行业概述
高端制造业是指制造业不断吸收电子信息、计算机、机械、材料以及现代管理技术等方面的高新技术成果,并将这些先进制造技术综合应用于工业产品的研发设计、生产制造、在线检测、营销服务和管理的全过程,实现优质、高效、低耗、清洁、灵活生产,即实现信息化、自动化、智能化生产,取得很好经济收益和市场效果的制造业。
半导体行业特点
半导体集成电路以其极高的产品附加值成为高端制造行业的典型代表。集成电路制造的过程就是硅的附加值快速增长的过程,集成电路的制造是一个复杂且耗时的精细流水线生产过程。首先要利用设计自动化软件进行电路设计,然后将集成电路设计的版图转印到石英玻璃上的铬膜层形成光刻板或倍缩光刻板;另一方面,由石英砂提炼出的初级硅经过纯化后拉成单晶硅棒,然后切片做成晶圆。晶圆经过边缘化和表面处理,再与光刻板/倍缩光刻板一起送到半导体制造厂制造集成电路芯片。整条工艺流程对生产设备可靠性要求极高。例如,一个典型的 12 寸原始硅片,价格约 120 美元,经过约 500~800 个工艺步骤,加工 40~60 天后,其价值能提高到约 3000 美元;假定一个芯片制造厂的月产能40000 片~100000 片,其月产出可以达到 1.2 亿~3 亿美元,甚至更高。因此,一个稳定运行的芯片制造厂可以说称之为"印钞机"也不为过。反之,如果芯片生产线出现任何问题,如停电、网络中断、感染病毒、工艺流程等,即使几个小时的停产,也会给企业自身及其上下游企业带来巨大的损失。
安全风险点
这次的台积电三大生产基地停摆事件,目前台积电方面已表示预估这起事件冲击第三季营收约百分之三,并且公布了病毒感染的原因:新机台在安装软件的过程中操作失误,因此病毒在新机台连接到公司内部网络的时候发生了病毒扩散的情况。
在当前工业互联网的大形势下,高端制造业的生产控制网络不再像人们传统观念中与互联网完全隔离,随着更多更先进的生产管理系统的上线,越来越多的无线终端的接入,并且在工业4.0的大形势下更多的生产数据需要被采集到管理办公网络,企业的生产控制网暴露的风险点越来越多:
1、目前绝大多数的CNC设备依赖国外品牌,第三方运维人员(尤其是国外的技术人员)在进行现场或远程运维时可能会泄露重要生产数据或NC文件。
2、生产管理网的DNC服务器在从生产控制网中采集生产数据时,使得生产控制网存在被恶意攻击、感染病毒的风险。
3、未对工业控制网络区域间进行隔离、恶意代码监测、异常监测、 访问控制等一系列的防护措施,很容易一点发生病毒或攻击,影响全部车间甚至全公司。
4、未统一对设备及日志进行统一管理,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复 杂的问题。
5、在进行日常运维及流程工业调整时多使用移动介质将NC文件导入高精尖数控设备或接入网络,会导致机台感染病毒或恶意代码并且扩散.
6、未对操作站主机及服务器进行合规的安全配置,使得暴露的终端被攻击成功的可能性很高。
7、逐渐增加的无线接入点缺少认证控制措施。
8、管理制度上的缺失及难于管理,缺乏相应的安全责任人,供应商、运维服务商管理不严格,缺乏安全意识等。
解决方案
在《工业控制系统信息安全防护指南》及一系列等级保护相关标准的指导下,面对高端制造行业的严峻安全现状,天地和兴推出高端制造业的工控信息安全整体解决方案,帮助制造业企业提升自身的安全防护能力、建立安全可控的监管手段、完善可视可量化的安全评估考核体系,保障生产业务环境安全可靠,持续提升工控安全监管能力。
方案架构:
通过工业防火墙、主机防护系统、入侵检测、工控威胁检测、工控安全审计、账号管理及运维审计系统、工控安全监管与分析平台、工控安全检查工具箱等工控安全专用产品,实现生产控制网的安全隔离、边界防护、访问控制、入侵防范、APT攻击防范、安全审计、集中管控、主机安全等,架构图如下:
边界防护:
1、满足合规性要求《工业控制系统信息安全防护指南》第三项"边界安全防护"的技术要求等";
2、采用专门针对工控系统的专业数据隔离防护产品来进行边界防护,能够深度解析工业通信协议,并且对于利用工控协议漏洞、工控系统漏洞进行渗透攻击的行为进行实时拦截和告警;
3、对于未授权的接入与访问能够在域间链路上进行杜绝;
4、能够对非授权设备私自联到网络的行为进行检查和阻断;
入侵检测:
1、满足合规性要求(生产控制系统可以统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于网络边界正常信息中的入侵行为,分析潜在威胁并进行安全审计);
