工业互联网-制造业安全解决方案

目录1.概述 21.1主要背景 21.2主要安全挑战（根据实际情况调整） 42.信息安全现状分析（本节只是示例，根据实际情况修改，描述客户现状） 52.1现状分析 52.1.1网络现状 52.1.2应用现状 62.1.3网络安全建设现状 62.1.4安全管理现状 73.建设思路 73.1建设原则 73.1.1适度安全原则 73.1.2重点保护原则 73.1.3技术管理并重原则 73.1.4纵向分层、横向分域 83.2“融合安全、立体保护”的安全架构 83.3网络架构图 84.方案设计 94.1第一步：划分安全域 94.1.1信息网安全域划分方法 94.1.2生产网基于IEC62443的区域划分 94.2第二步：构筑核心铁三角，保护生产核心安全 104.3第三步：消除安全洼地 114.3.1互联网出口安全 114.3.2分支接入安全 124.3.3办公网安全 124.3.4数据中心区 135.第四步：全局安全和安全治理 145.1泄密追溯及可视化分析 145.2全局可视及安全治理 155.2.1全网访问关系可视化 155.2.2安全风险告警和分析 165.3方案优势 185.3.1IT+OT一体化安全 185.3.2建立完整的安全保护体系 185.3.3基于AI、大数据安全检测技术、发现未知威胁 18概述主要背景制造业是我国国民经济的重要支柱产业,中国未来的比较优势仍然在制造业。因此，加快制造业的信息化建设对于加快我国现代化的进程具有重要的意义。大部分企业，尤其是制造型企业，随着信息化建设的推进，在网络方面增加了硬件设备，在软件方面，增加了ERP、CRM和SCM等管理软件和一些软件，企业内部的数据流丰富了起来，内部不同的应用和管理的要求给相关管理部门提出了很多新的要求。随着《智能制造2025》、两化融合、供给侧改革等一系列政策和发文的贯彻实施，制造业的发展将传统的制造技术与现代信息技术、管理技术、自动化技术、系统工程技术进行有机的结合，通过计算机技术是企业产品在全生命周期中有关的组织、经营、管理和技术有机集成和优化运行，在企业产品全生命周期中实现信息化、智能化、集成优化达到产品上市快、服务好、质量优成本低的目的，进而提高企业的柔性、健壮性和敏捷性，是企业在激烈的市场竞争中立于不败之地。然而，第四次工业革命为联网的智能制造商和数字供应网络带来一项新的运营风险：网络风险。工业4.0时代中，由于企业运营具有互联互通的特性，企业数字化转型的步伐加快，网络攻击的影响比以往任何时候都更加广泛，制造商和供应网络可能尚未准备好应对风险。为了在工业4.0时代充分解决网络风险，企业网络安全战略应保证安全性、警惕性和韧性，并从一开始就充分结合组织与信息技术战略。例如，2009年，恶意软件曾操控某核浓缩工厂的离心机，导致所有离心机失控。该恶意软件又称“震网”，通过闪存驱动器入侵独立网络系统，并在各生产网络中自动扩散。通过“震网”事件，我们看到将网络攻击作为武器破坏联网实体工厂的可能。再例如，2018年8月，全球最大晶圆半导体代工厂商台积电遭电脑病毒入侵，并于当晚10时许扩散至三大厂区，三大厂区全部遭到感染。冲击第三季度营收约3%，并且台积电预计这起事件约造成87亿元新台币(约合人民币17.6亿元)的损失。通过台积电事件，我们看到网络攻击的普遍性，即使非定向的普通攻击也可以给制造企业造成极大的生产灾难和经济损失。图SEQ图\*ARABIC1工业互联网三要素：网络、平台、安全这场战争显然是失衡的：企业必须保护众多的技术，而攻击者只需找到一个最薄弱的环节。但非常重要的一点是，企业不仅需要关注外部威胁，还需关注真实存在却常被忽略的网络风险，而这些风险正是由企业在创新、转型和现代化过程中越来越多地应用智能互联技术所引致的。否则，企业制定的战略商业决策将可能导致该等风险，企业应管控并降低该等新兴风险。