今日頭條
官方微信
官方抖音
案例頻道★于海躍,周升寶,白小愚,李顯松杭州安恒信息技術股份有限公司
★周亞超上海安恒時代信息技術有限公司
關鍵詞:DCS生產(chǎn)控制系統(tǒng);工業(yè)控制系統(tǒng)安全
1 項目概況
1.1 項目背景
國家互聯(lián)網(wǎng)信息辦公室發(fā)布的2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告指出,工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)側(cè)暴露的工業(yè)設備有4630臺,涉及國內(nèi)外35家廠商的可編程邏輯控制器、智能樓宇、數(shù)據(jù)采集等47種設備類型。監(jiān)測發(fā)現(xiàn)重點行業(yè)暴露的聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)有480套,其中石油天然氣有118套。暴露在互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)一旦被攻擊,將嚴重威脅生產(chǎn)系統(tǒng)的安全。上半年境內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡資產(chǎn)持續(xù)遭受來自境外的掃描嗅探日均超過2萬次,嗅探行為主要來自于美國、英國、德國等境外國家。嗅探目標涉及境內(nèi)能源、制造、通信等重點行業(yè)的聯(lián)網(wǎng)工業(yè)控制設備和系統(tǒng),大量關鍵信息基礎設施及其聯(lián)網(wǎng)控制系統(tǒng)的網(wǎng)絡資產(chǎn)信息被境外嗅探,給我國網(wǎng)絡空間安全帶來隱患。
某集團公司儀表計量檢測中心工業(yè)生產(chǎn)控制系統(tǒng)中的兩條生產(chǎn)線的DCS控制系統(tǒng),目前均未采取安全防護措施。在巨大利益的驅(qū)使下,DCS生產(chǎn)控制系統(tǒng)已成為了被研究和攻擊的重點目標。利益集團千方百計采取針對性的手段來突破當前已有防護,而且當前DCS控制系統(tǒng)與多廠商多設備對接,系統(tǒng)設備分布在各個區(qū)域,情況非常復雜,現(xiàn)有的防護措施難以應對越來越復雜的攻擊行為,急需全面提升DCS生產(chǎn)控制系統(tǒng)的網(wǎng)絡安全防護等級。
1.2 項目簡介
安恒信息結合客戶集團公司的網(wǎng)絡安全現(xiàn)狀,確定安全建設需求,加強“監(jiān)測預警系統(tǒng)”“應急響應手段”“大數(shù)據(jù)安全平臺”“信息系統(tǒng)等級保護建設”的推進工作,全面提升集團的工控網(wǎng)絡安全保護及整網(wǎng)安全能力,并建立一個完善的信息安全預防、監(jiān)測、防御和響應的縱深防御的安全體系。
1.3 項目目標
根據(jù)集團網(wǎng)絡安全所面臨的風險及特點,為保障集團生產(chǎn)線安全穩(wěn)定運行,本解決方案主要達成以下幾方面目標:
(1)管理人員對目前內(nèi)網(wǎng)所存在風險能夠精確掌握。
(2)新上線安全設備及軟件與現(xiàn)有生產(chǎn)環(huán)境兼容,在不影響正常業(yè)務的情況下,全面保障集團生產(chǎn)運行。
(3)對生產(chǎn)網(wǎng)(車間接入)和辦公網(wǎng)邊界進行隔離,確保辦公網(wǎng)對生產(chǎn)網(wǎng)訪問的安全性。
(4)技術人員對生產(chǎn)網(wǎng)中入侵、異常行為的及時發(fā)現(xiàn),對現(xiàn)場設備進行深度防護。
(5)管理人員、技術人員對整個工控系統(tǒng)各類設備運行狀況、安全狀況統(tǒng)一管理。
2 項目實施
依據(jù)等保2.0最新要求和集團工業(yè)控制系統(tǒng)安全防護策略,方案整體拓撲圖如圖1所示。
圖1 方案整體拓撲圖
2.1 總體設計思路
根據(jù)前期與客戶的交流,本次方案整體按照等保要求,從建立分區(qū)分域控制體系和構建縱深防御體系兩個方面出發(fā),全面建設集團儀表計量檢測中心兩條生產(chǎn)線DCS控制系統(tǒng)的網(wǎng)絡安全防護體系,在滿足合規(guī)的同時,達到整體網(wǎng)絡安全態(tài)勢可視的目的。
