目前,钢铁企业工业信息安全保障能力建设通常采用补偿性防护措施来实现,如防火墙、审计、入侵检测等设备的应用。该策略对工业控制网络的安全风险管控具有一定的促进作用,但随着攻防演练等活动的开展,企业发现常规的单点防护、纵深防御防护措施已不能满足企业工业信息安全保障能力建设需求,越来越多的钢铁企业选择SOC、SIEM、态势感知等系统作为安全管理工具,希望通过集团/企业的集中安全管理策略,实现企业安全运营,提升企业工业信息安全保障能力,但是,多数的实际应用效果并未达到预期,主要原因如下:
在钢铁行业实际应用中,工业信息安全管理工作需要横跨多个部门,如:自动化部门、信息化部门、业务部门等,但各部门之间权益难以统一。钢铁企业应用的SOC、SIEM、态势感知等系统主要由信息化部门建设实施,为达到该系统的应用效果,需要在企业生产过程中的部分环节部署探针设备(主机agent、流量探针等),但部署过程会存在一定的阻力。一方面,业务部门、自动化部门认为,信息安全探针的部署可能会造成工业控制系统主要业务数据在采集、传输、控制过程等发生异常、失效的问题。另一方面,SOC、SIEM、态势感知等系统的建设,往往伴随着信息安全管理部门对现场信息安全工作的监管,对业务部门、自动化部门已经形成的日常使用习惯带来一定程度的改变与不便,如操作站密码长度限制、密码修改周期限制等。
另外,作为工业信息安全管理工作的主要抓手,目前多数SOC、SIEM、态势感知系统普遍以采集主机设备、网络设备、安全设备的日志信息作为主要数据源,对工业控制系统内更重要的工业控制设备、工业应用软件、生产信息化软件等缺乏识别、采集等手段,因此SOC、SIEM、态势感知系统仅能实现信息安全层面的信息统计、分析,输出成果只能局限服务于信息化、信息安全部门,无法提供自动化部门所关心的数据内容。因此,SOC、SIEM、态势感知系统建设对业务部门、自动化部门明显是风险大于收益的“贸易逆差”。
当前钢铁行业企业在工业信息安全建设中,更加迫切需要具有生产业务、自动化、信息化、信息安全等多元数据处理能力的管理平台,为企业内多部门分别提供符合其部门职责与核心业务需求的精准数据信息,平衡自动化部门、信息化部门、业务部门权益,以技术措施的升级达成业务流程的智能化,促进工业信息安全管理工作的模式变化,为企业工业信息安全综合保障赋能。
融合业务的安全一体化管理平台建设实践
1. 安全一体化管理平台基本情况
烽台科技安全一体化管理平台(以下简称 “平台”)覆盖集团、工厂、车间三级结构,在某钢铁企业建设应用中,已接入设备数量500+、工业主机200+、工业控制设备(PLC/DCS)200+、网络节点50+、生产系统40+,并且覆盖集团下属五家钢铁企业。
平台按照业务部门(生产安全部、生产调度部)、信息化部门(运维部门、信息安全部门)、自动化部门(自动化部门、仪器仪表)的部门职能,将采集到的多元数据综合分析形成告警后,对各部门进行精准分发,为其分别提供精准安全告警数据服务。
2. 安全一体化管理平台部署结构
安全一体化管理平台由集团级安全管理平台、厂级安全管理平台、工业安全智能网关三级设备级联构成。集团数据中心部署集团级安全管理平台,5个生产基地分别部署厂级安全管理平台,车间内部署工业安全智能网关。
平台部署结构(图1)
(1)工业安全智能网关
工业安全智能网关是整个监测体系的数据基础,部署于现场生产车间,负责采集工业控制网络中工业生产现场的工业主机设备配置、工业网络流量、工控安全设备告警、工业网络设备配置、现场控制设备数据、生产相关信息化系统等信息。工控安全智能网关采集的详细信息内容如下:
采集信息(图2)
(2)厂级安全管理平台
厂级安全管理平台部署于各生产基地内企业生产管理网,主要由各厂自动化运维人员使用。厂级安全管理平台对工厂内各车间分别部署的工控安全智能网关所上传的以车间为单位的信息进行汇聚,为厂内自动化运维人员提供拓扑监控、自动巡检、资产管理、故障溯源等功能。
(3)集团级安全管理平台
集团级安全管理平台部署于集团数据中心,主要使用者为集团信息中心。集团级安全管理平台对各生产基地厂级平台上传的信息进行汇总,为集团管理者、业务部门、信息化管理部门、自动化管理部门提供各厂安全数据统计分析、集团安全趋势分析、各厂主要业务系统安全分析等数据,为集团工业信息安全监管、生产信息化系统运维、生产安全综合监控提供决策依据。
3. 安全一体化管理平台典型应用模式
平台以现场跨越自动化、信息化、信息安全、生产业务等多类型数据源为基础,结合业务部门(生产安全部、生产调度部)、信息化部门(运维部门、信息安全部门)、自动化部门(自动化部门、仪器仪表)各部门工作职能,开发出符合其需求的上层应用。平台中典型应用包括远程故障诊断、自动巡检、资产管理、故障溯源、安全一体化综合分析、告警自定义分发等。
应用1:远程故障诊断
