方案分享 | 天地和興高端制造業(yè)工控信息安全解決方案
2018-08-09 來源:
行業(yè)概述
高端制造業(yè)是指制造業(yè)不斷吸收電子信息、計(jì)算機(jī)、機(jī)械、材料以及現(xiàn)代管理技術(shù)等方面的高新技術(shù)成果,并將這些先進(jìn)制造技術(shù)綜合應(yīng)用于工業(yè)產(chǎn)品的研發(fā)設(shè)計(jì)、生產(chǎn)制造、在線檢測(cè)、營(yíng)銷服務(wù)和管理的全過程,實(shí)現(xiàn)優(yōu)質(zhì)、高效、低耗、清潔、靈活生產(chǎn),即實(shí)現(xiàn)信息化、自動(dòng)化、智能化生產(chǎn),取得很好經(jīng)濟(jì)收益和市場(chǎng)效果的制造業(yè)。
半導(dǎo)體行業(yè)特點(diǎn)
半導(dǎo)體集成電路以其極高的產(chǎn)品附加值成為高端制造行業(yè)的典型代表。集成電路制造的過程就是硅的附加值快速增長(zhǎng)的過程,集成電路的制造是一個(gè)復(fù)雜且耗時(shí)的精細(xì)流水線生產(chǎn)過程。首先要利用設(shè)計(jì)自動(dòng)化軟件進(jìn)行電路設(shè)計(jì),然后將集成電路設(shè)計(jì)的版圖轉(zhuǎn)印到石英玻璃上的鉻膜層形成光刻板或倍縮光刻板;另一方面,由石英砂提煉出的初級(jí)硅經(jīng)過純化后拉成單晶硅棒,然后切片做成晶圓。晶圓經(jīng)過邊緣化和表面處理,再與光刻板/倍縮光刻板一起送到半導(dǎo)體制造廠制造集成電路芯片。整條工藝流程對(duì)生產(chǎn)設(shè)備可靠性要求極高。例如,一個(gè)典型的12寸原始硅片,價(jià)格約120美元,經(jīng)過約500~800個(gè)工藝步驟,加工40~60天后,其價(jià)值能提高到約3000美元;假定一個(gè)芯片制造廠的月產(chǎn)能40000片~100000片,其月產(chǎn)出可以達(dá)到1.2億~3億美元,甚至更高。因此,一個(gè)穩(wěn)定運(yùn)行的芯片制造廠可以說稱之為"印鈔機(jī)"也不為過。反之,如果芯片生產(chǎn)線出現(xiàn)任何問題,如停電、網(wǎng)絡(luò)中斷、感染病毒、工藝流程等,即使幾個(gè)小時(shí)的停產(chǎn),也會(huì)給企業(yè)自身及其上下游企業(yè)帶來巨大的損失。
安全風(fēng)險(xiǎn)點(diǎn)
這次的臺(tái)積電三大生產(chǎn)基地停擺事件,目前臺(tái)積電方面已表示預(yù)估這起事件沖擊第三季營(yíng)收約百分之三,并且公布了病毒感染的原因:新機(jī)臺(tái)在安裝軟件的過程中操作失誤,因此病毒在新機(jī)臺(tái)連接到公司內(nèi)部網(wǎng)絡(luò)的時(shí)候發(fā)生了病毒擴(kuò)散的情況。
在當(dāng)前工業(yè)互聯(lián)網(wǎng)的大形勢(shì)下,高端制造業(yè)的生產(chǎn)控制網(wǎng)絡(luò)不再像人們傳統(tǒng)觀念中與互聯(lián)網(wǎng)完全隔離,隨著更多更先進(jìn)的生產(chǎn)管理系統(tǒng)的上線,越來越多的無(wú)線終端的接入,并且在工業(yè)4.0的大形勢(shì)下更多的生產(chǎn)數(shù)據(jù)需要被采集到管理辦公網(wǎng)絡(luò),企業(yè)的生產(chǎn)控制網(wǎng)暴露的風(fēng)險(xiǎn)點(diǎn)越來越多:
1、目前絕大多數(shù)的CNC設(shè)備依賴國(guó)外品牌,第三方運(yùn)維人員(尤其是國(guó)外的技術(shù)人員)在進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程運(yùn)維時(shí)可能會(huì)泄露重要生產(chǎn)數(shù)據(jù)或NC文件。
2、生產(chǎn)管理網(wǎng)的DNC服務(wù)器在從生產(chǎn)控制網(wǎng)中采集生產(chǎn)數(shù)據(jù)時(shí),使得生產(chǎn)控制網(wǎng)存在被惡意攻擊、感染病毒的風(fēng)險(xiǎn)。
3、未對(duì)工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離、惡意代碼監(jiān)測(cè)、異常監(jiān)測(cè)、訪問控制等一系列的防護(hù)措施,很容易一點(diǎn)發(fā)生病毒或攻擊,影響全部車間甚至全公司。
4、未統(tǒng)一對(duì)設(shè)備及日志進(jìn)行統(tǒng)一管理,使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析,不易關(guān)聯(lián)分析設(shè)備間的事件和日志,難于及時(shí)發(fā)現(xiàn)復(fù)雜的問題。
5、在進(jìn)行日常運(yùn)維及流程工業(yè)調(diào)整時(shí)多使用移動(dòng)介質(zhì)將NC文件導(dǎo)入高精尖數(shù)控設(shè)備或接入網(wǎng)絡(luò),會(huì)導(dǎo)致機(jī)臺(tái)感染病毒或惡意代碼并且擴(kuò)散.
