今日頭條
官方微信
官方抖音
案例頻道★鮑立萬,江君福,盛文升臺(tái)州市水務(wù)集團(tuán)股份有限公司
★王劍東,王紅杰,葉秀員浙江國利網(wǎng)安科技有限公司
關(guān)鍵詞:工控網(wǎng)絡(luò)安全;城市供水;縱深防御體系;工控資產(chǎn)安全
1 項(xiàng)目概況
1.1 項(xiàng)目背景
隨著兩化融合走向深入,工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化快速發(fā)展,對(duì)水全生命周期(包括原水、制水、二次供水等)的網(wǎng)絡(luò)攻擊事件頻發(fā),地區(qū)降水量偏少,各大水庫普遍缺水,城市水務(wù)集團(tuán)肩負(fù)著城市整體供水任務(wù),2023年7月供水量最高已達(dá)到97.86萬噸。集團(tuán)及下屬基層單位存在工控系統(tǒng)無法自主可控、工控安全防護(hù)技術(shù)能力薄弱、安全建設(shè)不統(tǒng)一等問題,其工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)迫在眉睫。
1.2 項(xiàng)目簡介
基于功能一致性原則,在充分參考城市水務(wù)集團(tuán)工控網(wǎng)絡(luò)安全建設(shè)路徑、思路和做法的基礎(chǔ)上,本項(xiàng)目根據(jù)城市水務(wù)集團(tuán)下屬單位不同安全需求進(jìn)行安全設(shè)計(jì)和建設(shè),如水廠處理重點(diǎn)是加強(qiáng)關(guān)鍵控制設(shè)備(例如加藥、增壓等工藝流程的PLC控制器)防護(hù)能力;針對(duì)二次供水結(jié)合點(diǎn)位分散數(shù)量多的情況設(shè)計(jì)推出輕量級(jí)邊界防護(hù)設(shè)備,加強(qiáng)二次供水底層邊界防護(hù)能力,進(jìn)一步提升水全生命周期安全防護(hù)能力。
1.3 項(xiàng)目目標(biāo)
水全生命周期整體工控網(wǎng)絡(luò)安全建設(shè)主要存在安全建設(shè)不全面不完善、安全防護(hù)不精準(zhǔn)、工控核心控制器缺乏防護(hù)、安全應(yīng)急響應(yīng)不及時(shí)、二供終端建設(shè)缺乏安全考慮等問題。針對(duì)城市水務(wù)集團(tuán)工控系統(tǒng)網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)及行業(yè)安全建設(shè)方案的不足,本項(xiàng)目建設(shè)專注于核心控制層面的防護(hù),側(cè)重工業(yè)控制網(wǎng)絡(luò)中在網(wǎng)資產(chǎn)的實(shí)時(shí)監(jiān)測,尤其是控制器資產(chǎn)信息,及時(shí)發(fā)現(xiàn)潛在威脅和異常資產(chǎn)接入情況,現(xiàn)場人員對(duì)現(xiàn)場資產(chǎn)狀態(tài)信息了如指掌,做到不遺漏生命周期中任何一個(gè)環(huán)節(jié)的工控網(wǎng)絡(luò)安全,例如常規(guī)安全提升方案中極易忽視的二供終端安全建設(shè),由于數(shù)量多分散廣的特點(diǎn),計(jì)劃部署輕量級(jí)工業(yè)防火墻作為邊界防護(hù),抵御外部入侵行為,保障居民用水正常。
本項(xiàng)目根據(jù)城市水務(wù)集團(tuán)工控網(wǎng)絡(luò)安全建設(shè)需求,構(gòu)建具備“預(yù)警”“監(jiān)測”“響應(yīng)”“防護(hù)”“保障”功能的縱深防御體系,如圖1所示,在滿足等級(jí)保護(hù)第二級(jí)能力要求基礎(chǔ)上,進(jìn)一步提升水全生命周期工控網(wǎng)絡(luò)安全防護(hù)能力。
圖1 水全生命周期防護(hù)體系
(1)事前“預(yù)警”
