基于主动防御的电子制造基地安全方案查看源代码讨论查看历史
基于主动防御的电子制造基地安全方案该电子制造企业既有自己的工厂又有众多的外协工厂,且外协工厂分布式在全世界多个国家。目前该企业已经实现“云上办公”和“生产管理系统上云”,企业各园区之间采用企业专网进行通信,生产基地和外协厂基本上通过租借的专网进行通信,部分供应商采用TLS VPN进行通信,厂区内部还根据不同的应用场景采用不同的通信方式,除了有线通信之外,还有WiFi 和eLTE等无线通信方式,工厂和外协工厂之间通过该企业的云平台实现生产协同。
正是企业制造智能化[1]和管理IT化的水平比较高, 使其制造业务的面临安全挑战非常大,且制造业务的安全要求和公司的通用IT安全要求有所不同,前者重点是保障业务的连续性和可靠性,后者重点是确保数据的安全性和可控性。因此制造业务部门在基于公司通用的IT安全部署和安全管理之上,提出制造基地独立的安全防护体系和安全管理机制。
项目简介
该电子制造基地的安全实施,以保证业务连续性为目标,采取管理约束和技术保证双管齐下的策略,根据生产实际述求,本着先改造IT后增强OT的安全实施理念,提出了被动的静态防御和主动防御相结合的安全部署方式, 通过严格的安全隔离和访问控制机制等传统的静态防御手段,为生产基地构建独立的网络安全防护围墙;在此基础上,引入主动防御的安全工具,通过先进的安全防御工具,来弥补攻防的不对称问题,提高应对未知威胁的反应能力和预警能力,确保工控系统运行环境的安全性。
项目目标
项目的安全目标是确保业务的连续性,避免因攻击事件造成生产线的停机。项目安全方案的前提条件是不对工控系统的可用性、实时性和可靠性产生任何影响,制造基地的数据安全保护已经由公司的云平台安全保护体系进行保护,不在本项目考虑之内。
目在增强传统的静态防御手段基础上,采用“先提高IT免疫力,后增强OT安全”的思想,分两期部署主动安全防御系统:第一期主要给制造基地IT网络和OT边缘区增加主动防御,建立数据交换区来隔离安全风险,车间内的数据以安全监控为主;第二期,将主动防御系统的行为建模能力扩展到OT网络和工业协议,实现OT、IT和CT网络的全方位监控。通过这两期的安全方案部署,加强了网络安全纵深防御和联动协防能力,建立有效应对APT攻击防御的全网协同的智能“自我免疫”的安全防御体系,实现对全网威胁的态势感知。实现网络安全[2]“智能检测”、“智能处置”和“智能运维”,从被动、单点防御到主动、整网防御,从人工运维到智能运维。
项目实施概况
项目的面临的挑战和对策
主要挑战
终端安全手段难以部署,停机维护不可接受;生产线无人值守,工控设备高自动低智能;生产网络是专用的封闭系统,与外部情报共享不方便;另外面对APT高级持续威胁和WannaCry等这种新型勒索病毒,传统单点和静态防护手段常常束手无策,等到攻击事件爆发时才知道已经为时已。
应对策略
采用不依赖终端的网络旁路部署方案;威胁检测不依赖威胁情报,而是基于AI和业务环境自适应的智能检测与响应技术;通过建立数据交换区,最大限度避免外部攻击和威胁直接进入生产网,部署诱捕网络,与智能检测与响应系统进行联动,提高对未知威胁的攻击意图分析能力和全网的动态安全响应能力。
参考文献
- ↑ 智能化未来的发展趋势 ,搜狐,2022-07-04
- ↑ 什么是网络安全,常用的安全措施有那些 ,搜狐,2022-08-26