6、未對(duì)操作站主機(jī)及服務(wù)器進(jìn)行合規(guī)的安全配置,使得暴露的終端被攻擊成功的可能性很高。
7、逐漸增加的無(wú)線接入點(diǎn)缺少認(rèn)證控制措施。
8、管理制度上的缺失及難于管理,缺乏相應(yīng)的安全責(zé)任人,供應(yīng)商、運(yùn)維服務(wù)商管理不嚴(yán)格,缺乏安全意識(shí)等。
解決方案
在《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》及一系列等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的指導(dǎo)下,面對(duì)高端制造行業(yè)的嚴(yán)峻安全現(xiàn)狀,天地和興推出高端制造業(yè)的工控信息安全整體解決方案,幫助制造業(yè)企業(yè)提升自身的安全防護(hù)能力、建立安全可控的監(jiān)管手段、完善可視可量化的安全評(píng)估考核體系,保障生產(chǎn)業(yè)務(wù)環(huán)境安全可靠,持續(xù)提升工控安全監(jiān)管能力。
方案架構(gòu):
通過工業(yè)防火墻、主機(jī)防護(hù)系統(tǒng)、入侵檢測(cè)、工控威脅檢測(cè)、工控安全審計(jì)、賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)、工控安全監(jiān)管與分析平臺(tái)、工控安全檢查工具箱等工控安全專用產(chǎn)品,實(shí)現(xiàn)生產(chǎn)控制網(wǎng)的安全隔離、邊界防護(hù)、訪問控制、入侵防范、APT攻擊防范、安全審計(jì)、集中管控、主機(jī)安全等,架構(gòu)圖如下:
邊界防護(hù):
1、滿足合規(guī)性要求《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第三項(xiàng)"邊界安全防護(hù)"的技術(shù)要求等";
2、采用專門針對(duì)工控系統(tǒng)的專業(yè)數(shù)據(jù)隔離防護(hù)產(chǎn)品來進(jìn)行邊界防護(hù),能夠深度解析工業(yè)通信協(xié)議,并且對(duì)于利用工控協(xié)議漏洞、工控系統(tǒng)漏洞進(jìn)行滲透攻擊的行為進(jìn)行實(shí)時(shí)攔截和告警;
3、對(duì)于未授權(quán)的接入與訪問能夠在域間鏈路上進(jìn)行杜絕;
4、能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查和阻斷;
入侵檢測(cè):
1、滿足合規(guī)性要求(生產(chǎn)控制系統(tǒng)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則,檢測(cè)發(fā)現(xiàn)隱藏于網(wǎng)絡(luò)邊界正常信息中的入侵行為,分析潛在威脅并進(jìn)行安全審計(jì));
2、實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的病毒、蠕蟲、木馬以及各類威脅引起的攻擊、掃描、傳輸?shù)仁录?,并告警提示?/p>
3、通過溯源其攻擊源、攻擊目標(biāo)、攻擊路徑,對(duì)網(wǎng)內(nèi)受影響的風(fēng)險(xiǎn)節(jié)點(diǎn)進(jìn)行精確定位,鎖定IP和MAC地址,協(xié)助用戶對(duì)事件進(jìn)行快速處理;
4、從事件時(shí)間、事件類型、事件風(fēng)險(xiǎn)、事件危害等多個(gè)維度對(duì)監(jiān)測(cè)到的安全事件進(jìn)行統(tǒng)計(jì)分析;
安全審計(jì):
1、滿足合規(guī)性要求(生產(chǎn)控制網(wǎng)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能,能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析);
2、實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的流量信息、人員操作信息、工控協(xié)議信息等進(jìn)行分析,并告警提示;
3、實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的誤操作、違規(guī)行為、非法設(shè)備接入等異常行為,并告警提示;
