融安网络腾俐军:流程工业ITOT融合网络安全风险及安全运营管理平台建设实践
2021-04-26
作者:韦肖葳
来源:电子技术应用
目前,超过80%的涉及国计民生的工业基础设施依靠工业控制系统来实现自动化作业,工业控制系统己广泛应用于涉及国计民生的各领域,流程工业对工业自动化系统普及使用更广泛,罗克韦尔、霍尼韦尔、通用电气、施耐德、西门子……从德国的工业4.0到美国的工业互联网再到中国的《中国制造2025》,工业智能化俨然已成为全球战略制高点。IT、CT和OT的技术融合推动了工业互联网的发展,工业互联网也随之带来了很多价值,如预测性维护和柔性制造。
工业互联网发展的同时也带来了很多信息安全的问题,工业信息安全是国家安全的构成因素,一旦出现问题便会导致严重的后果,例如危及国家安全、带来恶性社会影响或者巨大的经济损失等。
2021年4月10日,CITE2021 工业互联网发展与安全峰会在深圳召开,深圳融安网络科技有限公司副总裁腾俐军在会上做了题为《流程工业ITOT融合网络安全风险及安全运营管理平台建设实践》的报告,分享了该公司在流程行业中有价值的探索及经验。
深圳融安网络科技有限公司副总裁 腾俐军
腾俐军表示,近两年,国家电网和南方电网都在建设态势感知和安全运营平台上投入了很多资源,融安网络也很荣幸参与其中。融安网络要做的是一个基于内生安全理念的工业信息安全防护体系。内生安全包含几点:IT/OT一体化安全规划,业务/安全融合同步建设以及产品/服务聚合的安全运营。
腾俐军表示,早期工业性防护偏局部,出现问题后便增强安全体系,帮助一些企业做安全建设的时候更希望从全局来思考问题,按照体系架构来针对性地来进行安全性地部署。如下图所示,流程制造行业具有L0到L4分层的概念。L0为设备层,L1和L2是现场控制层和过程监控层,这两个版块与工业生产比较紧密,工业性要求非常高,实时性也非常高。L3为生产管理层,执行较低,但也需要做安全的加固,L3与企业网连通较为紧密,那么这一部分该如何部署呢?
腾俐军表示,网络安全、控制安全、数据安全、设备安全上的问题都会使流程工业企业生产信息系统产生安全风险。在网络安全上,网络IP化、无线化以及组网灵活化给工厂网络带来了更大的安全风险;控制安全上,控制环境开放化使外部互联网威胁渗透到工厂控制环境;在数据安全方面,数据的开放、流动和共享使数据和隐私保护面临前所未有的挑战;设备安全方面,设备智能化使生产装备和产品暴露在网络攻击之下。
为了解决此问题,融安网络为流程工业企业生产信息系统网络安全设计了“一个中心+二个体系+三重防护”的实施方案:
行业应用-广西广投新材料集团智慧工厂
腾俐军之后展示了融安网络正在建设的两个项目。广投新材料集团智能制造网络安全项目新材料集团以铝加工及铝精深加工为主的企业,主要从事航空铝板型材及其精深加工制品的研发设计、生产和销售为主要业务。集团为提升生产运行效率进行智能化改造,建设智能工厂,网络安全为智能制造工厂配套基础设施环。
技术需求:
1. 智慧工厂生产线中各子系统(熔铸/挤压/热轧/冷轧/供电/污水等)做了相应的区域划分,但是处于逻辑互联的状态,缺乏有效的隔离和防护手段;
2. 智慧工厂工业控制网络内部缺乏合理的威胁发现防护机制,对于内部出现的风险无法及时告警和响应;
3. 满足网络安全法和网络安全等级保护2.0三级等保合规性需求,建立协同防御体系;
解决方案:
• 采用智能工业防火墙,部署在内部各子系统区域边界,实现不同区域之间的安全防护,采用黑白名单技术实现内部入侵防护和APT攻击防护;
• 采用工业入侵检测系统和工业监测审计系统,部署在内部各子系统内部,实现不同区域子系统的恶意代码监测和网络行为、操作行为的审计,通过机器学习建立白名单对异常操作行为和网络行为告警;采用融安工业终端安全卫士,部署在操作员、工程师和服务器站,建立可信计算空间;
• 建设集团综合网络安全管理中心,依托工业控制系统安全大数据平台实现对集团下属智能工厂全网资产信息采集,网络安全设备状态监控和策略下发,对网络流量和安全事件进行实时采集清洗,通过数据建模分析内网安全威胁并联动响应处理。
行业应用-国家管网广东天然气管道SCADA系统
国家管网广东天然气管网项目是省重点工程,建成年供气量达500亿方3200公里的天然气管网,受益人口将超过1亿。为提高公司生产控制系统整体水平,参照等保2.0工作要求,完成调控中心+站场(60个)等SCADA系统等保定级建设。
技术需求:
广东省天然气管网工程调控和应急指挥中心项目。调控中心按照网络安全等保三级要求建设,在调控中心以及粤西、粤东、粤北等3200公里天然气骨干网站控、阀室建设边界防护、安全监测、计算环境安全、安全管理等体系。
广东管网各站场生产数据与广州调控中心的通信信道均采用主备方式,调度中心部署综合安全管理平台,第一期/二期/三期管线一共部署包括工业防火墙、隔离网闸、堡垒机、工业入侵监测、日志审计、工业监测审计、工业终端卫士以及工业控制系统安全大数据系统等200套产品;
解决方案:
- 安全区域隔离:生产网内部各子系统之间,采用工业防火墙实现逻辑隔离,并采用黑白名单技术,实现内部入侵防护和APT攻击防护;
- 网络安全监视:生产网站点部署工业入侵检测系统和工业监测审计系统,并实现防火墙和入侵检测联动,能够实时阻断威胁链路。安全数据采集回传安全管理中心;
- 计算环境安全: 生产网的主机和服务器部署基于可信和进程白名单额度工业终端安全卫士,实现主机安全免疫;
- 管理中心:综合网络安全管理中心,依托工业控制系统安全大数据平台实现全网资产信息采集,网络安全设备状态监控和策略下发,对网络流量和安全事件进行实时采集清洗,通过数据建模分析内网安全威胁并联动响应处理。
腾俐军在报告最后表示,“所以现在工业体系这一块怎么来形成更好的效率,还是属于探索和摸索阶段,但是目前的尝试还是非常有意义的,至少发挥了一些很好的作用。”