“預(yù)警”功能整合水全生命周期中各級(jí)單位自身安全產(chǎn)品信息,包含監(jiān)測、防護(hù)產(chǎn)品采集的信息、運(yùn)維中心主動(dòng)掃描獲取的信息,以及跟隨知識(shí)庫實(shí)時(shí)更新的最新威脅情報(bào)信息,對(duì)用戶資產(chǎn)進(jìn)行資產(chǎn)畫像分析。工控網(wǎng)絡(luò)安全預(yù)警以工控安全事件及網(wǎng)絡(luò)安全事件為主,幫助用戶查看資產(chǎn)的詳細(xì)信息、網(wǎng)絡(luò)事件、風(fēng)險(xiǎn)暴露點(diǎn)和潛在的漏洞風(fēng)險(xiǎn)等,即“預(yù)測”資產(chǎn)的風(fēng)險(xiǎn)并“感知”網(wǎng)絡(luò)的隱患。
(2)實(shí)時(shí)“監(jiān)測”
“監(jiān)測”功能通過網(wǎng)絡(luò)流量捕捉、主機(jī)信息捕捉、工業(yè)控制器信息捕捉、網(wǎng)絡(luò)設(shè)備信息捕捉等方式,全面監(jiān)測用戶網(wǎng)絡(luò)中的安全狀態(tài),實(shí)現(xiàn)網(wǎng)絡(luò)的空間測繪,全息展現(xiàn)網(wǎng)絡(luò)中的通信關(guān)系;實(shí)現(xiàn)威脅分析,包含掃描、病毒、惡意代碼、高危遠(yuǎn)程訪問等網(wǎng)絡(luò)威脅分析;實(shí)現(xiàn)深度流量分析,分析維度包含資產(chǎn)流量、協(xié)議流量、接口流量等;實(shí)現(xiàn)工控操作的審計(jì),細(xì)粒度至協(xié)議、功能碼、操作地址、操作值的審計(jì);實(shí)現(xiàn)工控資產(chǎn)識(shí)別,識(shí)別資產(chǎn)的品牌、型號(hào)、系列、固件版本、操作系統(tǒng)等信息;實(shí)現(xiàn)工控異常網(wǎng)絡(luò)事件監(jiān)測,包含異常通信、跨域鏈接、非法外鏈、異常資產(chǎn)接入等網(wǎng)絡(luò)事件監(jiān)測;實(shí)現(xiàn)非法工控操作監(jiān)測,包含非法訪問控制器、非法操作功能碼等異常行為監(jiān)測,全方位、持續(xù)性地監(jiān)測網(wǎng)絡(luò)中存在的威脅。
(3)快速“響應(yīng)”
“響應(yīng)”功能是當(dāng)網(wǎng)絡(luò)中出現(xiàn)威脅的時(shí)候,可以進(jìn)行威脅事件回溯、攻擊路徑還原,可以幫助用戶查看攻擊的攻擊源、攻擊路徑、攻擊類型、攻擊階段、影響范圍等,以此進(jìn)一步幫助用戶對(duì)攻擊進(jìn)行處理,并對(duì)攻擊影響范圍進(jìn)行修復(fù)。同時(shí),還可以針對(duì)威脅進(jìn)行策略的優(yōu)化并分發(fā)至防護(hù)產(chǎn)品進(jìn)行防護(hù)。舉例來說,當(dāng)“監(jiān)測”功能發(fā)現(xiàn)一個(gè)異常外鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn),即可通過“響應(yīng)”功能形成相應(yīng)的防護(hù)策略,并下發(fā)至“防護(hù)”產(chǎn)品,阻斷該外鏈行為的數(shù)據(jù)包,為城市水務(wù)集團(tuán)及下屬單位提供了快速應(yīng)急情況響應(yīng),可以及時(shí)解決網(wǎng)絡(luò)安全問題,持續(xù)保障生產(chǎn)穩(wěn)定。
(4)可靠“防護(hù)”
“防護(hù)”功能根據(jù)用戶配置的策略,保障用戶的操作行為符合白名單的設(shè)置,對(duì)用戶網(wǎng)絡(luò)進(jìn)行防護(hù)。以小至大,分別可以對(duì)控制器和操作主機(jī)進(jìn)行定點(diǎn)防護(hù),防護(hù)內(nèi)容包含非法操作IP與MAC阻斷、非法操作功能碼阻斷、非法寫入數(shù)值阻斷等;可以對(duì)生產(chǎn)管理區(qū)和生產(chǎn)控制區(qū)進(jìn)行隔離防護(hù),阻斷不符合白名單的通信報(bào)文。
(5)專業(yè)“保障”
“保障”服務(wù)根據(jù)水全生命周期單位不同工藝特點(diǎn)提供全方位專業(yè)的安全保障服務(wù),例如安全風(fēng)險(xiǎn)評(píng)估、滲透測試、重大活動(dòng)保障、應(yīng)急演練、應(yīng)急響應(yīng)、安全培訓(xùn)等,力求通過安全服務(wù)為客戶持續(xù)培養(yǎng)安全人才并提升現(xiàn)場人員安全技術(shù)能力,建立專業(yè)的工控網(wǎng)絡(luò)安全團(tuán)隊(duì)。
