随着制造企业智能化、数字化转型的浪潮,智能制造企业通过整合各种先进技术(如物联网技术、大数据分析、人工智能和机器学习、工业机器人和自动化设备技术等)来实现生产过程的自动化和智能化,以提高生产效率、降低成本、改善产品质量,从而实现可持续发展和竞争优势。
然而,智能制造企业往往缺乏专业的信息技术团队,因此对于这类先进系统的维护依赖于系统厂家。程序调整或故障排查都需要系统厂家工程师的支持。在综合考虑维护的及时性和经济性后,智能制造企业通常选择由系统厂家工程师远程进行维护,但这也会给企业带来一定的网络安全风险。
智能制造企业管理员普遍采用两种方式来实现远程维护:◆ 利用互联网边界设备将需要维护服务器的管理端口(如操作系统的22端口、数据库的1521端口等)映射到互联网上,以便系统厂家工程师可以直接通过访问互联网IP地址进行远程维护;◆ 企业管理员私自在服务器上连接外置网卡,使服务器能够直接连接互联网,在服务器上安装远程工具后(如向日葵、TeamViewer等),系统厂家工程师便可以利用这些远程工具直接登录到待维护的服务器上进行维护操作。图1左:工程师站后台常年运行Team Viewer,可随时远程接入。 右:上位机私接无线路由器,便于厂商远程维护
这两种远程运维方式虽然都使得运维过程简单便捷,但都存在一定的网络安全风险。◆ 安全威胁增加:私自采用外接网卡的方式相当于在内网与互联网之间建立了新的通道,这使得外部的黑客能够绕过企业布设的防火墙、入侵防御系统等安全防护屏障,入侵内网计算机,非法窃取或篡改敏感数据;◆ 病毒感染和木马入侵:内网服务器一旦违规连接到互联网,即可能遭受病毒感染或木马入侵,导致系统受损、数据丢失或被恶意操控;◆ 关键服务器暴露至互联网:直接将服务器维护端口发布至互联网,会导致黑客可通过网络扫描的方式找到企业开放在互联网的服务器入口,从而更容易对关键服务器发起网络攻击;◆ 内网横向攻击风险:开启远程接入的服务器如被黑客获取授权,由于服务器IP地址属于内部可信IP,黑客可能将其作为跳板,进一步渗透内网其他重要服务器,从而使整个生产网络面临安全风险;◆ 运维过程无监管:系统厂商工程师在维护的过程中,企业缺乏对其有效的审计手段,当工程师的误操作导致生产故障发生时,企业无法回溯事件过程,进而无法对事故做出责任界定;◆ 身份鉴别困难:远程身份的混乱,账号多人共用,使得企业管理员难以确定账号的实际使用者,难以对账号的扩散范围进行控制,从而容易造成账号权限的遗失。智能制造企业针对远程维护的管理,以往通常利用VPN或堡垒机来实现一定的防护,并辅以安全管理制度进行约束。然而,由于企业网络安全投入和安全管理能力的限制,防护效果并不理想。因此,威努特安全远程运维技术方案将基于可信访问、运维审计、边界限制、主机管控、流量监测等手段,打造智能制造企业远程维护管理体系,实现安全可靠的远程维护。首先通过可信访问机制,对系统厂商工程师身份进行验证,并给予有限的访问权限,限定其针对内部网络的访问范围;其次,利用运维审计机制对系统厂商工程师的运维过程进行监管和控制;同时,利用边界限制和主机管控机制强化本体系的唯一性,确保体系有效落地执行;最终通过流量监测机制对内部流量进行嗅探,及时发现隐藏的安全风险。体系流程如下图所示:图2 运维管控流程示意图
在企业办公网部署零信任安全网关,对系统厂商开放一张仅“特定人员+特定设备”可见的网络,系统厂商工程师要求远程接入时,需对其身份、所用运维终端的安全合法性进行验证,登录后仅对其开放安全运维管理系统的访问权限,并实现运维过程的数据加密传输,当登录人员的物理位置、IP地址或登录环境等环节发生变化时,立即中断连接。最大程度规避外部工程师身份或运维终端不可靠导致的网络攻击。零信任安全访问控制系统实现了基于对内部网络的隐身,基于ZTP协议以及动态iptables的多层安全防护,采用SPA单包授权认证机制,实现“先认证后连接”。同时,利用认证服务隐藏,非法连接默认丢弃,防止端口嗅探,基于UDP协议进行认证敲门,每一个客户端的TCP端口连接都会先经过授权验证,验证通过后才可访问,不对外暴露任何TCP端口,隐藏业务服务的IP与端口,零信任安全访问控制系统默认“拒绝一切”连接,只有零信任客户端经过敲门技术授权后,才会针对客户端开放访问通道,非授权用户和网络黑客无法看见和探测企业应用,有效减少、规避业务被攻击面。最大限度解决智能制造企业无法对第三方维护人员身份判定的难题。图3 持续验证访问者身份可靠
