今日頭條
官方微信
官方抖音
案例頻道 背景
魯西化工是典型的化工企業,其化工產品生產過程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發,工藝生產自動化、連續化、生產裝置大型化、 工藝復雜等特點,由于其各個生產環節不安全因素較多,一旦發生安全事故,具 有事故后果嚴重、危險性和危害性比傳統制造行業更大的特點。
DCS 和 PLC 數字化控制已經成為化工生產過程控制的主要手段,魯西化工自 動化程度較高,大量使用浙江中控、和利時等 DCS、PLC 控制系統,能夠極大地提高生產效率,但是過程控制系統整呈開放的趨勢,隨著“兩化”的深度融合, 工控系統面臨的安全形勢越來越嚴峻。
現狀
整個魯西集團園區納入信息化的裝置共 23 個,裝置名稱及其產品、功能如 下:
動力一、動力二裝置為全園區各裝置提供水、電、氣為主的公共資源和能源, 為園區重點裝置。
煤化一、煤化二裝置為園區各工企業提供主要化工生產原料,包括一氧化碳、 甲醇、液氨等。為園區重點裝置。
園區西區裝置有氟化工、甲烷氯化物、氯化鈣、西區灌裝站、氯磺酸、西區 污水處理、有機硅、離子膜。以上裝置大部分涉及重大危險物質,包括氯氣、液 氨、一氧化碳等園區中區裝置有氯化芐、三聚氰胺、苯甲醇等裝置,生產氯氣及其下游產品, 其中煤一和動力一裝置在此區域中。
園區東區裝置包括甲酸、丁辛醇、已內酰胺等,均涉及氫氣、一氧化碳等危 險氣體。其中煤二及動力二裝置在此區域中。
另外西區和東區各有一個灌裝區域,為外來危險品車輛進行化工產品和原料 的裝卸。
網絡拓撲如下:
圖一 網絡拓撲
企業生產網控制系統數據通過 OPC 接口,由寶信通訊網關進行數據采集轉發到實時數 據庫 PI1,再通過單向網閘將 PI1 數據導入至實時數據庫 PI2,實現 PI1 與 PI2 的同步,并進 行了生產網與外網的隔離。其中遠程監測終端通過 3G 無線網絡經過 PC 機轉發給通訊網關 進入 PI1 數據庫。
需求分析
隨著企業應用系統的增加以及信息化建設的不斷推進,MES 系統的實施,生產網絡與管 理網及辦公網之間有著大量數據的讀取、控制指令的下置、計劃排產的下發。生產網與外網的互聯互通是一種趨勢也是一種必需,但辦公網及外網的應用復雜,多樣性強。感染病毒及 惡意程序的機率大,生產網的開放,勢必對 PI 數據庫的數據完整性、保密性、安全性形成 挑戰,對 DCS、PLC 控制系統形成嚴重的安全威脅,如果系統受到攻擊或感染病毒后,使得 DCS 或 PLC 控制發生故障,壓力、溫度、流量、液位、計量等指示失效,檢測系統連鎖報警 失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態,后果不堪設想,將危急現場操作人員甚至工廠附近人群的生命安全。
所以對控制系統及生產網絡的安全防護是當下要優先考慮和解決的問題。
風險分析
1、操作系統安全漏洞:企業的工程師站/操作站/HMI /Server 基本都是Windows 平臺的,Windows 所采用的存儲數據庫和加密過程導致了一系列安全漏,例如,Windows 把用戶信息和加密口令保存于 NTRegistry 中的 SAM 文件中,即安全帳戶管理 (Security Accounts Management) 數據庫。加密口令分兩個步驟完成。首先,采用 RSA MD4 系統對口令進行加密。第二步則是令人迷惑的缺乏 復雜度的過程,不添加任何“調料”,比如加密口令時考慮時間的因素。結果, Windows 口令比 UNIX 口令更加脆弱,更容易受到一本簡單字典的攻擊。黑客可以利用這些漏洞來破譯一個或多個 Administrator 帳戶的口令,進而對主機進行破壞活動。
