《钢铁行业工业互联网安全防护体系建设方案.docx》由会员分享,可在线阅读,更多相关《钢铁行业工业互联网安全防护体系建设方案.docx(14页珍藏版)》请在优知文库上搜索。
1、钢铁行业工业互联网安全防护体系建设方案摘要:本文通过分析钢铁行业与工业互联网融合过程中面临的安全风险问题,构建面向钢铁行业的工业互联网多层级安全防护体系。关键词:工业互联网安全;多层级安全防护体系;钢铁行业1、弓I言2017年11月,国务院印发了关于深化“互联网+先进制造业”发展工业互联网的指导意见,标志着我国工业互联网顶层设计正式出台。2021年11月,工业互联网产业联盟联合中国钢铁工业协会、中国金属学会研究编制了工业互联网与钢铁行业融合应用参考指南(2021年),旨在为钢铁行业工业互联网建设过程中的需求场景识别、应用模式打造、关键系统构建和组织实施路径提供参考借鉴,加快工业互联网与钢铁行业
2、融合应用,推动钢铁行业转型升级。工业互联网作为新一代信息通信技术与制造技术融合的产物,在工业行业的数字化、网络化、智能化发展中正逐渐发挥出核心支撑作用。钢铁行业率先探索发展工业互联网,可以帮助整个行业快速地提高生产和流通效率,帮助行业更快地转型升级。然而,在工业领域,风险总是伴随着技术的发展进步而不断出现。两化融合和工业互联网的快速发展,促使越来越多的工业控制系统从封闭走向开放,从信息孤岛走向互联互通,以往独属于互联网范畴的安全威胁向工业控制系统逐渐渗透、扩散。钢铁行业作为我国国民经济的支柱性产业,一旦遭受攻击破坏,影响范围不仅是单个企业,更可能影响整个产业链或生态,甚至关乎经济发展和社会稳定
3、乃至国家安全。2、钢铁行业工业互联网面临的安全风险问题从2015年以来每年发生工业信息安全事件数量多达300起,而且攻击的行业领域也不断扩大,造成后果愈加严重。2015年,德国某钢铁厂遭受到高级持续性威胁(APT)攻击,导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常的关闭炼钢炉,给钢厂带来了重大破坏。2020年3月,钢铁制造商EVRAZ公司在北美分支机构,包括加拿大和美国的钢铁生产厂均遭受了勒索软件Ryuk攻击,导致其在北美的分支机构瘫痪,大多数工厂都已停止生产。一系列安全事件表明,钢铁行业已成为信息安全,乃至国家安全的新战场。针对钢铁行业的网络攻击事件日益增多,工业互联网安全保
4、障体系建设的重要性越发凸显。世界各主要发达国家均高度重视工业互联网的发展,并将安全放在了突出位置,发布了一系列指导文件和规范指南,为工业互联网相关企业部署安全防护提供了可借鉴的模式,从一定程度上保障了工业互联网的健康有序发展,但随着工业互联网安全攻击日益呈现出的新型化、多样化、复杂化,现有的工业互联网安全保障体系还不够完善,暴露出一些问题。2.1 钢铁行业等典型工业领域安全漏洞日益增多根据中国国家信息安全漏洞共享平台(CNVD)最新统计数据显示,自2000年至2009年,CNVD每年收录的工控系统漏洞数量一直保持在个位数。但到了2010年,该数字骤然攀升到32个,次年又跃升到190个。这种情况
5、的发生与2010年发现的StUXnet蠕虫病毒(震网病毒)有直接关系。StUXnet病毒是世界上第一个专门针对工业控制系统编写的破坏性病毒,自此业界对工业控制系统的安全性普遍关注,工业控制系统的安全漏洞数量增长迅速。不过,从2011年至2015年,CNVD收录的工控系统漏洞数量,又呈现出持续的稳中有降的态势。直到2015年底至2016年初的乌克兰大停电事件之后,工控系统漏洞的发现再次进入高速增长期:2016年19个;2017年351个;而到了2019年,增长到了452个,且高危漏洞数量居多。具体如图1所示。CNVD历年收录工控系统漏洞数量分布图1工控漏洞数量分布以某钢铁企业实际场景为例,常见工