目前,针对工业控制系统、生产信息化系统的故障诊断,需要工程师到现场依次排查仪器仪表、自动控制设备、网络设备、服务器、工业主机等多类设备故障,由于集团、工厂的物理空间分布远、组织结构的专业划分详细,因此对于生产信息化系统内数据上传错误等常见问题的诊断,人工现场处理效率极低,平台 “远程故障诊断”应用模式可以有效改善钢铁企业此类问题。
根据钢铁企业自动化工作人员对于“组态界面化”的操作习惯,平台提供基于工控系统的拓扑监控功能,在拓扑图中展示控制设备、网络设备、工业主机、服务器等设备的关键指标状态、安全状态、告警信息等。同时,系统内部署的入侵检测、防火墙、安全审计等告警信息也均能通过拓扑图集中呈现。平台支持针对控制点位的远程故障诊断,可以对与生产相关的信息化系统中的故障信息进行精准定位。
应用2:自动巡检
定期巡检是钢铁集团各生产基地自动化人员的日常工作,由于工厂普遍占地面积较大、现场设备物理空间跨度大,因此,人工巡检工作的开展,有大量时间用于穿梭在不同的生产现场,并且,巡检完成后还需要根据巡检情况手工编制巡检报告,时间效率低,人工成本高。平台提供的自动化远程巡检功能,可以根据运维巡检制度与周期,设置成定期巡检,并自动根据巡检频率要求输出日/周/月度巡检报告。 应用3:资产管理
由于系统规模较大,设备物理分布广,自动化运维人员对资产管理存在一定困难。平台可梳理全网环境中的设备资产,自动化运维人员能够在平台上维护整体设备清单,掌握工控系统内所有设备信息。
另外,对系统内主机设备、网络设备、安全设备、控制设备的设备状态实现资产画像,运维管理人员可以实时掌握每个设备的运行状态。
如:交换机资产画像可以实现交换机基础配置及各端口的接口状态、速率、进出流量大小及趋势等信息。
工业主机资产画像可以实现现场操作员站、工程师站、服务等工业主机的系统配置(cpu\内存\磁盘占用)、网络互联(最近连接设备五元组信息/连接状态/连接次数等)、主机服务(当前主机进程/监听端口/进程状态/监控状态等)、系统用户、主机日志、主机告警、系统漏洞、防护评分等信息。
PLC资产画像可以实现PLC设备基本信息(厂商/型号/IP/模块数量/物理位置/故障次数)、各模块状态、模块异常告警、通道状态、点位状态、点位数据趋势统计等信息。
应用4:故障溯源
信息化部门、自动化部门日常工作中的一项主要工作是对工控系统内各类设备出现的设备宕机、网络中断、病毒爆发等故障的恢复、溯源、处置。但人工分析需要排查一定时间段内、不同设备的各类异常情况,需要大量的日志获取、分类、关联分析、原因定位等工作,工作量大、效率低。
平台提供故障溯源分析功能,可实现设备故障前后所有与其相关设备异常行为、信息安全事件日志的统计分析,实现故障可能原因的快速定位。
应用5:安全一体化综合分析
平台接入与生产相关的主要信息化系统数据,如能源管理系统(EMS)、生产制造执行系统(MES)、集中计量系统、数字矿山等。对系统内的各类告警信息进行汇总、分析,实现信息中心管理/运维人员对生产相关信息化系统告警信息的集中管理。系统中出现的点值异常、点位通讯错误等问题与设备告警、网络通信告警、信息安全告警进行关联分析,充分挖掘导致业务数据异常的仪器仪表故障、自控系统故障、信息安全事件。
应用6:告警自定义分发
钢铁企业内部日常工作有企业自建OA、企业微信、钉钉等办公相关系统,平台可根据企业内不同部门的部门职责来细分告警信息类型,对业务部门、信息化部门、自动化部门进行消息推送,方便对应部门人员进行事件处置。
安全一体化管理平台建设价值
1. 工控系统资产管理能力提升
对于自动化部门、信息化部门,所有运维工作、安全工作的基础是对工控系统内工控资产实际情况的充分掌握。平台建设部署后,从厂内自动化部门到集团信息中心,对系统内工控资产的管理能力有了较大提升。由于系统建设时间跨度大、现场人员更迭导致的工控系统资产管理难的问题得到有效解决,自动资产发现、各类资产实时画像等功能有效提升了资产管理效率。
2. 自动化/信息化/安全运维能力提升
当前多数钢铁行业内工业控制系统设备运维工作普遍以人工的方式进行,系统故障排查、故障溯源、定期巡检等工作耗时长、重复性强、耗人工多、需要多部门沟通,大大影响了自动化/信息化/安全运维效率。平台建设后,由于现场数据源覆盖了自动化、信息化、安全运维所需数据,对原来需人工处理的数据实现了自动化采集、分析,因此远程故障诊断、故障溯源、自动巡检等功能大大提高了自动化运维、信息化运维、信息安全运维的工作效率。
3. 面向业务安全监测能力提升
由于原来常规信息安全工作的开展增加了工业控制系统使用、维护的复杂度,却没有解决业务与信息安全耦合性的问题,普遍无法解释“安全措施如何为业务赋能”这一难题。平台建设后,通过对生产业务数据的采集,对业务数据与信息安全数据、设备状态数据、系统告警数据等多类数据的综合关联分析,充分解释了信息安全告警对业务生产、自动化运维、信息化运维的影响,所有安全监测结果均表现出安全事件对生产业务的影响程度、影响范围。监测结果通过告警的自定义分发,解决了监测信息交付中“最后一公里”的问题,精准分发监测结果至不同专业的责任人员,实现了面向业务安全监测能力的提升。