作为世界第七大港,青岛港有别于传统码头的热闹喧哗,在这里,惯常可见的桥吊司机、中转的集装箱运输车司机都已难觅踪影,运送货物的“主角”则是全自动化的双小车桥吊、自动化导引小车、全自动化轨道吊……整个码头空无一人,只有各种设备在高效地自动化运转,让人诧异的同时,更钦佩科技创新的伟大。
为贯彻落实习近平总书记“加快建设世界一流的海洋港口”指示,青岛港自动化码头充分发挥自身优势,积极开展自动化操作、网络技术创新、IT一体化联合攻关的探索实践,交上了优秀的运营成绩单。而与此同时,面对高度信息化、智能化和自动化的业务发展,网络安全问题愈发重要,为全面提升自动化码头的网络安全管理能力,青岛港采用亚信安全深度威胁发现平台(Deep Discovery)架构,部署亚信安全网关防毒墙AISEDGE、深度威胁发现设备TDA、云主机安全DeepSecurity、病毒防护OfficeScan以及防毒墙控制管理中心(TMCM),并发挥虚拟补丁(Virtual Patch) 技术的漏洞免疫功能,有效避免了勒索软件病毒与黑客向工业自动化系统发动的入侵攻击。
工控网络面临严峻安全挑战,消除威胁刻不容缓
青岛港自动化集装箱码头,综合采用了物联网感知、通信导航、模糊控制、信息网络、大数据和云计算等先进技术,在全新的网络安全生态下,保护工业自动化控制系统免受网络攻击已成为刻不容缓的要求。
对此,青岛港的网络安全管理人员表示:“保证全自动化系统基础设施的安全,是无人港口运行的先决条件,这其中包括电力供应等物理安全,以及业务依赖的网络通讯、主机等的安全稳定运行等相关方面。近年来,针对工控系统的APT攻击不断出现,作为国家关键信息基础设施的组成部分,防范安全挑战及问题是我们的工作重点之一,因此,我们希望建立覆盖网络入口、内网控制系统、办公终端PC、自动化控制终端、以及云数据中心的安全管控平台。”
青岛港提出的网络安全具体需求包括:
在网络入口防范电子邮件与URL等勒索软件的入侵传播,拦截黑客利用漏洞攻击套件对生产和办公网络的应用程序发动的攻击;
在内网中形成恶意流量的主动侦测,避免生产中断和数据泄露等高危事故的发生;
在终端和控制端点部署兼容性极高的防毒软件,统一监管终端防毒状态,并对一些不能第一时间部署补丁的系统采用临时措施,抵御黑客利用漏洞发动的勒索软件等攻击;
对云数据中心的虚拟化主机提供定制化的安全套件,确保数据中心不会因为兼容性和防病毒软件集中扫描产生性能瓶颈,确保数据中心的高可靠性;
网络安全整体规划,集中部署、统一管理,相互联动。
据青岛港的网络安全管理人员介绍,在全自动化码头启用之前,青岛港已经成功部署了亚信安全的OfficeScan和AISEDGE产品。经过长时期的线上应用,两套产品的防护效果已经充分得到了认可。而在网络安全重新规划的过程中,考虑整体服务能力、产品创新性,以及自主可控和安全产品相互联动的高要求,青岛港最后确定加大与亚信安全的战略合作,并要求亚信安全针对上述要求提出整体解决方案。
安全防护覆盖全网,智能联动扫清监管盲点
针对工业控制网络的特殊性要求,亚信安全结合APT攻击和勒索蠕虫病毒的进攻特点,全面发挥其在网络威胁治理领域的技术领先优势,以监控为中心,以侦测、分析、响应、阻止为治理过程,以“深度威胁发现平台(Deep Discovery)”为支撑,为青岛港提供了能够实现“覆盖全网应用、主动威胁侦测与智能联动响应”的整体解决方案。
