工业信息安全应急处置解决方案Word格式.docx
《工业信息安全应急处置解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《工业信息安全应急处置解决方案Word格式.docx(10页珍藏版)》请在冰豆网上搜索。
二、项目实施概况
1.安全问题研判
工业现场的上位机大多老旧,服役10年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。
工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。
企业生产网络与办公网络连通,未部署安全防护措施进行隔离;
生产制造产线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。
由于上位机操作系统都是老旧的WindowsXP,感染病毒之后频繁蓝屏重启,无法在问题终端采样进行病毒分析。
在生产网络核心交换机位置旁路部署工业安全检查评估系统对生产网络数据流量进行检测,基于安全大数据能力生成多维度
海量恶意威胁情报数据库,对工业控制网络进行自动化数据采集与关联分析,识别网络中存在的各种安全威胁。
借助工业安全检查评估系统的强大检测分析能力,安服人员很快判定该上位机感染了“永恒之蓝”蠕虫病毒(也称为WannaCry)。
比亚迪生产环境有如下复杂的特性:
(1)场景复杂性
比亚迪有IT、汽车、新能源和轨道交通四大产业,每个产业群都有多个生产工厂、车间,如:
电池、电子、手机、PAD、笔记本电脑、汽车电子、汽车零配件、发动机、动力电池、储能设备、云轨、云巴、轨道通信等多达上百个大大小小的车间。
(2)应用复杂性
公司生产应用系统、软件复杂多样,MES、PLC、DCS等等,不同的产业群、产品车间,都有不同的产品测试、检测、调校、数据采集、分析等各类生产应用。
(3)网络复杂性
管理层面已规划办公网络、生产网络、无线网络、有线网络、独立局域网络,但很多生产网络环境并没有严格隔离,网络情况复杂。
(4)适配复杂性
各种IT、汽车、储能、轨道交通车间的检测机、测试板卡、数据采集卡、烧录器、U盘、SD卡、扫描器等外设设备的适配。
(5)实施复杂性
集团产业多样、工业园分布全球各地,生产车间业务繁忙,给予的时间、人员协调有限,必须要准备充分,根据不同生产线准备对应的应急响应措施。
在信息安全技术方面存在的问题主要表现在以下几个方面:
(1)系统网络未进行严格的安全划分,区域间未设置严格的访问控制措施;
(2)缺少信息安全风险监控技术,不能及时发现信息安全问题,出现问题后靠人员经验排除;
(3)操作系统安全配置薄弱,防病毒软件安装不全面;
(4)工程师缺少身份认证和接入控制,且权限很大;
(5)存在使用移动存储介质不规范问题,易引入病毒及黑客攻击程序;
(6)第三方运维生产系统无审计措施,不能追根溯源;
(7)生产上线前未进行信息安全测试,存在安全风险漏洞;
在信息安全管理方面存在的问题主要表现在以下几个方面:
(1)组织结构人员职责不完善,工控安全人员缺乏;
(2)生产信息安全管理制度和流程不够完善;
(3)应急响应机制不健全,需进一步提供安全事件应对能力;
(4)人员信息安全培训不足,人员安全意识有待提高;
(5)尚需完善第三方人员管理体制。
2.对策与措施
安服人员发现上位机感染WannaCry病毒之后,为了避免上位机中数据被加密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为病毒网站,并通过策略设置将生产网上位机DNS指向此伪装服务器,阻止了WannaCry病毒的后续影响。
企业生产园区占地范围很大,感染病毒的上位机几乎遍布各个园区,单纯依靠人力难以逐一定位问题终端。
工业安全检查评估工具在此过程中发挥了巨大作用,不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的IP地址和MAC地址,结合企业提供的资产清单,安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
