案例背景
江苏某半导体材料制造商是我国技术先进的半导体硅片技术研发、制造和销售企业。企业整合江苏等地优势资源,积极布局产业改造,着力打造全品类覆盖的芯片智能制造厂商。
随着企业智能化改造和数字化转型的推进,一些网络安全问题也开始显现。本次项目通过在企业网络侧、终端侧、边界侧部署安全设备作为探针,采集企业工业网络安全数据,结合工业网络蜜网系统生成的威胁情报,经数据挖掘、机器学习、威胁情报分析、关联分析等手段识别各种网络攻击、用户异常访问和操作行为,并将分析结果推送至“安全管理中心”进行安全可视化展示。
案例需求
(1)设备安全风险。智能制造生产设备和产品将越来越多集成通用嵌入式操作系统及应用软壳,海量设备将直接暴露在网络攻击之下,木马病毒在设备间的传播扩散速度将呈指数级增长。
(2)网络安全风险。网络灵活组网需求使网络拓扑的变化更加复杂,传统静态防护策略和安全域划分方法面临动态化、灵活化挑战。无线技术的应用需满足工厂实时性可靠性要求,难以实现复杂的安全机制,极易受到非法入侵、信息泄露、拒绝服务等攻击。
(3)控制安全风险。IT和OT融合打破了传统安全可信的控制环境,网络攻击从IT层渗透到OT层,从工厂外渗透到工厂内,目前有效的针对控制设备的安全防护手段缺乏。
(4)应用安全风险。智能制造领域应用软件,与常见商用软件的类似,将持续面临病毒、木马、漏洞等传统安全挑战。
解决方案
结合我国制造企业工业网络的特点,面向设备、控制、网络、终端四大防护对象构建协同联动的工业网络安全防护体系,旨在指导制造企业开展安全防护体系建设,提升安全防护能力。
“设备安全加固”
利用工控漏洞扫描系统及工控漏洞挖掘平台对制造企业中常用的设备如数控机床、工业机器人、DCS、PLC等进行已知漏洞扫描及未知漏洞挖掘,自动生成漏洞扫描及测试报告,清晰定位问题并提供漏洞修复方案,能够帮助用户掌握工业资产安全底数。
2.“控制安全检测”
工厂使用的各类控制协议在应用到工业现场之前应通过健壮性测试工具的测试。系统在运行时实时采集控制协议报文并对其进行解析,实时检测针对PLC、DCS、上位机等重要工控系统的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,对违反安全策略的协议内容进行过滤。
3.“网络纵深防御”
部署工控防火墙、工控安全隔离网闸等边界隔离产品,实现办公管理层与生产管理层、生产管理层与过程监控层、过程监控层与控制执行层之间的访问控制,阻止来自安全区域外的非授权访问。利用工控入侵检测系统发现并阻断各种入侵攻击、异常流量、非法操作或异常行为。
4.“主机安全可信”
在智能工厂内操作员站、工程师站、服务器等设备上部署工控主机卫士,系统采用白名单机制,拦截一切主机上的未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。
5.“协同联动防御”
通过在制造企业网络出口处或工控网络关键节点搭建分布式蜜网系统,将海量蜜罐设备捕获的攻击数据进行关联融合分析,发现未知威胁,联动工控防火墙、工控主机卫士等安全设备中的安全策略,实现安全策略和安全域的动态调整,使得防护模式从静态防护、事件驱动向动态防护、风险驱动、主动防御转变。
效益评估
1、化解安全风险,为企业“智改数转”奠定安全基础
为制造企业“量身定制”网络安全解决方案,实现工控网络安全集中管控与威胁呈现、整体防护与实时监测、终端管理和操作审计的全面规范,构建体系化的防护能力,为制造企业数字化转型升级、提质增效提供安全保障。
2、全面覆盖等保2.0要求,安全措施合法合规
针对制造企业通信网络、区域边界、计算环境、安全管理等多个维度,构建体系化的解决方案,方案全面覆盖等保2.0标准要求,保证企业工控系统运行安全合规。