保證工控網路高可用性,亞信安全助力青島港打造智慧聯動安全防護
客戶需求:保證全自動化系統基礎設施的安全,是無人港口執行的先決條件。近年來,針對工控系統的APT攻擊不斷出現,作為國家關鍵資訊基礎設施的組成部分,青島自動化碼頭不免會引起國外團體或者黑客組織的網路攻擊。因此,青島港希望建立覆蓋網路入口、內網控制系統、辦公終端PC、自動化控制終端、以及雲資料中心的安全管控平臺,並在發揮產品功能的情況下,實現智慧聯動。
解決方案:亞信安全以監控為中心,以偵測、分析、響應、阻止為治理過程,依託深度威脅發現平臺(Deep Discovery)架構,部署亞信安全深度威脅安全閘道器 DeepEdge、深度威脅發現裝置TDA、伺服器深度安全防護系統 Deep Security、桌面安全解決方案OfficeScan以及防毒牆控制管理中心(TMCM),併發揮虛擬補丁(Virtual Patch) 技術的漏洞免疫功能,有效避免了黑客向工業自動化系統發動的入侵攻擊。
效果/客戶證言:資訊化的未來發展,需要全新的防護機制,不只是產品層面,還需要提供更全面、更及時、更徹底的病毒保護服務。而亞信安全的防毒服務不但充分考慮到了裝置和虛擬化平臺的特殊性,更能在新病毒出現前、感染、傳播、出現後的每一階段都有相應的應對策略,這讓我們十分放心。
——青島港相關領導
作為世界第七大港,青島港有別於傳統碼頭的熱鬧喧譁,在這裡,慣常可見的橋吊司機、中轉的集裝箱運輸車司機都已難覓蹤影,運送貨物的“主角”則是全自動化的雙小車橋吊、自動化導引小車、全自動化軌道吊……整個碼頭空無一人,只有各種裝置在高效地自動化運轉,讓人詫異的同時,更欽佩科技創新的偉大。
為貫徹落實習近平總書記“加快建設世界一流的海洋港口”指示,青島港自動化碼頭充分發揮自身優勢,積極開展自動化操作、網路技術創新、IT一體化聯合攻關的探索實踐,交上了優秀的運營成績單。而與此同時,面對高度資訊化、智慧化和自動化的業務發展,網路安全問題愈發重要,為全面提升自動化碼頭的網路安全管理能力,青島港採用亞信安全深度威脅發現平臺(Deep Discovery)架構,部署亞信安全深度威脅安全閘道器 DeepEdge、深度威脅發現裝置TDA、伺服器深度安全防護系統 Deep Security、桌面安全解決方案OfficeScan以及防毒牆控制管理中心(TMCM),併發揮虛擬補丁(Virtual Patch) 技術的漏洞免疫功能,有效避免了勒索軟體病毒與黑客向工業自動化系統發動的入侵攻擊。
工控網路面臨嚴峻安全挑戰,消除威脅刻不容緩
青島港自動化集裝箱碼頭,綜合採用了物聯網感知、通訊導航、模糊控制、資訊網路、大資料和雲端計算等先進技術,在全新的網路安全生態下,保護工業自動化控制系統免受網路攻擊已成為刻不容緩的要求。
對此,青島港的網路安全管理人員表示:“保證全自動化系統基礎設施的安全,是無人港口執行的先決條件,這其中包括電力供應等物理安全,以及業務依賴的網路通訊、主機等的安全穩定執行等相關方面。近年來,針對工控系統的APT攻擊不斷出現,作為國家關鍵資訊基礎設施的組成部分,防範安全挑戰及問題是我們的工作重點之一,因此,我們希望建立覆蓋網路入口、內網控制系統、辦公終端PC、自動化控制終端、以及雲資料中心的安全管控平臺。”
青島港提出的網路安全具體需求包括:
◆ 在網路入口防範電子郵件與URL等勒索軟體的入侵傳播,攔截黑客利用漏洞攻擊套件對生產和辦公網路的應用程式發動的攻擊;
◆ 在內網中形成惡意流量的主動偵測,避免生產中斷和資料洩露等高危事故的發生;
◆ 在終端和控制端點部署相容性極高的防毒軟體,統一監管終端防毒狀態,並對一些不能第一時間部署補丁的系統採用臨時措施,抵禦黑客利用漏洞發動的勒索軟體等攻擊;
◆ 對雲資料中心的虛擬化主機提供定製化的安全套件,確保資料中心不會因為相容性和防病毒軟體集中掃描產生效能瓶頸,確保資料中心的高可靠性;
◆ 網路安全整體規劃,集中部署、統一管理,相互聯動。
據青島港的網路安全管理人員介紹,在全自動化碼頭啟用之前,青島港已經成功部署了亞信安全的OfficeScan和DeepEdge產品。經過長時期的線上應用,兩套產品的防護效果已經充分得到了認可。而在網路安全重新規劃的過程中,考慮整體服務能力、產品創新性,以及自主可控和安全產品相互聯動的高要求,青島港最後確定加大與亞信安全的戰略合作,並要求亞信安全針對上述要求提出整體解決方案。
安全防護覆蓋全網,智慧聯動掃清監管盲點
