优秀案例丨奇安信、多氟多:多氟多化工行业工控网络安全防护建设
发布时间:2023-02-17 15:09:23      来源:

本次工业信息安全优秀应用案例活动获奖名单已于2022年中国工业信息安全大会主论坛上发布。获奖案例涉及多个行业,应用效果明显,具有较高的推广价值和示范作用。近期,工业信息安全产业发展联盟公众号将发布优秀案例展示系列推送,欢迎大家持续关注和转发。


案例名称:多氟多化工行业工控网络安全防护建设

申报单位:奇安信集团、多氟多新材料股份有限公司


一、案例概述

近年来,在工业化、自动化、信息化和智能化的高度融合和持续推进下,化工行业自动化程度越来越高,带来发展机遇的同时也引发一系列网络安全问题。为保障化工行业工业控制系统的持续、可靠、稳定、安全、有效运行,国务院、国家部委及地方各级政府部门相继出台相关政策文件,积极鼓励和支持工业企业网络安全方面的建设发展。化工企业作为关键信息基础设施企业,必须建立起相应的工控系统安全技术支撑、安全运营体系以及安全管理手段来满足国家针对工控系统网络安全相关要求。

多氟多化工企业积极响应国家号召,启动网络安全建设。奇安信拥有完备的产品和解决方案,助力多氟多化工企业进行工控系统网络安全建设。奇安信基于多氟多化工企业的网络安全现状,建立化工行业工业控制网络安全防护体系以满足安全生产的需要,实现边界防护、主机安全、网络监测、态势感知等能力。该防护体系可达到国家对关键基础设施网络安全的要求。


二、需求分析

奇安信工业安全专家分别从边界防护、主机安全、网络监测、态势感知等方面进行大量调研,帮助多氟多企业落实网络安全建设,发现如下网络安全风险:

(一)未按照生产需要划分安全域,生产管理层与办公网之间边界不清晰,生产管理层到下联不同控制系统之间缺乏有效的隔离,一旦工控系统某单点被突破,将危及整个生产网络安全。

(二)缺乏主机安全防护能力,各操作站、工程师站、监控终端、服务器缺乏防病毒、防攻击、介质管理等技术措施,极易造成大面积工业主机感染(如勒索病毒、挖矿病毒)事件发生,造成停产。

(三)缺乏网络安全监测手段,对工控网络资产、病毒攻击、漏洞攻击缺乏持续监测发现机制,对操作行为缺乏必要的持续审计,当出现安全事件时,无法快速定位问题,事后也无法追责。

(四)缺乏整体安全管理技术手段,造成对管理员的人力要求、技术要求较大。


三、建设内容

本方案根据多氟多企业工控系统的业务特点,从业务隔离、纵深防御、动态感知、协同联动几个角度进行规划设计。

多氟多企业工控网络安全部署图

(一)业务隔离:对于多氟多企业工控网和办公网未隔离的网络,划分逻辑网络,进行物理隔离。

(二)纵深防御:完善边界防护、网络监测、主机保护等技术手段,将多氟多企业的控制系统按照业务重要性进行分类分级,不同级别的控制系统应用不同的安全防护策略,形成纵深防御体系。

1.边界防护:在多氟多企业办公网和生产网之间部署工业网闸,实现工控网络与非工控网络的单向技术隔离措施以及恶意代码防护;生产管理层和过程监控层之间部署工业防火墙,实现病毒防护、访问控制、工业协议深度过滤、失陷主机检测等,保护各车间工控网络边界安全,同时阻止病毒跨区域攻击车间工控系统。

2.网络监测:根据该多氟多企业工控生产系统的特点,在核心交换机旁路部署工业安全监测系统,自动发现工业资产,形成资产地图;自动发现工业资产漏洞,实现风险可见;实现病毒、漏洞、恶意代码的检测,及时产生告警信息;同时可作为工业安全态势感知与管理平台的重要探针,实现集中管理和日志上传。

3.主机防护:为保障多氟多企业生产网中工业主机(操作员站、工程师站、服务器等)的运行安全,在各生产网络区域内工业主机上部署工业主机安全防护系统,通过基于智能匹配的白名单管控技术、基于ID的USB移动存储外设管控技术、以及入口拦截、运行拦截、扩散拦截三大“关卡式”拦截技术,防范恶意程序运行、非法外设接入。在管理区域部署工业主机安全防护控制中心,对网内所有工业主机进行安全策略管理、配置下发、模块定制等,实现统一管控和安全风险分析。

(三)动态感知:为实现多氟多企业生产网安全运营和管理,在管理中心部署工业安全态势感知与管理平台,实现工业资产集中管理、威胁统一分析与运营、工艺异常行为建模与分析、日志集中管理与分析、设备集中管理与监控、工业安全态势感知等核心功能,帮助工业企业集中管理工业资产、全面持续监测安全风险、可视化分析安全态势,为工业安全风险与应急响应提供决策支撑。

(四)协同联动:充分利用技术和管理手段,形成监、防、控一体的联动机制,动态调整安全策略,提升多氟多企业工控系统整体安全防护能力。


四、应用效果

多氟多企业进行工控安全防护建设后,能够全面提升生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性,明显降低工业控制系统运行和维护成本,保障生产连续性。本项目所构建的工控安全保障体系和措施将进一步完善工控系统安全运行能力,提高设备自动化水平和人工使用效率,经济效益显著。

本项目的落实,在化工行业形成了良好的示范效应,提升化工行业工业网络安全防护能力,为国家推进工业互联网创新示范基地和网络安全创新基地发挥积极引领和推动作用,保障国民经济生产及国家建设,符合国家信息安全的战略需求,社会效益显著。


五、案例亮点和创新点

(一)IT、OT一体化防护

针对工控网络中IT、OT流量进行全方位安全防护,通过应用识别、深度数据包解析以及一体化安全策略进行安全过滤,结合白名单、入侵防御、病毒检测等技术进行安全威胁检测和防护,保障工控网络安全。

(二)白名单技术

工业主机安全防护系统可以扫描工业主机的进程,对经过确认的可执行程序生成一个唯一的特征码,特征码集合起来形成特征库,即白名单。只有白名单内的软件才可以运行,其它进程都被阻止,以此防止病毒、木马、违规软件的攻击。

(三)关卡式病毒拦截

从“病毒入口-病毒运行-病毒扩散”三个环节层层设防,步步拦截,进行白进程准入、 U盘管控、已有病毒防扩散等安全管理,做到病毒进不来、启不动、扩散不了,实现主机安全无死角病毒防护。

(四)边界隔离防御

通过对不同边界采取纵深防御的逻辑隔离防护,部署工业网闸、工业防火墙安全设备,借助四重白名单一体化的精细化管控方式,提升边界防御的整体能力,从而保障工业生产网的网络稳定性。

(五)以资产为中心

工业安全监测系统通过资产自动识别、资产管理、资产网络关系图绘制,提供了以资产为中心的安全管理视角。工业生产流程比较固定,相较于以告警事件为中心的威胁分析方案,以资产为中心的漏洞发现与风险分析更符合工业环境管理习惯。级联无损部署方式,不影响生产。

(六)工业安全态势统一管理

基于工业安全态势感知与管理平台可以实现工业网络的设备统一管理、安全统一分析、日志统一采集、态势统一展示,实时将工业安全风险可视化;支持单个、分组、全局等资产的风险分析,并能基于风险等级及告警,进行进一步的溯源分析。


你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.