今日頭條
官方微信
官方抖音
案例頻道★趙峰,趙萌杭州中電安科現(xiàn)代科技有限公司
關(guān)鍵詞:工業(yè)控制系統(tǒng)安全;等級保護(hù)2.0;SCADA系統(tǒng)防護(hù)
1 項目概況
隨著天然氣管道企業(yè)信息化、管控一體化的建設(shè)與實現(xiàn),越來越多的控制系統(tǒng)通過信息技術(shù)實現(xiàn)互聯(lián)互通,使得工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)愈發(fā)復(fù)雜,迫使內(nèi)部的安全隱患逐漸暴露,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題日益突出。各類生產(chǎn)系統(tǒng)一旦遭受惡意攻擊、勒索病毒等安全威脅,發(fā)生生產(chǎn)事故,將會直接導(dǎo)致經(jīng)濟(jì)損失、天然氣泄漏,甚至人員傷亡。
中電安科幫助某天然氣分公司完成了工控安全建設(shè)。根據(jù)某天然氣管道實際情況,結(jié)合相關(guān)標(biāo)準(zhǔn)要求,科學(xué)合理評估出某天然氣管道SCADA系統(tǒng)合規(guī)差距和安全風(fēng)險,確定了安全保護(hù)措施,并在此基礎(chǔ)上設(shè)計了一整套完整的安全體系。該項目以“一個中心、三重防護(hù)”為核心指導(dǎo)思想,從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心方面構(gòu)建安全技術(shù)體系,滿足等級保護(hù)2.0第三級系統(tǒng)的相關(guān)安全要求。
該項目的實施,有效提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性,符合國家主管部門、行業(yè)監(jiān)管部門的管理要求以及工控安全防護(hù)要求。本次安全建設(shè)采用最低干擾方式,未對業(yè)務(wù)產(chǎn)生任何影響,通過可視化平臺可清晰地看到生產(chǎn)網(wǎng)各節(jié)點的通訊情況,大幅提升了對資產(chǎn)的掌握程度。本次安全建設(shè)實現(xiàn)了對生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全事件的事前預(yù)防、事中控制、事后可查,保障了天然氣管道控制系統(tǒng)的安全運(yùn)行。
2 項目實施
隨著互聯(lián)網(wǎng)+、智慧城市、物聯(lián)網(wǎng)、工業(yè)4.0、大數(shù)據(jù)和云計算等新概念與新技術(shù)的不斷涌現(xiàn),工業(yè)信息化不斷深入,工業(yè)生產(chǎn)和互聯(lián)網(wǎng)之間不再彼此孤立,而是彼此緊密關(guān)聯(lián)起來,越來越多的控制系統(tǒng)通過信息技術(shù)實現(xiàn)互聯(lián)互通,使得工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)愈發(fā)復(fù)雜。。
天然氣企業(yè)作為國家的關(guān)鍵基礎(chǔ)設(shè)施之一,在“兩化融合”期間除了建立ERP、CRM以及OA等多數(shù)企業(yè)會使用的經(jīng)營管理類信息系統(tǒng)外,也建立了大量的符合自身需求的生產(chǎn)運(yùn)營類的系統(tǒng),其中就包括了SCADA系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、GIS系統(tǒng)以及其他生產(chǎn)運(yùn)營相關(guān)的工控系統(tǒng)等,特別是天然氣企業(yè)正在往“智能管網(wǎng)”的方向邁進(jìn),對工業(yè)控制系統(tǒng)的依賴度更加嚴(yán)重。工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式和互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)聯(lián)接,致使病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,造成了工業(yè)控制系統(tǒng)信息安全問題的日益突出,一旦各類生產(chǎn)系統(tǒng)遭受惡意攻擊、勒索病毒等安全威脅,發(fā)生生產(chǎn)事故,將會直接導(dǎo)致重大經(jīng)濟(jì)損失,甚至引發(fā)社會恐慌,危及國家安全。如何應(yīng)對工業(yè)控制系統(tǒng)所帶來的風(fēng)險成為天然氣企業(yè)未來需要解決的重要問題。