XXXXX属高新技术企业，拥有XXXX、XXXX等工厂，厂房面积XX万平方米，现有员工XX多人，各类工程技术人员和中级以上专业技术人员XX余名，注册资本XX元，年销售额XX亿元。XXXXX公司的信息化经过十几年的发展，对业务的支撑作用已经表现得非常明显XXXXX单位业务的开展已经离不开信息系统的正常运转。随着XXXXX信息化的深化，公司业务流程已经高度自动化、高效率，从而内外部提供更好的服务。但另一方面，承载XXXXX公司业务流程的信息系统基础架构的管理手段却仍然相对落后，在当前复杂多变的信息安全形势下，无论是外部黑客入侵、内部恶意使用，还是大多数情况下内部用户无意造成的漏洞，XXXXX公司的安全管理手段都正在变得越来越不够用。而同时，勒索病毒爆发、信息泄露、媒体舆论炒作、上级领导问责、法律法规监管等等，都在无形中让XXXXX的信息安全管理压力越来越大。主要安全挑战（根据实际情况调整）1. 外部威胁企业网络是最主要入侵方式随着网络作战以及有组织黑客越来越多地开始针对制造企业进行攻击，工业安全问题日益成为很多企业的网络安全的头等大事。不幸的是，目前绝大多数的制造业安全建设非常薄弱，例如出口区只放了三层防火墙甚至没有任何防御措施，僵木蠕可以随意进入，为企业带来了极大的安全隐患。同时伴随着工业信息化进程的快速推进，为实现系统间的协同和信息分享，生产控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中，使得病毒能够直接对生产造成停摆。目前对工控系统的攻击主要还是在系统信息收集以及工控数据篡改（事实上“震网”在最后实施攻击的那一步就是篡改了仪表数据进行的）。缺乏有效的安全防护手段目前流行的病毒都具有蠕虫的性质，一旦感染之后会迅速扩散。面对无孔不入的网络攻击，制造企业的防护措施显得捉襟见肘。许多企业没有合理的安全域划分和隔离，一旦爆发了病毒，就会大面积爆发，缺少基本的控制能力；许多防御也只能做到3层，安全策略配置不合理，无法防御新型病毒。无法看清网络内部的受灾状态可视是安全的基础，在看不见的环境中与黑客较量无异于遮住眼睛与人搏斗。目前大多数制造企业缺少有效的态势感知能力，不知道网络内有哪些资产，不知道他们的脆弱性，不知道他们是否已经感染了病毒，感染了病毒也不知道是从哪里开始的，等病毒造成明显破坏的时候黑客其实早已潜伏已久，在安全不可视的情况下对威胁处置和响应也造成了极大的困难。2. 内部威胁无意识的外部风险引入由于安全技能和安全意识存在差异，员工可能无意识的通过互联网络或移动介质将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对网络的安全带来严重威胁；补丁升级与病毒库更新不及时，蠕虫病毒利用漏洞传播危害大制造业的各种平台的主机和设备存在安全漏洞但没有及时打上最新的安全补丁，尤其是给生产网机器打补丁是个很困难的事。工控网络常常担负着企业最重要的生产流程。而停掉这些流程往往会产生巨大的成本以及运营风险。因此，集中式的自动化的补丁管理系统是不存在的。几乎所有的工控网补丁都必须手动下载并安装。而且很多情况下，只能由供应商认证的技术人员进行安装。这样就给恶意的入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。缺乏设备管理手段，数据泄密、病毒传播无法控制设备是数据交换的一个最要途径，包括PC、U盘、光驱、打印、红外等；由于使用的方便性，近几年成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求等方式无法灵活对外设进行管理，特别是对USB接口的管理，所以必须通过其它技术手段解决存在的问题。管理制度缺乏技术依据，安全策略无法有效落实尽管安全管理制度早已制定，但只能依靠工作人员的工作责任心，无法有效地杜绝问题；通过原始方式：贴封条、定期检查等相对松散的管理机制，没有有效灵活实时的手段保障，无法使管理政策落实。