)未對設(shè)備及日志進(jìn)行統(tǒng)一管理,,使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析,,不易關(guān)聯(lián)分析設(shè)備間的事件和日志,,難于及時(shí)發(fā)現(xiàn)復(fù)雜的問題。
3 系統(tǒng)安全防護(hù)總體防護(hù)設(shè)計(jì)
3.1 總體設(shè)計(jì)
針對企業(yè)發(fā)現(xiàn)的安全風(fēng)險(xiǎn),按照輕重緩急原則,,從以下五個(gè)方面進(jìn)行整改:
(1)對制造企業(yè)網(wǎng)絡(luò)按照信息安全等級劃分成兩大部分:辦公網(wǎng)與生產(chǎn)網(wǎng),。兩網(wǎng)之間采用工業(yè)網(wǎng)閘隔離,其中辦公網(wǎng)分為辦公核心區(qū),、DMZ區(qū)(Demilitarized Zone,,中文名稱為“隔離區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)),、辦公服務(wù)器區(qū)、安全運(yùn)維區(qū)、辦公區(qū),、視頻專網(wǎng)多個(gè)區(qū)域,;生產(chǎn)網(wǎng)分為生產(chǎn)網(wǎng)核心區(qū)、生產(chǎn)服務(wù)器區(qū),、安全管理區(qū)及各生產(chǎn)車間區(qū)等多個(gè)區(qū)域,。
(2)在辦公核心區(qū)部署防火墻、入侵防御及防病毒設(shè)備,,避免互聯(lián)網(wǎng)側(cè)及集團(tuán)網(wǎng)絡(luò)側(cè)的安全威脅向企業(yè)內(nèi)部滲透,,對企業(yè)對外網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行安全監(jiān)測。
(3)對企業(yè)重點(diǎn)數(shù)據(jù)服務(wù)器進(jìn)行改造,,統(tǒng)一運(yùn)行在應(yīng)用服務(wù)區(qū)進(jìn)行重點(diǎn)安全防護(hù),,對重要數(shù)據(jù)服務(wù)器的數(shù)據(jù)庫操作行為進(jìn)行審計(jì)及管理。在車間部署工控漏掃系統(tǒng)定期對生產(chǎn)網(wǎng)絡(luò)中的工業(yè)設(shè)備,、重點(diǎn)服務(wù)器及操作終端進(jìn)行脆弱性檢查,,防止因系統(tǒng)漏洞造成的安全隱患出現(xiàn)。
(4)對重點(diǎn)生產(chǎn)區(qū)的接入,、匯聚層交換機(jī)進(jìn)行網(wǎng)絡(luò)改造,,將辦公終端與生產(chǎn)網(wǎng)絡(luò)設(shè)備進(jìn)行分區(qū)改造,并在各生產(chǎn)區(qū)部署工業(yè)防火墻進(jìn)行安全隔離,;在各終端部署終端安全防護(hù)系統(tǒng),,避免病毒向核心生產(chǎn)區(qū)滲透,以保障企業(yè)工控系統(tǒng)安全穩(wěn)定運(yùn)行,。同時(shí)對生產(chǎn)網(wǎng)絡(luò)內(nèi)部入侵行為進(jìn)行監(jiān)測與審計(jì),。
(5)對生產(chǎn)區(qū)無線接入網(wǎng)絡(luò)部署無線安全管理系統(tǒng)對無線設(shè)備進(jìn)行安全防護(hù),杜絕仿冒AP或非法AP在廠區(qū)出現(xiàn),,防止因無線造成網(wǎng)絡(luò)滲透或病毒襲擾,。
(6)對其業(yè)務(wù)中心網(wǎng)絡(luò)設(shè)置安全管理區(qū),對整體信息安全進(jìn)行監(jiān)控與審核,。
3.2 方案介紹
安全方案包括安全域劃分,、現(xiàn)場工控設(shè)備安全防護(hù)、網(wǎng)絡(luò)安全防護(hù),、無線安全防護(hù),、控制系統(tǒng)脆弱性評估、應(yīng)用和數(shù)據(jù)安全防護(hù)以及建立工控信息安全管理平臺等,,由于篇幅原因,,以下著重介紹作者參與設(shè)計(jì)的網(wǎng)絡(luò)安全防護(hù)的內(nèi)容。
網(wǎng)絡(luò)安全防護(hù)對辦公網(wǎng)及生產(chǎn)控制層網(wǎng)絡(luò)進(jìn)行安全防護(hù),,主要是對網(wǎng)絡(luò)邊界及安全域邊界進(jìn)行訪問控制,,對網(wǎng)絡(luò)內(nèi)部進(jìn)行異常監(jiān)測及數(shù)據(jù)庫審計(jì);防止木馬病毒蠕蟲感染進(jìn)入工控網(wǎng)中,并且及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。主要安全防護(hù)設(shè)備部署如圖1所示,。