2 項(xiàng)目實(shí)施
2.1 應(yīng)用案例介紹
本方案根據(jù)前期對(duì)該地區(qū)多個(gè)水廠的現(xiàn)場調(diào)研,了解了水務(wù)集團(tuán)及各個(gè)制水廠、泵站、二次供水等工控系統(tǒng)的基本情況,包括其整體網(wǎng)絡(luò)架構(gòu)、廠級(jí)防護(hù)能力、工控資產(chǎn)狀態(tài)、二次供水邊界防護(hù)等。本項(xiàng)目根據(jù)水全生命周期的業(yè)務(wù)特點(diǎn),針對(duì)設(shè)備安全、控制安全、應(yīng)用安全及資產(chǎn)安全等進(jìn)行縱深防御體系建設(shè),并根據(jù)集團(tuán)要求開展生產(chǎn)網(wǎng)整體規(guī)劃。整體方案如圖2所示。
圖2 工控網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)拓?fù)涫疽鈭D
在主力水廠核心控制前端部署控制器防護(hù)系統(tǒng),基于行業(yè)工藝流程特點(diǎn),精準(zhǔn)防護(hù)控制器的誤操作、惡意操作,阻斷針對(duì)控制器特定漏洞的攻擊行為;在核心交換機(jī)旁路部署控制器完整性監(jiān)測與恢復(fù)系統(tǒng),深入研究工業(yè)控制器本質(zhì)安全,對(duì)控制器的運(yùn)行狀態(tài)、故障診斷及內(nèi)部組態(tài)工程進(jìn)行實(shí)時(shí)監(jiān)測和支持無損恢復(fù)控制器組態(tài)工程。
在水廠工控系統(tǒng)的生產(chǎn)控制層與現(xiàn)場監(jiān)控層之間、二次供水及泵站前端部署工業(yè)防火墻,通過白名單技術(shù)實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù);在水廠生產(chǎn)網(wǎng)邊界部署工業(yè)網(wǎng)閘,實(shí)現(xiàn)物理隔離,保障水廠生產(chǎn)數(shù)據(jù)上傳。
在水全生命周期工控系統(tǒng)的各個(gè)工控主機(jī)、服務(wù)器、接口機(jī)等設(shè)備安裝工業(yè)主機(jī)安全防護(hù)系統(tǒng)進(jìn)行安全加固,能夠?qū)た刂鳈C(jī)的運(yùn)行資源、數(shù)據(jù)資源和物理存儲(chǔ)資源進(jìn)行管控,防范未知病毒的運(yùn)行及其對(duì)主機(jī)資源的利用。
在水廠測試運(yùn)行工控資產(chǎn)健康監(jiān)測系統(tǒng),通過主動(dòng)掃描形式發(fā)現(xiàn)在網(wǎng)資產(chǎn)健康狀態(tài),防范異常資產(chǎn)接入及時(shí)告警,保障水廠工控資產(chǎn)安全。
在水廠建立廠級(jí)安全運(yùn)維中心,將核心交換機(jī)流量鏡像接入工控安全審計(jì)、工業(yè)入侵檢測系統(tǒng)進(jìn)行實(shí)時(shí)分析,實(shí)現(xiàn)操作行為審計(jì)、外部入侵檢測和異常行為告警;旁路部署日志審計(jì)實(shí)現(xiàn)全網(wǎng)日志統(tǒng)一存儲(chǔ)分析;部署數(shù)據(jù)庫審計(jì)實(shí)現(xiàn)數(shù)據(jù)庫服務(wù)器行為操作審計(jì)記錄預(yù)警;部署運(yùn)維審計(jì)實(shí)現(xiàn)第三方安全運(yùn)維審計(jì)記錄告警,資源合理劃分;通過統(tǒng)一安全管理平臺(tái)實(shí)現(xiàn)廠內(nèi)安全設(shè)備集中管理與統(tǒng)一配置。
2.2 實(shí)施成效
通過本方案實(shí)施,從設(shè)備安全、控制安全、邊界安全及資產(chǎn)安全等角度出發(fā),構(gòu)建水全生命周期工控網(wǎng)絡(luò)安全縱深防御體系。主要實(shí)施成效如下:
(1)實(shí)現(xiàn)水全生命周期的資產(chǎn)繪制和圖譜建立
