今日頭條
官方微信
官方抖音
案例頻道★趙峰,趙萌杭州中電安科現代科技有限公司
關鍵詞:工業控制系統安全;等級保護2.0;SCADA系統防護
1 項目概況
隨著天然氣管道企業信息化、管控一體化的建設與實現,越來越多的控制系統通過信息技術實現互聯互通,使得工控系統網絡架構愈發復雜,迫使內部的安全隱患逐漸暴露,工業控制系統網絡安全問題日益突出。各類生產系統一旦遭受惡意攻擊、勒索病毒等安全威脅,發生生產事故,將會直接導致經濟損失、天然氣泄漏,甚至人員傷亡。
中電安科幫助某天然氣分公司完成了工控安全建設。根據某天然氣管道實際情況,結合相關標準要求,科學合理評估出某天然氣管道SCADA系統合規差距和安全風險,確定了安全保護措施,并在此基礎上設計了一整套完整的安全體系。該項目以“一個中心、三重防護”為核心指導思想,從安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心方面構建安全技術體系,滿足等級保護2.0第三級系統的相關安全要求。
該項目的實施,有效提升了企業網絡安全防護管理的合規性,符合國家主管部門、行業監管部門的管理要求以及工控安全防護要求。本次安全建設采用最低干擾方式,未對業務產生任何影響,通過可視化平臺可清晰地看到生產網各節點的通訊情況,大幅提升了對資產的掌握程度。本次安全建設實現了對生產網網絡安全事件的事前預防、事中控制、事后可查,保障了天然氣管道控制系統的安全運行。
2 項目實施
隨著互聯網+、智慧城市、物聯網、工業4.0、大數據和云計算等新概念與新技術的不斷涌現,工業信息化不斷深入,工業生產和互聯網之間不再彼此孤立,而是彼此緊密關聯起來,越來越多的控制系統通過信息技術實現互聯互通,使得工控系統網絡架構愈發復雜。。
天然氣企業作為國家的關鍵基礎設施之一,在“兩化融合”期間除了建立ERP、CRM以及OA等多數企業會使用的經營管理類信息系統外,也建立了大量的符合自身需求的生產運營類的系統,其中就包括了SCADA系統、生產調度系統、GIS系統以及其他生產運營相關的工控系統等,特別是天然氣企業正在往“智能管網”的方向邁進,對工業控制系統的依賴度更加嚴重。工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式和互聯網等公共網絡聯接,致使病毒、木馬等威脅正在向工業控制系統擴散,造成了工業控制系統信息安全問題的日益突出,一旦各類生產系統遭受惡意攻擊、勒索病毒等安全威脅,發生生產事故,將會直接導致重大經濟損失,甚至引發社會恐慌,危及國家安全。如何應對工業控制系統所帶來的風險成為天然氣企業未來需要解決的重要問題。
某天然氣管道工控系統的核心是SCADA系統,主要工作是用于天然氣管道調度數據的采集和分析。系統主要包括SCADA系統、GIS、生產調度系統、仿真系統和安全保護系統等,通過專線、移動運營商等技術與下級門站所站進行連接,實現數據的采集和分析,上層系統也會將相應的指令下發給下層單位。當前某天然氣管道主要存在如下網絡安全問題和風險:
(1)網絡隔離不合理
系統采用了傳統的IT防火墻進行防護,無法對工控網絡做到有效的防護。另外許多控制網絡都是“敞開的”,不同的接入網絡之間都沒有有效的隔離,尤其是基于OPC、Modbus等通訊的工業控制網絡,容易造成安全故障并通過網絡迅速蔓延。
(2)工控系統普遍存在漏洞
由于工控系統大多以滿足工業生產為前提,并沒有太多考慮自身的系統安全問題,工控設備普遍存在漏洞。國家信息安全漏洞平臺中已公布的工業控制系統漏洞,包括西門子產品漏洞、施耐德產品漏洞、RTU產品漏洞等。
(3)缺乏審計監測機制
控制中心沒有部署安全監控設備,無法及時發現、告警控制網內的非法數據流量和異常操作行為。系統缺少控制系統安全審計機制。獨立的安全審計人員應當定期檢查和驗證系統日志記錄,并主動判斷安全控制措施是否充分。未針對其工控系統建立信息安全審計機制,可能造成無法及時發現、追溯系統內部或源于網絡的信息安全事件。
(4)終端存在安全隱患,缺少技術手段
生產環境中操作站多數采用Windows XP,上線后基本不會對操作系統進行升級,而操作系統在使用期間不斷曝出漏洞,導致操作站和服務器暴露在風險中。另外,在終端上對于執行的系統及程序缺少有效的安全控制措施,導致惡意軟件及病毒可以毫無阻礙地執行,甚至工業的控制程序及系統直接感染惡意代碼,對生產造成嚴重的安全風險。
同時,在生產環境中存在隨意使用U盤、移動硬盤、手機等移動存儲介質現象,有可能將傳染病毒、木馬等威脅因素帶入生產系統。加上防病毒軟件的安裝不全面或者即使安裝后也不及時更新防病毒軟件版本和惡意代碼庫,出現問題后無法及時準確定位產生問題的原因、影響范圍及追究責任。
(5)安全運維問題
目前系統主要通過遠程桌面方式進行運維,缺乏完善的運維審計機制,對運維人員的操作過程沒有記錄、審計,不能發現越權訪問、異常操作等行為。一旦發生事故,需要大量時間確定問題,不能夠及時有效地解決問題,也沒有追溯手段。
(6)操作人員缺乏信息安全意識
