隨着信息化、數字化水平不斷提高,工業控制系統(ICS)及相關體系作為信息系統與現實世界支撐和連接的紐帶,被廣泛應用於工業生產、金融、關鍵基礎設施、社會活動支撐、醫療購物等關係國計民生的重要領域。但由於我國信息技術起步較晚,工業控制系統的核心設備、基礎軟件等關鍵部件大量採用國外產品,導致工業控制系統缺乏自主創新的能力。近年來,針對工業控制系統的攻擊事件逐年增加,工業控制系統正面臨著前所未有的信息安全挑戰。為推進自主創新工控安全體系的建設,麒麟軟件聯合神州慧安,共同打造工業互聯網體系下的工控安全聯合解決方案。
聯合解決方案以網絡安全法、等級保護2.0以及相關行業政策法規為指導,使用國產硬件搭載銀河麒麟高級服務器操作系統V10,發揮操作系統優勢,為上層工控安全應用提供自主安全可信的高性能系統運行環境。工控安全應用通過大數據分析和安全感知等前沿技術,深度識別工控系統的資產、風險和漏洞,實現對工控資產、網絡攻擊、系統漏洞、移動存儲管理、運維管理的有效管控,提升工控系統的安全性能,構建全面的生產控制系統信息安全防護體系。方案既能幫助企業實現安全合規、風險可控,也能為企業提供全方位的信息安全自主可信服務能力,降低非可控因素帶來的安全風險。
方案採用搭載銀河麒麟操作系統的國產硬件,結合工業防火牆、工控安全監測分析管理平台、工控運維審計系統等安全管理軟件,可應用於網絡邊界安全防護和工控主機安全防護加固場景、安全檢測與安全審計場景、集中安全管理場景等生產環境。工業控制系統安全防護體系包含的工控安全監測分析管理平台和其他安全設備構成的安全探針已經在銀河麒麟高級服務器操作系統V10上實現了100%的功能遷移,監測分析管理平台可實現多達2000個節點的日誌收集、集中管控的需求,可在線管理6000台以上工控資產,同時日誌的存儲條數可達到5000萬條以上,完全滿足一般企業6個月以上安全日誌存儲需求。該方案已在多行業的生產控制系統中得到了安全驗證。
網絡邊界安全防護和工控主機安全防護加固場景
各行業生產控制系統體系中,生產網控制區作為核心區域,極易遭受其他區域的網絡安全威脅,而通過網絡層篡改工控指令則會直接導致重大生產安全事故,工控終端也存在文件誤殺、感染病毒等問題。針對這類場景,通過工業安全隔離交換系統,幫助強化企業生產網大區之間的安全隔離能力;通過工業防火牆設備,強化工控系統工業協議深度分析和訪問控制能力;通過工控主機加固軟件,來加強工控主機安全主動防禦能力。
安全檢測與安全審計場景
在生產控制系統的防護體系中,安全監測和安全審計是預防和限制工控安全事件的必要功能。方案中提供的工業網絡監測審計系統和工控數據庫審計系統,可以幫助企業對部分工控安全事件進行事前預防、事中監測、事後追蹤,加強工控網絡流量和數據庫操作行為的審計能力;工控入侵檢測系統,可以及時發現對生產網的各種攻擊企圖、攻擊行為並進行攻擊溯源,提高入侵和惡意代碼防範能力;而工控漏洞掃描系統,則可以第一時間發現工控系統內部脆弱性,檢測出系統存在的漏洞並重點防範,提高工控系統漏洞檢測及挖掘的能力。
集中安全管理場景
為了簡化企業工控安全管理模式、降低安全運維成本及風險,提升企業對工控系統的整體安全防範能力,並為管理人員提供安全決策方面的判定依據,方案提供了工控監測分析平台、工業信息安全日誌平台和工控運維審計系統。幫助企業加強了安全設備及資產統一管控能力,提高了工業網絡內部各類日誌收集分析能力,並實現了對工控主機、應用系統、網絡設備、安全設備的統一集中安全運維管理。
成功案例
某發電廠生產控制系統工控安全改造項目中,幫助客戶在不改變原有網絡架構的原則上,基於本方案設計了針對電力生產控制系統的工控安全系統改造方案。以資產安全為基礎,從全局視角提升企業發電生產環節中生產大區對安全威脅發現識別、攻擊阻斷、應急處置的能力,降低不可控因素帶來的安全風險。
某捲煙廠生產控制系統工控安全建設項目中,基於本方案為客戶建設了生產控制系統工控安全防護體系。在完成對制絲、卷包、動能、物流四大車間工控系統的工控資產排查、網絡梳理基礎上,針對企業各類工控信息資產進行有效的差異化和精細化保護,搭建了具備網絡安全態勢感知及威脅情報能力綜合防禦體系。
在某城市軌交工控安全建設項目中,在充分分析CBTC、ISCS、AFC等軌交系統特點需求的基礎上,基於本方案構建了從邊界防護、流量監測、終端安全、綜合監管到企業自測自評的內生安全縱深防禦體系;消除了安全協作真空,打造了控制中心和車輛段、集中站之間一體化防禦平台。
經過多個行業的落地實踐,基於銀河麒麟操作系統的生產控制系統工控安全解決方案可實現對工業控制系統的統一監控,通過基於大數據分析及預警、態勢安全感知等前沿技術,以零信任安全架構感知異常的攻擊行為,提前預知生產大區工控系統安全態勢,及時定位風險點及故障點,提高檢修維護工作效率,降低了時間、人力、經濟成本,提高了企業的核心競爭能力。