信息安全现状分析（本节只是示例，根据实际情况修改，描述客户现状）现状分析网络现状经过调研，了解到XXXXX外网与互联网相连及分支机构互联，主要承载了办公系统、门户网站、ERP系统、MES等业务。主要现状描述如下：XXXXX网络是一个星型的快速以太交换网，核心为两台HuaweiCE12808S高性能三层交换机。以S7603为办公、管理核心交换机；公司网络按照部门、职能、业务区域，以及划分了清晰的VLAN。包括：服务区域VLAN、智能部门VLAN、无线网络VLAN、车间MES、技术中…….网络拓扑图见下图所示：应用现状相关核心业务应用系统，如下表所示（相关功能需要进一步明确）：序号应用系统名称系统简介业务系统类型1ERPERP是一种主要面向制造行业进行物质资源、资金资源和信息资源集成一体化管理的企业信息管理系统。管理类2PDMPDM的中文名称为产品数据管理（ProductDataManagement）。PDM是一门用来管理所有与产品相关信息（包括零件信息、配置、文档、CAD文件、结构、权限信息等）和所有与产品相关过程（包括过程定义和管理）的技术。生产类3MESMES系统是一套面向制造企业车间执行层的生产信息化管理系统。MES可以为企业提供包括制造数据管理、计划排程管理、生产调度管理、库存管理、质量管理、人力资源管理、工作中心/设备管理、工具工装管理、采购管理、成本管理、项目看板管理、生产过程控制、底层数据集成分析、上层数据集成分解等管理模块。生产类4OAOA软件的核心应用是：流程审批、协同工作、公文管理(国企和政府机关)、沟通工具、文档管理等。管理类…………网络安全建设现状XXXXX网络中广泛使用的安全设备有两大类，一是面向网络安全类的防火墙、上网行为管理、网络审计类安全设备；二是面向终端的终端安全管理系统以及防病毒软件类等。序号安全设备品牌型号用途数量1防火墙XXXInternet出口控制12防火墙XXXX出口控制13行为管理SinforAC-1200Internet出口控制2……安全管理现状目前，XXXXX长桥单位信息安全管理现状是：已制定信息安全预案，但不完善；信息中心负责信息安全工作的具体执行；缺乏专业安全技术人员，大多数技术人员为外聘方式；一人兼任多职，无专职安全管理员；制定了部分安全制度。建设思路建设原则适度安全原则任何信息系统都不能做到绝对的安全，在进行信息安全建设过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障系统的整体安全性，形成技术和管理两个部分的建设方案；纵向分层、横向分域纵向按照三层架构，二层防护。经营管理层、生产控制层、过程控制层。横向不同的车间、不同的生产线进行逻辑隔离。“融合安全、立体保护”的安全架构针对XXXXX管理信息化、工业生产控制特点，参考美国国家安全局IATF、GB/17859以及IEC62443体系结构，构建在安全可视与管理运营中心支持下计算环境、区域边界、通信网络的三重防御体系是必要的、可行的。通过“铁三角”保障核心生产安全，通过不同安全域的安全能力加固来消除安全洼地，并构建全局可视、集中管控的能力：图SEQ图\*ARABIC2基于“融合安全、立体保护”的工业互联网-制造业安全解决方案网络架构图在安全技术体系的具体实现过程中，需要落实安全技术详细设计方案中的具体技术要求，将先进的信息安全技术落实到具体安全产品中，形成合理、有效、可靠的安全防护体系。安全产品部署方案如下：（示意图）图SEQ图\*ARABIC3工业互联网-制造业安全解决方案拓扑示意图方案设计第一步：划分安全域信息网安全域划分方法对于XXXXX大规模的复杂信息系统，按数据信息类分区域保护是划分安全保护等级的基本原则和方法。从等级划分的角度，典型制造业信息系统可以划分为互联网出口区、办公区、分支接入区、数据中心区、运维管理区等主要部分。