工控系統的操作人員往往不是IT人員,而是生產調度人員,這也使得工控終端缺乏傳統IT的管控,使其成為外部威脅的可能接入點,如USB接口、維修連接、筆記本電腦等。
針對以上某天然氣管道工控系統的安全現狀與風險,中電安科幫其完成了工控安全建設。根據某天然氣管道實際情況,結合《網絡安全等級保護基本要求》《網絡安全等級保護安全設計技術要求》《工業控制系統信息安全防護指南》等相關標準要求,科學合理評估出某天然氣管道SCADA系統合規差距和安全風險,確定了安全保護措施,并在此基礎上設計了一整套完整的網絡安全體系。該方案以“一個中心、三重防護”為核心指導思想,從安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心方面構建安全技術體系,并協助建立安全管理制度體系,滿足等級保護2.0第三級系統的相關安全要求。
(1)安全區域邊界
控制中心在與站場控制系統、閥室等網絡連接邊界處通過部署工控防火墻進行邊界防護,基于工控協議配置合理的主機訪問規則,針對工業控制網絡在同一個大網的情況,通過ACL等安全訪問策略的配置對生產網絡進行邏輯分區。
控制中心內部SCADA系統與中間數據庫或管理信息系統之間,部署隔離工業網閘保證其安全性,除必須開放的用于數據交換的特定應用通道外,不提供任何對外的服務。
(2)安全通信網絡
在各場站的工控系統分別部署工控安全監測審計系統,監測審計對工控流量進行監測分析,識別出工控協議,并對工控協議深度解析,同時將違規操作、非法操作和程序下載、IP變更、組態變更、PLC啟停等關鍵事件以及病毒、木馬、黑客等攻擊行為數據傳送到部署在控制中心的工控安全管理平臺中。工控安全管理平臺系統對監測審計進行統一監控與管理,將監測引擎傳送過來的異常數據進行統計分析,并告警顯示,同時依據通訊流量進行節點網絡拓撲動態生成和工控資產識別,實現對工控網絡的監測與審計,為事后提供追溯分析依據。
在網絡關鍵節點處,通過工控入侵檢測系統進行入侵攻擊行為的檢測識別,發現并防止網絡攻擊行為,尤其對基于工業控制漏洞、工業控制異常指令以及關鍵事件進行及時告警,避免入侵行為或疑似入侵攻擊的行為發生。
(3)安全計算環境
在生產網各工控系統中的操作員站、工程師站以及服務器等工業主機上安裝部署終端安全管理系統客戶端,在調度中心部署終端安全管理系統服務端,通過服務端對客戶端進行統一管理與監控、策略下發、異常報警等,實現對工業主機的進程白名單管理,對流量、USB口管控,有效抵御未知病毒、木馬、惡意程序、非法入侵等針對終端的攻擊,實現工業主機安全防護與加固。
通過數據庫審計系統全面審計在使用數據庫過程中的訪問過程,對于越權訪問、異常數據庫操作以及對數據庫關鍵數據進行關鍵指令操作過程全面審計,檢測識別非授權操作的行為,避免數據庫刪除、篡改、異常訪問等情況發生,為數據庫系統的安全運行及事后審計提供有力保障。
(4)安全管理中心
通過工控安全管理平臺,實現對工控防火墻、工控安全監測審計管理系統、終端安全管理系統、堡壘機等安全產品以及交換機的統一管理與監控。同時針對被防護資產綜合全部安全要素信息,通過多種數據、分析方法構建動態的多層次、全天候網絡安全管理,結合等級保護管理,為天然氣管道構建網絡安全動態深度防御體系,形成對安全威脅、風險隱患的動態持續管理。
通過堡壘主機,進行集中賬號管理、集中登錄認證、集中用戶授權和集中操作審計,實現對運維人員的操作行為審計,以及對違規操作、非法訪問等行為的有效監督,為事后追溯提供依據,解決了運維行為無法監控的問題以及在訪問系統資源、操作記錄無法做到安全審計、事后可追溯的問題。
(5)安全管理制度
通過制定和完善工控網絡安全管理制度,形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度保障體系,做到有章可循、有法可依、人人有責的工控網絡和系統安全建設格局;定期組織工業控制系統信息安全培訓,定期進行風險評估等,實現某天然氣管道整體信息安全防護。
3 案例亮點及創新性
本方案從網絡、終端、通信、運維、管理等多個層面提供了完整的安全防護與管理手段,實現了工控網絡全面的安全保護,有效提升了企業網絡安全防護管理的合規性,滿足了《網絡安全法》框架下關鍵信息基礎設施保護制度要求、網絡安全等級保護制度要求和防護指南的相關要求。本方案安全建設采用非侵入式安全監測與防護工作方式(最小干擾方式),未對業務產生任何影響,通過可視化平臺可清晰地看到生產網各節點的通訊情況,大幅提升了對資產的掌握程度。本方案在采用安全技術和產品的同時,也重視安全管理,不斷完善各類安全管理規章制度和操作規程,提高了安全管理水平。本次安全建設實現了對某天然氣管道生產網網絡安全事件的事前預防、事中控制、事后可查,保障了天然氣管道控制系統的安全運行。
作者簡介
趙 峰(1978-),男,河南南陽人,高級工程師,學士,現就職于杭州中電安科現代科技有限公司,主要從事工業自動化方面的研究。
趙 萌(1990-),男,北京人,學士,現就職于杭州中電安科現代科技有限公司,主要從事網絡安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號