3.2.1 出口防火墻與區(qū)域防火墻
為實(shí)現(xiàn)XX企業(yè)的網(wǎng)絡(luò)出口安全及網(wǎng)絡(luò)安全域間隔離要求,,部署區(qū)域防火墻進(jìn)行安全防護(hù),與集團(tuán)網(wǎng)絡(luò)進(jìn)行隔離,,防止非法訪問,、網(wǎng)絡(luò)入侵及病毒侵?jǐn)_;利用一體化的安全防護(hù)設(shè)備實(shí)現(xiàn)統(tǒng)一安全防護(hù)的目的,,提供網(wǎng)絡(luò)安全防護(hù)能力,。
出口一體化安全網(wǎng)關(guān)采用了業(yè)界最先進(jìn)的多核多線程并行運(yùn)算架構(gòu)、業(yè)務(wù)流解析引擎和一體化的軟件設(shè)計(jì),,集成防火墻,、VPN、反垃圾郵件,、抗拒絕服務(wù)攻擊等基礎(chǔ)安全功能,,具有功能與性能兼具的入侵防御(IPS)、防病毒,、內(nèi)容過濾,、應(yīng)用識別、URL過濾,、Web安全防護(hù)等綜合應(yīng)用安全防護(hù)能力,功能全開應(yīng)用層性能業(yè)界領(lǐng)先,,同時(shí)單位體積性能極高,,體積小、耗能低,、易維護(hù),。此外,更提供了基于云計(jì)算技術(shù)的智能防護(hù)功能,,幫助用戶抵御日益復(fù)雜的安全威脅,。防火墻架構(gòu)部署如圖2所示。
3.2.2 工業(yè)網(wǎng)閘設(shè)備
改造前該企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)間未采用安全訪問控制措施,,來自不同地址的網(wǎng)絡(luò)流量可以訪問企業(yè)內(nèi)所有網(wǎng)絡(luò)地址,,安全性非常低。
針對該區(qū)域間的安全需求,,區(qū)域間安全防護(hù)采用網(wǎng)閘進(jìn)行辦公網(wǎng)與生產(chǎn)網(wǎng)進(jìn)行安全隔離,,限制不必要的訪問網(wǎng)段,提高網(wǎng)絡(luò)安全強(qiáng)度,,用于企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問控制,。
安全隔離技術(shù)的工作原理是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立的主機(jī)系統(tǒng),模擬人工在兩個(gè)隔離網(wǎng)絡(luò)之間的信息交換。其本質(zhì)在于:兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間,,不存在通信的物理連接和邏輯連接,,不存在依據(jù)TCP/IP協(xié)議的信息包轉(zhuǎn)發(fā),只有格式化數(shù)據(jù)塊的無協(xié)議“擺渡”,。被隔離網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞方式采用完全的私有方式,,不具備任何通用性。
網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)要想做好防護(hù)的角色,,首先必須能夠保證自身系統(tǒng)的安全性,,具有極高的自身防護(hù)特性,可以阻止來自從網(wǎng)絡(luò)任何協(xié)議層發(fā)起的攻擊,、入侵和非法訪問,。網(wǎng)絡(luò)之間所有的TCP/IP連接在安全隔離與信息交換系統(tǒng)上都要進(jìn)行完全的應(yīng)用協(xié)議還原,還原后的應(yīng)用層信息根據(jù)用戶的策略進(jìn)行強(qiáng)制檢查后,,以格式化數(shù)據(jù)塊的方式通過隔離交換矩陣進(jìn)行單向交換,,在另外一端的主機(jī)系統(tǒng)上通過自身建立的安全會(huì)話進(jìn)行最終的數(shù)據(jù)通信,即實(shí)現(xiàn)“協(xié)議落地,、內(nèi)容檢測”,。這樣,既從物理上隔離,、阻斷了具有潛在攻擊可能的一切連接,,又進(jìn)行了強(qiáng)制內(nèi)容檢測,從而實(shí)現(xiàn)最高級別的通信安全與自身安全性,。工業(yè)網(wǎng)閘示意圖如圖3所示,。
