裝備制造行業一體化安全運營建設案例——構建OT、IT安全能力全面融合的工業互聯網安全運營體系
1.1.1 方案概述
本方案通過建設一套自研可控可擴展的安全運營平臺,實現在線化全生命周期的安全管理,助力用戶全面安全能力的價值交付。結合方案案例用戶前期安全設備及安全系統建設成果,以“安全三同步”原則幫助用戶逐步補齊基礎安全工具能力的不足、完善安全系統交融互通,打破信息系統及安全設備的數據屏障,匯總全面安全數據,將安全運營能力覆蓋OT、IT存量操作系統、中間件、數據庫、網絡設備、安全系統及控制設備等,同時支持未來增量系統的全面運營。構建四大類信息安全運營工作,實現漏洞、基線、事件及風險業務的運營管理閉環。
1.方案背景
裝備制造企業發展普遍具有分散性及階躍性,依據業務經營的市場需求及業務戰略的規劃方向,企業會分時期在不同地理區域獨立建設生產不同產品類別的生產園區,企業充分考慮原材料、運輸能力、技術人才的平衡,用以服務不同下游行業的業務需求。不同園區的信息化建設工作普遍獨立進行,同時方案建設應用的技術體系也存在一定區別,從而形成各具特色的信息化網絡架構與IT、OT技術環境。伴隨著裝備制造企業下屬生產園區數量的增多,企業業務數字化運營也遇到了前所未有的難題,“數據分散、架構差異、資源浪費、人低效下、決策困難”等用戶痛點不僅僅存在于業務層面,也同樣阻礙在企業信息安全層面層面。裝備制造企業通過工業互聯網平臺、數據中臺、技術中臺統一構建一套服務于生產的業務運營體系,一定程度上解決了上述難題。企業應吸取業務運營體系成熟經驗,在信息安全方面構建一套OT、IT安全能力全面融合的工業互聯網安全運營體系,助力裝備制造企業信息業務與信息安全能力同步提升。
本方案用戶為應對不同時期安全風險及迫切程度不同的安全防護需求,遵循“同步規劃、同步建設、同步運營、適度安全”的原則,已分批完成了包含IT防火墻、OT防火墻、IT態勢感知、漏洞掃描系統、終端準入、Web應用防火墻等安全系統的建設工作,但對于OT側態勢感知能力、工業主機安全,IT側服務器主機安全等基礎安全設備仍存在建設空白,亟需補齊對應安全防護能力;用戶構建網絡安全態勢感知能力局限于公有云下信息系統流量分析,對于公有云上業務流量的安全事件無法一體化分析,存在業務流量分析不完整的風險,亟需實現對公有云流量也能做到全面的安全態勢分析能力;用戶當前安全能力建設被動,在多次攻防演練活動中被動防御,需要補充必要的安全誘捕反制能力助力安全運營的高效聯動;用戶各獨立安全系統目前數據割裂情況嚴重,安全防護能力沒有形成合力,不能匯聚海量安全數據挖掘其真正價值,針對安全整改工作流程無法數字化管控,迫切需要建設一套安全運營平臺,構建OT、IT安全能力全面融合的工業互聯網安全運營體系,實現安全分類分級運營,建立自動化安全管理流程,全面提升安全處置能力。
2.方案簡介
公司結合自身工業Know-How的積累,真正理解工業企業安全需求,整合最優安全能力,全面提高工業用戶安全防護和管理水平,進一步優化安全資源利用率,發揮安全資源應用價值,降低用戶安全投入總成本,推動構建OT、IT安全能力全面融合的工業互聯網安全運營體系建設進程。本方案建設貫穿用戶“工具層”、“系統層”、“平臺層”、“運營層”以及“能力層”全面安全能力的融合管理。主要內容如下:
? 工具層:利舊用戶已建設的“IT防火墻、OT防火墻、IT態勢感知、WEB應用防護、漏洞掃描”等安全技術成果,為用戶補齊包括“IT服務器安全、OT態勢感知、OT主機安全、蜜罐”等安全技術能力短板;;
? 系統層:實現用戶多個公有云上業務系統與云下業務系統安全管理的全面融合,構建風險感知能力,實現安全感知能力全域無死角,并將安全數據匯總至安全運營平臺安全大數據分析系統模塊;
