工业信息安全应急处置解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
工业信息安全应急处置解决方案
比亚迪“永恒之蓝”病毒应急处置和安全解决方案
在工业信息安全领域,以集团管控为核心,通过办公自动化、财务一体化、内控风险管控等管理信息系统为主要建设对象,提高办公效率、实现全集团有效
监控。公司对两化融合工作进行系统、全面的整体规划,按照“统一规划、分布实施”的总体实施策略,制定了分阶段的两化融合可实施路线。通过合理规划和有序
实施,构建出行业领先的工程机械全产业链信息化业务管理平台,实现了技术融合、产品融合、业务融合与资源融合,取得了在产品全生命周期集成应用、业务模式创
新等方面的系列成果。
一、项目概况
1.项目背景
由于工业控制系统(以下简称工控系统)上位机操作系统老旧且长期运行未升级,存在很多的安全隐患,病毒问题一直是威胁工控系统主机安全的一个棘手问题,从震网病毒到2017 年末的工业破坏者,这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动,一旦得手就会带来巨大的危害。
2.项目简介
制造产线遭受病毒侵袭,生产制造产线几台上位机莫名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被迫停止生产。企业日产值超千万,停产直接损失严重,信息安全部门采取了若干紧急处理措施,防止病毒扩散的同事,尽快解决问题恢复生产,同时寻求安全厂商共同制定长期有效的安全解决方案。
3.项目目标
解决生产厂区感染WannaCry 病毒带来的蓝屏重启问题,提升上位机的主动防御能力,实现上位机从启动、加载到持续运行过程的全生命周期安全保障。
二、项目实施概况
1.安全问题研判
工业现场的上位机大多老旧,服役10 年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。
企业生产网络与办公网络连通,未部署安全防护措施进行隔离;生产制造产
线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。
由于上位机操作系统都是老旧的Windows XP,感染病毒之后频繁蓝屏重启,无法在问题终端采样进行病毒分析。在生产网络核心交换机位置旁路部署工业安全检查评估系统对生产网络数据流量进行检测,基于安全大数据能力生成多维度
海量恶意威胁情报数据库,对工业控制网络进行自动化数据采集与关联分析,识别网络中存在的各种安全威胁。借助工业安全检查评估系统的强大检测分析能力,安服人员很快判定该上位机感染了“永恒之蓝”蠕虫病毒(也称为WannaCry)。
比亚迪生产环境有如下复杂的特性:
(1)场景复杂性
比亚迪有IT、汽车、新能源和轨道交通四大产业,每个产业群都有多个生产工厂、车间,如:电池、电子、手机、PAD、笔记本电脑、汽车电子、汽车零配件、发动机、动力电池、储能设备、云轨、云巴、轨道通信等多达上百个大大小小的车间。
(2)应用复杂性
公司生产应用系统、软件复杂多样,MES、PLC、DCS 等等,不同的产业群、
产品车间,都有不同的产品测试、检测、调校、数据采集、分析等各类生产应用。
(3)网络复杂性
管理层面已规划办公网络、生产网络、无线网络、有线网络、独立局域网络,
但很多生产网络环境并没有严格隔离,网络情况复杂。
(4)适配复杂性
各种IT、汽车、储能、轨道交通车间的检测机、测试板卡、数据采集卡、烧录器、U 盘、SD 卡、扫描器等外设设备的适配。
(5)实施复杂性
集团产业多样、工业园分布全球各地,生产车间业务繁忙,给予的时间、人员协调有限,必须要准备充分,根据不同生产线准备对应的应急响应措施。
在信息安全技术方面存在的问题主要表现在以下几个方面:
(1)系统网络未进行严格的安全划分,区域间未设置严格的访问控制措施;
(2)缺少信息安全风险监控技术,不能及时发现信息安全问题,出现问题后靠人员经验排除;
(3)操作系统安全配置薄弱,防病毒软件安装不全面;
(4)工程师缺少身份认证和接入控制,且权限很大;
(5)存在使用移动存储介质不规范问题,易引入病毒及黑客攻击程序;
(6)第三方运维生产系统无审计措施,不能追根溯源;
(7)生产上线前未进行信息安全测试,存在安全风险漏洞;
在信息安全管理方面存在的问题主要表现在以下几个方面:
(1)组织结构人员职责不完善,工控安全人员缺乏;
(2)生产信息安全管理制度和流程不够完善;
(3)应急响应机制不健全,需进一步提供安全事件应对能力;
(4)人员信息安全培训不足,人员安全意识有待提高;
(5)尚需完善第三方人员管理体制。
2.对策与措施
安服人员发现上位机感染WannaCry 病毒之后,为了避免上位机中数据被加密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为病毒网站,并通过策略设置将生产网上位机DNS 指向此伪装服务器,阻止了WannaCry 病毒的后续影响。
企业生产园区占地范围很大,感染病毒的上位机几乎遍布各个园区,单纯依靠人力难以逐一定位问题终端。工业安全检查评估工具在此过程中发挥了巨大作用,不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的IP 地址和MAC 地址,结合企业提供的资产清单,安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
完成定位之后,安服人员第一时间关闭了网络和终端的445 端口,避免病毒进一步扩散。经过现场细致排查沟通,确定以下信息:
(1)上位机硬件配置资源有限,无法安装杀毒软件;
(2)专用的生产软件对操作系统版本有严格限制,无法对操作系统进行打补丁操作;
(3)重装系统会导致专用软件授权失效,带来经济损失。
结合上述信息,安服人员只能对问题终端采取杀毒处理。为了避免杀毒过程中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然后用WannaCry 病毒专杀工具进行杀毒处理,清除感染的病毒。
3.具体应用场景和解决方案