今日頭條
官方微信
官方抖音
案例頻道摘要:在早期,由于信息化發(fā)展水平有限,工業(yè)控制系統(tǒng)與信息管理層基本上處于隔離狀態(tài)。因此,企業(yè)的信息化建設(shè)首先從信息層開始,經(jīng)過10多年的建設(shè)積累,信息層的信息化建設(shè)已經(jīng)有了較好的基礎(chǔ),涉及到了鋼鐵、勘探、加工、煉化、化工、儲運(yùn)等諸多工業(yè)領(lǐng)域,企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力都有很大提升,提高了生產(chǎn)信息上傳下達(dá)的實(shí)時性、完整性和一致性,相應(yīng)的網(wǎng)絡(luò)安全防護(hù)也有了較大提高。在信息管理層面,企業(yè)在生產(chǎn)領(lǐng)域大量引入IT技術(shù),同時也包括各種如防火墻、IDS、VPN、防病毒等IT網(wǎng)絡(luò)安全技術(shù),這些技術(shù)主要面向商用網(wǎng)絡(luò)應(yīng)用層面,技術(shù)應(yīng)用方面也相對成熟。
關(guān)鍵詞:訪問控制;行為監(jiān)測;白名單;行為基線;鋼鐵;工業(yè)控制系統(tǒng);信息安全
Abstract: In the early days, due to the limitation of developmentof informatization, industrial control system and informationmanagement were basically in isolation. Therefore, if enterprisewants togetinformatization construction, itshould begin withinformation layer. After more than ten years' accumulation, theinformatization construction of information layer already has agood foundation which involves many industrial fields such assteel,exploration, processing,refining,chemical industry, storageand transportation, etc. The ability of command, coordination andmonitoring of enterprise management has been greatly improved,the transmission of the production information becoming timely,complete and consistent, and the relating network security protectionhas been also greatly improved. In the management of information,enterprises introduce a large number of IT technology in theproduction field, meanwhile they introduce other IT network security technologylikeavarietyoffirewall,IDS,VPN,antivirus,etc.These technologies are mainly aimed at commercial network applicationsand the technology applications are also more mature.
Key words: Access control; Behavioral monitoring; White list; Behavioralbaseline; Steel; Industrial control system; Informational security
1 設(shè)計背景