(1)構建分域的控制體系方案在總體架構上將按照區(qū)域邊界保護思路進行,儀表計量檢測中心工控系統(tǒng)和外部系統(tǒng)從結構上劃分為不同的安全區(qū)域,以安全區(qū)域為單位進行安全防御技術措施的建設,從而構成了分域的安全控制體系。(2)構建縱深的防御體系方案包括技術和管理兩個部分,集團工控系統(tǒng)圍繞著安全管理中心,從安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境三個維度進行安全技術和措施的設計,保證業(yè)務應用的可用性、完整性和保密性保護;通過集中管理,可對安全設備進行聯(lián)動,對確認的重大威脅或攻擊可進行安全聯(lián)動防護,充分考慮各種技術的組合和功能的互補性,提供多重安全措施的綜合防護能力,從外到內(nèi)形成一個縱深的安全防御體系,保障系統(tǒng)整體的安全保護能力。
(3)保證一致的安全強度集團工控安全等級保護設計方案將采用分級的辦法,對于同一安全等級系統(tǒng)采取強度一致的安全措施,并采取統(tǒng)一的防護策略,使各安全措施在作用和功能上相互補充,形成動態(tài)的防護體系。
2.2 詳細方案設計
2.2.1 安全通信網(wǎng)絡
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域,區(qū)域間應采用單向的技術隔離手段;工業(yè)控制系統(tǒng)內(nèi)部應根據(jù)業(yè)務特點劃分為不同安全域,安全域之間應采用技術隔離手段;涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),應使用獨立的網(wǎng)絡設備組網(wǎng),在物理層面上實現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。
在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進行控制指令或相關數(shù)據(jù)交換的應采用加密認證技術手段實現(xiàn)身份認證、訪問控制和數(shù)據(jù)加密傳輸。
工業(yè)防火墻:集團現(xiàn)網(wǎng)生產(chǎn)線有兩條鏈路,需要分別在每條鏈路生產(chǎn)網(wǎng)服務區(qū)的邊界部署工業(yè)防火墻,實現(xiàn)生產(chǎn)服務區(qū)與各個工廠之間的訪問控制;利用工業(yè)防火墻通過深度解析OPC、Modbus、S7、Ethernet/IP(CIP)等數(shù)十種工控協(xié)議,建立工業(yè)網(wǎng)絡通信“電子柵欄”,阻止任何來自安全區(qū)域外的非授權訪問,有效抑制病毒、木馬在工控網(wǎng)絡中的傳播和擴散,防護針對SCADA、PLC、DCS等重要控制系統(tǒng)的各類已知、未知的惡意攻擊和破壞行為。
2.2.2 安全區(qū)域邊界
應在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設備,配置訪問控制策略,禁止任何穿越區(qū)域邊界的通用網(wǎng)絡服務;應在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護機制失效時,及時進行報警。本次方案設計在工控系統(tǒng)邊界使用工業(yè)控制系統(tǒng)專用的工控防火墻進行工控協(xié)議的安全防護,在傳統(tǒng)IT網(wǎng)絡邊界區(qū)使用下一代防火墻為傳統(tǒng)IT網(wǎng)絡協(xié)議提供安全防護。
下一代防火墻:為保障傳統(tǒng)IT網(wǎng)絡與工控系統(tǒng)安全域的安全隔離,加強縱深防護,需要在安全管理區(qū)部署下一代防火墻,梳理各業(yè)務流向,使用下一代防火墻對此邊界的入侵行為進行安全防護。
工業(yè)防火墻:在OPC服務器和數(shù)采專網(wǎng)邊界部署一臺工控防火墻,使用工業(yè)防火墻將工業(yè)網(wǎng)絡內(nèi)部安全域間進行邊界劃分,并配置訪問控制策略,利用工業(yè)防火墻的多業(yè)務端口實現(xiàn)橫向隔離,只允許特定設備的特定協(xié)議通過(如OPC、Modbus等)。工業(yè)防火墻具有bypass功能,確保生產(chǎn)業(yè)務的連續(xù)性。
2.2.3 安全計算環(huán)境