另外由于工業控制系統的特殊性,為了保證過程控制系統的相對獨立性,以 及考慮到系統的穩定運行,現場工程師未對 Windows 平臺安裝任何補丁,導致的問題是,不安裝補丁系統就存在被攻擊的可能,從而埋下安全隱患。
2、網絡協議安全漏洞:本案中TCP/IP 以太網協議、OPC協議及通用的交換路由設備越廣泛地應用在工業控制網絡中,給工業安全帶來了安全漏洞威脅,具體表現為:
1)TCP/IP協議鏈路層的安全漏洞
本案以太網中,信道是共享的,任何主機發送的每一個以太網幀都會到達別的與該主機處于同一網段的所有主機的以太網接口,不法人員稍做設置或修改, 就可以使一個以太網接口接收不屬于它的數據幀。從而對控制網絡關鍵數據的竊取。
2)TCP/IP協議網絡層安全漏洞
網絡中控制系統、設備及Server都對ICMP echo請求進行響應。所以如果一 旦敵意主機同時運行很多個ping命令向一個系統或服務器發送超過其處理能力的ICMP echo請求時,就可以淹沒該DCS系統及服務器使其拒絕其他的服務。導致生產失控或停車,另外,ping命令可以在得到允許的網絡中建立秘密通道從而可以在被攻擊系統中開后門進行方便的攻擊,如收集目標上的信息并進行秘密通信 等。
3)OPC Classic 協議安全問題
現場采集傳輸均采用OPC協議采集控制層數據,而OPC Classic 協議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM 協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC 通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT 防火墻來確保其安全性。
4)無線網絡的安全問題拓撲可見,遠程監測終端通過3G無線網絡進入生產網,其間沒有任何安全防護手段,不法人員可以通過該條路徑進入企業內網控制PC,繼而對數據進行非法篡改,和對傳輸惡意控制指令,勢必對控制系統造成嚴重威脅。
3、DCS 和 PLC 控制系統缺乏對程序行為的審計能力 惡意程序行為是對工控系統產生安全威脅最為主要的原因之一,在工控系統端點主機上程序行為是否正常,需要對其所有的行為數據進行深度感知、聚集和細粒度的處理和審計。 操作管理人員的技術水平和安全意識差別較大,容易發生越權訪問、違規操作,給生產系統埋下極大的安全隱患。實事上,DCS 和 PLC 系統相對封閉的環境,也使得來自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操 作成為工業控制系統所面臨的主要安全風險。例如:缺乏基于分組的 HIS 安全策略。在用戶安全策略的定義界面下,首先要考慮進行分組的設置,分組后再設置 不同級別的用戶從屬于各自的用戶組,從而依據各自裝置的控制站作為操作和監 視的范圍。
因此,對生產網絡的訪問行為真實性、完整性進行監控、管理與審計是非常必要的。
4、缺乏工控系統的安全威脅預警能力魯西化工的主要產品在生產過程中全部由 DCS 和 PLC 控制,系統的重要性和實時要求及時掌握系統的信息安全情況,目前缺乏對整個系統的安全威脅預警能力,缺乏應急處置安全事件的數據支撐。
5、面對高級持續性威脅(APT)攻擊,缺乏有效的應對措施 高級持續性威脅(APT)正在通過一切方式,繞過基于代碼的傳統安全方案(如防病毒軟件、防火墻、IPS 等),并更長時間地潛伏在系統中,讓傳統防御體系難以偵測。同時,還會采用智能手機、平板電腦和 USB 等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。前述以超級工廠病毒(W32.Stuxnet)為代表的針對工業控制系統的攻擊事件變呈現了這些攻擊技術特征。