6、控系统的漏洞包括:操作系统层面的漏洞,例如过时XP系统存在大量系统漏洞;工控协议的漏洞,例如IEC104、MBE.ABRS7A等第三方工控驱动存在的通讯漏洞;工控网络架构上的漏洞,例如未采用有效隔离手段,造成网络混乱问题;工业互联网管理措施上的漏洞,例如对工控安全重视不够,整改措施落实不到位等。这些问题由自检自查发现,同时每年工信厅组织的由省电子研究所和工控安全专家亲临现场,对冶金企业进行服务性检查,也发现大量的工控安全漏洞及隐患,如以等保2.0对标发现的各项安全短板等。这使得冶金企业对工控网络安全的重视不断提升,针对性地采取应对措施。2.2 钢铁行业网络安全防护体系不全安全防护手段单一,仅部
7、署了边界访问控制措施、杀毒软件等,缺乏入侵检测、安全审计等安全手段,难以形成全局的安全风险监控,安全策略和配置难以统一协调。难以有效抵挡零日攻击。现有安全防护手段能够有效防范已知特征的攻击行为,但对于目前越来越多的零日攻击,缺乏有效的防护手段。与安全相关的数据量越来越大,难以对海量存储的数据形成有效挖掘,以辅助安全人员从大量、孤立的事件中判断未知的攻击行为。工业互联网安全不仅仅是某个方面或某个点上的安全,以某钢铁冶金企业为例,因基础自动化层面、产线层面、过程控制层面、企业资源计划层面等,工控安全涉及的安全节点和层次众多,对于整个系统来说,一处存在网络安全短板,将有暴露整个系统的风险,拉低整个系
8、统的安全防护能力,所以冶金企业的工控安全及工业互联网安全要从整个体系进行建设和完善。我国2018年工业互联网安全框架已由工业互联网产业联盟创建并发布,冶金企业要结合行业场景特点,以工业互联网安全框架为指导,加强工业互联网安全防护体系的建设和完善,实现整个系统层面网络安全防护的提升。3、钢铁行业工业互联网安全防护方案在充分借鉴传统网络安全框架和国外相关工业互联网安全框架的基础上,结合钢铁行业工控系统的特点,分析钢铁行业网络安全脆弱性。本方案提出构建面向钢铁行业的工业互联网多层级安全防护体系。立足钢铁行业工业互联网安全需求,从工业互联网防护对象视角出发,围绕设备、控制、网络、平台(应用)、数据五大
9、防护对象,设计基于钢铁工艺流程的设备安全防护系统、基于协议深度解析的控制安全防护系统、基于钢铁智能化生产的网络安全防护系统、基于可信技术框架的平台(应用)安全防护系统、基于数据全生命周期的安全防护系统、基于全局态势感知的协同安全管控系统(六大系统),汇聚六大防护系统的安全数据,建设安全协同管控平台,建立起覆盖安全设备管理、生产设备管理、IT资产管理、安全态势感知、威胁数据挖掘等多个方面的统一安全监测、预警与管理,提供综合的安全管理能力。3.1 基于钢铁工艺流程的设备安全防护系统设备安全防护系统从钢铁企业炼铁、炼钢、轧钢等工艺使用的PLC、仪表、自控等设备的硬件安全和软件安全两方面出发,通过解析
10、各个工艺流程控制指令要求,发现PLC等设备存在的安全漏洞,避免设备指令被非法篡改,采用的安全机制包括漏洞发现与修复、补丁升级管理、设备接入认证、运维管控等。系统功能如图2所示。图2基于钢铁工艺流程的设备安全防护系统功能(1)漏洞修复加固设备安全防护系统能够对工业现场中常见的设备与装置进行漏洞扫描与挖掘,发现操作系统与应用软件中存在的安全漏洞,并及时对其进行修复。(2)补丁升级管理设备安全防护系统密切关注重大工业互联网现场设备的安全漏洞及补丁发布,及时采取补丁升级措施,并在补丁安装前对补丁进行严格的安全评估和测试验证。(3)设备接入认证对于接入钢铁企业工控网络的PLC,采用基于国密算法的身份认证
11、技术,只有通过认证方可进行下一步访问,实现在接入层初步隔离非法数据。(4)设备运维管控钢铁企业应对工控网络运维行为进行账号统一管理、资源和权限统一分配、操作过程全程审计,实现工控设备的安全运维。3.2 基于协议深度解析的控制安全防护系统钢铁行业工业控制网络目前已由分层、封闭逐步向扁平、开放、全局方向发展。其中在控制环境方面表现为信息技术(IT)与操作技术(OT)融合,控制网络由封闭走向开放;在控制布局方面表现为控制范围从局部扩展至全局,并伴随着控制监测上移与实时控制下移。对于钢铁行业控制安全防护,主要从工厂OT层控制协议安全、控制软件安全两方面考虑。系统功能如图3所示。基于协议深度解析的控制
