今日頭條
官方微信
官方抖音
案例頻道★于海躍,周升寶,白小愚,李顯松杭州安恒信息技術股份有限公司
★周亞超上海安恒時代信息技術有限公司
關鍵詞:DCS生產控制系統;工業控制系統安全
1 項目概況
1.1 項目背景
國家互聯網信息辦公室發布的2020年上半年我國互聯網網絡安全監測數據分析報告指出,工業控制系統互聯網側暴露的工業設備有4630臺,涉及國內外35家廠商的可編程邏輯控制器、智能樓宇、數據采集等47種設備類型。監測發現重點行業暴露的聯網監控管理系統有480套,其中石油天然氣有118套。暴露在互聯網的工業控制系統一旦被攻擊,將嚴重威脅生產系統的安全。上半年境內工業控制系統的網絡資產持續遭受來自境外的掃描嗅探日均超過2萬次,嗅探行為主要來自于美國、英國、德國等境外國家。嗅探目標涉及境內能源、制造、通信等重點行業的聯網工業控制設備和系統,大量關鍵信息基礎設施及其聯網控制系統的網絡資產信息被境外嗅探,給我國網絡空間安全帶來隱患。
某集團公司儀表計量檢測中心工業生產控制系統中的兩條生產線的DCS控制系統,目前均未采取安全防護措施。在巨大利益的驅使下,DCS生產控制系統已成為了被研究和攻擊的重點目標。利益集團千方百計采取針對性的手段來突破當前已有防護,而且當前DCS控制系統與多廠商多設備對接,系統設備分布在各個區域,情況非常復雜,現有的防護措施難以應對越來越復雜的攻擊行為,急需全面提升DCS生產控制系統的網絡安全防護等級。
1.2 項目簡介
安恒信息結合客戶集團公司的網絡安全現狀,確定安全建設需求,加強“監測預警系統”“應急響應手段”“大數據安全平臺”“信息系統等級保護建設”的推進工作,全面提升集團的工控網絡安全保護及整網安全能力,并建立一個完善的信息安全預防、監測、防御和響應的縱深防御的安全體系。
1.3 項目目標
根據集團網絡安全所面臨的風險及特點,為保障集團生產線安全穩定運行,本解決方案主要達成以下幾方面目標:
(1)管理人員對目前內網所存在風險能夠精確掌握。
(2)新上線安全設備及軟件與現有生產環境兼容,在不影響正常業務的情況下,全面保障集團生產運行。
(3)對生產網(車間接入)和辦公網邊界進行隔離,確保辦公網對生產網訪問的安全性。
(4)技術人員對生產網中入侵、異常行為的及時發現,對現場設備進行深度防護。
(5)管理人員、技術人員對整個工控系統各類設備運行狀況、安全狀況統一管理。
2 項目實施
依據等保2.0最新要求和集團工業控制系統安全防護策略,方案整體拓撲圖如圖1所示。
圖1 方案整體拓撲圖
2.1 總體設計思路
根據前期與客戶的交流,本次方案整體按照等保要求,從建立分區分域控制體系和構建縱深防御體系兩個方面出發,全面建設集團儀表計量檢測中心兩條生產線DCS控制系統的網絡安全防護體系,在滿足合規的同時,達到整體網絡安全態勢可視的目的。
(1)構建分域的控制體系方案在總體架構上將按照區域邊界保護思路進行,儀表計量檢測中心工控系統和外部系統從結構上劃分為不同的安全區域,以安全區域為單位進行安全防御技術措施的建設,從而構成了分域的安全控制體系。(2)構建縱深的防御體系方案包括技術和管理兩個部分,集團工控系統圍繞著安全管理中心,從安全通信網絡、安全區域邊界、安全計算環境三個維度進行安全技術和措施的設計,保證業務應用的可用性、完整性和保密性保護;通過集中管理,可對安全設備進行聯動,對確認的重大威脅或攻擊可進行安全聯動防護,充分考慮各種技術的組合和功能的互補性,提供多重安全措施的綜合防護能力,從外到內形成一個縱深的安全防御體系,保障系統整體的安全保護能力。
(3)保證一致的安全強度集團工控安全等級保護設計方案將采用分級的辦法,對于同一安全等級系統采取強度一致的安全措施,并采取統一的防護策略,使各安全措施在作用和功能上相互補充,形成動態的防護體系。
2.2 詳細方案設計
2.2.1 安全通信網絡
工業控制系統與企業其他系統之間應劃分為兩個區域,區域間應采用單向的技術隔離手段;工業控制系統內部應根據業務特點劃分為不同安全域,安全域之間應采用技術隔離手段;涉及實時控制和數據傳輸的工業控制系統,應使用獨立的網絡設備組網,在物理層面上實現與其他數據網及外部公共信息網的安全隔離。
