某生物技术有限公司是一家上市生物制药企业,致力于人用疫苗及其相关产品的研究开发、生产和销售,为疾病预防控制提供服务。

随着对信息系统的依赖程度不断增加,原有的信息化设备已经无法满足业务发展的需要。现需要根据实际业务需求对原有信息化系统进行优化和改造,而信息安全建设作为信息化建设中必不可少的环节,需要同步进行。国内外安全形式日趋严峻,为保障网络安全,《网络安全法》、关基保护条例、等保2.0标准等相继发布,对企业的业务合规能力、业务系统安全能力和安全运营能力等提出了新的挑战。

该企业在网络和生产系统设计与建设之初,未考虑到潜在网络安全风险,未面向生产网络进行体系化网络安全建设。随着企业信息化建设不断推进,给现有的生产网络与工控系统带来很大的风险与挑战。

本项目对该企业进行网络安全整体规划与建设,结合公司的网络安全现状,确定其安全建设需求,加强其监测预警系统、终端安全查杀能力、应急响应手段、大数据安全平台和信息系统等级保护建设的推进工作,全面提升其智能制药的网络安全保护及整网安全能力,并建立一个完善的信息安全预防、监测、防御和响应的纵深防御的安全体系,解决其当前面临的网络安全风险。

某生物技术有限公司拥有11个厂区,本项目需要在满足政策合规的前提下,通过建设企业级工业互联网安全态势感知与综合管控服务平台,实时掌握各生产厂区工业系统的网络安全态势,及时通报预警重大网络安全威胁;形成企业和下属各生产基地相关部门协调联动的网络安全监测预警处置工作机制,构建网络安全综合防控体系;最终形成工业安全检测、工业安全防御、工业安全运维、工业安全响应的闭环体系,如图1所示。

图1 总体安全方案设计架构

项目实施

业务应用场景分析

该生物制药企业工业网络安全防御体系仍需完善,系统工业安全检测和感知能力不足,没有建立相应的工业网络安全监测、预警和感知系统。工业网络安全重复检查、安全风险和漏洞重复通报等问题突出。因此需要具备以下能力：

(1)资产安全集中监测能力;

(2)高级威胁检测能力;

(3)工业网络安全监测及处置能力;

(4)可视化溯源分析能力;

(5)工业安全合规管理能力。

该企业具有生物制药行业的典型特点：厂区分散、网络结构复杂、各工厂工控系统品牌和型号不统一。项目方案中,根据业务需求规划安全域并制定详细的访问控制策略,部署网络安全设备构建分域控制与纵深防御的安全防护体系,同时通过全面的工业协议解析能力及多源异构日志分析能力,将安全数据转换为统一、标准的数据格式,利用工业安全态势感知平台进行大数据处理,成功打通各安全域的信息孤岛,形成工业安全运营闭环管理体系,做好协同防御。

技术方案

项目总体设计采用分域控制与纵深防御相结合的方式,如图2所示。

图2 项目技术方案示意图

(1)分域控制：将智能制药操作系统和外部系统依据系统的应用功能、资产价值及资产所面临的风险,从结构上划分为不同的安全区域,并以安全区域为单位进行安全防御技术措施的建设。

(2)纵深防御：智能制药操作系统围绕安全管理中心,从安全通信网络、安全区域边界、安全计算环境三个维度进行安全技术和措施的设计;通过集中管理,对确认的重大威胁或攻击进行安全联动防护,充分考虑各种技术的组合和功能的互补性,从外到内形成一个纵深的安全防御体系。

安全管理中心

(1)新建安全管理域

在服务器区新建安全管理域,在安全管理域内部署工业安全态势感知平台、堡垒机、工业安全管理平台等安全设备,在安全管理域与服务器区之间部署下一代防火墙,实现服务器区与安全管理域的访问控制。

(2)工业安全管理平台

对各安全域的安全设备进行集中管控、状态监测、策略配置下发等,及时发现、报告并处理工业控制系统中的网络攻击或异常行为,统一调度安全预警、安全监测、安全防护和应急处置。

(3)综合日志审计平台

采集各个安全域的日志信息进行审计,支持各类网络设备、安全设备、主机、应用及数据库等,满足政策法规要求的日志留存期限,支撑事件分析与攻击溯源。

(4)运维审计与风险控制系统(堡垒机)

通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放和自动化运维流程管理等功能,增强运维管理的安全性。

安全通信网络

工业控制系统与企业其他系统之间应划分为两个区域,即在生产网服务器与办公网服务器之间部署下一代防火墙,通过安全策略实现单向隔离,有效阻隔外部威胁的入侵;在工业控制系统内部应根据业务特点划分为不同的安全域。本项目根据工控系统的业务属性及地理位置等因素,使用工业防火墙将各工厂划分为独立安全域。工业防火墙具有bypass功能,可确保生产业务的连续性。

安全区域边界

在各个工厂的生产设备汇聚交换机数据出口处部署访问控制设备(工业防火墙),配置访问控制策略,禁止任何穿越区域边界的E-mail、Web、Telnet、Rlogin、FTP等通用网络服务,深度解析工业协议,禁止非白名单工业协议传输;使用工业安全监测审计平台及流量分析系统,在工业控制系统安全域内进行异常行为和异常流量监测。

(1)工业防火墙

工业网络内部安全域间使用工业防火墙进行边界划分,并配置访问控制策略,利用工业防火墙的多业务端口实现横向隔离,只允许特定设备的特定协议通过(如OPC、Modbus等)。工业防火墙具有bypass功能,可确保生产业务的连续性。

