工业互联网安全一体化项目实施案例.docxVIP

工业互联网安全一体化项目实施案例

某生物技术有限公司是一家上市生物制药企业，拥有11个厂区,致力于人用疫苗及其相关产品的研究开发、生产和销售，为疾病预防控制提供服务。该企业在网络和生产系统设计与建设之初,未考虑到潜在网络安全风险,未面向生产网络进行体系化网络安全建设。随着企业信息化建设不断推进,给现有的生产网络与工控系统带来很大的风险与挑战。

该企业需要在满足政策合规的前提下,通过建设企业级工业互联网安全态势感知与综合管控服务平台,实时掌握各生产厂区工业系统的网络安全态势,及时通报预警重大网络安全威胁；形成企业和下属各生产基地相关部门协调联动的网络安全监测预警处置工作机制,构建网络安全综合防控体系；最终形成工业安全检测、工业安全防御、工业安全运维、工业安全响应的闭环体系,如图1所示。

图1总体安全方案设计架构

项目实施

业务应用场景分析

该生物制药企业工业网络安全防御体系仍需完善,系统工业安全检测和感知能力不足,没有建立相应的工业网络安全监测、预警和感知系统。工业网络安全重复检查、安全风险和漏洞重复通报等问题突出。因此需要具备以下能力：资产安全集中监测能力；高级威胁检测能力;工业网络安全监测及处置能力；可视化溯源分析能力；工业安全合规管理能力。

该企业具有生物制药行业的典型特点：厂区分散、网络结构复杂、各工厂工控系统品牌和型号不统一。项目方案中,根据业务需求规划安全域并制定详细的访问控制策略,部署网络安全设备构建分域控制与纵深防御的安全防护体系,同时通过全面的工业协议解析能力及多源异构日志分析能力,将安全数据转换为统一、标准的数据格式,利用工业安全态势感知平台进行大数据处理,成功打通各安全域的信息孤岛,形成工业安全运营闭环管理体系,做好协同防御。

技术方案

项目总体设计采用分域控制与纵深防御相结合的方式,如图。

图2项目技术方案示意图

分域控制：将智能制药操作系统和外部系统依据系统的应用功能、资产价值及资产所面临的风险,从结构上划分为不同的安全区域,并以安全区域为单位进行安全防御技术措施的建设。

纵深防御：智能制药操作系统围绕安全管理中心,从安全通信网络、安全区域边界、安全计算环境三个维度进行安全技术和措施的设计；通过集中管理,对确认的重大威胁或攻击进行安全联动防护,充分考虑各种技术的组合和功能的互补性,从外到内形成一个纵深的安全防御体系。

安全管理中心

新建安全管理域，在服务器区新建安全管理域,在安全管理域内部署工业安全态势感知平台、堡垒机、工业安全管理平台等安全设备,在安全管理域与服务器区之间部署下一代防火墙,实现服务器区与安全管理域的访问控制。

工业安全管理平台，对各安全域的安全设备进行集中管控、状态监测、策略配置下发等,及时发现、报告并处理工业控制系统中的网络攻击或异常行为,统一调度安全预警、安全监测、安全防护和应急处置。

综合日志审计平台，采集各个安全域的日志信息进行审计,支持各类网络设备、安全设备、主机、应用及数据库等,满足政策法规要求的日志留存期限,支撑事件分析与攻击溯源。

运维审计与风险控制系统（堡垒机），通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放和自动化运维流程管理等功能,增强运维管理的安全性。

安全通信网络

工业控制系统与企业其他系统之间应划分为两个区域,即在生产网服务器与办公网服务器之间部署下一代防火墙,通过安全策略实现单向隔离,有效阻隔外部威胁的入侵；在工业控制系统内部应根据业务特点划分为不同的安全域。本项目根据工控系统的业务属性及地理位置等因素,使用工业防火墙将各工厂划分为独立安全域。工业防火墙具有bypass功能,可确保生产业务的连续性。

安全区域边界

在各个工厂的生产设备汇聚交换机数据出口处部署访问控制设备（工业防火墙）,配置访问控制策略,禁止任何穿越区域边界的E-mail、Web、Telnet、Rlogin、FTP等通用网络服务,深度解析工业协议,禁止非白名单工业协议传输；使用工业安全监测审计平台及流量分析系统,在工业控制系统安全域内进行异常行为和异常流量监测。

工业防火墙，工业网络内部安全域间使用工业防火墙进行边界划分,并配置访问控制策略,利用工业防火墙的多业务端口实现横向隔离,只允许特定设备的特定协议通过（如OPC、Modbus等）。工业防火墙具有bypass功能,可确保生产业务的连续性。

工业安全监测审计平台，在各工厂的生产设备汇聚交换机上部署工业安全监测审计平台,实时监测生产过程中产生的所有流量,识别多种工控协议,实现对工业控制系统内的异常流量、异常行为、异常操作、非法接入等安全风险的实时告警。

流量分析系统，在各工厂的终端汇聚交换机上部署流量分析系统,内置海量威胁检测规则,覆盖多种安全场景,有效识别各类IT、OT类网络攻击行为,实时告警并与工业安全态势感