今日頭條
官方微信
官方抖音
資訊頻道3 工控安全運維實踐
隨著兩化融合的不斷深入,以及物聯(lián)網(wǎng)、云計算和大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展,工業(yè)控制系統(tǒng)智能化、網(wǎng)絡(luò)化趨勢日漸明顯,病毒、木馬等威脅向工業(yè)控制系統(tǒng)持續(xù)擴散。近年來,工控安全事件頻頻發(fā)生,工控安全漏洞數(shù)量持續(xù)增長,工業(yè)控制系統(tǒng)面臨著日益嚴峻的安全形勢。國家“十三五”規(guī)劃《綱要》、網(wǎng)絡(luò)強國、《中國制造2025》及“互聯(lián)網(wǎng)+”等一系列戰(zhàn)略部署的推進實施,對我國工控安全保障工作提出了更高的要求,迫切需要快速提升工控安全運維保障水平和事件應(yīng)急處置能力,更好地支撐經(jīng)濟社會健康有序發(fā)展,維護國家安全。
為切實幫助工業(yè)企業(yè)掌握現(xiàn)有網(wǎng)絡(luò)安全風險,加強企業(yè)對工控系統(tǒng)網(wǎng)絡(luò)安全工作的規(guī)劃管理和運維,形成可行的安全防護策略,提升企業(yè)工控系統(tǒng)安全管理和技術(shù)防護水平,依據(jù)《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號)、《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)要求,形成如下管理方法,供工業(yè)企業(yè)決策人員參考。
3.1 運維方法
運維工作需要在最大限度的不影響被檢測單位工控系統(tǒng)正常運行的前提下,實施技術(shù)監(jiān)測和檢查,其內(nèi)容包含但不限于如下項目:
3.1.1 網(wǎng)絡(luò)架構(gòu)分析
網(wǎng)絡(luò)架構(gòu)分析是通過對被測試目標系統(tǒng)的網(wǎng)絡(luò)拓撲,以及網(wǎng)絡(luò)層面細節(jié)架構(gòu)進行的安全性評估,該項檢查通過對目標系統(tǒng)的網(wǎng)絡(luò)設(shè)備的部署、配置的手動檢查,分析用戶的網(wǎng)絡(luò)邊界是否安全,安全規(guī)則是否設(shè)置合理等。
(1)邊界安全
· 查閱網(wǎng)絡(luò)拓撲圖,檢查重要設(shè)備連接情況,現(xiàn)場核查內(nèi)部工控系統(tǒng)的交換機、路由器等網(wǎng)絡(luò)設(shè)備,確認以上設(shè)備的光纖、網(wǎng)線等物理線路沒有與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)直接連接,有相應(yīng)的安全隔離措施;
· 查閱網(wǎng)絡(luò)拓撲圖,檢查接入互聯(lián)網(wǎng)情況,統(tǒng)計網(wǎng)絡(luò)外聯(lián)的出口個數(shù),檢查每個出口是否均有相應(yīng)的安全防護措施(互聯(lián)網(wǎng)接入口指內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)邊界處的接口,如聯(lián)通、電信等提供的互聯(lián)網(wǎng)接口,不包括內(nèi)部網(wǎng)絡(luò)與其他非公共網(wǎng)絡(luò)連接的接口);
· 查閱網(wǎng)絡(luò)拓撲圖,檢查是否在網(wǎng)絡(luò)邊界部署了防火墻、訪問控制、入侵檢測、安全審計、非法外聯(lián)檢測、惡意代碼防護等必要的安全設(shè)備。
(2)設(shè)備自身安全
通過手工測試和工具掃描,檢查網(wǎng)絡(luò)設(shè)備自身是否存在弱口令,信息泄漏,命令執(zhí)行等安全隱患。
3.1.2 開機取證檢查
開機取證檢查是利用操作系統(tǒng)自帶命令檢查當前系統(tǒng)的各種信息,并通過命令返回的信息了解操作系統(tǒng)是否有已存在的安全問題和風險,比如檢查系統(tǒng)是否感染了惡意軟件、非法的U盤插拔等問題。該測試方法可以直接在操作系統(tǒng)開機情況下進行本地檢查,不需要安裝任何軟件,不會影響系統(tǒng)的正常運行。