方案中包括的亚信安全云主机安全(DeepSecurity),为青岛港部署的私有云提供了非常重要的安全防护协助。与传统安全防护系统不同,DeepSecurity 在“无代理”模式下,虚拟机无需安装任何客户端或者软件,就可以利用一个安全虚拟设备为上层所有虚拟机进行杀毒处理,有效解决了防毒风暴问题,并向上层提供了病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能,对数据中心形成多层防护架构。其次,通过深度封包检查技术(Deep PacketInspection,DPI),管理人员还可以检查虚拟化底层所有未遵照协议进出的通信,既负责侦测,又能同时负责预防。
结合之前部署的亚信安全病毒防护OfficeScan 及网关防毒墙AISEDGE,亚信安全在方案中增加了能够形成主动甄别威胁的TDA设备,实现了内网攻击检测,以及威胁源头定位的功能,让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端,以实施相对应的响应措施。同时,TDA还以联动方式与OfficeScan 以及DeepEdge 进行有效联动,自动阻断各类恶意攻击。
在统一管理方面,亚信安全控制管理中心(TMCM)为青岛港提供了全方位智能的安全管控,不仅将威胁防护与数据防护策略集中管理,还通过自定义数据显示方式,更加细化终端状况感应,让总部快速查看各个网域的安全状态、发现威胁,并快速响应。亚信安全控制管理中心(TMCM)还实现了亚信安全网关防毒墙AISEDGE、深度威胁发现设备TDA、云主机安全DeepSecurity以及OfficeScan的相关协同,形成了基于本地的威胁情报共享联动处理方案。
满足工控网“高可用”要求,“虚拟补丁”确保永不停机
之前,针对工业控制系统内网的终端计算机和应用,许多产品都没有针对系统漏洞的修补方案。对此,青岛港的网络安全主管表示:“在对工控网络系统架构进行设计时,最重要的原则是不能影响生产,高可用性是第一位的,然后是安全。在早期的自动化码头安全解决方案中,我们发现,通过在工控机上部署以黑名单为主要手段的网络版杀毒软件有不少问题。比如,在精简的工控环境中安装代理,可能会出现兼容性问题。另外,传统防毒软件安装后可能会隔离感染了恶意代码的文件,造成工控软件不可用等情况,这对我们造成了很大的困扰。”
利用独有的云安全技术与入侵检测防火墙插件技术相结合,亚信安全在云主机安全DeepSecurity、病毒防护OfficeScan等多项安全产品上都提供了配套的虚拟补丁Virtual Patching(虚拟补丁)解决方案。在未对漏洞进行永久补丁修复之前,其工作原理不是修改可执行程序,而是针对网络数据流的深层分析,检测入站流量并保护应用程序免受攻击。虚拟补丁技术在无需重新启动系统的前提下,在数分钟内将这些规则应用到所有自动化管理终端上,避免了黑客利用修补漏洞“时间差”发起的持续攻击。同时,虚拟补丁技术为青岛港的IT运维人员提供了简便的补丁管理流程,从而极大保护了工控网络终端的安全性,实现了“永不停机”的高可用性要求。
开启智慧航运新时代,态势感知平台等陆续“入伍”
青岛港相关领导表示:“信息化的未来发展,需要全新的防护机制,不只是产品层面,还需要提供更全面、更及时、更彻底的病毒保护服务。而亚信安全的防毒服务不但充分考虑到了设备和虚拟化平台的特殊性,更能在安全问题出现前,感染、传播出现后的每一阶段都有相应的应对策略,并利用各类安全数据进行深入分析和感知。”
据了解,在自动化码头的工控设备上还部署了亚信安全TMSL(Safelock)白名单产品,实现了对工控设备的进一步安全防护。同时,青岛港决定采用亚信安全态势感知平台,利用机器学习、数据建模、行为识别、关联分析等方法,通过全量收集网络设备、网关、终端、虚拟化和认证系统上的日志,对海量日志进行合规保存,集中分析和挖掘,从而发现潜在的安全风险,实现威胁可视化及威胁趋势预测。