3.2.3 工業(yè)防火墻設(shè)備
工業(yè)防火墻設(shè)備全防護(hù)裝置會(huì)將數(shù)據(jù)包會(huì)話接收下來,然后進(jìn)行協(xié)議解析,,再判斷協(xié)議,、端口及IP地址等內(nèi)容是否在白名單中,如果在白名單列表中,,則繼續(xù)判斷數(shù)據(jù)格式是否正確,,里面是否包含病毒,如果確保正確才通過并下發(fā)到工業(yè)控制網(wǎng)絡(luò)并記錄,;如果不在白名單列表中則就直接拒絕,,同時(shí)也會(huì)記錄日志。防火墻設(shè)備部署圖如圖4所示,。
3.2.4 工控網(wǎng)異常監(jiān)測系統(tǒng)
工控網(wǎng)異常監(jiān)測系統(tǒng)主要負(fù)責(zé)采集工控網(wǎng)絡(luò)中全面數(shù)據(jù)包,,最大可支持2.5G網(wǎng)絡(luò)流量的實(shí)時(shí)接收采集,保障工控?cái)?shù)據(jù)采集的完整性,。通過在旁路鏡像獲取到網(wǎng)絡(luò)數(shù)據(jù)包后,,對數(shù)據(jù)包內(nèi)容進(jìn)行基于擴(kuò)展NetFlow的流量分析技術(shù)的處理,,轉(zhuǎn)換成獨(dú)有的vFlow。對于基本參數(shù)字段采用了標(biāo)準(zhǔn)NETFLOWV5的統(tǒng)計(jì)字段,;對于TCP層和應(yīng)用層的擴(kuò)展參數(shù),,則擴(kuò)展插件框架,來支持了更多的應(yīng)用層協(xié)議識別,,以支持更多工控協(xié)議,。
管理平臺系統(tǒng)主要針對采集信息的分析處理及存儲(chǔ),對網(wǎng)絡(luò)流秩序自動(dòng)學(xué)習(xí)建立白名單機(jī)制以及工控系統(tǒng)合規(guī)性核查,、根據(jù)事件與策略配置生產(chǎn)告警,、工控設(shè)備管理、工控設(shè)備性能監(jiān)控,、工控漏掃,、基線核查、工控風(fēng)險(xiǎn)評估等功能,;同時(shí)提供用戶界面友好的組態(tài)配置界面,。技術(shù)架構(gòu)圖如圖5所示。
4 結(jié)論
通過建立全面的工業(yè)控制系統(tǒng)信息安全保障體系,,達(dá)到保障工業(yè)控制信息安全運(yùn)行,、工廠安全生產(chǎn)的網(wǎng)絡(luò)安全的技術(shù)要求,減少企業(yè)的信息安全事件,,保障商業(yè)秘密不外泄,,實(shí)現(xiàn)了對工控網(wǎng)進(jìn)行安全區(qū)域劃分并進(jìn)行安全防護(hù),由此保證了生產(chǎn)控制網(wǎng)和生產(chǎn)管理網(wǎng)的通信安全,。并通過實(shí)時(shí)收集信息安全相關(guān)信息建立相關(guān)的工控系統(tǒng)安全制度流程,,提升企業(yè)應(yīng)急響應(yīng)能力和信息安全事件處理效率。
通過本方案的實(shí)施,,還可以及時(shí)發(fā)現(xiàn)外發(fā)數(shù)據(jù)中潛藏的敏感信息,并能夠及時(shí)阻止敏感信息的外泄行為,,幫助企業(yè)發(fā)現(xiàn)本單位內(nèi)的敏感信息泄露事件,,解決了傳統(tǒng)防火墻、UTM及IDS束手無策的敏感信息防泄露的問題,,其次可以有效減少核心信息資產(chǎn)的破壞和泄漏,,從而保護(hù)核心信息資產(chǎn)以及數(shù)據(jù)安全。并且能夠防護(hù)惡意代碼的侵?jǐn)_,,精確識別并防護(hù)常見的Web攻擊,。同時(shí)也可以清除終端本地的病毒及木馬,加固了終端自身安全性,,從而大量減少了病毒,、木馬等的入侵行為,,并減少了網(wǎng)絡(luò)出現(xiàn)故障的幾率。從各個(gè)角度保護(hù)了網(wǎng)絡(luò)的安全,。
參考文獻(xiàn)
[1] 郭肖旺,,閔曉霜,韓慶敏.基于自適應(yīng)深度檢測的工控安全防護(hù)系統(tǒng)設(shè)計(jì)[J].電子技術(shù)應(yīng)用,,2019,,45(1):85-87,91.
[2] 豐大軍,,張曉莉,,杜文玉,等.安全可信工業(yè)控制系統(tǒng)構(gòu)建方案[J].電子技術(shù)應(yīng)用,,2017,,43(10):74-77.
作者信息:
李仕奇,韓慶敏,,杜軍釗,,李末軍
(華北計(jì)算機(jī)系統(tǒng)工程研究所,北京100083)