· 系統(tǒng)信息;
· 網(wǎng)絡(luò)連接;
· 用戶信息;
· 隱私信息;
· 安全信息。
3.1.3 應(yīng)用安全性檢查
應(yīng)用安全性檢查主要是對被測試系統(tǒng)內(nèi)應(yīng)用、功能、業(yè)務(wù)系統(tǒng)進行安全性檢查,應(yīng)用安全性檢查主要通過人工測試、遠程測試方式進行,檢查的范圍主要涵蓋主機系統(tǒng)上運行的應(yīng)用及其業(yè)務(wù)系統(tǒng),諸如Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件等。
3.1.4 系統(tǒng)安全性檢查
系統(tǒng)安全性檢查是通過遠程、本機檢查以及現(xiàn)場調(diào)研的方式檢查主機操作系統(tǒng)的安全性,在執(zhí)行系統(tǒng)安全性檢查時不會主動對主機存在的漏洞進行驗證的嘗試以及對具有風險的漏洞進行確認操作,僅根據(jù)系統(tǒng)的版本和服務(wù)指紋特征檢查主機存在的安全漏洞,或通過使用本機檢查的方式進行,系統(tǒng)安全性檢查不需要安裝任何軟件,不會影響系統(tǒng)的正常運行,在執(zhí)行遠程部分的檢查時僅會影響較小的系統(tǒng)性能和網(wǎng)絡(luò)帶寬。
3.1.5 控制系統(tǒng)組件安全性檢查
控制系統(tǒng)組件安全性檢查是通過利用遠程、本機檢查以及現(xiàn)場調(diào)研的方式檢查主機操作系統(tǒng)的安全性,檢查涵蓋的工控系統(tǒng)內(nèi)的應(yīng)用組件包含且不限于如下:
· SCADA組態(tài)軟件;
· 組態(tài)編程軟件;
· 實時與歷史數(shù)據(jù)庫;
· 工控通信軟件(IOServer)。
對控制系統(tǒng)組件安全性遠程檢查通過應(yīng)用指紋特征發(fā)現(xiàn)被檢查對象網(wǎng)絡(luò)中正在運行的應(yīng)用組件,利用漏洞指紋特征發(fā)現(xiàn)存在漏洞的應(yīng)用組件版本,進行遠程檢查時不需要安裝任何軟件,不會影響系統(tǒng)的正常運行。
3.1.6 控制系統(tǒng)設(shè)備安全性檢查
控制系統(tǒng)設(shè)備安全性檢查會對被檢查工段的工控設(shè)備的運行情況、廠商、型號進行調(diào)研并結(jié)合工控設(shè)備已存在的安全漏洞、隱患進行研判,同時根據(jù)情況還將利用工控脆弱性分析系統(tǒng)或工控系統(tǒng)信息采集與風險分析平臺,通過輕量級的工控無損掃描技術(shù),以工業(yè)特有通信協(xié)議與工控軟硬件進行交互,搜索工控軟硬件的必要信息。系統(tǒng)搜索過程中對工業(yè)控制系統(tǒng)及系統(tǒng)業(yè)務(wù)無干擾,不影響系統(tǒng)本身的正常運行。
控制系統(tǒng)設(shè)備安全性檢查的資產(chǎn)類型包含且不限于PLC、控制器、視頻監(jiān)控、DCS、串口服務(wù)器及其他工控通信設(shè)備(通信網(wǎng)關(guān))等。
3.1.7 工控協(xié)議使用情況檢查
工控協(xié)議從設(shè)計之初一般沒有考慮安全、認證、加密等因素,在通信過程中沒有復(fù)雜的認證和加密,加上工控協(xié)議的特性是面向命令、面向功能、輪詢應(yīng)答式,攻擊者只需要掌握協(xié)議構(gòu)造方式,并接入到了工控網(wǎng)絡(luò)中,便可以通過協(xié)議對目標設(shè)備的任意數(shù)據(jù)進行篡改。工控協(xié)議使用情況檢查將對被檢查工段內(nèi)使用的工控通信協(xié)議進行風險評估,通過調(diào)研的方式了解被檢查工段內(nèi)工控設(shè)備的通信模型,包括使用的工控協(xié)議、傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)類型,根據(jù)情況將利用工控脆弱性分析系統(tǒng)和工控系統(tǒng)信息采集與風險分析系統(tǒng)對被檢查的目標網(wǎng)絡(luò)內(nèi)所支持的工控協(xié)議的運行情況實現(xiàn)指紋發(fā)現(xiàn)。