鋼鐵行業(yè)是自動化普及度較高的行業(yè)之一,同時也是對工業(yè)控制系統(tǒng)的穩(wěn)定性和控制策略復(fù)雜性要求很高的行業(yè)。系統(tǒng)一旦出現(xiàn)故障,不僅造成巨大的經(jīng)濟(jì)損失和能源安全沖擊,還會造成人身安全影響。因此對控制層的網(wǎng)絡(luò)安全重視程度最高。
河北某鋼鐵自動化建設(shè)相對完善,但對于其控制系統(tǒng)網(wǎng)絡(luò)仍處于空白部分,本設(shè)計在分析工業(yè)控制中心信息安全需求的基礎(chǔ)上,通過部署信息安全設(shè)備,對工業(yè)控制中心信息安全建設(shè)提供合理依據(jù)。
1.1 設(shè)計范圍
本設(shè)計針對XX鋼鐵軋鋼產(chǎn)線及煉鋼產(chǎn)線控制環(huán)境信息安全進(jìn)行設(shè)計,按IEC62443的層級劃分結(jié)構(gòu),本設(shè)計旨在對L1-L3層級信息安全進(jìn)行設(shè)計。
1.2 設(shè)計原則
(1)技術(shù)可行性原則
設(shè)計過程中采用可落地的信息安全技術(shù)應(yīng)用,確保選擇的信息安全手段可發(fā)揮既定的作用。
(2)生產(chǎn)可用性優(yōu)先原則
設(shè)計過程需要建立在生產(chǎn)流程的基礎(chǔ)上,除非必須場景外,在L1.5層級不采用阻斷類的管控手段,從而保障生產(chǎn)過程不受信息安全策略的影響,確保不會造成二次安全威脅。
(3)經(jīng)濟(jì)性原則
設(shè)計過程中需考慮經(jīng)濟(jì)的有效利用,合理應(yīng)用技術(shù)手段,避免資源浪費(fèi)。
(3)合規(guī)性原則
設(shè)計過程需依照《工業(yè)信息安全防護(hù)指南》、《等保2.0工業(yè)擴(kuò)展部分》等國家標(biāo)準(zhǔn),確保建設(shè)過程符合國家相關(guān)要求;同時也需參照《IEC62443》《SP800-82》等國際領(lǐng)先標(biāo)準(zhǔn),依照相關(guān)信息安全標(biāo)準(zhǔn),確保設(shè)計的合理性。
(4)生命周期延續(xù)原則
設(shè)計采用成熟穩(wěn)定的主流技術(shù)手段,保障在業(yè)務(wù)生命周期內(nèi)的信息安全防護(hù),在保障期間內(nèi),應(yīng)用技術(shù)不處于落后淘汰范圍。
2 信息安全威脅分析
2.1 網(wǎng)絡(luò)結(jié)構(gòu)梳理
2.1.1 軋鋼產(chǎn)線
某鋼鐵軋鋼產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示:
圖1 某鋼鐵軋鋼產(chǎn)線原始拓?fù)?/p>
軋鋼產(chǎn)線包含加熱爐區(qū)域、主扎線區(qū)域、平整加工區(qū)域、磨輥區(qū)域,其中主扎線區(qū)域可以根據(jù)工段劃分為粗軋、精軋、卷曲區(qū)域。
其中加熱爐區(qū)域、平整加工區(qū)域、磨輥區(qū)域在網(wǎng)絡(luò)結(jié)構(gòu)中相對獨(dú)立。特別為磨輥區(qū)域,其L1~L2層未與其他系統(tǒng)連接。主扎線區(qū)域相對復(fù)雜,粗軋與精軋共用一套電氣室,在控制流程中,無法在物理層面區(qū)分。卷曲主控接入節(jié)點(diǎn)為粗精軋Switch3/6,間接與卷曲電氣室(Switch5)連接。
2.1.2 煉鋼產(chǎn)線
某鋼鐵煉鋼(150T轉(zhuǎn)爐&150連鑄)產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示:
圖2 某鋼鐵煉鋼產(chǎn)線原始拓?fù)?/p>
煉鋼產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)相對復(fù)雜,同時煉鋼網(wǎng)絡(luò)中存在大量環(huán)網(wǎng)應(yīng)用,具體參考圖3,其中紅色標(biāo)記鏈路為環(huán)網(wǎng)鏈路:
圖3 某鋼鐵煉鋼產(chǎn)線環(huán)網(wǎng)應(yīng)用