? 平臺層:構建OT、IT安全能力全面融合的工業互聯網安全運營平臺,包括用于安全大數據分析的安全中臺以及用于支撐安全運營管理的安全前臺,完成與安全系統及工具的解耦,模塊化接入各系統、各設備安全運營所需數據;
? 運營層:建設包含漏洞管理、基線管理、事件管理、風險管理在內的安全運營管理能力,同時打通OA、飛書、等集團信息系統流程,實現安全系統與業務系統全面融合;
? 能力層:完成系統化縱深安全防御與數字化高效安全運營的融合,由被動防御應對向主動運營反制轉變,全面提升企業安全能力。
3.方案目標
方案建設總體目標包括完善基礎安全防護能力、覆蓋集團全面業務資產、實現安全分類分級運營、建立自動化安全工單管理流程、全面提升安全處置效率等內容,拆解實現運營管理效率提升目標如下:
? 漏洞管理目標:實現集團OT、IT高危漏洞收集、通知、整改、完成、復檢全流程管理,漏洞整改閉環率100%,緊急漏洞48小時內完成響應與整改;
? 基線管理目標:實現集團OT、IT相關系統、中間件、數據庫、設備的安全配置基線檢查結果收集、通知整改、整改完成、復檢管理,基線覆蓋率達到95%;
? 事件管理目標:實現集團OT、IT信息安全攻擊事件工單處罰、通知整改、整改完成、工單關閉管理,事件響應時間不超過8小時;
? 風險管理目標:實現集團OT、IT日常信息安全風險的發現記錄、跟蹤處置過程,風險覆蓋率100%跟蹤。
1.1.2 方案實施概況
本方案建設實施主要包括一套一體化安全運營平臺,以其為核心進行工具建設、系統建設、運營建設,打破信息設備及安全設備的數據屏障,匯總全面安全數據,實現OT側與IT側、云上與云下全面融合的安全運營管理。
1.方案總體架構和主要內容
(1)頂層設計架構
以構建OT、IT安全能力全面融合的工業互聯網安全運營體系的目標為指導,頂層設計架構涵蓋設備層、工具層、平臺層、運營層等多個業務層級,其中平臺層根據靈活性、松耦合的實際需求,拆解為平臺中臺與平臺前臺兩部分,從而起到安全運營體系的承上啟下作用,如圖1-1所示。
圖1-1 一體化安全運營總體功能架構
設備層包含OT、IT信息設備與OT、IT安全防護設備兩大類,作為基礎設施建設,既起到最直接的業務運行及安全防護支撐作用,又向上提供安全及業務分析所需海量數據;工具層利舊用戶已建設的OT、IT系統脆弱性管理能力,同時建設服務器主機防護能力,實現主機及應用層漏洞及基線工具建設;平臺中臺層構建安全大數據分析系統,對下連接匯聚OT、IT設備安全數據及安全工具系統日志數據,對上支撐前臺系統數據高價值應用調度;平臺前臺層構建涵蓋漏洞管理、基線管理、事件管理、風險管理在內的運營交付能力,建立支撐全面安全運營的系統功能組件,對接集團三方業務系統;安全運營層依托上述業務層級能力實現分類分級的自動化安全運營,支撐風險及時應對,全面提高安全運營效率。
(2)公有云上與云下安全態勢統一管理
為構建全面覆蓋用戶業務的安全風險識別能力,解決“信息安全木桶效應”的短板問題,充分考慮集團當前多公有云業務賬號各成體系、云安全產品與云下安全體系適配困難、自動處理能力欠缺、生產特征環境差異大”等業務現狀,在不改變用戶現有網絡和業務架構的基礎上,實現用戶多個公有云上業務系統與云下業務系統安全管理的全面融合,構建風險感知能力,實現安全感知能力全域無死角,并將安全數據匯總至安全運營平臺安全大數據分析系統模塊,如圖1-2所示。
圖1-2 多公有云與云下安全態勢統一管理架構
安全運營平臺構建安全大數據分析系統,通過豐富的多源采集接口接入來自多公有云賬號的安全數據以及云下OT、IT態勢感知安全數據,并依托安全模型進行安全數據的價值提升與智能關聯,將云上與云下、OT與IT鏈接為一體,見微知著全面洞悉用戶安全風險;云下部分利舊用戶已建設的IT態勢感知系統,同時建設針對于工業生產的OT態勢感知能力,通過數據接口與安全運營平臺進行數據交互,實現動態閉環;云上部分依托公有云原生安全能力,通過云廠商支撐網絡及數據接口平臺研發打通各賬號信息安全壁壘,實現與安全運營平臺的數據交互,從而實現云上云下的一體化安全分析。