在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證技術手段實現身份認證、訪問控制和數據加密傳輸。
工業防火墻:集團現網生產線有兩條鏈路,需要分別在每條鏈路生產網服務區的邊界部署工業防火墻,實現生產服務區與各個工廠之間的訪問控制;利用工業防火墻通過深度解析OPC、Modbus、S7、Ethernet/IP(CIP)等數十種工控協議,建立工業網絡通信“電子柵欄”,阻止任何來自安全區域外的非授權訪問,有效抑制病毒、木馬在工控網絡中的傳播和擴散,防護針對SCADA、PLC、DCS等重要控制系統的各類已知、未知的惡意攻擊和破壞行為。
2.2.2 安全區域邊界
應在工業控制系統與企業其他系統之間部署訪問控制設備,配置訪問控制策略,禁止任何穿越區域邊界的通用網絡服務;應在工業控制系統內安全域和安全域之間的邊界防護機制失效時,及時進行報警。本次方案設計在工控系統邊界使用工業控制系統專用的工控防火墻進行工控協議的安全防護,在傳統IT網絡邊界區使用下一代防火墻為傳統IT網絡協議提供安全防護。
下一代防火墻:為保障傳統IT網絡與工控系統安全域的安全隔離,加強縱深防護,需要在安全管理區部署下一代防火墻,梳理各業務流向,使用下一代防火墻對此邊界的入侵行為進行安全防護。
工業防火墻:在OPC服務器和數采專網邊界部署一臺工控防火墻,使用工業防火墻將工業網絡內部安全域間進行邊界劃分,并配置訪問控制策略,利用工業防火墻的多業務端口實現橫向隔離,只允許特定設備的特定協議通過(如OPC、Modbus等)。工業防火墻具有bypass功能,確保生產業務的連續性。
2.2.3 安全計算環境
安全計算環境為整個工業控制系統提供安全的運行環境。要保障整個計算環境的安全,需要部署工控漏洞掃描系統對工業控制系統計算環境中的漏洞進行非侵入式探測,及時發現計算環境的安全隱患。同時部署一臺工業安全監測審計平臺,對網絡中的工控協議進行安全監測。
工控漏洞掃描系統:定期對生產網絡內的終端設備進行漏洞發現,工控漏掃產品集資產探測識別、漏洞掃描、任務管理以及報表分析展示等功能于一體;擁有豐富的漏洞信息庫,支持對傳統IT系統(包括:主流操作系統、應用服務、數據庫、網絡設備、安全設備、虛擬化系統)的已知漏洞掃描與配置核查,以及對工業控制系統的已知漏洞識別檢測;適用于各種企業的工業控制網絡環境中,能夠讓工控系統管理者及時發現安全漏洞,全面掌握當前工業控制網絡及系統中的安全風險;協議管理者進行漏洞修復,為提高安全建設提供直接依據,從而全面提升整理安全性。
工業安全監測審計平臺:在工控服務器區核心交換機上部署工業安全監測審計平臺,實時監測生產過程中產生的所有流量,識別多種工控協議,實現對工業控制系統內的異常流量、異常行為、異常操作、非法接入等安全風險的實時告警。
2.2.4 安全管理中心
等保2.0對工控系統的要求,除了要滿足通用等保安全防護要求,還需要滿足工控擴展要求,同時等保2.0對三級系統安全建設新增了對安全管理中心的要求,需要再劃分出安全管理域,并將安全設備審計集中進行管理。
工業安全管理平臺:可以通過專用的安全管理通道,對各安全域的工業防火墻、安全監測審計等安全設備進行集中管控、狀態監測、策略配置下發等。工業安全管理平臺可及時發現、報告并處理工業控制系統中的網絡攻擊或異常行為,通過統一調度安全預警、安全監測、安全防護和應急處置,全方位保障工業控制系統信息安全。
綜合日志審計系統:集中收集分散在各個安全域探針的日志、流量等信息進行信息匯總和集中分析;支持多種設備型號的日志收集,覆蓋幾乎所有的網絡設備、安全設備、主機、應用及數據庫等,通過多維度、跨設備、細粒度的關聯分析,打破信息孤島,自動進行日志審計,快速發現潛在安全事件。
運維審計與風險控制系統(堡壘機):通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監控、審計回放、自動化運維流程管理等功能,增強運維管理的安全性。