(2)工业安全监测审计平台

在各工厂的生产设备汇聚交换机上部署工业安全监测审计平台,实时监测生产过程中产生的所有流量,识别多种工控协议,实现对工业控制系统内的异常流量、异常行为、异常操作、非法接入等安全风险的实时告警。

(3)流量分析系统

在各工厂的终端汇聚交换机上部署流量分析系统,内置海量威胁检测规则,覆盖多种安全场景,有效识别各类IT、OT类网络攻击行为,实时告警并与工业安全态势感知系统联动处置,从而实现高效精准的威胁检测。

安全计算环境

针对此生物制药企业应用主机安全及管理系统、数据库审计系统和工控漏洞扫描平台,实现主机反病毒、外设管理、数据库审计、资产脆弱性识别等能力,构建安全计算环境。

(1)主机安全及管理系统

在安全域的计算机部署主机安全客户端,在安全管理中心部署主机安全及管理系统平台,对所有主机安全客户端进行统一管理。集成系统加固与防护、网络加固与防护等功能,内置文件诱饵引擎对勒索病毒具有专防专杀能力;内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。

(2)数据库审计与风险控制系统

在生产网服务区内部署数据库审计与风险控制系统,对数据主机事件、网络事件、数据库时间、应用系统事件进行审计,并按照目标标识和事件类型等条件进行统计;通过综合关联分析,发现潜在危害和异常事件。

(3)工控漏洞扫描平台

可对生产网络内的设备进行漏洞扫描。工控漏扫拥有丰富的漏洞信息库,支持对传统IT系统(包括主流操作系统、应用服务、数据库、网络设备、安全设备、虚拟化系统)的漏洞扫描与配置核查,以及对工业控制系统的漏洞识别检测,能够及时发现安全漏洞,全面掌握当前工业控制网络及系统中的安全风险,协助管理者进行漏洞修复。

工业安全态势感知

工业安全态势感知平台是生物制药行业工业互联网安全解决方案的大脑,采用安全大数据技术对工业安全数据进行深度分析,形成安全监测、安全分析、安全运营能力,并提供可视化安全态势感知呈现。工业安全态势感知打通了信息固定,将各个安全设备与系统进行联动,构建了一体化动态响应的工业信息安全防御体系,如图3所示。

图3 工业安全态势感知平台示意图

(1)数据采集

· 支持多源异构数据采集,收集安全设备、网络设备、主机和应用系统等日志;

· 支持流量采集,可采集全流量信息,深度解析工业协议与传统IT协议,识别异常通信行为;

· 支持资产信息探测,可通过主动探测、流量识别、安全设备上报等方式,精准识别资产信息;

· 支持漏洞信息采集,能够采集各类IT资产与工控资产漏洞及不安全配置等风险。

(2)安全数据分析

平台结合IT与OT应用场景,内置1300多种安全分析模型,包括180多种扫描探查检测类模型、740多种渗透攻击检测类模型、20多种获取权限检测类模型、210多种命令控制检测类模型和30多种资产破坏类检测模型,覆盖Intrusion Kill Chain的各个维度,能有效识别各类网络攻击。

此外,平台支持自定义工业安全模型,可根据用户实际业务场景,将安全生产指标与网络安全指标进行融合分析,从中发现威胁与风险,并进行有效的处置。当前支持规则模型、统计模型、情报模型、关联模型和AI模型等自定义模型。

(3)业务应用

· 资产管理：提供资产底数管理能力,可在线监控网内资产,并识别资产基础信息、网络环境、安全事件、安全隐患等信息,将资产、事件、人员/单位相关联,为应急响应提供基础。

· 安全监测：可实时监测资产、安全事件、安全隐患、工控系统生产指标及其他用户关注的信息,通过多种可视化方式进行呈现。

· 安全分析：平台通过内置规则实时分析安全事件与安全风险,用户可查看事件级别、范围、攻击手段、处置建议等信息,并提供追踪溯源能力,协助人员开展处置工作。

· 安全运营：平台提供通报预警与工单管理,形成流程化的闭环安全管理机制,确保责任落实到人。此外,平台通过SOAR技术,可联动防火墙、主机安全及管理系统等设备,自动处置安全事件,显著加强应急处置效率。

案例亮点及创新性

经济效益

此生物制药行业工业互联网安全一体化运营解决方案在确保安全生产运营的基础上,进行网络安全建设,提高生物制药生产运营安全性以及生产数据的可用性、完整性和保密性;通过从OT网络到IT网络多重防护措施,从外到内形成一个纵深的安全防御体系,保障系统整体的安全保障能力;保护企业重要资产,有效提升企业工业网络安全技术水平,减少和避免因网络安全事故对生产能力和生产效率的影响,减少和避免经济损失,有助于降低成本、提高生产效率、保障产能。

本项目帮助某生物技术有限公司满足政策法规的技术要求,为其11个厂区及总部构建了以工业安全态势感知为核心的工控安全防护体系,解决了生产网数据共享的安全问题,具备了对安全事件溯源分析和问题定位的能力,提高了安全运维人员的工作效率,有显著的经济效益。同时,本项目建成后迅速实现了相关安全技术落地,并在集团生产基地进行了应用,保障了基地制造工厂安全,促进了集团业务的快速发展。

社会效益

该方案应用具有免疫特征的安全防护体系、机制和关键技术在保证合规性建设的同时,可以持续解决新技术、新应用所带来的安全问题。同时该项目在行业内具有较高的创新性,建设完成后可以适配大多数生物制药企业及泛制造企业场景,促进了工业控制网络安全技术的发展、安全企业价值的提升和安全产业的规模化发展。