但是針對這種 APT 攻擊,現有的安全防護手段均顯得有些無力。這也許需要 整合各種安全技術,通過形成完善的安全防御體系(防御手段的組織化、體系化) 才可能有效,然而 DCS 和 PLC 系統對安全技術及管理的嚴重不足的現實,使其在 面臨持續攻擊時將會遭到不可估量的安全損失。
方案設計
根據魯西化工的控制系統及信息化生產運行管理流程,結合 GB/17859、 GB/T25070 基本要求,按照等保三級相關相求,構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系,通過強化分區、隔離防護、協議管 控、入侵防御及安全審計等技術手段構建縱深安全防御體系,確保生產現場 DCS、 PLC 等控制設備的本質安全。具體如下:
● 遵循國家、地方、行業相關法規和標準;
● 貫徹等級保護和分域保護的原則;
● 管理與技術并重,互為支撐,互為補充,相互協同,形成有效的綜合防 范體系;
● 充分依托已有的信息安全基礎設施,加快、加強信息安全保障體系建設。
● 第三級安全的信息系統具備對信息和系統進行基于安全策略強制的安全保護能力。
● 在技術策略方面,第三級要求按照確定的安全策略,實施強制性的安全保護,使數據信息免遭非授權的泄露和破壞,保證較高安全的系統服務。 這些安全技術主要包括物理層、網絡層、系統層、應用層、數據層的以下內容:
○ 對計算機、網絡的設備、環境和介質采用較嚴格的防護措施,確保其為信息系統的安全運行提供硬件支持,防止由于硬件原因造成信 息的泄露和破壞;
○ 通過對局域計算環境內各組成部分采用網絡安全監控、安全審計、 數據、設備及系統的備份與恢復、集中統一的病毒監控體系、兩種級要求的操作系統和數據庫、較高強度密碼支持的存儲和傳輸數據 的加密保護、客體重用等安全機制,實現對局域計算環境內的信息 安全保護和系統安全運行的支持;
○ 采用分區域保護和邊界防護(如應用級防火墻、網絡隔離部件、信 息過濾和邊界完整性檢查等),在不同區域邊界統一制定邊界訪問控 制策略,實現不同安全等級區域之間安全互操作的較嚴格控制;
○ 按照系統化的要求和層次化結構的方法設計和實現安全子系統,增 強各層面的安全防護能力,通過安全管理中心,在統一安全策略下 對系統安全事件集中審計、集中監控和數據分析,并做出響應和處 理,從而構建較為全面的動態安全體系。
● 在管理策略方面,第三級要求實施體系的安全管理。應建立完整的信息系統安全管理體系,對安全管理過程進行規范化的定義。根據實際安全需求,成立安全管理機構,配備專職的安全管理人員,落實各級領導及相關人員的責任。
1、具體安全策略
按照層層防護的思想,信息系統由具有相同或不同等級的子系統構成,各子系統均需要實現安全域內部安全、安全域邊界安全及安全域互聯安全。 邊界保護的目的是對邊界內的局域計算環境和獨立用戶/用戶群的計算機環境進行保護,防止非法的用戶連接和數據傳輸。 安全域內部安全是指局域計算環境自身安全和網絡連接設備自身安全。 安全域互聯安全是指在不同等級的系統之間互聯時,應采取的保護原則和保護策略。
2、安全域內部策略
為滿足威脅需求的基本防護要求應實現以下安全域內部的安全目標:
網絡層策略
b1、通過合理的結構設計和網段劃分手段實現合理分配、控制網絡、操 作系統和應用系統資源及路由選擇和控制;
b2、通過網絡訪問控制手段實現網絡、系統和應用的訪問的嚴格控制及數據、文件或其他資源的訪問的嚴格控制;
b3、通過網絡安全審計手段實現記錄用戶操作行為和分析記錄;以及對資源訪問的行為進行記錄、集中分析并響應;