安全計算環(huán)境為整個工業(yè)控制系統(tǒng)提供安全的運行環(huán)境。要保障整個計算環(huán)境的安全,需要部署工控漏洞掃描系統(tǒng)對工業(yè)控制系統(tǒng)計算環(huán)境中的漏洞進行非侵入式探測,及時發(fā)現(xiàn)計算環(huán)境的安全隱患。同時部署一臺工業(yè)安全監(jiān)測審計平臺,對網(wǎng)絡中的工控協(xié)議進行安全監(jiān)測。
工控漏洞掃描系統(tǒng):定期對生產(chǎn)網(wǎng)絡內(nèi)的終端設備進行漏洞發(fā)現(xiàn),工控漏掃產(chǎn)品集資產(chǎn)探測識別、漏洞掃描、任務管理以及報表分析展示等功能于一體;擁有豐富的漏洞信息庫,支持對傳統(tǒng)IT系統(tǒng)(包括:主流操作系統(tǒng)、應用服務、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、虛擬化系統(tǒng))的已知漏洞掃描與配置核查,以及對工業(yè)控制系統(tǒng)的已知漏洞識別檢測;適用于各種企業(yè)的工業(yè)控制網(wǎng)絡環(huán)境中,能夠讓工控系統(tǒng)管理者及時發(fā)現(xiàn)安全漏洞,全面掌握當前工業(yè)控制網(wǎng)絡及系統(tǒng)中的安全風險;協(xié)議管理者進行漏洞修復,為提高安全建設提供直接依據(jù),從而全面提升整理安全性。
工業(yè)安全監(jiān)測審計平臺:在工控服務器區(qū)核心交換機上部署工業(yè)安全監(jiān)測審計平臺,實時監(jiān)測生產(chǎn)過程中產(chǎn)生的所有流量,識別多種工控協(xié)議,實現(xiàn)對工業(yè)控制系統(tǒng)內(nèi)的異常流量、異常行為、異常操作、非法接入等安全風險的實時告警。
2.2.4 安全管理中心
等保2.0對工控系統(tǒng)的要求,除了要滿足通用等保安全防護要求,還需要滿足工控擴展要求,同時等保2.0對三級系統(tǒng)安全建設新增了對安全管理中心的要求,需要再劃分出安全管理域,并將安全設備審計集中進行管理。
工業(yè)安全管理平臺:可以通過專用的安全管理通道,對各安全域的工業(yè)防火墻、安全監(jiān)測審計等安全設備進行集中管控、狀態(tài)監(jiān)測、策略配置下發(fā)等。工業(yè)安全管理平臺可及時發(fā)現(xiàn)、報告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡攻擊或異常行為,通過統(tǒng)一調(diào)度安全預警、安全監(jiān)測、安全防護和應急處置,全方位保障工業(yè)控制系統(tǒng)信息安全。
綜合日志審計系統(tǒng):集中收集分散在各個安全域探針的日志、流量等信息進行信息匯總和集中分析;支持多種設備型號的日志收集,覆蓋幾乎所有的網(wǎng)絡設備、安全設備、主機、應用及數(shù)據(jù)庫等,通過多維度、跨設備、細粒度的關聯(lián)分析,打破信息孤島,自動進行日志審計,快速發(fā)現(xiàn)潛在安全事件。
運維審計與風險控制系統(tǒng)(堡壘機):通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監(jiān)控、審計回放、自動化運維流程管理等功能,增強運維管理的安全性。
工業(yè)安全態(tài)勢感知平臺:工業(yè)控制系統(tǒng)主要部署于企業(yè)生產(chǎn)網(wǎng),與互聯(lián)網(wǎng)嚴格隔離,相關流量與日志信息無法及時獲取。工業(yè)企業(yè)生產(chǎn)網(wǎng)的相關流量和日志信息是工控安全監(jiān)測的重點區(qū)域,如出現(xiàn)安全隱患或安全事件,可能造成極為嚴重的后果。為此,有必要建設一套覆蓋工業(yè)企業(yè)的安全態(tài)勢感知平臺,為工業(yè)控制系統(tǒng)安全監(jiān)測與預警體系提供技術支撐。在工業(yè)場景中,對數(shù)據(jù)的實時性要求很高,數(shù)據(jù)的價值隨著時間的流逝而降低。工業(yè)安全監(jiān)測分析能夠?qū)φ诎l(fā)生的事件進行實時分析,及時發(fā)現(xiàn)最可疑的安全威脅。
3 案例亮點及創(chuàng)新性