基于內(nèi)置完備的工控知識(shí)庫,通過主動(dòng)探測獲取網(wǎng)絡(luò)中的資產(chǎn)指紋信息,對(duì)資產(chǎn)關(guān)鍵特征進(jìn)行有效提取,構(gòu)建基于資產(chǎn)識(shí)別、狀態(tài)監(jiān)測、日志獲取、風(fēng)險(xiǎn)預(yù)警的全面資產(chǎn)繪制,形成工控資產(chǎn)圖鑒與接入網(wǎng)絡(luò)圖譜。基于資產(chǎn)風(fēng)險(xiǎn)規(guī)則引擎,結(jié)合網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)監(jiān)測,全局分析資產(chǎn)健康指標(biāo),實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)空間的全息測繪。
(2)實(shí)現(xiàn)水全生命周期關(guān)鍵控制器防護(hù)
通過采取設(shè)備身份鑒別與白名單訪問控制實(shí)現(xiàn)對(duì)工業(yè)控制器的保護(hù),使得所有對(duì)工業(yè)控制器的訪問均為已授權(quán)的訪問,確保工業(yè)控制器執(zhí)行的控制命令均來自合法用戶。同時(shí),實(shí)現(xiàn)對(duì)工業(yè)控制器的運(yùn)行狀態(tài)、數(shù)據(jù)狀態(tài)等進(jìn)行實(shí)時(shí)、深度監(jiān)測,根據(jù)異常情況進(jìn)行告警與防護(hù),并可在控制器工藝組態(tài)文件被篡改的情況下快速恢復(fù)安全版本。
(3)實(shí)現(xiàn)水全生命周期生產(chǎn)邊界隔離
通過白名單訪問控制實(shí)現(xiàn)泵房控制網(wǎng)絡(luò)的區(qū)域邊界隔離,對(duì)非法訪問行為及時(shí)阻斷,有效解決外部入侵威脅,持續(xù)保障水全生命周期終端節(jié)點(diǎn)生產(chǎn)控制安全;通過先進(jìn)的網(wǎng)絡(luò)物理隔離技術(shù)和數(shù)據(jù)擺渡技術(shù),解決水廠生產(chǎn)網(wǎng)與信息網(wǎng)數(shù)據(jù)交互與不同安全區(qū)域之間的邊界隔離防護(hù)問題。
(4)實(shí)現(xiàn)水全生命周期資產(chǎn)識(shí)別與監(jiān)測
通過工控資產(chǎn)健康監(jiān)測系統(tǒng),利用主動(dòng)形式識(shí)別水廠控制網(wǎng)絡(luò)在網(wǎng)資產(chǎn)健康狀態(tài)并進(jìn)行實(shí)時(shí)監(jiān)測與分析,識(shí)別網(wǎng)絡(luò)內(nèi)的異常資產(chǎn)接入情況提供快速告警,協(xié)助梳理在網(wǎng)資產(chǎn)網(wǎng)絡(luò)結(jié)構(gòu),幫助現(xiàn)場人員快速掌握網(wǎng)絡(luò)狀態(tài),保障生產(chǎn)控制網(wǎng)絡(luò)資產(chǎn)安全。
3 案例亮點(diǎn)及創(chuàng)新性
3.1 技術(shù)先進(jìn)性
(1)基于交互特征的工控通信主體識(shí)別技術(shù)
基于工控網(wǎng)絡(luò)通信主體交互特征庫,通過主動(dòng)掃描和被動(dòng)監(jiān)控相結(jié)合的工控通信主體識(shí)別方法,通過策略自學(xué)習(xí)、測試模式等設(shè)定,針對(duì)連接狀態(tài)、認(rèn)證狀態(tài)、請(qǐng)求-響應(yīng)等變遷特征形成高效、高準(zhǔn)確度的工控通信主體識(shí)別方法,構(gòu)造數(shù)據(jù)包主動(dòng)與在網(wǎng)資產(chǎn)通信,提取在網(wǎng)資產(chǎn)自身的資產(chǎn)屬性及運(yùn)行特征,如資產(chǎn)類型、資產(chǎn)型號(hào)、操作系統(tǒng)、在離線狀態(tài)、資源使用情況、運(yùn)行日志、開放服務(wù)端口等信息,結(jié)合工控網(wǎng)絡(luò)中的會(huì)話信息特征,再提取相應(yīng)資產(chǎn)的對(duì)外通信內(nèi)容、通信協(xié)議、流量數(shù)據(jù)等信息,實(shí)現(xiàn)實(shí)時(shí)監(jiān)測資產(chǎn)及網(wǎng)絡(luò)狀態(tài),及時(shí)發(fā)現(xiàn)資產(chǎn)異常、網(wǎng)絡(luò)異常、風(fēng)險(xiǎn)暴露面,形成工控資產(chǎn)圖鑒與接入網(wǎng)絡(luò)圖譜。