b4、通過邊界完整性檢查手段實現檢測非法接入設備及檢測網絡邊界完 整性;并能切斷非法連接;
b5、通過網絡入侵防范手段實現檢測、集中分析、響應、阻止對網絡和所有主機的各種攻擊;
b6、通過惡意代碼防范手段實現發現并修補已知漏洞;對惡意代碼的檢測、集中分析、阻止和清除及防止惡意代碼在網絡中的擴散;對惡意代 碼庫和搜索引擎及時更新并防止未授權下載、拷貝軟件或者文件;
B7、通過網絡設備防護手段實現對網絡、系統和應用的嚴格訪問控制及對用戶進行唯一標識;同時對同一個用戶產生多重鑒別信息,其中一個 是不可偽造的鑒別信息并進行多重鑒別;另外對硬件設備進行唯一標識 和合法身份確定;并在持續非活動狀態一段時間后自動切斷連接。
系統層策略
c1、通過身份鑒別手段實現對網絡、系統和應用的訪問進行嚴格的限制; 并對用戶進行唯一標識及同一用戶產生多重鑒別信息,其中一個不可偽 造的鑒別信息并進行多重鑒別;對硬件設備進行唯一標識及合法身份確 定并實現在持續非活動狀態一段時間后自動切斷連連接;
c2、通過自主訪問控制手段實現對網絡、系統和應用的訪問進行嚴格控制并對數據、文件或其他資源的訪問進行嚴格控制;
c3、通過強制訪問控制手段實現對網絡、系統和應用的訪問進行嚴格控制并對數據、文件或其他資源的訪問進行嚴格控制及對敏感信息及其流 向進行標識;
c4、通過安全審計手段實現記錄用戶操作行為和分析記錄結果并對安全機制失效進行自動監測和報警及對資源訪問的行為進行記錄、集中分析 并響應;
c5、通過系統保護手段實現系統軟件、應用軟件的容錯及自動保護當前工作狀態;
c6、通過剩余信息保護手段實現對存儲介質中的殘余信息的刪除;應、阻止對網絡和所有主機的各種攻擊并重要數據和程序進行完整性檢測和糾錯;
c8、通過惡意代碼防范手段實現對已知漏洞的檢測和修補并防止惡意代碼在網絡中的擴散及對惡意代碼庫和搜索引擎及時更新;防止未授權下 在、拷貝軟件或者文件;
c9、通過系統資源控制手段實現合理使用和控制系統資源及按優先級自動分配系統資源并能在持續非活動狀態一段時間后自動切斷連接;
應用層策略
d1、通過采取身份鑒別措施,來實現有對網絡、系統和應用的訪問進行嚴格控制,對用戶進行唯一標識,對同一個用戶產生多重鑒別信息進行 多重鑒別,對持續性非活動狀態一段時間后自動切斷連接的目標;
d2、通過采取相應的訪問控制措施,來實現對網絡、系統和應用的訪問進行嚴格控制,對數據、文件或其他資源的訪問進行嚴格控制,對敏感 信息進行標識的目標;
d3、通過安全審計措施,來實現記錄用戶操作行為和分析記錄結果,對資源訪問的行為進行記錄、集中分析并響應的目標;
d4、通過對剩余信息采取相應的保護措施,來實現對存儲介質中的殘余信息進行刪除的目標;
d5、通過采取相應的措施來確保通信的完整性,來實現對傳輸和存儲數據進行完整性檢測和糾錯,對通信數據進行完整性檢測和糾錯,重要數 據和程序進行完整性檢測和糾錯的目標;
d6、通過采取相應的措施來確保通信的保密性,來實現對傳輸和存儲中的信息進行保密性保護,防止加密數據被破解的目標;
d7、通過采取相應的抗抵賴性措施,來實現信息源發的鑒別,基于密碼技術的抗抵賴的目標;
d8、通過采取相應的軟件容錯措施,來實現系統軟件、應用軟件容錯, 軟件故障分析,自動保護當前工作狀態的,對用戶的誤操作行為進行檢 測、報警和恢復的目標;
d9、通過采取相應的資源控制措施,來實現合理使用和控制系統資源,按優先級自動分配系統資源,限制網絡、操作系統和應用系統資源使用, 合理分配、控制網絡、操作系統和應用系統資源,持續非活動狀態一段時間后自動切斷連接的目標;
d10、通過相應的措施來控制軟件代碼的安全,來實現對軟件缺陷進行檢查的目標。
數據層策略
