安恒信息在工业互联网安全方向的典型行业应用案例 - 网安 - 专业的网络安全产业、社区、知识平台

工业企业“全栈”安全系列推文将介绍安恒信息在工业互联网安全方向的典型行业应用案例。

“全栈”安全即以合规安全能力中心、综合安全服务中心和安全运营管理中心为三大支柱，形成以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防体系，已在能源、市政、烟草、轨道交通、智能制造等行业形成了大量的工控安全实践案例。

一、建设背景

6月27日，名为Gonjeshke Darande的黑客组织声称对伊朗国有企业胡齐斯坦钢铁公司进行了攻击，共入侵三家钢铁公司：the Khouzestan Steel Company (KSC), the Mobarakeh Steel Company (Isfahan) (MSC) 和 the Hormozgan Steel Company (HOSCO)，公布的图片视频为KSC公司。此次黑客攻击导致了KSC钢铁厂一台重型机械出现故障引发了大火被迫停产。

该事件发生后，备受国内外广泛关注，尤其钢铁行业是我国国民经济的重要基础产业，是国际经济水平和综合国力的重要标志，钢铁发展直接影响着与其相关的国防工业及建筑、机械、造船、汽车、家电等行业。为了更好地应对新的市场挑战，各钢铁企业都在积极推进信息化建设、数字化转型等新模式。钢铁行业工业以太网一般采用环网结构，为实时控制网，负责控制器、操作站及工程师站之间过程控制数据实时通讯网络，网络上所有操作站、数采机及PLC都使用以太网接口并设置为同一网段IP地址，网络中远距离传输介质为光缆，本地传输介质为网线（如PLC与操作站之间）。但与此同时，工控信息安全防护相对滞后，给企业工控系统带来了安全风险。主要包括以下几个方面：

生产网络面临来自互联网或者管理网的外部攻击，边界防护手段不足；

未划分安全域或安全域之间未严格隔离；

网络流量缺乏有效监控措施；

缺乏对工控协议有效的防护措施；

工作站主机未做安全防护或安全防护措施不够；

组织结构人员职责不完善，专业人员缺乏；

应急响应机制欠健全，需进一步提高网络安全事件响应能力；

缺少第三方运维人员的安全审计手段。

二、解决方案

1.工控安全防护体系建设

安恒信息根据钢铁企业工控系统测评和安全防护评估发现的风险点及国内外的工控网络安全发展形势，结合现场实际安全需求，从安全管理、安全建设和安全运营三个维度，以安全检测、安全防御、安全运维、安全响应为安全技术手段，结合安恒信息的安全服务及工控安全产品，构建贯穿工业控制系统全生命周期的安全防护体系，为钢铁企业的数字化转型带来的安全问题提供强有力的保护措施。

图1 工控安全总体设计思路

安恒信息在工控安全建设过程中遵循ANSI/ISA-99标准的纵深防御思想，对钢铁企业工业控制系统网络划分为不同的安全区域，每种区域有不同的安全级别，具有相同功能和安全需求的设备在同一区域内，不同区域之间的访问通过安全设备进行隔离，完成对不同区域的安全保护。

结合钢铁企业的网络架构，依据《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《工业互联网企业网络安全分类分级管理试点》等相关标准政策，在实施过程中保证业务应用的可用性、完整性和保密性，充分考虑各种技术的组合和功能的互补性，提供多重安全措施的综合防护能力，从外到内形成一个纵深的安全防御体系，保障工控系统整体的安全保护能力。

在企业资源层与生产管理层之间部署工业安全隔离网闸，实现生产网及办公网的隔离；

在数采机与安全域汇聚交换机之间部署工业防火墙，对不同的安全区域进行安全防护，阻止网络攻击在不同区域间渗透，保障关键资产和业务的安全；另外基于采用白名单策略防护，阻止了一切不可信的数据和操作行为，最大程度的防范未知威胁；

在生产网各安全域汇聚交换机上部署工控安全监测审计平台，实时检测出针对域内的工业协议的网络攻击、误操作、违规操作、非法IP或非法设备接入以及病毒的传播并实时报警，帮助客户及时采取应对措施，减少系统异常风险；

在生产网关键工作站主机部署主机安全及管理系统（EDR）{主机安全及管理系统（管控平台）部署在中心机房}，用于保护操作员站和工程师站等主机免受病毒等各种非法攻击，可以有效管控主机的USB等外部端口；

在生产管理层中心机房内部署工控安全漏洞扫描平台，用以发现工控资产，识别资产漏洞信息，以便敦促企业及时修补隐患；部署数据库审计系统，对进出核心数据库的访问流量进行数据报文字段级的解析操作，数据库不再处于不可知、不可控的情况，数据威胁将被迅速发现和响应；

在生产网中配备一套工业控制系统信息安全等级保护检查工具箱，为企业开展工控系统的自检自查工作提供专业的测评知识和测评方法，帮助企业了解等级保护达标要求；

在生产管理层新建安全管理域，在安全域内部署日志审计、堡垒机、工业安全态势感知平台等，实现对钢铁企业的日志收集、安全运维、协同处置、应急响应等，提供综合安全运营能力。

产品部署图如下：

图2 工控安全产品部署图

2.工控安全管理体系建设

从组织信息安全的各个角度和整个生命周期来考察，钢铁企业现有的信息安全管理体系与标准是不够完备的，特别是忽略了组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件，我们不难发现，在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。

因此，钢铁企业为达到保护信息资产的目的，应在“以人为本”的基础上，充分利用现有的服务标准与最佳实践，制定出周密的、系统的、适合组织自身需求的工控信息安全管理体系。

根据企业的现状提出如下适合其自身业务发展和信息安全需求的工控信息安全管理框架，并在正常的业务开展过程中具体实施，通过落实制度和人员培训来实现。

图3 工控网络安全管理体系框架

三、方案总结

经过以上总体防护方案的建设，为钢铁企业构筑自身安全防护体系，其生产及管理网络具备主动防御能力、监控能力、预警能力、响应能力。在此基础上，可以在网络安全培训、安全应急演练、项目成果推广等方面继续完善、实践和优化，从而进一步提高钢铁企业的安全防护能力。