3.1 結合威脅情報為安全事件提供溯源分析和問題定位
通過基于大數(shù)據(jù)技術平臺的企業(yè)級網(wǎng)絡安全監(jiān)控平臺的建設,在平臺完成以威脅情報中心作為信息源,通過收集內(nèi)部與外部威脅信息,以及與第三方情報提供商合作,形成企業(yè)自主的情報中心,主動掌握攻擊方最新的活動及攻擊手段。在監(jiān)測告警環(huán)節(jié)啟動應急響應流程,全程跟蹤安全事件及漏洞,將被動挨打轉(zhuǎn)化為主動出擊。依托強大的安全大數(shù)據(jù)處理能力,對公司全網(wǎng)進行快速排查與分析,打造主動縱深防御的機制,第一時間掌握企業(yè)安全態(tài)勢,做到全局把控,避免出現(xiàn)攻擊事件突發(fā)情況的產(chǎn)生,從企業(yè)內(nèi)部根本性解決安全隱患。
3.2 提高了技術能力和安全意識
在平臺運營過程中,將技術創(chuàng)新貫穿到業(yè)務系統(tǒng)的全生命周期中,形成全生命周期的安全檢測機制;讓各成員企業(yè)最了解自己業(yè)務的技術人員主動去檢測自己的業(yè)務系統(tǒng),定期對相應的人員進行評優(yōu),給予相應獎勵,充分調(diào)動了大家的積極性,提高了安全意識與安全技能。
3.3 滿足了工控安全等保合規(guī)性
目前行業(yè)沒有完善的工控安全體系建設,并且企業(yè)也沒有相應的工控安全建設規(guī)范文件。在當前國家政策的指引下,等保的合規(guī)性事關重要,首先必須滿足等保的最基本相關要求,然后在這個要求的基礎上再從提高企業(yè)自身的安全運營能力上進一步去提升公司的工控安全建設。方案中應用具有免疫特征的安全防護體系、機制和關鍵技術在保證合規(guī)性建設的同時,可以持續(xù)解決新技術、新應用所帶來的安全問題。
3.4 提高了安全運維人員的工作效率
(1)通過考核管理模塊,創(chuàng)建考核任務,可以對各個廠或者相關人員進行整體的安全評價,方便安全運維人員實時掌握各廠或者人員安全工作開展的情況;
(2)安全運維人員可以一鍵生成安全運營及分析報告,以圖形化形式對報告進行展現(xiàn),解放安全運維人員以往需要人工編寫分析運營報告的工作,并且當發(fā)生安全事件時,可以提供詳細的安全事件分析溯源取證信息及專家處置建議指導,幫助企業(yè)洞察網(wǎng)絡安全態(tài)勢;
(3)“一張卡片看清風險,一頁報告看清始末”,可以為企業(yè)安全運維人員展示企業(yè)基本信息以及發(fā)生的安全事件和處置的狀態(tài),以及系統(tǒng)和資產(chǎn)的安全狀態(tài)、企業(yè)面臨的安全風險等,方便安全運維人員及時掌握整個企業(yè)的安全狀況;
(4)方案中平臺提供在線安全培訓模塊,可以讓相關人員及時地學習相關的網(wǎng)絡安全知識;
(5)可以實時掌握資產(chǎn)訪問流量、訪問次數(shù)變化趨勢、訪問來源、資產(chǎn)的漏洞信息等,方便安全運維人員對整個企業(yè)的資產(chǎn)進行安全管理;
(6)平臺可實現(xiàn)安全自動化編排響應(自動化處置相關的事件),將安全運維人員從分析工作中解放出來,可以流程化地完成事件的管理,提高了協(xié)作溝通能力。
作者簡介
于海躍(1992),男,黑龍江鶴崗人,學士,現(xiàn)就職于杭州安恒信息技術股份有限公司,主要從事工業(yè)控制系統(tǒng)網(wǎng)絡安全方面的研究。
周升寶(1982-),男,天津人,中級工程師,學士,現(xiàn)就職于杭州安恒信息技術股份有限公司,主要從事工業(yè)控制系統(tǒng)網(wǎng)絡安全、工業(yè)自動化方面的研究。
白小愚(1984-),男,北京人,學士,現(xiàn)就職于杭州安恒信息技術股份有限公司,主要從事工業(yè)互聯(lián)網(wǎng)威脅評估與態(tài)勢感知技術方面的研究。
李顯松(1989-),男,重慶人,學士,現(xiàn)就職于杭州安恒信息技術股份有限公司,主要從事工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全以及功能安全方面的研究。
周亞超(1985-),女,河北唐山人,高級工程師,博士,現(xiàn)就職于上海安恒時代信息技術有限公司,主要從事網(wǎng)絡安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號