環(huán)網(wǎng)交換機(jī)連接均連接多條鏈路,造成訪問控制裝置無法有效部署,同時由于環(huán)網(wǎng)鏈路的建立通常包含了環(huán)網(wǎng)交換機(jī)的私有協(xié)議,工業(yè)防火墻不具備上述寫,故不可以串接在環(huán)網(wǎng)主干鏈路中。
2.2 網(wǎng)絡(luò)層威脅分析
網(wǎng)絡(luò)層威脅主要體現(xiàn)在訪問控制、流量內(nèi)容過濾,未知流量方面。
2.2.1 未經(jīng)授權(quán)的訪問
當(dāng)前在各個產(chǎn)線控制系統(tǒng)中,通過Vlan進(jìn)行了網(wǎng)段劃分,但仍存在利用交換機(jī)作為“中間人”對下發(fā)起訪問的行為。
同時,軋鋼產(chǎn)線特別是粗精軋產(chǎn)線存在共用控制器的場景,上述環(huán)境造成理論中存在異常操作可能。
2.2.2 拒絕服務(wù)攻擊
若在網(wǎng)絡(luò)中任意節(jié)點(diǎn)下發(fā)大量無效報文,會對正常通信造成影響,從而影響生產(chǎn)。在網(wǎng)絡(luò)層面而言,究其原因缺少針對報文的有效識別及過濾能力,無法過濾無效報文內(nèi)容。
2.2.3 未知流量威脅
對于未知流量,缺少有效的識別及管控手段,無法判定網(wǎng)絡(luò)中是否存在漏洞利用攻擊行為,需要在網(wǎng)絡(luò)層面實(shí)現(xiàn)對于漏洞攻擊的有效識別及防范。
2.2.4 利用無線網(wǎng)絡(luò)的入侵行為
軋鋼產(chǎn)線中Switch3接入設(shè)備包含無線AP,無線網(wǎng)絡(luò)因其開放性,相比于傳統(tǒng)網(wǎng)絡(luò)更易造成網(wǎng)絡(luò)侵入,存在仿冒設(shè)備接入的可能。
2.3 主機(jī)層信息安全威脅
2.3.1 惡意代碼
部分操作工或運(yùn)維人員通過移動存儲設(shè)備或感染惡意代碼的個人PC與控制系統(tǒng)中上位機(jī)進(jìn)行連接,造成惡意代碼植入上位機(jī)。
2.3.2 非法存儲介質(zhì)接入
在工程建設(shè)或生產(chǎn)過程中不可避免涉及到移動存儲介質(zhì)的接入問題,當(dāng)前缺少對移動存儲介質(zhì)可信性進(jìn)行認(rèn)證的措施,這也是主機(jī)惡意代碼的主要來源。
2.3.3 脆弱性威脅
工業(yè)應(yīng)用及主機(jī)存在眾多已知漏洞,上述漏洞則會成為攻擊者利用的條件,對生產(chǎn)環(huán)境進(jìn)行影響。
2.4 主機(jī)層信息安全威脅
2.4.1 缺少進(jìn)程、服務(wù)管控
由于工控機(jī)特別是老式工控機(jī)性能受限,且其物理環(huán)境缺少必要的監(jiān)控,存在操作人員利用工程師站、操作員站計算資源進(jìn)行非生產(chǎn)操作的場景。
2.4.1 應(yīng)用脆弱威脅
工業(yè)應(yīng)用如SCADA、組態(tài)編程軟件,其通常不進(jìn)行補(bǔ)丁加固,存在較多已知漏洞,造成漏洞攻擊成本降低,易遭受漏洞利用攻擊。
2.5 數(shù)據(jù)層信息安全威脅
控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議,其在設(shè)計支持考慮多為數(shù)據(jù)傳輸?shù)膶?shí)時性、容錯性等,無安全層面考慮,造成其中數(shù)據(jù)部分多為明文或HEX類型數(shù)據(jù),通過對報文監(jiān)聽即可獲取數(shù)據(jù)內(nèi)容,造成生產(chǎn)數(shù)據(jù)的外泄。
3 信息安全設(shè)計
3.1 設(shè)計思路
依照行為基線,整體安全設(shè)計參照“白名單”環(huán)境進(jìn)行設(shè)定,即僅限定合法流量、進(jìn)程、服務(wù)的應(yīng)用。
在IT環(huán)境下由于流量種類及目標(biāo)指向過于繁雜,白名單很難執(zhí)行落地,在工業(yè)環(huán)境下,通信結(jié)構(gòu)及流量、應(yīng)用較IT環(huán)境簡化,基于白名單結(jié)構(gòu)可以更簡單實(shí)現(xiàn)安全策略的落地。
3.2 安全域劃分