e1、通過采取相應數據完整性措施, 來實現對傳輸和存儲數據進行完整性檢測和糾錯,重要數據和程序進行完整性檢測和糾錯的目標;
e2、通過采取數據保密性措施, 來實現保證鑒別數據傳輸和存儲保密性, 對傳輸和存儲中的信息進行保密性保護,防止加密數據被破解的目標;
e3、通過采取數據備份和恢復措施, 來實現對抗中等強度地震、臺風等自然災難造成破壞,防止雷擊事件導致大面積設備被破壞,及時恢復正 常通信,對用戶的誤操作行為進行檢測、報警和恢復,使重要通信線路及時恢復,及時恢復重要數據,保證重要業務系統及時恢復運行的目標。
3、安全域邊界策略 為滿足威脅需求的基本防護要求應實現以下安全域邊界的安全目標:
● 通過網絡訪問控制手段實現網絡、系統和應用的訪問的嚴格控制;
● 數據、文件或其他資源的訪問的嚴格控制;
● 通過邊界完整性檢查手段實現檢測非法接入設備;
● 檢測網絡邊界完整性;
● 切斷非法連接。
4、安全域互聯策略 不同安全等級的安全域之間可以根據業務需要進行互聯。互聯問題的本質就是互聯系統間的邊界安全問題。不同安全等級互聯,要根據系統業務和安全需求, 制定相應的多級安全策略,主要包括訪問控制策略和數據交換策略等,采取相應 的邊界保護、訪問控制等安全措施,防止高等級系統的安全受低等級系統的影響。
不同安全等級的安全域互聯主要有以下幾種情況:
● 位于同一業務單位域內共享網絡平臺的系統互聯;
● 位于同一業務單位域內不同安全等級網絡平臺的系統互聯;
● 位于不同業務單位域內的系統互聯。
方案內容
參照 ANSI/ISA-99 、GB/17859、GB/T25070 等相關要求,將企業系統結構劃分成不同的區域可以幫助企業有效地建立“縱深防御”策略。區域與區域之間利用安全產品進行策略控制,確保每個區域的相互獨立性,實現風險的最小化和 可控。從以下方面進行設計,如圖 2 所示:
圖二 安全部署圖
辦公網與管理網區域
由于辦公網直接與互聯網相連,且應用復雜,人員眾多。存在被感染病毒或被惡意控制的高風險,所以在辦公網與管理網之間部署一臺網絡病毒網關,入侵防御(IPS)系統。可以處理 HTTP、SMTP、POP3、FTP 和 IMAP 等多種協議,全面保護郵件、WEB 訪問以及文件傳輸過程中的安全。從而有效抵御來自辦公網及互聯網的網絡病毒和風險,確保內網的安全。管理網絡的安全防護在管理核心區域需要實現全網數據流量審計和入侵檢測,計劃部署網絡安全
審計和入侵防御(IPS)系統,實現整個區域數據流的審計和檢測。計劃在核心交換之間部署 1 臺網絡安全審計和 1 臺入侵防御系統。 通過網絡安全審計實現對業務環境下的網絡操作行為進行細粒度審計的合規性管理系統。它通過對業務人員訪問系統的行為進行解析、分析、記錄、匯報, 用來幫助用戶事前規劃預防,事中實時監視、違規行為響應,事后合規報告、事 故追蹤溯源,同時加強內外部網絡行為監管、促進核心資產(數據庫、服務器、 網絡設備等)的正常運營通過部署入侵防御系統實現對于病毒、木馬、蠕蟲、僵尸網絡、緩沖區溢出 攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網站掛馬、異常流量等惡 性攻擊行為有非常準確高效的檢測防御效果,并通過簡單易懂的去技術化語言幫 助用戶分析威脅,對威脅進行有效處理。
DCS 控制器安全防護
浙大中控、和利時 DCS 控制系統其操作站 HIS 和控制站 FCS 通過冗余的基于以太網通訊的控制總線連接,HIS 實現監控,操作功能,FCS 則完成具體的控 制運算,輸入/輸出及數據處理功能。由于以太網的開放性,在帶來通訊便捷的 同時也增加了安全風險。
