今日頭條
官方微信
官方抖音
案例頻道★鮑立萬,江君福,盛文升臺州市水務集團股份有限公司
★王劍東,王紅杰,葉秀員浙江國利網安科技有限公司
關鍵詞:工控網絡安全;城市供水;縱深防御體系;工控資產安全
1 項目概況
1.1 項目背景
隨著兩化融合走向深入,工業數字化、網絡化、智能化快速發展,對水全生命周期(包括原水、制水、二次供水等)的網絡攻擊事件頻發,地區降水量偏少,各大水庫普遍缺水,城市水務集團肩負著城市整體供水任務,2023年7月供水量最高已達到97.86萬噸。集團及下屬基層單位存在工控系統無法自主可控、工控安全防護技術能力薄弱、安全建設不統一等問題,其工控系統網絡安全建設迫在眉睫。
1.2 項目簡介
基于功能一致性原則,在充分參考城市水務集團工控網絡安全建設路徑、思路和做法的基礎上,本項目根據城市水務集團下屬單位不同安全需求進行安全設計和建設,如水廠處理重點是加強關鍵控制設備(例如加藥、增壓等工藝流程的PLC控制器)防護能力;針對二次供水結合點位分散數量多的情況設計推出輕量級邊界防護設備,加強二次供水底層邊界防護能力,進一步提升水全生命周期安全防護能力。
1.3 項目目標
水全生命周期整體工控網絡安全建設主要存在安全建設不全面不完善、安全防護不精準、工控核心控制器缺乏防護、安全應急響應不及時、二供終端建設缺乏安全考慮等問題。針對城市水務集團工控系統網絡安全面臨的風險及行業安全建設方案的不足,本項目建設專注于核心控制層面的防護,側重工業控制網絡中在網資產的實時監測,尤其是控制器資產信息,及時發現潛在威脅和異常資產接入情況,現場人員對現場資產狀態信息了如指掌,做到不遺漏生命周期中任何一個環節的工控網絡安全,例如常規安全提升方案中極易忽視的二供終端安全建設,由于數量多分散廣的特點,計劃部署輕量級工業防火墻作為邊界防護,抵御外部入侵行為,保障居民用水正常。
本項目根據城市水務集團工控網絡安全建設需求,構建具備“預警”“監測”“響應”“防護”“保障”功能的縱深防御體系,如圖1所示,在滿足等級保護第二級能力要求基礎上,進一步提升水全生命周期工控網絡安全防護能力。
圖1 水全生命周期防護體系
(1)事前“預警”
“預警”功能整合水全生命周期中各級單位自身安全產品信息,包含監測、防護產品采集的信息、運維中心主動掃描獲取的信息,以及跟隨知識庫實時更新的最新威脅情報信息,對用戶資產進行資產畫像分析。工控網絡安全預警以工控安全事件及網絡安全事件為主,幫助用戶查看資產的詳細信息、網絡事件、風險暴露點和潛在的漏洞風險等,即“預測”資產的風險并“感知”網絡的隱患。
(2)實時“監測”
“監測”功能通過網絡流量捕捉、主機信息捕捉、工業控制器信息捕捉、網絡設備信息捕捉等方式,全面監測用戶網絡中的安全狀態,實現網絡的空間測繪,全息展現網絡中的通信關系;實現威脅分析,包含掃描、病毒、惡意代碼、高危遠程訪問等網絡威脅分析;實現深度流量分析,分析維度包含資產流量、協議流量、接口流量等;實現工控操作的審計,細粒度至協議、功能碼、操作地址、操作值的審計;實現工控資產識別,識別資產的品牌、型號、系列、固件版本、操作系統等信息;實現工控異常網絡事件監測,包含異常通信、跨域鏈接、非法外鏈、異常資產接入等網絡事件監測;實現非法工控操作監測,包含非法訪問控制器、非法操作功能碼等異常行為監測,全方位、持續性地監測網絡中存在的威脅。
(3)快速“響應”
“響應”功能是當網絡中出現威脅的時候,可以進行威脅事件回溯、攻擊路徑還原,可以幫助用戶查看攻擊的攻擊源、攻擊路徑、攻擊類型、攻擊階段、影響范圍等,以此進一步幫助用戶對攻擊進行處理,并對攻擊影響范圍進行修復。同時,還可以針對威脅進行策略的優化并分發至防護產品進行防護。舉例來說,當“監測”功能發現一個異常外鏈的網絡風險,即可通過“響應”功能形成相應的防護策略,并下發至“防護”產品,阻斷該外鏈行為的數據包,為城市水務集團及下屬單位提供了快速應急情況響應,可以及時解決網絡安全問題,持續保障生產穩定。