工控協(xié)議使用情況檢查的協(xié)議類型包含且不限于Modbus、OPC、OPC UA、EtherNet/IP、IEC104、DNP3、IEC61850…
3.2 事件與報警管理
事件與報警管理作為風險管理的一部分,通過實時數(shù)據(jù)收集和分析軟件平臺,可持續(xù)監(jiān)測流程控制系統(tǒng),發(fā)現(xiàn)網(wǎng)絡(luò)安全風險的跡象。該解決方案可在控制自動化系統(tǒng)上運行,并可與安全信息和事件管理系統(tǒng)(SIEM)等企業(yè)安全平臺以及領(lǐng)先網(wǎng)絡(luò)和端點安全產(chǎn)品整合。采用強大的專有算法,可監(jiān)測所有網(wǎng)絡(luò)和系統(tǒng)設(shè)備、探測威脅并識別網(wǎng)絡(luò)上的已知和未知設(shè)備通訊。通過實時預(yù)警和警報可使工業(yè)控制系統(tǒng)的漏洞與威脅及早地傳達給工廠人員。解決方案提供有關(guān)工業(yè)控制系統(tǒng)中風險的可能原因、潛在影響以及推薦措施的專業(yè)指南。
工控信息安全同樣屬于信息安全,安全防護是一個綜合性的課題,是一套體系。安全防護的手段固然很多,但是每類工具或防護設(shè)備都面對某種特定的攻擊,而威脅的來源是不確定的,防護來自四面八方的攻擊不可能只靠幾個環(huán)節(jié)的防護就一勞永逸。就像簡單的水桶原理,有些地方再牢固,但是一個明顯的短板也會導(dǎo)致能力的喪失。所以對于安全而言,強大高效的防護能力首先來自于管理有序、組織嚴密的防護體系。
在工控信息網(wǎng)絡(luò)環(huán)境中做整體的安全防護,勢必要涉及掌握全網(wǎng)的運行狀況、安全狀況,處理大量設(shè)備產(chǎn)生的安全數(shù)據(jù)和監(jiān)控信息,通過集中高效的告警機制快速發(fā)現(xiàn)定位問題,快速地處置安全故障和威脅。解決用戶的主要需求包括:
(1)統(tǒng)一識別和梳理網(wǎng)內(nèi)的各類設(shè)備和網(wǎng)元節(jié)點,集中維護全網(wǎng)設(shè)備基本信息、運行配置信息以及安全信息。
(2)對網(wǎng)絡(luò)中的各類設(shè)備進行集中的狀態(tài)及性能監(jiān)控。
(3)工控領(lǐng)域常見的拓撲或直觀呈現(xiàn)的方式表現(xiàn)網(wǎng)絡(luò)環(huán)境及各設(shè)備的運行狀態(tài)和安全狀態(tài)。
(4)對工控的業(yè)務(wù)操作流程進行梳理,形成各個工業(yè)操作業(yè)務(wù)流的健康性監(jiān)控。
(5)能夠識別工控協(xié)議以及操作指令,并在此基礎(chǔ)上進行合規(guī)審計以及異常發(fā)現(xiàn)。
(6)能夠統(tǒng)一收集存儲各類安全信息,并進行集中化的呈現(xiàn),呈現(xiàn)方面應(yīng)用大量可視化技術(shù),增加數(shù)據(jù)可讀性,最大可能地提升用戶的監(jiān)控效率。
(7)通過統(tǒng)一的策略進行全網(wǎng)的威脅分析和安全告警。
(8)強大的關(guān)聯(lián)分析能力對所采集的海量安全信息進行綜合分析,發(fā)現(xiàn)更多維度、更深層次的安全威脅和業(yè)務(wù)違規(guī)。
(9)通過系統(tǒng)的手段流程化的對安全故障、隱患、問題進行規(guī)范化處置,提升問題解決效率和規(guī)范程度。
4 結(jié)語
基于“PDCA”的工控安全運維管理系統(tǒng)是以客戶的業(yè)務(wù)信息系統(tǒng)安全為保障目標,從監(jiān)控、審計、風險、運維四個維度對全網(wǎng)的整體安全進行集中化管理與運維,為工控用戶在工控環(huán)境下建立起一個可視、可查、可度量與可擴展的監(jiān)控體系。借助本系統(tǒng),用戶可以獲得對全網(wǎng)安全的可視化,并洞悉業(yè)務(wù)信息系統(tǒng)的運行狀況與安全狀況;可以對全網(wǎng)的安全事件進行綜合分析與審計,識別和定位外部攻擊、內(nèi)部違規(guī);可以進行業(yè)務(wù)系統(tǒng)的安全風險度量、安全態(tài)勢度量和安全管理建設(shè)水平度量;可以進行持續(xù)的安全巡檢、應(yīng)急響應(yīng)與知識積累,不斷提升安全管理的能力。