完成定位之后,安服人员第一时间关闭了网络和终端的445端口,避免病毒进一步扩散。
经过现场细致排查沟通,确定以下信息:
(1)上位机硬件配置资源有限,无法安装杀毒软件;
(2)专用的生产软件对操作系统版本有严格限制,无法对操作系统进行打补丁操作;
(3)重装系统会导致专用软件授权失效,带来经济损失。
结合上述信息,安服人员只能对问题终端采取杀毒处理。
为了避免杀毒过程中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然后用WannaCry病毒专杀工具进行杀毒处理,清除感染的病毒。
3.具体应用场景和解决方案
为了避免处理完成的上位机再次感染病毒,安服人员在上位机上部署安装了工业主机安全防护软件,该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为工业主机创建干净安全的运行环境。
同时,针对可联网的上位机,通过部署网络版的工业主机安全防护软件进行分组管理、策略制定下发、终端软硬件资产管理、安全日志收集告警等,从而实现统一管理、配置和安全风险管控。
4.其他亮点
图1工业主机安全防护部署架构图
(1)工业专用的主机防护软件:
a.针对比亚迪工业主机复杂性特点,工业主机防护系统须进行老旧操作系统(如winXP)的兼容、比亚迪工业软件C15/MES系统、专用的电池软件等几十种工业软件的适配支持以及各类工业主机硬件的支持。
b.比亚迪生产线上工控系统不允许在运行期间进行升级,白名单技术无需进行病毒库升级,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,并且白名单支持三种工作模式,告警、防护、关闭一键切换。
(2)工业主机“永恒之蓝”防御:
a.针对比亚迪的“永恒之蓝”勒索病毒,白名单在防护模式下会放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,同时结合漏洞防御进行永恒之蓝的超前防御,可以形成关卡一样层层拦截模式。
b.针对比亚迪生产线上通过U盘进行文件拷贝容易造成病毒传播的情况,工业主机安全防护可针对主机插入的USB移动存储进行权限管控,通过针对USB移动存储的硬件ID进行识别和匹配,对所允许的外设进行权限管控(读和读写),对不允许的外设进行禁用。
从而,避免工业主机通过USB移动存储进行病毒传播和非法外设进行文件读取。
(3)工业资产全面可见
a.针对比亚迪生产线中工业主机资产难以梳理,并依靠手工登记汇总的情况,工业主机防护具有强大的终端发现功能,通过定义网络IP段分组,对指定的网络分组进行周期性地发现与统计网络中的终端数量及类型。
从而了解生产线上工业主机数量和工业主机安全防护系统终端的安装量,为比亚迪进行工业主机管理和安全运维提供有效的参考。
b.比亚迪生产线中,当存在大量工业主机、设备时,尤其出现安全风险或问题时,需要一台一台主机和设备进行安全排查,工业主机防护具有软件化的控制中心,可以针对主机上客户端进行集中管理和安全风险分析,基于用户组织架构进行安全风险管理并可以进行终端功能进行单点维护和定制化。
三、下一步实施计划
1.进行全面的资产排查,检查产线中是否还存在遗漏的未进行安全防护的工业主机。
2.做好此次事件的总结,制定好工控应急响应计划和定期演练,避免再次出现病毒大规模扩散传播,及造成产线停产带来的严重经济损失。
3.针对新购置和上线的机器进行安全防护措施,如上线前安装工业主机安全防护软件并进行白名单设置和U盘管控。
四、项目创新点和应用价值
1.项目先进性及创新点
工业安全检查评估工具和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。
工业主机安全防护软件基于轻量级“应用程序白名单”技术,以及基于ID的U盘管控技术,高稳定、低开销、无需升级库文件、网络版资产管理及安全风险管理等特点,真正贴合了工业企业的实际需求,操作简单的特点也符合生产技术人员的操作习惯。
该方案能够适用于大部分工业控制系统,是一套成熟可靠的安全解决方案。
2.实施效果