2、实时监测网络中的病毒、蠕虫、木马以及各类威胁引起的攻击、扫描、传输等事件,并告警提示;
3、通过溯源其攻击源、攻击目标、攻击路径,对网内受影响的风险节点进行精确定位,锁定IP和MAC地址,协助用户对事件进行快速处理;
4、从事件时间、事件类型、事件风险、事件危害等多个维度对监测到的安全事件进行统计分析;
安全审计:
1、满足合规性要求(生产控制网的监控系统应当具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析);
2、实时监测网络中的流量信息、人员操作信息、工控协议信息等进行分析,并告警提示;
3、实时监测网络中的误操作、违规行为、非法设备接入等异常行为,并告警提示;
4、提供全程的行为审计和事件还原能力,为电厂安全管理人员提供高效的安全事件追溯功能;
APT攻击及恶意代码防范:
1、满足合规性要求(应在网络边界处对恶意代码进行检测和清除、应维护恶意代码库的升级和检测系统的更新);
2、对网络整体进行安全检测与监控,发现各类已知与未知威胁,并进行统计分析,综合展现APT攻击信息、威胁类型、分布范围、源头、趋势等信息,展现整体网络安全态势;
3、在网络边界、主机边界布防,形成多层安全部署结构,对已知威胁(已知恶意行为、已知恶意代码)和可信对象进行过滤;
4、拥有高威胁感知,可自动甄别网络访问威胁行为;
主机安全加固:
1、满足合规性要求《工业控制系统信息安全防护指南》第一项"安全软件选择和管理"的技术要求等);
2、对操作系统中安装的工控组态监控软件的应用程序进行白名单注册、登记和标识,对于修改文件内容和应用进程的行为进行实时拦截和审计;
3、对电厂操作员站和工程师站的上位机USB等外设接口使用技术手段进行有效的安全管理;
4、提供硬件的安全秘钥对管理员的身份进行双重审核,达到访问控制的效果(双因子认证);
身份认证与操作审计:
1、满足合规性要求(信息监控系统等业务系统应当逐步采用用户数字证书,对用户登录应用系统、访问系统资源等操作进行身份认证、提供登录失败处理功能,根据身份与权限进行访问控制,并且对操作行为进行安全审计);
2、接入认证授权,支持对终端用户的身份鉴别,确保只有合法的终端用户才能使用终端计算机;
3、终端使用控制,避免不符合安全策略和安全规定的终端计算机进入内部网络;
4、终端数据安全,按照相应的授权级别和终端安全管理策略完成对终端授权用户的操作行为控制和文件加密管理;
5、终端安全审计,统一策略配置与下发、集中管理与审计;
综合安全管理:
1、满足合规性要求(对工控系统的安全策略以及计算环境、应用区域边界和通信网络上的安全机制实现统一管理的平台。在安全管理中心内部又分为系统资源管理、安全控制和审计三部分。可信管理对关键资源信息度量策略和基准库进行管理。在一级可信/安全管理中心实现了多级互联);
2、实现对工控网络中的安全设备(主机防护系统、安全审计系统、工控防火墙等)实施集中管理、策略下发等功能;
3、实施监控,通过流量探针可以获取全网的流量态势,分析业务主机的流量占用比率,系统自动建立动态基线,发现异常的主机流量;
4、对工控网络中的安全事件日志、会话报文日志、系统事件日志等进行汇总、关联分析并形成告警;
方案价值
1、以工控信息安全产品为方案核心的整体解决方案,适应工控系统安全防护在稳定性与机密性的共同需求。
2、方案中所有信息安全产品为天地和兴自主研发,自主可控,安全产品联动安全性更高,可提供定制化的功能开发,产品不断迭代升级。
3、在提供windows工控机进行白名单机制防病毒功能外,可提供周期性人工加固和Linux服务器安全加固产品技术方案。
4、与同行业竞品分析,增加工控威胁检测系统对未知威胁和APT攻击进行有效应对,满足等保三级网络与通信安全新增8.1.2.5入侵防范)应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测与分析。
5、统一品牌,工控安全管控平台可对所有安全产品进行集中管控和分析,满足等保三级网络与通信安全新增8.1.2.8集中管控的要求。
结语
工控行业的网络架构以及业务形态在不断发展的同时,工业企业自身应该持续提升新兴威胁的对抗能力。传统的基于满足合规性的防护体系,在对于勒索软件等新兴威胁在发现、检测、处理上已经呈现出力不从心的状态。而通过对网络边界、安全体系以及安全管理等多方面进行有计划、周期性的风险评估,可有效提升企业对抗新兴威胁的能力。对如何开展有效的风险评估以及安全体系的建设,请关注天地和兴后续分享。