對網(wǎng)絡(luò)各個系統(tǒng)進(jìn)行安全域劃分,目的旨在切割風(fēng)險,同時方便管理策略的執(zhí)行。
軋鋼產(chǎn)線具體劃分如圖4所示:
圖4 某鋼鐵軋鋼產(chǎn)線安全域劃分
根據(jù)軋鋼連扎車間的生產(chǎn)流程及接入環(huán)境,共劃分為6個區(qū)域,如圖5所示,分別為加熱爐控制區(qū)、磨輥控制區(qū)、主扎線控制區(qū)、平整加工控制區(qū)及無線接入?yún)^(qū)等。
圖5 某鋼鐵煉鋼產(chǎn)線安全域劃分
3.3 技術(shù)設(shè)計
3.3.1 訪問控制設(shè)計
(1)與非控制系統(tǒng)邊界訪問控制設(shè)計
為保障IT至OT網(wǎng)絡(luò)間實(shí)現(xiàn)對于指令級別的訪問控制,需要部署具備對功能工業(yè)協(xié)議識別的訪問控制裝置。目前等保2.0對控制區(qū)與非控制區(qū)邊界要求實(shí)現(xiàn)單向隔離即協(xié)議剝離,故在該節(jié)點(diǎn)建議將原防火墻替換為工業(yè)網(wǎng)閘實(shí)現(xiàn)訪問控制功能。
圖6 二級中控與非控制區(qū)邊界訪問設(shè)計
圖7 磨輥車間與非控制區(qū)邊界訪問控制設(shè)計
煉鋼車間中150T轉(zhuǎn)爐五樓值班室具備對其他網(wǎng)絡(luò)接口,包括OA系統(tǒng)(辦公)、MES系統(tǒng)(生產(chǎn)管理)、質(zhì)量系統(tǒng)(ERP),其均為對生產(chǎn)數(shù)據(jù)進(jìn)行分析、研判等應(yīng)用,根據(jù)劃分,屬于非控制區(qū)域。
圖8 煉鋼車間與非控制區(qū)邊界訪問控制設(shè)計
(2)產(chǎn)線間控制系統(tǒng)邊界訪問控制設(shè)計
XX鋼鐵采用的數(shù)采網(wǎng)關(guān)為windows PE操作系統(tǒng),在隔離作用中可視作雙網(wǎng)卡PC,僅實(shí)現(xiàn)通訊協(xié)議的采集及轉(zhuǎn)發(fā)功能,較易作為“中間跳板”對軋鋼產(chǎn)線進(jìn)行非法訪問,綜上所述,數(shù)采網(wǎng)關(guān)不具備邊界隔離作用。需要在其邊界部署訪問控制手段實(shí)現(xiàn)對于其他產(chǎn)線訪問流量管控。
圖9 與其他產(chǎn)線控制邊界訪問控制設(shè)計
(3)無線區(qū)域邊界訪問控制設(shè)計
無線接入?yún)^(qū)域中輥道小車均為獨(dú)立控制(本地HMI),部分?jǐn)?shù)據(jù)通過Wi-Fi傳輸與其他區(qū)域,該區(qū)域相對其他區(qū)域,安全性較低,需要增加訪問控制措施實(shí)現(xiàn)不同安全等級安全域的隔離。
圖10 無線區(qū)域邊界訪問控制設(shè)計
(4)區(qū)域間訪問控制設(shè)計
在生產(chǎn)網(wǎng)中,網(wǎng)絡(luò)邊界防火墻將以最小通過性原則部署配置,根據(jù)業(yè)務(wù)需求采用白名單方式,逐條梳理業(yè)務(wù)流程,增加開放IP和開放端口,實(shí)現(xiàn)嚴(yán)格流量管控。
圖11 加熱爐控制區(qū)與主扎線區(qū)域邊界訪問控制設(shè)計
3.3.2 網(wǎng)絡(luò)行為監(jiān)測設(shè)計
(1)操作行為監(jiān)測設(shè)計
在控制器前端交換機(jī)部署監(jiān)測審計手段,用來實(shí)現(xiàn)對于操作過程的監(jiān)測。
(2)訪問流量回溯
針對控制系統(tǒng)外對控制系統(tǒng)訪問內(nèi)容進(jìn)行回溯,該設(shè)計要求行為審計不僅對工業(yè)流量進(jìn)行解析,而且對遠(yuǎn)程桌面、telnet等行為進(jìn)行有效解析,同時針對控制器與上位機(jī)固定通訊流量進(jìn)行監(jiān)測并統(tǒng)計。
(3)網(wǎng)絡(luò)白名單
通過策略設(shè)定或自學(xué)習(xí),對網(wǎng)絡(luò)監(jiān)測節(jié)點(diǎn)協(xié)議進(jìn)行白名單過濾,限定可流通協(xié)議,對于限定外協(xié)議進(jìn)行報警。
3.3.3 主機(jī)行為管控設(shè)計