生产网基于IEC62443的区域划分图SEQ图\*ARABIC4IEC62443核心理念：区域和管道IEC62443是在国际上被广泛采纳和认可的工控系统标准。各国、各行业制定工控相关标准政策都会参考和吸收该标准提供的概念、方法、模型。其核心思想是区域（Zone）和管道（Conduit）。每个区域不仅要定义其边界，资产和风险分析，而且也包括信息安全能力，因此区域内使用windows2008操作系统的服务器其信息安全能力就要与区域内使用windowsNT操作系统的服务器不相同。区域内可能面临的信息安全风险，与控制风险需要具有的信息安全能力一起决定并驱使用于管道的信息安全功能要求，从而利用管道进行区域间的连接。在生产网部分的分域效果如图所示。图SEQ图\*ARABIC5基于IEC62443的分级分域安全防御结构第二步：构筑核心铁三角，保护生产核心安全随着网络威胁的不断升级，仅仅依靠安全域划分和简单的防御已经难以阻挡黑客攻击。以勒索病毒为代表的新型高级威胁存在如下特性：1、蠕虫特性。一旦某台机器感染病毒之后，该机器会传染其他机器。2、分阶段攻击特性。高级攻击是分阶段分步骤的，例如首先通过扫描、暴破、邮件等方式进入内网，然后通过dropper与黑客进行C&C通信，进而通过恶意URL下载病毒本体，再进行勒索和扩散等等。3、变种特性。病毒往往是有专业团队开发维护的，如Cerber、Wannacry、GlobeImposter等版本更新非常快，未知威胁和变种威胁是安全技术的重要挑战。图SEQ图\*ARABIC6“铁三角”保护生产制造信息安全，防控病毒爆发 对此，深信服的“铁三角”方案能够有效的对网络安全提供有效保护。下一代防火墙能够不断的更新最新的特征库并内置SAVE杀毒引擎，对病毒变种进行防御，即使一台机器感染了病毒，下一代防火墙可以通过2-7层的双向保护能力来控制病毒的爆发范围；AC能够对接入网络的设备进行控制，如果有携带病毒的非法PC接入网络，AC可以通过其硬件特征码来判断该机器是否为未注册机器，防止病毒通过非法设备接入传播进来；态势感知平台能够对全网的流量进行持续检测，发现失陷主机和失陷业务，从而帮助管理者定位哪些PC遭受了攻击，以及病毒的传播途径，一旦发现了黑客攻击，通过SIP联动AC和防火墙进行协同处置响应；除此之外，还可以通过工业安全卫士，管控机台等PC上的合法进程，不允许任何未注册的进程执行，同时工业安全卫士还具备USB管控、微隔离等功能。“铁三角”构成了制造业安全的核心，形成了最基本的“预防、防御、检测、响应”的安全体系。第三步：消除安全洼地互联网出口安全企业上网、上工业云等都需要通过运营商接入互联网，互联网出口区安全是保护企业网络安全的第一道防线，能够把病毒拦截在企业之外就能消除大多数安全问题。通过部署链路负载均衡、下一代防火墙和上网行为管理设备，来实现互联网出口区安全，保证2-7层的双向通信安全、员工上网行为管控和运营商链路的负载均衡。分支接入安全制造企业大都存在多个厂区，厂区与厂区之间通过光纤等方式进行专线通信，也可通过互联网的方式走VPN进行通信。对于专线通信的方式，目前已有案例，病毒通过专线进行跳板感染其他厂区的情况，台积电的案例就是其中之一。因此，通过在分支厂区部署探针、NGAF等设备，在总部部署感知平台，来对专线进行保护，保证厂区之间的通信安全，防止病毒跳板和横向。一旦出线了问题，也可以通过感知平台来定位和溯源。图SEQ图\*ARABIC8分支专线安全建设办公网安全部署下一代防火墙，实现L2-L7安全防护，包括访问控制、入侵防御、病毒过滤等，并对终端上网过程实现实时保护；部署上网行为管理，实现应用访问控制、流量管控、上网日志记录功能，并对用户的上网行为进行分析管理；部署网络准入与中的安全管理系统，实现终端准入控制、终端资产管理等功能。