2.網絡、平臺或安全互聯架構
(1)基礎網絡安全互聯架構
公司致力于用戶數據及信息內容的保護,嚴格遵循《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規要求,為保障用戶信息安全,針對網絡、平臺及安全互聯架構進行脫敏抽象處理,用戶網絡安全架構僅做示意展示,如圖1-3所示。
圖1-3 基礎網絡安全互聯架構示意圖
用戶在全國范圍建設涉及包括混凝土機械、挖掘機械、起重機械、筑路機械、樁工機械、風電設備、港口機械、石油裝備、煤炭裝備、裝配式建筑PC機械等全系列產品的生產園區,并建設覆蓋產品研發、設計、生產、銷售、售后活動的業務系統。用戶利用運營商專線建設骨干廣域環網用于構建集團業務網絡;各生產園區根據自身業務需要獨立構建園區網絡,并根據業務特點為工業生產業務獨立構建OT生產網絡保證網絡的分區分域隔離管理;用戶公有云上存在大量業務系統,為保障業務的安全穩定性,集團與公有云運營商通過專線進行安全的互聯互通。
本方案在用戶集團安全管理區域部署一體化安全運營平臺、攻擊誘捕反制蜜罐系統、服務器主機安全防護系統、OT態勢感知系統、OT工控主機安全系統,同時利舊用戶原有IT防火墻、OT防火墻、IT態勢感知、漏洞掃描、云原生安全等能力,共同構建OT、IT安全能力全面融合的工業互聯網安全運營體系,各園區網絡實現覆蓋OT生產環境、IT辦公環境的邊界防護能力、計算環境防護能力,通過態勢感知探針實時洞悉網絡安全風險,并在部分園區嘗試性部署攻擊誘捕反制系統用于變被動防御為主動反制。安全運營平臺匯聚包含各園區OT生產區域、IT辦公區域、集團辦公區域、研發測試區域、公有云業務區域在內的安全信息,形成海量的安全分析數據源,支撐OT側與IT側、云上與云下全面融合的安全運營管理。
(2)誘捕反制安全能力架構
本方案選取具有代表性的生產園區、集團部分業務網段、公有云部分業務網段作為攻擊誘捕反制安全能力建設試點,希望實現將系統化縱深安全防御與數字化高效安全運營相融合,由被動防御應對向主動運營反制轉變,全面提升企業安全能力。架構示意如圖1-4所示。
圖1-4 誘捕反制安全能力架構示意圖
在集團安全管理區域部署誘捕反制系統模擬出多套仿真沙箱,實現對門戶網站、協同辦公系統、VPN系統等面向互聯網的業務系統進行模擬,將欺騙防御資產融入到用戶集團的真實資產中,吸引攻擊者的注意力,保護真實資產;在部分重要園區部署中繼節點,在公有云環境中部署偽裝代理,模擬和監聽非業務端口,實現端口混淆,利用網絡中空閑IP與真實流量構建具有迷惑性的資產暴露,實現分布式蜜網感知,將內網橫向移動、僵木蠕毒行為誘導至沙箱;在互聯網、內網等各個區域及各個園區密布誘餌,從而有助于發現、延遲或阻斷攻擊者的活動,達到增加信息系統安全性的目的。
3.具體應用場景和安全應用模式
(1)漏洞管理運營
漏洞管理運營功能依托安全運營平臺對接用戶OA、SSO、CMDB等三方系統獲得統一的流程資產數據輸入及權限管理,借助方案建設服務器主機防護及脆弱性掃描管理系統等工具,服務于包括整改責任人、安全管理員、事業部安全專員、事業部業務領導、集團領導在內的相關角色,完成貫穿漏洞管理信息獲取、工單生成、漏洞整改、結果驗證、工單關閉在內的全流程閉環管理。實現涵蓋OT、IT系統在內的高效漏洞管理運營。應用示意圖如圖1-5所示。
圖1-5 漏洞管理運營應用場景示意圖
(2)安全工具自服務模式