主機(jī)白名單客戶端部署于軋鋼產(chǎn)線全部PC,原則上不允許存在例外,通過對終端的管控,構(gòu)成工業(yè)安全實(shí)質(zhì)層面最外層的安全防線。
(1)進(jìn)程及服務(wù)管控
主機(jī)白名單以最小化設(shè)定為原則,對主機(jī)中應(yīng)用進(jìn)行管控,針對目標(biāo)應(yīng)用必要進(jìn)程及服務(wù)開放白名單,非限定進(jìn)程及服務(wù)均禁止運(yùn)行。該策略在保證生產(chǎn)持續(xù)進(jìn)行條件下有效降低對工控計算資源的占用。
(2)接口管控
對軋鋼產(chǎn)線中移動存儲介質(zhì)通過終端管控進(jìn)行分級授權(quán),未經(jīng)授權(quán)移動存儲介質(zhì)從驅(qū)動層面禁用。在管理層面,禁止運(yùn)維移動終端作為工程師個人PC,第三方調(diào)試PC均需要納入終端管控范圍。
3.3.4 脆弱性檢測設(shè)計
采用離線工控系統(tǒng)漏洞掃描和入網(wǎng)檢測,對目標(biāo)設(shè)備進(jìn)行掃描,凡是生產(chǎn)網(wǎng)內(nèi)工業(yè)控制系統(tǒng)中所特有的設(shè)備/系統(tǒng)必須經(jīng)工控漏洞掃描檢測合格后,方能具備入網(wǎng)資格。
4 部署結(jié)構(gòu)及說明
4.1 部署結(jié)構(gòu)
軋鋼產(chǎn)線部署結(jié)構(gòu)如圖12所示:
圖12 軋鋼產(chǎn)線信息安全整體部署結(jié)構(gòu)圖
本次設(shè)計在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上,將原有網(wǎng)絡(luò)劃分為6個獨(dú)立區(qū)域,在其間部署訪問控制手段進(jìn)行隔離;控制器接入前端部署審計探針,對出入棧內(nèi)容進(jìn)行解析及檢測;全部主機(jī)部署主機(jī)白名單面對進(jìn)程及服務(wù)進(jìn)行管控;漏洞掃描以服務(wù)形式,對停產(chǎn)維護(hù)資產(chǎn)以及新上線系統(tǒng)進(jìn)行健康性檢測。
煉鋼產(chǎn)線部署結(jié)構(gòu)圖如圖13所示:
圖13 煉鋼產(chǎn)線信息安全整體部署結(jié)構(gòu)圖
由于環(huán)網(wǎng)主干鏈路的存在,煉鋼車間部分區(qū)域無法進(jìn)行有效訪問控制。同時由于煉鋼車間與軋鋼車間間隔兩臺數(shù)據(jù)采集網(wǎng)關(guān),造成網(wǎng)絡(luò)不可達(dá),故在部署過程中煉鋼產(chǎn)線也部署一套獨(dú)立的審計系統(tǒng)。
4.2 技術(shù)對應(yīng)設(shè)備說明
表1 技術(shù)對應(yīng)設(shè)備說明
5 補(bǔ)充設(shè)計說明
由于本次設(shè)計僅針對軋鋼產(chǎn)線及煉鋼產(chǎn)線,建議在全廠基礎(chǔ)設(shè)施信息安全建設(shè)完畢后,增加全廠信息安全調(diào)度平臺及廠級工業(yè)信息安全態(tài)勢感知平臺及相關(guān)服務(wù)應(yīng)用。
整體信息安全防護(hù)框架如圖14所示:
圖14 安全框架設(shè)計
整體框架分別由安全防護(hù)體系、態(tài)勢感知體系及應(yīng)急響應(yīng)體系構(gòu)成,三套體系分別承擔(dān)生產(chǎn)網(wǎng)中的安全防護(hù)及安全檢測能力,安全場景分析能力,安全應(yīng)急響應(yīng)能力。三套體系數(shù)據(jù)交互,構(gòu)成整體縱向防御架構(gòu)。
作者簡介:
馬霄(1988-),男,自動化、工商管理雙學(xué)士學(xué)位,現(xiàn)任北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司解決方案中心總監(jiān),主要研究領(lǐng)域為工業(yè)控制系統(tǒng)信息安全、工業(yè)互聯(lián)網(wǎng)安全、內(nèi)生安全等。
摘自《自動化博覽》2020年2月刊
北京市公安局海淀分局備案號:11010802023656號