针对比亚迪“永恒之蓝”的安全问题,通过在全国各地园区生产线上共计部署17000多点工业主机安全防护软件,自部署以来运行稳定。
通过工业主机安全防护软件,能够自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,以及针对单个U盘的管控,为比亚迪工业主机创建安全的运行环境,让比亚迪信息基础设施运行的更安全、更可靠。
在比亚迪所有园区生产线中工业主机均部署了工业主机防护软件:
(1)对生产线中裸奔的工业主机实现了安全防护,防止恶意程序攻击,保障生产稳定运行;
(2)对生产线中工业主机进行了全面梳理,有利于实现资产统计和分析;
(3)对生产线中的可联网工业主机进行全面风险监控和集中管理,能够在第一时间发现工业主机安全风险;
(4)积攒了生产线中工业主机软件安装和生产之间的协调经验,有利于后续产线工业软件安装和处置。
3.实施价值
(1)整体化的安全方案
从设备安全来看,从技术层面出发,全网终端形成了统一的防病毒体系,有效抵御病毒及木马的入侵,并结合终端管理软件对终端进行集中管理,安全策略集中部署、补丁下发控制、资产收集统计、终端行为控制与审计、流氓软件识别、安全控制等方面进行了整体部署。
从管理角度出发,工控态势感知、漏洞检测、安全审计和监测、功能的引入将实现对全网工控行为、漏洞、状态、安全趋势的完全管理。
从运维安全角度来看,规范本行操作人员和第三方代维厂商的操作行为。
审计和监测系统的部署,使得所有系统管理人员,第三方系统维护人员通过实施网络管理和服务器维护,对所有的操作行为,都做到可记录、可控制,审计人员通过定期对维护人员的操作审计,可以提高维护人员的操作规范性。
(2)针对性的区域隔离防护能力
在各个地区与总部之间分别部署安全防火墙,实现工业园级的病毒安全防护隔离,实现网络分层分区,边界访问控制。
(3)符合工控安全防护指南要求
方案针对《工业控制系统信息安全防护指南》所提出安全建议,对应实现的安全防护见表格中内容。
1、物理安全
防护指南
具体内容
防护措施
一、安全软件选择与管理
建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措
施。
在工作站、服务器布置防病毒的白名单软件。
二、配置和补丁管理
做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
部署安全配置核查系统,对系统各类设备进行安全配置核查设计,对于安全配置较差的设备,在保证生产的前提下
进行安全配置变更。
密切关注重大工控信息安全漏洞及其补丁发布,即使采取补丁升级措施。
在补丁安装前,需对补丁进行
严格的安全评估和测试验证。
部署工控漏洞扫描系统,及时发现工作站、服务器、网络设备及工控设备中存在的安
全漏洞,定期更新漏洞库。
2、网络安全
三边界安全防护
通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,
禁止没有防护的工业控制网络与互联网连接。
网络出口位置部署安全防火墙,实现各园区网络边界的防护。
通过工业防火墙、网闸等防护设备对工业控制
网络安全区域之间进行逻辑隔离安全防护。
3、主机安全
在工作站、服务器布置防病毒的白名单软件
10|工业互联网先进应用案例集
4、工业控制设备安全
在补丁安装前,需对补丁进行严格的安全
评估和测试验证。
部署工控漏洞扫描系统,及时发现工作站、服务器、网络设备及工控设备中存在的安全漏洞,定期更新漏洞库。
二、安全监测和应急预案演练
在重要工业设备前端部署
具备工业协议深度包检测功能的防护设备,限制违法操作。
在工业子系统的控制设备
前端部署适用于工业现场的专用防火墙。
5、应用安全
五、身份认证
强化工业控制设备、工控软件、工业通信设备等的登录账户及密码,避免使用默认口
令和弱口令,定期更新口令。
部署堡垒机等第三方身份认证措施。
6、数据安全
九、数据安全
1、对测试数据进行保护。
2、对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。
部署数据防泄密系统,对重要数据进行加密和管控,防止重要数据的外泄和破坏。