(2)資產(chǎn)健康度評(píng)分算法
基于工控通信主體識(shí)別技術(shù)提取在網(wǎng)資產(chǎn)自身的資產(chǎn)屬性、運(yùn)行特征及工控網(wǎng)絡(luò)會(huì)話信息,對(duì)獲取的信息進(jìn)行分析預(yù)處理,融合時(shí)序變化特征,輸出事件及事件等級(jí);構(gòu)建多維度工控資產(chǎn)健康度評(píng)估模型,根據(jù)當(dāng)前網(wǎng)絡(luò)情況、資產(chǎn)重要程度自適應(yīng)調(diào)整事件評(píng)估權(quán)重,生成相應(yīng)資產(chǎn)的健康度評(píng)分,并輸出資產(chǎn)預(yù)測風(fēng)險(xiǎn)點(diǎn)。
(3)工控OT操作深度審計(jì)
根據(jù)工藝要求和控制流程,結(jié)合I/O點(diǎn)表信息,智能識(shí)別工控系統(tǒng)應(yīng)用服務(wù)對(duì)象、角色關(guān)聯(lián)對(duì)象、目標(biāo)系統(tǒng)安全域?qū)ο蠛湍繕?biāo)系統(tǒng)參數(shù)安全范圍對(duì)象,根據(jù)識(shí)別出來的安全對(duì)象,映射生成安全產(chǎn)品防護(hù)策略規(guī)則樹,實(shí)現(xiàn)工控OT操作深度審計(jì),支持多指標(biāo)的工控行為檢測及工控?cái)?shù)據(jù)變更檢測,支持深度解析城市水務(wù)行業(yè)常用協(xié)議Modbus、S7、ENIP/CIP、OPC、IEC104等。
3.2 可推廣性
隨著城市水務(wù)數(shù)字化、智能化建設(shè)浪潮,城市水務(wù)集團(tuán)水全生命周期工控網(wǎng)絡(luò)安全面臨著愈加復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)。通過此次項(xiàng)目建設(shè),為典型的集團(tuán)型水務(wù)企業(yè)提供了工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)和運(yùn)維管理的示范案例,有效保障了水全生命周期的生產(chǎn)安全,提高了整體生產(chǎn)網(wǎng)絡(luò)應(yīng)急響應(yīng)能力水平,以及集團(tuán)工控網(wǎng)絡(luò)安全管控能力水平,并借此建立了集團(tuán)工控網(wǎng)絡(luò)安全標(biāo)準(zhǔn),可作為典型案例進(jìn)行示范推廣,為持續(xù)推進(jìn)工控網(wǎng)絡(luò)安全建設(shè)提供了模板,加強(qiáng)了整體工控網(wǎng)絡(luò)安全防護(hù)能力,保障了水全生命周期安全,保證了居民用水安全。
作者簡介
鮑立萬(1973-),男,浙江臺(tái)州人,高級(jí)工程師,學(xué)士,現(xiàn)就職于臺(tái)州市水務(wù)集團(tuán)股份有限公司,主要從事生產(chǎn)過程優(yōu)化、智慧水務(wù)方面的研究。
江君福(1977-),男,浙江臺(tái)州人,工程師,學(xué)士,現(xiàn)就職于臺(tái)州市水務(wù)集團(tuán)股份有限公司,主要從事智慧水務(wù)方面的研究。
盛文升(1985-),男,浙江臺(tái)州人,工程師,碩士,現(xiàn)就職于臺(tái)州市水務(wù)集團(tuán)股份有限公司,主要從事智慧水務(wù)及網(wǎng)絡(luò)安全方面的研究。
王劍東(1979-),男,黑龍江牡丹江人,工程師,碩士,現(xiàn)就職于浙江國利網(wǎng)安科技有限公司,主要從事控制理論與控制工程方面的研究。
王紅杰(1991-),女,山東菏澤人,碩士,現(xiàn)就職于浙江國利網(wǎng)安科技有限公司,主要從事城市關(guān)鍵基礎(chǔ)設(shè)施工控網(wǎng)絡(luò)安全方面的研究。
葉秀員(1985-),男,浙江寧波人,學(xué)士,現(xiàn)就職于浙江國利網(wǎng)安科技有限公司,主要研究方向?yàn)楣I(yè)控制系統(tǒng)網(wǎng)絡(luò)安全。
摘自《自動(dòng)化博覽》2024年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)