12、安全防护系统控制协议安全控制软件安全访馁S制基线核直安全审计恶意代弼检观威胁法捕efw图3基于协议深度解析的控制安全防护系统功能(1)控制协议安全包括访问控制、安全审计、威胁诱捕等方式保障控制协议的安全。(2)控制软件安全钢铁企业工业控制网络中的控制软件可归纳为数据采集软件、组态软件、过程监督与控制软件、单元监控软件、过程仿真软件、过程优化软件、专家系统、人工智能软件等类型。通过恶意代码检测、工控主机防护、基线核查等方式保障控制软件的安全。3.3 基于钢铁智能化生产的网络安全防护系统钢铁行业工业控制网络目前已呈现出IP化、无线化、组网方式灵活化与全局化的特点,企业专网与互联网逐渐融合、产品服务
13、日益互联网化使钢铁行业从传统生产向智能化生产转型,企业工业控制网络的安全服务钢铁智能化生产,主要采取的安全措施包括网络边界安全、网络接入认证、通信和传输保护、安全监测审计。系统功能如图4所示。图4基于钢铁智能化生产的网络安全防护系统功能(1)网络边界安全根据钢铁企业工控网络设备和业务系统的重要程度将网络划分成不同的安全域。在安全域之间采用网络边界控制设备,对安全域边界进行监视,识别边界上的入侵行为并进行有效阻断。(2)网络接入认证系统对接入的设备与标识解析节点进行身份认证,保证合法接入和合法连接。(3)通信和传输保护通信和传输保护是指采用相关技术手段来保证通信过程中的机密性、完整性和有效性。(
14、4)安全监测审计记录网络中的系统活动和用户活动等各类操作行为以及设备运行信息,发现系统中现有的和潜在的安全威胁,实时分析并告警。3.4 基于可信技术框架的平台(应用)安全防护系统基于可信技术框架的平台(应用)安全防护系统构建覆盖企业工业互联网平台边缘层、平台层、应用层的全方位安全监测防护体系,从云基础设施、平台基础能力、基础应用能力的安全可信方面制定安全防护措施,包括安全审计、认证授权、安全隔离、安全监测、补丁升级。工业互联网平台上运行的工业App,为钢铁企业提供了各类创新应用。工业App主要安全防护功能包括代码审计、漏洞发现、审核测试、行为监测和异常阻止,如图5所示。基于可信技术框架的平台使
15、用)安全防护系统平台安全 应用安全图5基于可信技术框架的平台(应用)安全防护系统功能3.5 基于数据全生命周期的安全防护系统钢铁企业的工业数据按照其属性或特征,可以分为四大类:设备数据、业务系统数据、知识库数据、用户个人数据。根据数据敏感程度的不同,可将数据分为一般数据、重要数据和敏感数据三种。工业互联网数据涉及数据采集、传输、存储、处理等各个环节。随着工厂数据由少量、单一、单向向大量、多维、双向转变,工业互联网数据体量不断增大、种类不断增多、结构日趋复杂,并出现数据在工厂内部与外部网络之间的双向流动共享。对于钢铁企业工业互联网的数据安全防护,应采取数据加密传输、数据加密存储、数据脱敏处理等防护措施,如图6所示。数据分析基于数据全生命周期的 安全防护系统图6基于数据全生命周期的安全防护系统功能3.6基于全局态势感知的协同安全管控系统钢铁企业工控网络设备类型多、厂家种类多、网络攻击来源复杂,因此,在构建钢铁工业企业网络安全体系时需要建立起统一的安全监测与管理中心,以实现对多类设备、多种数据、多类资产以及多种攻击事件的统一管理。针对此次西钢的网络安全技术应用项目在工业企业网络安全维护中遇到的这个问题,需建立起覆盖安全设备管理、生产设备管理、IT资产管理、安全态势感知、威胁数据挖掘等多个方面的统一安全监测、预警与管理中心,提供综合的安全管理能力。如图7所示。基于全局态