安恒信息在工業互聯網安全方向的典型行業應用案例

工業企業“全棧”安全系列推文將介紹安恒信息在工業互聯網安全方向的典型行業應用案例。

“全棧”安全即以合規安全能力中心、綜合安全服務中心和安全運營管理中心為三大支柱，形成以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防體系，已在能源、市政、煙草、軌道交通、智能制造等行業形成了大量的工控安全實踐案例。

一、建設背景

6月27日，名為Gonjeshke Darande的黑客組織聲稱對伊朗國有企業胡齊斯坦鋼鐵公司進行了攻擊，共入侵三家鋼鐵公司：the Khouzestan Steel Company (KSC), the Mobarakeh Steel Company (Isfahan) (MSC) 和 the Hormozgan Steel Company (HOSCO)，公布的圖片視頻為KSC公司。此次黑客攻擊導致了KSC鋼鐵廠一臺重型機械出現故障引發了大火被迫停產。

該事件發生后，備受國內外廣泛關注，尤其鋼鐵行業是我國國民經濟的重要基礎產業，是國際經濟水平和綜合國力的重要標志，鋼鐵發展直接影響著與其相關的國防工業及建筑、機械、造船、汽車、家電等行業。為了更好地應對新的市場挑戰，各鋼鐵企業都在積極推進信息化建設、數字化轉型等新模式。鋼鐵行業工業以太網一般采用環網結構，為實時控制網，負責控制器、操作站及工程師站之間過程控制數據實時通訊網絡，網絡上所有操作站、數采機及PLC都使用以太網接口并設置為同一網段IP地址，網絡中遠距離傳輸介質為光纜，本地傳輸介質為網線（如PLC與操作站之間）。但與此同時，工控信息安全防護相對滯后，給企業工控系統帶來了安全風險。主要包括以下幾個方面：

生產網絡面臨來自互聯網或者管理網的外部攻擊，邊界防護手段不足；

未劃分安全域或安全域之間未嚴格隔離；

網絡流量缺乏有效監控措施；

缺乏對工控協議有效的防護措施；

工作站主機未做安全防護或安全防護措施不夠；

組織結構人員職責不完善，專業人員缺乏；

應急響應機制欠健全，需進一步提高網絡安全事件響應能力；

缺少第三方運維人員的安全審計手段。

二、解決方案

1.工控安全防護體系建設

安恒信息根據鋼鐵企業工控系統測評和安全防護評估發現的風險點及國內外的工控網絡安全發展形勢，結合現場實際安全需求，從安全管理、安全建設和安全運營三個維度，以安全檢測、安全防御、安全運維、安全響應為安全技術手段，結合安恒信息的安全服務及工控安全產品，構建貫穿工業控制系統全生命周期的安全防護體系，為鋼鐵企業的數字化轉型帶來的安全問題提供強有力的保護措施。

圖1 工控安全總體設計思路

安恒信息在工控安全建設過程中遵循ANSI/ISA-99標準的縱深防御思想，對鋼鐵企業工業控制系統網絡劃分為不同的安全區域，每種區域有不同的安全級別，具有相同功能和安全需求的設備在同一區域內，不同區域之間的訪問通過安全設備進行隔離，完成對不同區域的安全保護。

結合鋼鐵企業的網絡架構，依據《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《工業互聯網企業網絡安全分類分級管理試點》等相關標準政策，在實施過程中保證業務應用的可用性、完整性和保密性，充分考慮各種技術的組合和功能的互補性，提供多重安全措施的綜合防護能力，從外到內形成一個縱深的安全防御體系，保障工控系統整體的安全保護能力。

在企業資源層與生產管理層之間部署工業安全隔離網閘，實現生產網及辦公網的隔離；

在數采機與安全域匯聚交換機之間部署工業防火墻，對不同的安全區域進行安全防護，阻止網絡攻擊在不同區域間滲透，保障關鍵資產和業務的安全；另外基于采用白名單策略防護，阻止了一切不可信的數據和操作行為，最大程度的防范未知威脅；

在生產網各安全域匯聚交換機上部署工控安全監測審計平臺，實時檢測出針對域內的工業協議的網絡攻擊、誤操作、違規操作、非法IP或非法設備接入以及病毒的傳播并實時報警，幫助客戶及時采取應對措施，減少系統異常風險；

在生產網關鍵工作站主機部署主機安全及管理系統（EDR）{主機安全及管理系統（管控平臺）部署在中心機房}，用于保護操作員站和工程師站等主機免受病毒等各種非法攻擊，可以有效管控主機的USB等外部端口；

在生產管理層中心機房內部署工控安全漏洞掃描平臺，用以發現工控資產，識別資產漏洞信息，以便敦促企業及時修補隱患；部署數據庫審計系統，對進出核心數據庫的訪問流量進行數據報文字段級的解析操作，數據庫不再處于不可知、不可控的情況，數據威脅將被迅速發現和響應；

在生產網中配備一套工業控制系統信息安全等級保護檢查工具箱，為企業開展工控系統的自檢自查工作提供專業的測評知識和測評方法，幫助企業了解等級保護達標要求；

在生產管理層新建安全管理域，在安全域內部署日志審計、堡壘機、工業安全態勢感知平臺等，實現對鋼鐵企業的日志收集、安全運維、協同處置、應急響應等，提供綜合安全運營能力。

產品部署圖如下：

圖2 工控安全產品部署圖

2.工控安全管理體系建設

從組織信息安全的各個角度和整個生命周期來考察，鋼鐵企業現有的信息安全管理體系與標準是不夠完備的，特別是忽略了組織中最活躍的因素――人的作用。考察國內外的各種信息安全事件，我們不難發現，在信息安全事件表象后面其實都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復雜的組織信息系統安全性的。

因此，鋼鐵企業為達到保護信息資產的目的，應在“以人為本”的基礎上，充分利用現有的服務標準與最佳實踐，制定出周密的、系統的、適合組織自身需求的工控信息安全管理體系。

根據企業的現狀提出如下適合其自身業務發展和信息安全需求的工控信息安全管理框架，并在正常的業務開展過程中具體實施，通過落實制度和人員培訓來實現。

圖3 工控網絡安全管理體系框架

三、方案總結

經過以上總體防護方案的建設，為鋼鐵企業構筑自身安全防護體系，其生產及管理網絡具備主動防御能力、監控能力、預警能力、響應能力。在此基礎上，可以在網絡安全培訓、安全應急演練、項目成果推廣等方面繼續完善、實踐和優化，從而進一步提高鋼鐵企業的安全防護能力。