(4)可靠“防護”
“防護”功能根據用戶配置的策略,保障用戶的操作行為符合白名單的設置,對用戶網絡進行防護。以小至大,分別可以對控制器和操作主機進行定點防護,防護內容包含非法操作IP與MAC阻斷、非法操作功能碼阻斷、非法寫入數值阻斷等;可以對生產管理區和生產控制區進行隔離防護,阻斷不符合白名單的通信報文。
(5)專業“保障”
“保障”服務根據水全生命周期單位不同工藝特點提供全方位專業的安全保障服務,例如安全風險評估、滲透測試、重大活動保障、應急演練、應急響應、安全培訓等,力求通過安全服務為客戶持續培養安全人才并提升現場人員安全技術能力,建立專業的工控網絡安全團隊。
2 項目實施
2.1 應用案例介紹
本方案根據前期對該地區多個水廠的現場調研,了解了水務集團及各個制水廠、泵站、二次供水等工控系統的基本情況,包括其整體網絡架構、廠級防護能力、工控資產狀態、二次供水邊界防護等。本項目根據水全生命周期的業務特點,針對設備安全、控制安全、應用安全及資產安全等進行縱深防御體系建設,并根據集團要求開展生產網整體規劃。整體方案如圖2所示。
圖2 工控網絡安全解決方案網絡拓撲示意圖
在主力水廠核心控制前端部署控制器防護系統,基于行業工藝流程特點,精準防護控制器的誤操作、惡意操作,阻斷針對控制器特定漏洞的攻擊行為;在核心交換機旁路部署控制器完整性監測與恢復系統,深入研究工業控制器本質安全,對控制器的運行狀態、故障診斷及內部組態工程進行實時監測和支持無損恢復控制器組態工程。
在水廠工控系統的生產控制層與現場監控層之間、二次供水及泵站前端部署工業防火墻,通過白名單技術實現工業控制網絡邊界防護;在水廠生產網邊界部署工業網閘,實現物理隔離,保障水廠生產數據上傳。
在水全生命周期工控系統的各個工控主機、服務器、接口機等設備安裝工業主機安全防護系統進行安全加固,能夠對工控主機的運行資源、數據資源和物理存儲資源進行管控,防范未知病毒的運行及其對主機資源的利用。
在水廠測試運行工控資產健康監測系統,通過主動掃描形式發現在網資產健康狀態,防范異常資產接入及時告警,保障水廠工控資產安全。
在水廠建立廠級安全運維中心,將核心交換機流量鏡像接入工控安全審計、工業入侵檢測系統進行實時分析,實現操作行為審計、外部入侵檢測和異常行為告警;旁路部署日志審計實現全網日志統一存儲分析;部署數據庫審計實現數據庫服務器行為操作審計記錄預警;部署運維審計實現第三方安全運維審計記錄告警,資源合理劃分;通過統一安全管理平臺實現廠內安全設備集中管理與統一配置。
2.2 實施成效
通過本方案實施,從設備安全、控制安全、邊界安全及資產安全等角度出發,構建水全生命周期工控網絡安全縱深防御體系。主要實施成效如下:
(1)實現水全生命周期的資產繪制和圖譜建立
基于內置完備的工控知識庫,通過主動探測獲取網絡中的資產指紋信息,對資產關鍵特征進行有效提取,構建基于資產識別、狀態監測、日志獲取、風險預警的全面資產繪制,形成工控資產圖鑒與接入網絡圖譜。基于資產風險規則引擎,結合網絡拓撲動態監測,全局分析資產健康指標,實現工業網絡空間的全息測繪。
(2)實現水全生命周期關鍵控制器防護
通過采取設備身份鑒別與白名單訪問控制實現對工業控制器的保護,使得所有對工業控制器的訪問均為已授權的訪問,確保工業控制器執行的控制命令均來自合法用戶。同時,實現對工業控制器的運行狀態、數據狀態等進行實時、深度監測,根據異常情況進行告警與防護,并可在控制器工藝組態文件被篡改的情況下快速恢復安全版本。
(3)實現水全生命周期生產邊界隔離