所以必須要在控制器入口端部署控制器防護設備,能夠識別針對控制器的操控服務指令(包括組態服務、數據上傳服務、數據下載服務、讀服務、寫服務、 控制程序下載服務、操控指令服務等),并能夠根據安全策略要求對非法的服務 請求進行報警和自動阻斷。如圖 2 所示,使用工業防火墻對控制器進行安全防護, 一方面通過對源、目的地址的控制,僅允許工程師站和操作員站可訪問控制器, 且對關鍵控制點的讀寫權限加以嚴格限制,保障了資源的可信與可控,另一方面, 通過對端口服務的控制,杜絕了一切有意或無意的攻擊,最后使用“白名單”機 制,僅允許 ScnetII 等專有協議通過,阻斷一切 TCP 及其它訪問,從而確保控制 器的安全。
無線遠程監測接入安全防護
如上圖所示,遠程監測終端通過 3G 無線網絡聯入企業內網,內網 PC 通過NAT 映射到互聯網。由于 3G 設備 IP 地址的不確定因素,本 PC 開放 UDP 所有訪 問權限,導致外網不法人員通過掃描或嗅探技術捕獲 PC 信息,從而入侵到該 PC 或內網,雖然 PC 與通訊網關采用串口通訊,但仍可通過對 PC 機的入侵破壞數據 的完整性,并且通過了解其串口通信方式,下置惡意指令和傳輸病毒。對 PI 數 據庫及控制系統造成致命破壞。
所以如圖 2 所示,在無線接入 PC 機與控制網絡之間部署一臺工業防火墻, 僅允許指定的設備、特定的工業數據進入內網上傳到 PI1 服務,阻斷一切無關的 訪問、控制指令。
工業控制系統漏洞掃描系統
我們企業控制網絡布署工業掃描系統,針對對符合 IEC61131-3 標準的控制 系統上位機(SCADA/HMI)軟件、PLC、器嵌入式軟件以及各種主流現場總線離線 掃描。
與入侵檢測/防御系統等別動防御手段相比,漏洞掃描是一種主動的防范措施;可以有效避免黑客攻擊行為,放患于未然。通過對工業網絡的掃描,可以了 解工業網絡安全配置的和運行的應用服務,及時發現安全漏洞,客觀評估網絡風 險等級,進而及時修復漏洞。
PKI/CA 系統 由于魯西工藝流程、生產配方、生產裝置以及特種產品數據的敏感性,所以布署一套 PKI/CA 系統,一方面通過數字證書來進行相應權限分配,實現對 DCS、PLC 控制系統的分權管理及多因子驗證,另一方面通過 PKI/CA 系統對網絡上傳 的數據信息進行加密和解密、數字簽名和簽名驗證,從而保證:信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證 書來確認接收方的身份;發送方對于自己的信息不能抵賴。在保障了數據的完整性與保密性的同時,也增加了防抵賴。
終端防病毒
由于終端應用復雜,感染病毒的可能性較大,所以在終端 PC、工程師站、 操作員站上都進行查殺毒軟件的安裝,前提必須是經過驗證后的殺毒軟件,要確保其對工控軟件的兼容性。
同時,也要及時地對殺毒軟件進行病毒庫的升級,但不能影響工控系統的安全性。我們采取在企業管理網絡及控制網絡同時布署一臺病毒服務器,企業管理網絡服務器實時升級,經過驗證之后定時通過人工拷盤或單向導入到控制網絡病毒服務器,以確保控制網絡病毒庫的更新。
網絡準入
由于以太網的高效性與經濟性,企業每個站點的 DCS、PLC 控制設備都采用以太網接口組成工業控制網絡,隨著當前智能設備和移動 PC 的廣泛應用,隨時 有可能非法接入企業的控制網絡,把惡意程序及病毒帶入到控制網絡從而對關鍵控制系統造成致命威脅,所以針對以上威脅,在企業控制及管理網絡布署網絡準入系統:
● 防止非法的外來電腦、移動 PC 及智能終端接入控制網絡,影響控制系統的安全;
● 防止內部用戶私自接 HUB、無線 AP 等不安全行為;
● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網關、DHCP 強制、SNMP 強制以及透明網橋等多種入網強制認證技術;
