基於主動防禦的電子製造基地安全方案檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

基於主動防禦的電子製造基地安全方案該電子製造企業既有自己的工廠又有眾多的外協工廠，且外協工廠分布式在全世界多個國家。目前該企業已經實現「雲上辦公」和「生產管理系統上雲」，企業各園區之間採用企業專網進行通信，生產基地和外協廠基本上通過租借的專網進行通信，部分供應商採用TLS VPN進行通信，廠區內部還根據不同的應用場景採用不同的通信方式，除了有線通信之外，還有WiFi 和eLTE等無線通信方式，工廠和外協工廠之間通過該企業的雲平台實現生產協同。

正是企業製造智能化^[1]和管理IT化的水平比較高， 使其製造業務的面臨安全挑戰非常大，且製造業務的安全要求和公司的通用IT安全要求有所不同，前者重點是保障業務的連續性和可靠性，後者重點是確保數據的安全性和可控性。因此製造業務部門在基於公司通用的IT安全部署和安全管理之上，提出製造基地獨立的安全防護體系和安全管理機制。

項目簡介

該電子製造基地的安全實施，以保證業務連續性為目標，採取管理約束和技術保證雙管齊下的策略，根據生產實際述求，本着先改造IT後增強OT的安全實施理念，提出了被動的靜態防禦和主動防禦相結合的安全部署方式， 通過嚴格的安全隔離和訪問控制機制等傳統的靜態防禦手段，為生產基地構建獨立的網絡安全防護圍牆；在此基礎上，引入主動防禦的安全工具，通過先進的安全防禦工具，來彌補攻防的不對稱問題，提高應對未知威脅的反應能力和預警能力，確保工控系統運行環境的安全性。

項目目標

項目的安全目標是確保業務的連續性，避免因攻擊事件造成生產線的停機。項目安全方案的前提條件是不對工控系統的可用性、實時性和可靠性產生任何影響，製造基地的數據安全保護已經由公司的雲平台安全保護體系進行保護，不在本項目考慮之內。

目在增強傳統的靜態防禦手段基礎上，採用「先提高IT免疫力，後增強OT安全」的思想，分兩期部署主動安全防禦系統：第一期主要給製造基地IT網絡和OT邊緣區增加主動防禦，建立數據交換區來隔離安全風險，車間內的數據以安全監控為主；第二期，將主動防禦系統的行為建模能力擴展到OT網絡和工業協議，實現OT、IT和CT網絡的全方位監控。通過這兩期的安全方案部署，加強了網絡安全縱深防禦和聯動協防能力，建立有效應對APT攻擊防禦的全網協同的智能「自我免疫」的安全防禦體系，實現對全網威脅的態勢感知。實現網絡安全^[2]「智能檢測」、「智能處置」和「智能運維」，從被動、單點防禦到主動、整網防禦，從人工運維到智能運維。

項目實施概況

項目的面臨的挑戰和對策

主要挑戰

終端安全手段難以部署，停機維護不可接受；生產線無人值守，工控設備高自動低智能；生產網絡是專用的封閉系統，與外部情報共享不方便；另外面對APT高級持續威脅和WannaCry等這種新型勒索病毒，傳統單點和靜態防護手段常常束手無策，等到攻擊事件爆發時才知道已經為時已。

應對策略

採用不依賴終端的網絡旁路部署方案；威脅檢測不依賴威脅情報，而是基於AI和業務環境自適應的智能檢測與響應技術；通過建立數據交換區，最大限度避免外部攻擊和威脅直接進入生產網，部署誘捕網絡，與智能檢測與響應系統進行聯動，提高對未知威脅的攻擊意圖分析能力和全網的動態安全響應能力。

參考文獻