(1)全面掌握網(wǎng)絡(luò)中的威脅信息,迅速發(fā)現(xiàn)異常
系統(tǒng)幫助用戶全視角掌握網(wǎng)絡(luò)中全部安全信息,透視網(wǎng)絡(luò)中網(wǎng)絡(luò)狀態(tài)及異常信息,了解業(yè)務(wù)路徑,監(jiān)測業(yè)務(wù)流程的合規(guī)性。并且該系統(tǒng)通過強大的關(guān)聯(lián)分析技術(shù)在多維且海量的信息中洞察威脅行為,包括識別各類性能故障、非法訪問控制、不當操作、惡意代碼、攻擊入侵,以及違規(guī)與信息泄露等行為。
(2)日常安全運維工作的有力工具
對于工控安全日常安全運維而言,核心的工作內(nèi)容就是對各設(shè)備及重要業(yè)務(wù)系統(tǒng)進行持續(xù)監(jiān)測,確保網(wǎng)絡(luò)、主機、應(yīng)用、業(yè)務(wù)、重要信息和人員資產(chǎn)的安全。更具體地說,就是要持續(xù)監(jiān)測并識別針對網(wǎng)絡(luò)、主機、應(yīng)用、業(yè)務(wù)、重要信息和人員資產(chǎn)性能故障、非法訪問控制、非法或不當操作、惡意代碼、攻擊入侵、違規(guī)與信息泄露行為。
系統(tǒng)以時間、空間、特征為基礎(chǔ),對網(wǎng)絡(luò)流進行多維度、細粒度的分析,并通過形象的圖表曲線幫助客戶實現(xiàn)流分布的可視化。
系統(tǒng)通過提供統(tǒng)一的告警響應(yīng)機制以及標準OPC接口的方式,為用戶提供了集中的告警發(fā)現(xiàn)平臺,并且對于發(fā)現(xiàn)的告警或故障給予運維處置上的支撐,通過標準OPC接口的方式實現(xiàn)快速化、實時化的問題通知,并且可達到處理過程的跟蹤督促以及事后的追查。
作者簡介:
魏欽志,烽臺科技(北京)有限公司聯(lián)合發(fā)起人、董事長,燈塔實驗室執(zhí)行合伙人。工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副秘書長,計算機病毒防御技術(shù)國家工程實驗室技術(shù)委員會委員,中國化工學會青年委員。在智能制造、工業(yè)控制信息化和自動化行業(yè)有十余年工作經(jīng)驗,六年工控安全經(jīng)驗。參與并主導(dǎo)過工業(yè)信息安全產(chǎn)品設(shè)計,被發(fā)改委納入信息安全專項資金的支持計劃。帶領(lǐng)團隊參與和推動國內(nèi)主要工控安全標準制訂與應(yīng)用,面向行業(yè)用戶提供評估及保障服務(wù)。
參考文獻:
[1] 童有好. 信息化與工業(yè)化融合的內(nèi)涵、層次和方向[J]. 信息技術(shù)與標準化, 2008,(7).
[2] 龔炳錚. 推進信息化與工業(yè)化融合的思考[J]. 中國信息界, 2010.
[3] 賈紀磊. 信息化與工業(yè)化融合:新型工業(yè)化融合必經(jīng)之路[J]. 湖北經(jīng)濟學院學報(人文社會科學版), 2009, 6(8).
[4] 李林. 產(chǎn)業(yè)融合:信息化與工業(yè)化融合的基礎(chǔ)及其實踐[M]. 上海經(jīng)濟研究, 2008, 6.
[5] 信息化和軟件服務(wù)業(yè)司. 工信部 《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》解讀,2017, 06.
[6] GB/T32919-2016. 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南[Z].
摘自《自動化博覽》2017年10月刊
北京市公安局海淀分局備案號:11010802023656號