工業安全態勢感知平臺:工業控制系統主要部署于企業生產網,與互聯網嚴格隔離,相關流量與日志信息無法及時獲取。工業企業生產網的相關流量和日志信息是工控安全監測的重點區域,如出現安全隱患或安全事件,可能造成極為嚴重的后果。為此,有必要建設一套覆蓋工業企業的安全態勢感知平臺,為工業控制系統安全監測與預警體系提供技術支撐。在工業場景中,對數據的實時性要求很高,數據的價值隨著時間的流逝而降低。工業安全監測分析能夠對正在發生的事件進行實時分析,及時發現最可疑的安全威脅。
3 案例亮點及創新性
3.1 結合威脅情報為安全事件提供溯源分析和問題定位
通過基于大數據技術平臺的企業級網絡安全監控平臺的建設,在平臺完成以威脅情報中心作為信息源,通過收集內部與外部威脅信息,以及與第三方情報提供商合作,形成企業自主的情報中心,主動掌握攻擊方最新的活動及攻擊手段。在監測告警環節啟動應急響應流程,全程跟蹤安全事件及漏洞,將被動挨打轉化為主動出擊。依托強大的安全大數據處理能力,對公司全網進行快速排查與分析,打造主動縱深防御的機制,第一時間掌握企業安全態勢,做到全局把控,避免出現攻擊事件突發情況的產生,從企業內部根本性解決安全隱患。
3.2 提高了技術能力和安全意識
在平臺運營過程中,將技術創新貫穿到業務系統的全生命周期中,形成全生命周期的安全檢測機制;讓各成員企業最了解自己業務的技術人員主動去檢測自己的業務系統,定期對相應的人員進行評優,給予相應獎勵,充分調動了大家的積極性,提高了安全意識與安全技能。
3.3 滿足了工控安全等保合規性
目前行業沒有完善的工控安全體系建設,并且企業也沒有相應的工控安全建設規范文件。在當前國家政策的指引下,等保的合規性事關重要,首先必須滿足等保的最基本相關要求,然后在這個要求的基礎上再從提高企業自身的安全運營能力上進一步去提升公司的工控安全建設。方案中應用具有免疫特征的安全防護體系、機制和關鍵技術在保證合規性建設的同時,可以持續解決新技術、新應用所帶來的安全問題。
3.4 提高了安全運維人員的工作效率
(1)通過考核管理模塊,創建考核任務,可以對各個廠或者相關人員進行整體的安全評價,方便安全運維人員實時掌握各廠或者人員安全工作開展的情況;
(2)安全運維人員可以一鍵生成安全運營及分析報告,以圖形化形式對報告進行展現,解放安全運維人員以往需要人工編寫分析運營報告的工作,并且當發生安全事件時,可以提供詳細的安全事件分析溯源取證信息及專家處置建議指導,幫助企業洞察網絡安全態勢;
(3)“一張卡片看清風險,一頁報告看清始末”,可以為企業安全運維人員展示企業基本信息以及發生的安全事件和處置的狀態,以及系統和資產的安全狀態、企業面臨的安全風險等,方便安全運維人員及時掌握整個企業的安全狀況;
(4)方案中平臺提供在線安全培訓模塊,可以讓相關人員及時地學習相關的網絡安全知識;
(5)可以實時掌握資產訪問流量、訪問次數變化趨勢、訪問來源、資產的漏洞信息等,方便安全運維人員對整個企業的資產進行安全管理;
(6)平臺可實現安全自動化編排響應(自動化處置相關的事件),將安全運維人員從分析工作中解放出來,可以流程化地完成事件的管理,提高了協作溝通能力。
作者簡介
于海躍(1992),男,黑龍江鶴崗人,學士,現就職于杭州安恒信息技術股份有限公司,主要從事工業控制系統網絡安全方面的研究。
周升寶(1982-),男,天津人,中級工程師,學士,現就職于杭州安恒信息技術股份有限公司,主要從事工業控制系統網絡安全、工業自動化方面的研究。
白小愚(1984-),男,北京人,學士,現就職于杭州安恒信息技術股份有限公司,主要從事工業互聯網威脅評估與態勢感知技術方面的研究。
李顯松(1989-),男,重慶人,學士,現就職于杭州安恒信息技術股份有限公司,主要從事工業信息安全、工業互聯網安全以及功能安全方面的研究。
周亞超(1985-),女,河北唐山人,高級工程師,博士,現就職于上海安恒時代信息技術有限公司,主要從事網絡安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號