基于等保三级铺设的工控安全保护网

随着互联网技术的加速发展,云计算5G技术、人工智能等新一代信息技术与制造技术的加速融合,使得工业控制系统正从封闭独立逐步走向开放互联。与此同时,工业信息系统普遍存在的网络安全问题也愈显突出,如安全管理制度不健全、相关标准规范缺失、技术防护措施不到位、监测与态势感知能力不足、安全防护能力和应急处置能力不高等等,尤其是工业企业在资产、信息、数据和网络连接发生数量级增长后,平台安全、数据安全、应用安全、支付安全、交易安全、物联网设备安全、控制系统安全成为企业实现一体化、全周期安全运营必须重视和攻克的挑战。在党的二十大报告中,习近平总书记着重强调了:“要推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定。”面对这种系统性、全面性问题以及可能产生全局性、灾难性的后果和影响,如何有效保障网络与信息安全,是数字时代的重要课题。

工业控制系统安全建设框架

由于工业控制网络中多为自动化领域的设备及应用,其在技术执行过程中与传统信息领域有着较大的差异。故在工业控制系统安全体系设计过程中,需要基于等级保护“一个中心,三重防护”的核心理念,采用面向工业领域的专业安全技术手段,按区域、分层级进行安全防护。

工业安全总体建设设计

工业总体的安全建设包含了安全计算环境防护、安全区域边界防护、安全通信网络防护。

安全计算环境

在生产控制层与生产监控层之间部署工控防火墙,,对用户实施基于角色的访问控制策略,现场设备收到操作命令后,应检验该用户绑定的角色是否拥有执行该操作的权限

安全通信网络

在工业控制系统与其它系统之间部署工控网闸,实现单向技术隔离;

在不同安全域边界部署工控防火墙,实现对通信链路的风险管控;

应用工控防火墙的VPN模块或采用独立VPN设备对无线传输过程进行加密,保证通信过程中数据的完整性、保密性。

安全区域边界

在工业控制系统与其它系统之间部署工控网闸,实现网络边界隔离和访问控制;

在生产区域内部各安全域间部署工控防火墙,对各安全域之间的访问行为进行细粒度控制;

部署工控审计、日志审计,对用户行为和安全事件进行审计和分析;

部署工控入侵检测与审计系统,对外部或内部发起的网络攻击行为进行检测、分析和预警防范。

具体部署方案如下图所示:

根据对各个安全系统的详细设计,已经可以比较清晰的勾画出工业网络安全建设的整体全景如下图所示。



网络安全审计

网络安全审计系统主要用于监视并记录网络中的各类操作,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。

在交换机处并接部署网络行为监控与审计系统,形成对全网网络数据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。

网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。

边界访问控制

通过对工业网络的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动,为网络创造全面纵深的安全防御体系。

安全隔离网闸

根据工业控制网络内部网络不同区域、工业控制网络与互联网边界的互联互通。对这些访问行为,需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查,以防止有互联网引入风险。防火墙进行严格的访问控制的设定,确保访问身份的合法性。

但是,防火墙无法高度保证传输内容、协议、数据的安全性。同时,需要对互联网业务对工业控制内网数据库的访问进行严格的管理控制,不允许互联网用户访问到工业控制网络相关系统。

可以通过在互联网安全域与工业控制网络的安全边界上、在工业控制网络与现场设备层之间部署安全隔离网闸,对各部门的数据库实现按需数据同步。

通过这种方式,可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。

边界入侵防御

在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。

在工业控制系统网络边界和主要服务器区安全域均已经设计部署了防火墙,对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析,需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。

客户价值

深圳利谱基于安全等级保护2.0的工业信息安全解决方案针对客户工业控制系统网络存在的安全风险,从安全防护、安全检测等不同维度构建纵深防御体系,保障生产网络安全的同时也为客户带来以下具体收益:

深圳利谱工业安全等级保护安全解决方案基于业务行为基线的安全技术手段,构建生产网络“白环境”,可制定访问控制、外设管理、基线模型等多种细粒度安全策略,最大程度实现生产业务零影响,保障生产业务可靠运行;

借助深圳利谱工业安全防护、工业安全审计产品等,建立符合等级保护标准要求的控制领域全方位安全防控体系,从而全面提升客户信息化安全防护水平;

为客户生产运营提供过程的可用性、完整性和保密性保护,并在此基础上实现综合集中安全管理,构建纵深的安全防御体系,提升工业控制系统整体安全能力。