通過網絡準入系統,以實現控制網資源的保護和訪問控制,禁止非法計算機接入內網。即只有經過認證的主機才可以訪問控制網絡資源,而當可疑主機出現時,能夠系統記錄其 IP 地址、MAC 地址、計算機名等基本信息,并自動通過某種方式阻止此計算機訪問局域網,切斷其網絡連接。如下圖所示:
準入控制流程
可信計算
魯西化工關鍵設施的控制系統都是基于 windows 平臺研發的,所有工程師站及操作員站均使用 Windows XP 系統,2014 年 4 月 8 日隨著微軟宣布徹底取消對 Windows XP 的所有技術支持,終端安全直接影響了魯西化工基礎實施的安全, 我們在網絡層面防護的同時,積極應用國內先進的可信計算技術對用戶的身份認 證、應用程序的完整性和合法性認證,從而確保工程師站、操作員站計算運行環 境的安全。如圖所示:
可信計算平臺框架
安全管理平臺(SOC)
在企業管理網部署安全管理中心,如圖 2 所示,對生產控制網絡搜集所有安全信息,并通過對收集到各種安全事件進行深層的分析,統計和關聯,及時反映被管理資產的安全基線,定位安全風險,對各類安全時間及時提供處理方法和建 議的安全解決方案。
功能如下:
● 面向業務的統一安全管理
系統內置業務建模工具,用戶可以構建業務拓撲,反映業務支撐系統的資產構成,并自動構建業務健康指標體系,從業務的性能與可用性、業務的脆弱性和業務的威脅三個維度計算業務的健康度,協助用戶從業務的角度去分析業務可用性、業務安全事件和業務告警。
● 全面的日志采集
可以通過多種方式來收集設備和業務系統的日志,例如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web Service 等等。
● 智能化安全事件關聯分析
借助先進的智能事件關聯分析引擎,系統能夠實時不間斷地對所有范式化后的日志流進行安全事件關聯分析。系統為分析師提供了三種事件關聯分析技術, 分別是:基于規則的關聯分析、基于情境的關聯分析和基于行為的關聯分析,并 提供了豐富的可視化安全事件分析視圖,充分提升分析效率。
● 全面的脆弱性管理
系統實現與天鏡漏掃系統的實時高效聯動,內置配置核查功能,從技術和管理兩個維度進行全面的資產和業務脆弱性管控。
● 主動化的預警管理
用戶可以通過預警管理功能發布內部及外部的早期預警信息,并與網絡中的IP資產進行關聯,分析出可能受影響的資產,提前讓用戶了解業務系統可能遭受的攻擊和潛在的安全隱患。系統支持內部預警和外部預警;預警類型包括安全 通告、攻擊預警、漏洞預警和病毒預警等;預警信息包括預備預警、正式預警和 歸檔預警三個狀態。
總結
DCS/PLC 控制系統是化工生產過程最為關鍵的基礎設施,這些關鍵基礎設施中任何控制系統、工控網絡和數據庫服務器受到干擾或破壞后將對國民的健康、 安全、經濟乃至對國家政府的正常運作造成嚴重影響。事實上,目前化工行業很多 DCS/PLC 系統都非常脆弱,非常容易受到惡意攻擊。試想,如果 DCS 或 PLC 系統受到攻擊或感染病毒后發生故障,壓力、溫度、流量、液位、計量等指示失效, 檢測系統連鎖報警失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態,有毒氣體發生泄露,后果不堪設想。它的影響可能是時間上的浪費,資源上的消耗,或者是對生態環境造成的極大污染,甚至是犧牲生命 的慘痛代價。
綜上所述,通過魯西化工生產控制系統及網絡安全防護工程的建設,有助于為我國推進關鍵基礎設施信息安全防護標準、規范、策略的形成與實施,促進工業控制系統信息安全可控產品、技術的成熟,具有重大的經濟及著的社會效益。
北京市公安局海淀分局備案號:11010802023656號