在企业内部部署安全运维管理系统(堡垒机),在需要系统厂商工程师远程运维时,企业管理员为系统厂商工程师设置临时账号,授予完成维护需要的最小化权限,关联其需要管理的服务器或设备,对高危操作命令进行控制和告警,系统厂商工程师在运维过程中不接触被维护设备的真实账号密码,降低密钥泄密的风险,同时临时账号在运维后自动解除权限,阻止系统厂商工程师私自登录设备。在此过程中,运维操作过程通过录像方式进行记录,在未来出现事故时可通过录像视频进行事件的回溯和责任的界定。同时,当系统厂商工程师通过安全运维管理系统远程维护时,企业管理员可利用安全运维管理系统实时监控系统厂商工程师的操作过程,当发现其进行越权操作时可以随时阻止和切断其操作。做到运维过程的可视和可控,建立完善安全体制。有效解决智能制造企业无法对运维过程审计的问题。图4维护过程回溯
在关键网络区域(如服务器区域、重点生产线)网络边界部署边界防护类设备(如工业防火墙),针对管理类接口(如SSH服务22端口、TELNET服务23端口、远程桌面RDP协议3389端口、MySQL数据库3306管理端口等)进行限制,仅允许安全运维管理系统的地址对内部服务器或设备的管理端口进行访问,从技术手段上确保只有使用安全运维管理系统才能进行运维动作,封堵管理制度漏洞。同时,可利用工业防火墙的工业协议的深度解析能力,限制运维过程中跨区域的异常工控指令和程序改写等非法动作。工业防火墙能够检测出智能制造企业常用的自控厂商(如西门子、GE、AB等)工控协议报文中的有效内容特征、负载和可用匹配信息,如恶意软件、具体指令和应用程序类型,对工控协议特征做到实时解析和精准的识别。有效解决智能制造企业局域网利用跳板机进行网络攻击的问题。图5边界三重防护机制
在工控主机(操作员站、工程师站、上位机)部署工控主机卫士,利用工控主机卫士的外设管控功能模块,限制工控主机的无线网卡接入能力,对私接无线网卡的行为进行阻断,杜绝工控主机绕过企业内部网络防御机制私自联网的风险,确保远程运维过程按照既定运维管理流程进行。同时利用工控主机卫士的网络白名单功能,针对出入栈访问规则,仅开放必要的业务连接策略和安全运维管理系统的远程控制策略,阻断其他一切非法访问,有效智能制造企业员工安全意识淡薄,违规外联和非法运维的问题。图6工控主机外设封堵
在现场接入交换机或汇聚交换机上,旁路部署工控安全监测与审计系统,通过在交换机上配置端口镜像功能,将所有经过该接入交换机的流量复制并传输至工控安全监测与审计系统进行流量的审计。工控安全监测与审计系统基于自动学习功能建立现场正常情况下网络会话的安全基线,通过与安全基线进行对比,发现离群行为,如对运维过程中可能发生的利用安全运维管理系统登录的服务器作为跳板,非法登录其他内部网络的行为进行探测的行为、非法使用远程控制工具行为、弱口令登录行为进行识别,及时发现潜在安全风险。工控安全监测与审计系统同样具备对工业协议的深度解析能力,可及时发现异常工控指令及关键工业行为。有效解决智能制造企业无法对网络流量进行监管的问题。图7网络流量监测
◆ 基于可信访问、运维审计、边界限制、主机管控、流量监测等手段,打造智能制造企业远程运维可信管理体系,相较于传统单一VPN或堡垒机的运维管控措施,实现全运维流程监管,在满足安全可靠的前提下保证远程运维的便利性,降低企业运维成本,提高信息化事件响应时效,助力企业数字化转型;◆ 以“身份”和“授权”为抓手,将静态授权模式变成基于持续风险评估和逐次授权的动态零信任授权模式,充分落实安全接入、动态业务准入、动态精细授权等核心特性。抵御第三方维护公司、上游供应商、软件开发流程和工具的安全风险,充分保障企业人员、应用、终端和数据安全。现如今,随着科技的迅猛发展和全球化竞争的加剧,制造企业面临日益激烈的市场竞争压力,并且消费者对个性化和定制化产品的需求不断增加,因而,越来越多的制造企业选择开展数字化转型,来实现企业降本增效的管理效果。越来越多的技术手段能够为现场工程师的日常工作带来便捷,但制造企业仍要识别网络安全风险,守住安全的底线,否则将因小失大,造成不必要的损失。