通過白名單訪問控制實現泵房控制網絡的區域邊界隔離,對非法訪問行為及時阻斷,有效解決外部入侵威脅,持續保障水全生命周期終端節點生產控制安全;通過先進的網絡物理隔離技術和數據擺渡技術,解決水廠生產網與信息網數據交互與不同安全區域之間的邊界隔離防護問題。
(4)實現水全生命周期資產識別與監測
通過工控資產健康監測系統,利用主動形式識別水廠控制網絡在網資產健康狀態并進行實時監測與分析,識別網絡內的異常資產接入情況提供快速告警,協助梳理在網資產網絡結構,幫助現場人員快速掌握網絡狀態,保障生產控制網絡資產安全。
3 案例亮點及創新性
3.1 技術先進性
(1)基于交互特征的工控通信主體識別技術
基于工控網絡通信主體交互特征庫,通過主動掃描和被動監控相結合的工控通信主體識別方法,通過策略自學習、測試模式等設定,針對連接狀態、認證狀態、請求-響應等變遷特征形成高效、高準確度的工控通信主體識別方法,構造數據包主動與在網資產通信,提取在網資產自身的資產屬性及運行特征,如資產類型、資產型號、操作系統、在離線狀態、資源使用情況、運行日志、開放服務端口等信息,結合工控網絡中的會話信息特征,再提取相應資產的對外通信內容、通信協議、流量數據等信息,實現實時監測資產及網絡狀態,及時發現資產異常、網絡異常、風險暴露面,形成工控資產圖鑒與接入網絡圖譜。
(2)資產健康度評分算法
基于工控通信主體識別技術提取在網資產自身的資產屬性、運行特征及工控網絡會話信息,對獲取的信息進行分析預處理,融合時序變化特征,輸出事件及事件等級;構建多維度工控資產健康度評估模型,根據當前網絡情況、資產重要程度自適應調整事件評估權重,生成相應資產的健康度評分,并輸出資產預測風險點。
(3)工控OT操作深度審計
根據工藝要求和控制流程,結合I/O點表信息,智能識別工控系統應用服務對象、角色關聯對象、目標系統安全域對象和目標系統參數安全范圍對象,根據識別出來的安全對象,映射生成安全產品防護策略規則樹,實現工控OT操作深度審計,支持多指標的工控行為檢測及工控數據變更檢測,支持深度解析城市水務行業常用協議Modbus、S7、ENIP/CIP、OPC、IEC104等。
3.2 可推廣性
隨著城市水務數字化、智能化建設浪潮,城市水務集團水全生命周期工控網絡安全面臨著愈加復雜的網絡安全風險挑戰。通過此次項目建設,為典型的集團型水務企業提供了工控系統網絡安全建設和運維管理的示范案例,有效保障了水全生命周期的生產安全,提高了整體生產網絡應急響應能力水平,以及集團工控網絡安全管控能力水平,并借此建立了集團工控網絡安全標準,可作為典型案例進行示范推廣,為持續推進工控網絡安全建設提供了模板,加強了整體工控網絡安全防護能力,保障了水全生命周期安全,保證了居民用水安全。
作者簡介
鮑立萬(1973-),男,浙江臺州人,高級工程師,學士,現就職于臺州市水務集團股份有限公司,主要從事生產過程優化、智慧水務方面的研究。
江君福(1977-),男,浙江臺州人,工程師,學士,現就職于臺州市水務集團股份有限公司,主要從事智慧水務方面的研究。
盛文升(1985-),男,浙江臺州人,工程師,碩士,現就職于臺州市水務集團股份有限公司,主要從事智慧水務及網絡安全方面的研究。
王劍東(1979-),男,黑龍江牡丹江人,工程師,碩士,現就職于浙江國利網安科技有限公司,主要從事控制理論與控制工程方面的研究。
王紅杰(1991-),女,山東菏澤人,碩士,現就職于浙江國利網安科技有限公司,主要從事城市關鍵基礎設施工控網絡安全方面的研究。
葉秀員(1985-),男,浙江寧波人,學士,現就職于浙江國利網安科技有限公司,主要研究方向為工業控制系統網絡安全。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號