；部署业务数据防泄漏系统，通过授权控制、智能隔离、安全流转、审计追溯等手段，保护企业业务系统和终端上的业务数据不被泄密，保证企业数据在使用、传输、存储过程中的安全。图SEQ图\*ARABIC9办公区安全建设数据中心区数据中心区可分成互联网业务区、核心业务区和生产业务区。互联网业务区主要部署网站系统、400、微信、销售系统等需要面向互联网的业务服务。互联网业务区内重要服务器以双机热备方式部署，并部1台应用交付，作为SSL加解密卸载；开启互联网出口区的下一代防火墙安全策略，用于防止WEB层的攻击；基于深信服安全云，针对网站等互联网托管应用进行云端监测和流量清洗保护；网络和安全设备采用双机热备方式进行部署，保证网络系统的高可靠性和高可用性。根据上述安全设计，网站区安全设计结构图如下所示。内部业务区主要部署ERP、OA、项目管理、人力资源、价格管理等管理类业务系统。区内主要部署供外部访问的业务通，相关各服务器以双机热备方式部署，保证业务系统的高可靠性和高可用性；部署带有防病毒模块的下一代防火墙，对恶意代码进行检测和清除；通过在安全资源池上开启软件版下一代防火墙的访问控制功能，控制安全域区域之间、业务系统之间的访问；通过潜伏威胁探针采集镜像流量，并汇聚到安全感知平台，对内网的潜伏风险、APT攻击进行检测；网络和安全设备采用双机热备方式进行部署，保证网络系统的高可靠性和高可用性。生产业务区主要部署MES、PDM、CAPP等业务系统。生产业务区主要供内部人员访问，不对外部公众开放。相关各服务器以双机热备方式部署，保证业务系统的高可靠性和高可用性；部署带有下一代防火墙，开启访问控制、入侵防护、恶意代码进行检测和清除等功能；通过潜伏威胁探针采集镜像流量，并汇聚到安全感知平台，对内网的潜伏风险、APT攻击进行检测；网络和安全设备采用双机热备方式进行部署，保证网络系统的高可靠性和高可用性。图SEQ图\*ARABIC10数据中心区安全建设以上安全措施可通过传统硬件部署，也可通过软件定义安全（安全资源池）的方式进行部署，后者更便于运维管理和弹性扩展，根据实际需要进行选择。第四步：全局安全和安全治理泄密追溯及可视化分析制造企业有许多重要的文件，如源代码、设计图纸等，需要进行保护。泄密追溯分析适用于数据泄密追溯，通过对互联网外发信息进行检测，发现泄密行为；提供外发概括、泄密追溯、主动预警等功能，帮助信息安全管理员及时发现泄密行为，有效干预，从而降低泄密事件的影响面，避免泄密事件给企业带来严重的经济损失和法律责任。提前设置敏感信息和文件，一旦发现外发，迅速告警。通过外发概括整体掌握外发风险，分析外发次数、类型、通路等情况，并通过泄密追溯及预警，追溯外发的人员和轨迹，精准定位风险人员。全局可视及安全治理基于行为和关联分析技术对办公网全网的流量进行安全检测的可视化预警检测平台。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。其内涵包括：整体安全态势：结合攻击趋势、有效攻击、业务资产脆弱性对办公网安全态势进行整体评价，以业务系统的视角进行呈现，可有效的把握整体安全态势进行安全决策分析；多维度大屏展示：风险外连监测大屏、分支安全监测大屏、全网攻击监测大屏等多个维度，为关注不同安全视角的用户提供灵活的选择方式；失陷主机报告：将所有风险业务、风险用户及其所有安全事件、举证、风险和建议都导出来，形成html文档。方便IT管理员在时候进行详细定位综合风险报告：提供PDF报表形式的可视化风险报告，评估XX单位办公网全网安全状况，并对存在攻击、后门、风险业务、风险用户等问题进行展示说明。适合对领导进行汇报。全网访问关系可视化基于全网业务对象的访问关系的图形化展示，包括用户对业务、业务对业务、业务与互联网三者关系的完全展示，并提供快捷的搜索。供IT人员在业务迁移和梳理时直观的查看业务关系，是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外