4、提供全程的行為審計(jì)和事件還原能力,為電廠安全管理人員提供高效的安全事件追溯功能;
APT攻擊及惡意代碼防范:
1、滿足合規(guī)性要求(應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除、應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新);
2、對(duì)網(wǎng)絡(luò)整體進(jìn)行安全檢測(cè)與監(jiān)控,發(fā)現(xiàn)各類已知與未知威脅,并進(jìn)行統(tǒng)計(jì)分析,綜合展現(xiàn)APT攻擊信息、威脅類型、分布范圍、源頭、趨勢(shì)等信息,展現(xiàn)整體網(wǎng)絡(luò)安全態(tài)勢(shì);
3、在網(wǎng)絡(luò)邊界、主機(jī)邊界布防,形成多層安全部署結(jié)構(gòu),對(duì)已知威脅(已知惡意行為、已知惡意代碼)和可信對(duì)象進(jìn)行過濾;
4、擁有高威脅感知,可自動(dòng)甄別網(wǎng)絡(luò)訪問威脅行為;
主機(jī)安全加固:
1、滿足合規(guī)性要求《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第一項(xiàng)"安全軟件選擇和管理"的技術(shù)要求等);
2、對(duì)操作系統(tǒng)中安裝的工控組態(tài)監(jiān)控軟件的應(yīng)用程序進(jìn)行白名單注冊(cè)、登記和標(biāo)識(shí),對(duì)于修改文件內(nèi)容和應(yīng)用進(jìn)程的行為進(jìn)行實(shí)時(shí)攔截和審計(jì);
3、對(duì)電廠操作員站和工程師站的上位機(jī)USB等外設(shè)接口使用技術(shù)手段進(jìn)行有效的安全管理;
4、提供硬件的安全秘鑰對(duì)管理員的身份進(jìn)行雙重審核,達(dá)到訪問控制的效果(雙因子認(rèn)證);
身份認(rèn)證與操作審計(jì):
1、滿足合規(guī)性要求(信息監(jiān)控系統(tǒng)等業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)逐步采用用戶數(shù)字證書,對(duì)用戶登錄應(yīng)用系統(tǒng)、訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證、提供登錄失敗處理功能,根據(jù)身份與權(quán)限進(jìn)行訪問控制,并且對(duì)操作行為進(jìn)行安全審計(jì));
2、接入認(rèn)證授權(quán),支持對(duì)終端用戶的身份鑒別,確保只有合法的終端用戶才能使用終端計(jì)算機(jī);
3、終端使用控制,避免不符合安全策略和安全規(guī)定的終端計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò);
4、終端數(shù)據(jù)安全,按照相應(yīng)的授權(quán)級(jí)別和終端安全管理策略完成對(duì)終端授權(quán)用戶的操作行為控制和文件加密管理;
5、終端安全審計(jì),統(tǒng)一策略配置與下發(fā)、集中管理與審計(jì);
綜合安全管理:
1、滿足合規(guī)性要求(對(duì)工控系統(tǒng)的安全策略以及計(jì)算環(huán)境、應(yīng)用區(qū)域邊界和通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)現(xiàn)統(tǒng)一管理的平臺(tái)。在安全管理中心內(nèi)部又分為系統(tǒng)資源管理、安全控制和審計(jì)三部分??尚殴芾韺?duì)關(guān)鍵資源信息度量策略和基準(zhǔn)庫(kù)進(jìn)行管理。在一級(jí)可信/安全管理中心實(shí)現(xiàn)了多級(jí)互聯(lián));
2、實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)中的安全設(shè)備(主機(jī)防護(hù)系統(tǒng)、安全審計(jì)系統(tǒng)、工控防火墻等)實(shí)施集中管理、策略下發(fā)等功能;
