随着信息化、数字化水平不断提高,工业控制系统(ICS)及相关体系作为信息系统与现实世界支撑和连接的纽带,被广泛应用于工业生产、金融、关键基础设施、社会活动支撑、医疗购物等关系国计民生的重要领域。但由于我国信息技术起步较晚,工业控制系统的核心设备、基础软件等关键部件大量采用国外产品,导致工业控制系统缺乏自主创新的能力。近年来,针对工业控制系统的攻击事件逐年增加,工业控制系统正面临着前所未有的信息安全挑战。为推进自主创新工控安全体系的建设,麒麟软件联合神州慧安,共同打造工业互联网体系下的工控安全联合解决方案。
联合解决方案以网络安全法、等级保护2.0以及相关行业政策法规为指导,使用国产硬件搭载银河麒麟高级服务器操作系统V10,发挥操作系统优势,为上层工控安全应用提供自主安全可信的高性能系统运行环境。工控安全应用通过大数据分析和安全感知等前沿技术,深度识别工控系统的资产、风险和漏洞,实现对工控资产、网络攻击、系统漏洞、移动存储管理、运维管理的有效管控,提升工控系统的安全性能,构建全面的生产控制系统信息安全防护体系。方案既能帮助企业实现安全合规、风险可控,也能为企业提供全方位的信息安全自主可信服务能力,降低非可控因素带来的安全风险。
方案采用搭载银河麒麟操作系统的国产硬件,结合工业防火墙、工控安全监测分析管理平台、工控运维审计系统等安全管理软件,可应用于网络边界安全防护和工控主机安全防护加固场景、安全检测与安全审计场景、集中安全管理场景等生产环境。工业控制系统安全防护体系包含的工控安全监测分析管理平台和其他安全设备构成的安全探针已经在银河麒麟高级服务器操作系统V10上实现了100%的功能迁移,监测分析管理平台可实现多达2000个节点的日志收集、集中管控的需求,可在线管理6000台以上工控资产,同时日志的存储条数可达到5000万条以上,完全满足一般企业6个月以上安全日志存储需求。该方案已在多行业的生产控制系统中得到了安全验证。
网络边界安全防护和工控主机安全防护加固场景
各行业生产控制系统体系中,生产网控制区作为核心区域,极易遭受其他区域的网络安全威胁,而通过网络层篡改工控指令则会直接导致重大生产安全事故,工控终端也存在文件误杀、感染病毒等问题。针对这类场景,通过工业安全隔离交换系统,帮助强化企业生产网大区之间的安全隔离能力;通过工业防火墙设备,强化工控系统工业协议深度分析和访问控制能力;通过工控主机加固软件,来加强工控主机安全主动防御能力。
安全检测与安全审计场景
在生产控制系统的防护体系中,安全监测和安全审计是预防和限制工控安全事件的必要功能。方案中提供的工业网络监测审计系统和工控数据库审计系统,可以帮助企业对部分工控安全事件进行事前预防、事中监测、事后追踪,加强工控网络流量和数据库操作行为的审计能力;工控入侵检测系统,可以及时发现对生产网的各种攻击企图、攻击行为并进行攻击溯源,提高入侵和恶意代码防范能力;而工控漏洞扫描系统,则可以第一时间发现工控系统内部脆弱性,检测出系统存在的漏洞并重点防范,提高工控系统漏洞检测及挖掘的能力。
集中安全管理场景
为了简化企业工控安全管理模式、降低安全运维成本及风险,提升企业对工控系统的整体安全防范能力,并为管理人员提供安全决策方面的判定依据,方案提供了工控监测分析平台、工业信息安全日志平台和工控运维审计系统。帮助企业加强了安全设备及资产统一管控能力,提高了工业网络内部各类日志收集分析能力,并实现了对工控主机、应用系统、网络设备、安全设备的统一集中安全运维管理。
成功案例
某发电厂生产控制系统工控安全改造项目中,帮助客户在不改变原有网络架构的原则上,基于本方案设计了针对电力生产控制系统的工控安全系统改造方案。以资产安全为基础,从全局视角提升企业发电生产环节中生产大区对安全威胁发现识别、攻击阻断、应急处置的能力,降低不可控因素带来的安全风险。
某卷烟厂生产控制系统工控安全建设项目中,基于本方案为客户建设了生产控制系统工控安全防护体系。在完成对制丝、卷包、动能、物流四大车间工控系统的工控资产排查、网络梳理基础上,针对企业各类工控信息资产进行有效的差异化和精细化保护,搭建了具备网络安全态势感知及威胁情报能力综合防御体系。
在某城市轨交工控安全建设项目中,在充分分析CBTC、ISCS、AFC等轨交系统特点需求的基础上,基于本方案构建了从边界防护、流量监测、终端安全、综合监管到企业自测自评的内生安全纵深防御体系;消除了安全协作真空,打造了控制中心和车辆段、集中站之间一体化防御平台。
经过多个行业的落地实践,基于银河麒麟操作系统的生产控制系统工控安全解决方案可实现对工业控制系统的统一监控,通过基于大数据分析及预警、态势安全感知等前沿技术,以零信任安全架构感知异常的攻击行为,提前预知生产大区工控系统安全态势,及时定位风险点及故障点,提高检修维护工作效率,降低了时间、人力、经济成本,提高了企业的核心竞争能力。
通讯员 | 刘俊杰、李研
来 源 | 技服中心、厂商合作事业本部
审 核 | 市场与政府事务部