本方案以安全能力自服務理念,全面提升安全資源效率,各事業部責任整改人收到安全整改流程督辦信息后,根據安全運營平臺知識庫輔助完成安全整改工作,其后通過安全運營平臺可實現針對安全問題復測提交,不借助安全運維人員,以自服務的形式進行安全工具使用申請,平臺通過優先級業務邏輯選擇,依照相關順序完成復測檢驗,進一步優化安全資源利用率,發揮安全資源應用價值。應用示意圖如圖1-6所示。
圖1-6 安全工具自服務應用場景示意圖
(3)安全信息統一追溯管理
一體化安全運營管理平臺匯聚安全數據涉及多系統、多區域、多層級、多主體,在安全信息的傳遞匯聚過程中不可避免的造成數據的可用性降低,信息缺失。為提升安全運營精準性,安全運營平臺多維度構建信息來源追溯功能,通過包含設備IP、時間印記、業務ID等信息在內的數據來源識別能力,幫助安全分析層層下鉆。應用示意圖如圖1-7所示。
圖1-7 安全信息統一追溯管理應用場景示意圖
4. 安全及可靠性
(1)完善的基礎防護能力
本方案為構建OT、IT安全能力全面融合的工業互聯網安全運營體系,對用戶網絡、業務、安全現狀進行充分調研分析,幫助用戶形成涵蓋“網絡、邊界、主機、設備、應用”的基礎防護能力及風險識別能力。網絡方面通過OT、IT態勢感知系統充分識別風險流量,邊界方面通過OT、IT防火墻進行有效的訪問控制管理,主機方面通過IT服務器主機防護系統及OT工控主機防護系統提供差異化的計算環境保護,設備及應用方面通過脆弱性管理系統保障OT、IT設備及系統漏洞可知、可管、可控,并通過安全運營平臺構建覆蓋用戶集團整體的安全運營管理能力。
(2)可靠的安全運營能力
方案通過安全運營平臺打通用戶安全流程協同管理,借助OA、BPM流程引擎,將安全與業務緊密融合;構建豐富的安全運營指標展示與考核功能,以數字化技術手段將安全數據價值全面提升展示;建立全自動工單閉環管理功能,保障安全運營督辦的執行落地,多狀態、多分支、多角色共同參與,保障業務安全有效平穩運行。
5. 其他亮點
(1)龍頭企業示范效應
本案例用戶作為我國工程機械裝備行業龍頭企業,其安全防護能力及安全運營能力建設成果對行業具有高度示范作用;同時,用戶上下游產業鏈機構豐富,以點及面,行業影響效果顯著。方案用戶充分落實企業網絡安全主體責任,為產業行業先進引領,完成了高質量的試點示范。
(2)重點活動成效顯著
用戶作為大型工業生產企業存在資產暴露面大、OT生產環境復雜、安全運營應急響應難度大等問題,在歷年各級主管單位重點活動中演練成績不佳。用戶依托本方案安全運營體系建設,形成了OT、IT安全能力全面融合的工業互聯網安全運營體系,于2022年度在其所在省份網絡攻防演習獲得第二名的優異成績。
1.1.3 下一步實施計劃
1. 運營平臺能力提升
遵循安全能力“同步規劃、同步建設、同步使用”的原則,本期方案功能規劃預留了充分的能力提升空間。下一步計劃將安全運營平臺進行持續能力提升,當前安全處置仍需人工審核,在進一步積累安全場景、安全處置劇本、安全響應標準動作的幫助下,逐步完善運營平臺SOAR的能力,充分結合業務分類分級管理運營,將可控低影響的安全事件,逐步依托安全劇本自動化處置,進一步提升安全處置效率,將安全運營人力進一步釋放。
2. 保護范圍持續完善
根據用戶業務的不斷發展,以及業務系統應用技術的不斷演進,用戶容器部署的業務系統日漸增多,業務功能微服務化趨勢明顯。下一步計劃在安全功能持續完善方面幫助用戶將容器內的風險識別、安全保護、安全檢測、安全響應融入整體安全運營平臺體系,保障安全防護與業務系統同步發展、敏捷支撐。
3. 解決方案行業推廣
伴隨著本方案標桿案例的持續運營完善,業務安全處置模型的不斷積累,安全運營功能的實用落地,安全指標維度的豐富積累。下一步計劃發揮龍頭企業標桿案例示范影響效力,在裝備制造行業及上下游產業行業中進行構建OT、IT安全能力全面融合的工業互聯網安全運營體系解決方案的持續推廣,助力工業互聯網安全產業不斷發展。