3、實(shí)施監(jiān)控,通過流量探針可以獲取全網(wǎng)的流量態(tài)勢(shì),分析業(yè)務(wù)主機(jī)的流量占用比率,系統(tǒng)自動(dòng)建立動(dòng)態(tài)基線,發(fā)現(xiàn)異常的主機(jī)流量;
4、對(duì)工控網(wǎng)絡(luò)中的安全事件日志、會(huì)話報(bào)文日志、系統(tǒng)事件日志等進(jìn)行匯總、關(guān)聯(lián)分析并形成告警;
方案價(jià)值
1、以工控信息安全產(chǎn)品為方案核心的整體解決方案,適應(yīng)工控系統(tǒng)安全防護(hù)在穩(wěn)定性與機(jī)密性的共同需求。
2、方案中所有信息安全產(chǎn)品為天地和興自主研發(fā),自主可控,安全產(chǎn)品聯(lián)動(dòng)安全性更高,可提供定制化的功能開發(fā),產(chǎn)品不斷迭代升級(jí)。
3、在提供windows工控機(jī)進(jìn)行白名單機(jī)制防病毒功能外,可提供周期性人工加固和Linux服務(wù)器安全加固產(chǎn)品技術(shù)方案。
4、與同行業(yè)競(jìng)品分析,增加工控威脅檢測(cè)系統(tǒng)對(duì)未知威脅和APT攻擊進(jìn)行有效應(yīng)對(duì),滿足等保三級(jí)網(wǎng)絡(luò)與通信安全新增8.1.2.5入侵防范)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)與分析。
5、統(tǒng)一品牌,工控安全管控平臺(tái)可對(duì)所有安全產(chǎn)品進(jìn)行集中管控和分析,滿足等保三級(jí)網(wǎng)絡(luò)與通信安全新增8.1.2.8集中管控的要求。
結(jié)語(yǔ)
工控行業(yè)的網(wǎng)絡(luò)架構(gòu)以及業(yè)務(wù)形態(tài)在不斷發(fā)展的同時(shí),工業(yè)企業(yè)自身應(yīng)該持續(xù)提升新興威脅的對(duì)抗能力。傳統(tǒng)的基于滿足合規(guī)性的防護(hù)體系,在對(duì)于勒索軟件等新興威脅在發(fā)現(xiàn)、檢測(cè)、處理上已經(jīng)呈現(xiàn)出力不從心的狀態(tài)。而通過對(duì)網(wǎng)絡(luò)邊界、安全體系以及安全管理等多方面進(jìn)行有計(jì)劃、周期性的風(fēng)險(xiǎn)評(píng)估,可有效提升企業(yè)對(duì)抗新興威脅的能力。對(duì)如何開展有效的風(fēng)險(xiǎn)評(píng)估以及安全體系的建設(shè),請(qǐng)關(guān)注天地和興后續(xù)分享。
關(guān)于天地和興
北京天地和興科技有限公司成立于2007年,是國(guó)內(nèi)專業(yè)的工控安全解決方案提供商,從事工業(yè)控制系統(tǒng)信息安全防護(hù)、檢測(cè)分析、安全評(píng)估與咨詢服務(wù)的國(guó)家級(jí)高新技術(shù)企業(yè)。天地和興工控安全解決方案覆蓋安全事件的事前、事中、事后的全過程,貫穿工控系統(tǒng)上線前、部署中、運(yùn)行后的全生命周期。
憑借在工控信息安全領(lǐng)域豐富的實(shí)踐經(jīng)驗(yàn),深厚的技術(shù)積累,天地和興承接了國(guó)家能源局工控信息安全示范、試點(diǎn)項(xiàng)目的建設(shè)、實(shí)施,迄今為止已幫助電力、石油、石化、鋼鐵冶金、軌道交通和智能制造等多個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域百余家工業(yè)企業(yè)建立自主可控、安全可靠的全生命周期整體的防護(hù)體系,用戶遍布全國(guó)三分之二省級(jí)行政區(qū)。天地和興一直致力于為客戶提供工控安全整體解決方案與產(chǎn)品服務(wù),幫助客戶識(shí)別工控系統(tǒng)安全風(fēng)險(xiǎn),感知工控安全態(tài)勢(shì),提高工控安全防護(hù)與安全事件響應(yīng)能力,幫助工業(yè)企業(yè)用戶在互聯(lián)網(wǎng)+和兩化融合的大背景下,構(gòu)建和諧的工業(yè)網(wǎng)絡(luò)環(huán)境,保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全,為推進(jìn)我國(guó)由制造大國(guó)向制造強(qiáng)國(guó)轉(zhuǎn)變保駕護(hù)航。