針對工業控制網路的特殊性要求,亞信安全結合APT攻擊和勒索蠕蟲病毒的進攻特點,全面發揮其在網路威脅治理領域的技術領先優勢,以監控為中心,以偵測、分析、響應、阻止為治理過程,以“深度威脅發現平臺(Deep Discovery)”為支撐,為青島港提供了能夠實現“覆蓋全網應用、主動威脅偵測與智慧聯動響應”的整體解決方案。
方案中包括的亞信安全伺服器深度安全防護系統(Deep Security),為青島港部署的私有云提供了非常重要的安全防護協助。與傳統安全防護系統不同,Deep Security 在“無代理”模式下,虛擬機器無需安裝任何客戶端或者軟體,就可以利用一個安全虛擬裝置為上層所有虛擬機器進行防毒處理,有效解決了防毒風暴問題,並向上層提供了病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁、主機完整性監控、日誌審計等功能,對資料中心形成多層防護架構。其次,通過深度封包檢查技術(Deep PacketInspection,DPI),管理人員還可以檢查虛擬化底層所有未遵照協議進出的通訊,既負責偵測,又能同時負責預防。
結合之前部署的亞信安全終端安全產品 OfficeScan 及亞信安全閘道器產品DeepEdge,亞信安全在方案中增加了能夠形成主動甄別威脅的TDA裝置,實現了內網攻擊檢測,以及威脅源頭定位的功能,讓使用者能快速從網路威脅情報的角度定位內網遭受攻擊的終端,以實施相對應的響應措施。同時,TDA還以聯動方式與OfficeScan 以及DeepEdge 進行有效聯動,自動阻斷各類惡意攻擊。
在統一管理方面,亞信安全控制管理中心(TMCM)為青島港提供了全方位智慧的安全管控,不僅將威脅防護與資料防護策略集中管理,還通過自定義資料顯示方式,更加細化終端狀況感應,讓總部快速檢視各個網域的安全狀態、發現威脅,並快速響應。亞信安全控制管理中心(TMCM)還實現了亞信安全深度威脅安全閘道器 DeepEdge、深度威脅發現裝置TDA、伺服器深度安全防護系統 Deep Security以及OfficeScan的相關協同,形成了基於本地的威脅情報共享聯動處理方案。
滿足工控網“高可用”要求,“虛擬補丁”確保永不停機
之前,針對工業控制系統內網的終端計算機和應用,許多產品都沒有針對系統漏洞的修補方案。對此,青島港的網路安全主管表示:“在對工控網路系統架構進行設計時,最重要的原則是不能影響生產,高可用性是第一位的,然後是安全。在早期的自動化碼頭安全解決方案中,我們發現,通過在工控機上部署以黑名單為主要手段的網路版防毒軟體有不少問題。比如,在精簡的工控環境中安裝代理,可能會出現相容性問題。另外,傳統防毒軟體安裝後可能會隔離感染了惡意程式碼的檔案,造成工控軟體不可用等情況,這對我們造成了很大的困擾。”
利用獨有的雲安全技術與入侵檢測防火牆外掛技術相結合,亞信安全在伺服器深度安全防護系統 Deep Security、桌面安全解決方案OfficeScan等多項安全產品上都提供了配套的虛擬補丁Virtual Patching(虛擬補丁)解決方案。在未對漏洞進行永久補丁修復之前,其工作原理不是修改可執行程式,而是針對網路資料流的深層分析,檢測入站流量並保護應用程式免受攻擊。虛擬補丁技術在無需重新啟動系統的前提下,在數分鐘內將這些規則應用到所有自動化管理終端上,避免了黑客利用修補漏洞“時間差”發起的持續攻擊。同時,虛擬補丁技術為青島港的IT運維人員提供了簡便的補丁管理流程,從而極大保護了工控網路終端的安全性,實現了“永不停機”的高可用性要求。
開啟智慧航運新時代,態勢感知平臺等陸續“入伍”
青島港相關領導表示:“資訊化的未來發展,需要全新的防護機制,不只是產品層面,還需要提供更全面、更及時、更徹底的病毒保護服務。而亞信安全的防毒服務不但充分考慮到了裝置和虛擬化平臺的特殊性,更能在安全問題出現前,感染、傳播出現後的每一階段都有相應的應對策略,並利用各類安全資料進行深入分析和感知。”
據瞭解,在自動化碼頭的工控裝置上還部署了亞信安全TMSL(Safelock)白名單產品,實現了對工控裝置的進一步安全防護。同時,青島港決定採用亞信安全態勢感知平臺,利用機器學習、資料建模、行為識別、關聯分析等方法,通過全量收集網路裝置、閘道器、終端、虛擬化和認證系統上的日誌,對海量日誌進行合規儲存,集中分析和挖掘,從而發現潛在的安全風險,實現威脅視覺化及威脅趨勢預測。