1.1.4 方案創新點和實施效果
1. 方案先進性及創新點
本方案打破當前普遍存在的用戶適應安全廠商固定安全運營產品的現狀,高度重視用戶業務需求,以自研可控、代碼級交付的理念為用戶按需交付安全運營能力,方案統籌考慮OT生產環境及IT辦公環境的安全運營覆蓋建設,創新性實踐公有云安全風險與云下傳統安全態勢感知的統一運營管理,方案完成系統化縱深安全防御與數字化高效安全運營融合,由被動防御應對向主動運營反制轉變,全面提升企業安全能力。部分先進創新內容如下:
(1)覆蓋全、體量大
本方案覆蓋生產園區OT、IT系統涉及全國十余個省市,涉及工業生產品類達數十種、服務器主機安全運營體量達萬級、OT工業主機安全防護近千套、OT態勢感知探針建設近百……
(2)品類多、全融合
本方案涉及安全信息來源廣泛,存在大量IT系統及OT系統,包含多個公有云環境、集團IDC機房、集團研發測試區域、多省事生產辦公區域……
2. 實施效果
通過本方案的實施,為用戶實現了集團-園區、云上-云下的全面安全運營及安全防護能力提升,具體表現在運營效果、防護效果以及反制效果三個方面:
(1)運營效果
本方案通過一體化安全運營體系的構建,幫助用戶打破安全數據交互壁壘,統籌安全能力,從而形成安全防護合力。建設以漏洞管理、基線管理、事件管理、風險管理為功能模塊的安全運營前臺,通過安全運營中臺匯聚海量安全數據,挖掘數據真正價值,全面提高安全處置效率,提升安全崗位人效,賦能集團人員安全意識提升。促使用戶集團信息安全處置效率提升87%、安全數據可視化利用率達到90%、安全資產管理率達到99%。
(2)防護效果
本方案為支撐能夠建設OT、IT安全能力全面融合的工業互聯網安全運營體系,利舊用戶原有IT防火墻、OT防火墻、IT態勢感知、漏洞掃描、云原生安全等能力的同時,新增建設IT服務器主機安全防護系統、OT態勢感知系統、OT工控主機安全系統,攻擊誘捕反制蜜罐系統。全面提升用戶涉及“網絡、邊界、主機、設備、應用”的基礎防護能力及風險識別能力。
(3)反制效果
本方案選取具有代表性的生產園區、集團部分業務網段、公有云部分業務網段作為攻擊誘捕反制安全能力建設試點,實現系統化縱深安全防御與數字化高效安全運營融合,由被動防御應對向主動運營反制轉變,全面提升企業安全能力。2022年度用戶在其所在省份網絡攻防演習中,借助誘捕反制得分獲得優異成績。
1.1.5 單位基本信息
樹根互聯股份有限公司將新一代信息技術與制造業深度融合,開發了以自主可控的工業互聯網操作系統為核心的工業互聯網平臺——根云平臺。公司提供的工業互聯網解決方案主要包括智能制造IIoT解決方案、產品智能化IIoT解決方案、產業鏈IIoT解決方案,賦能工業企業的智能生產管理、產品與服務的創新以及產業鏈協同,提供低成本、低門檻、高效率、高可靠的工業互聯網數字化轉型服務。公司是工信部遴選的第一批國家級跨行業跨領域工業互聯網平臺企業,并連續四年入選;2019年根云平臺成為了公安部信息系統安全等級保護(2.0)發布后首批通過三級測評的工業互聯網平臺;2021年,公司收到國務院發展研究中心的致謝信:公司提供的“工程機械大數據——挖掘機指數”為國務院發展研究中心相關工作提供了數據支撐,并對有關政策制定和實際工作發揮了積極作用。根云平臺于2019年、2020年、2021年連續三年入選權威機構Gartner全球工業互聯網魔力象限,系唯一入選的中國工業互聯網平臺;在IDC發布的《2021年中國工業互聯網平臺市場廠商評估》結果中,公司位于領導者象限,技術力位居中國第一;在福布斯中國《2021年度中國十大工業互聯網企業》排名中,公司位列第一;公司于2021年取得CMMI最高等級5級認證。
AII微信公眾號
AII頭條號