某天然氣管道工控系統(tǒng)的核心是SCADA系統(tǒng),主要工作是用于天然氣管道調(diào)度數(shù)據(jù)的采集和分析。系統(tǒng)主要包括SCADA系統(tǒng)、GIS、生產(chǎn)調(diào)度系統(tǒng)、仿真系統(tǒng)和安全保護(hù)系統(tǒng)等,通過專線、移動運(yùn)營商等技術(shù)與下級門站所站進(jìn)行連接,實現(xiàn)數(shù)據(jù)的采集和分析,上層系統(tǒng)也會將相應(yīng)的指令下發(fā)給下層單位。當(dāng)前某天然氣管道主要存在如下網(wǎng)絡(luò)安全問題和風(fēng)險:
(1)網(wǎng)絡(luò)隔離不合理
系統(tǒng)采用了傳統(tǒng)的IT防火墻進(jìn)行防護(hù),無法對工控網(wǎng)絡(luò)做到有效的防護(hù)。另外許多控制網(wǎng)絡(luò)都是“敞開的”,不同的接入網(wǎng)絡(luò)之間都沒有有效的隔離,尤其是基于OPC、Modbus等通訊的工業(yè)控制網(wǎng)絡(luò),容易造成安全故障并通過網(wǎng)絡(luò)迅速蔓延。
(2)工控系統(tǒng)普遍存在漏洞
由于工控系統(tǒng)大多以滿足工業(yè)生產(chǎn)為前提,并沒有太多考慮自身的系統(tǒng)安全問題,工控設(shè)備普遍存在漏洞。國家信息安全漏洞平臺中已公布的工業(yè)控制系統(tǒng)漏洞,包括西門子產(chǎn)品漏洞、施耐德產(chǎn)品漏洞、RTU產(chǎn)品漏洞等。
(3)缺乏審計監(jiān)測機(jī)制
控制中心沒有部署安全監(jiān)控設(shè)備,無法及時發(fā)現(xiàn)、告警控制網(wǎng)內(nèi)的非法數(shù)據(jù)流量和異常操作行為。系統(tǒng)缺少控制系統(tǒng)安全審計機(jī)制。獨(dú)立的安全審計人員應(yīng)當(dāng)定期檢查和驗證系統(tǒng)日志記錄,并主動判斷安全控制措施是否充分。未針對其工控系統(tǒng)建立信息安全審計機(jī)制,可能造成無法及時發(fā)現(xiàn)、追溯系統(tǒng)內(nèi)部或源于網(wǎng)絡(luò)的信息安全事件。
(4)終端存在安全隱患,缺少技術(shù)手段
生產(chǎn)環(huán)境中操作站多數(shù)采用Windows XP,上線后基本不會對操作系統(tǒng)進(jìn)行升級,而操作系統(tǒng)在使用期間不斷曝出漏洞,導(dǎo)致操作站和服務(wù)器暴露在風(fēng)險中。另外,在終端上對于執(zhí)行的系統(tǒng)及程序缺少有效的安全控制措施,導(dǎo)致惡意軟件及病毒可以毫無阻礙地執(zhí)行,甚至工業(yè)的控制程序及系統(tǒng)直接感染惡意代碼,對生產(chǎn)造成嚴(yán)重的安全風(fēng)險。
同時,在生產(chǎn)環(huán)境中存在隨意使用U盤、移動硬盤、手機(jī)等移動存儲介質(zhì)現(xiàn)象,有可能將傳染病毒、木馬等威脅因素帶入生產(chǎn)系統(tǒng)。加上防病毒軟件的安裝不全面或者即使安裝后也不及時更新防病毒軟件版本和惡意代碼庫,出現(xiàn)問題后無法及時準(zhǔn)確定位產(chǎn)生問題的原因、影響范圍及追究責(zé)任。
(5)安全運(yùn)維問題
目前系統(tǒng)主要通過遠(yuǎn)程桌面方式進(jìn)行運(yùn)維,缺乏完善的運(yùn)維審計機(jī)制,對運(yùn)維人員的操作過程沒有記錄、審計,不能發(fā)現(xiàn)越權(quán)訪問、異常操作等行為。一旦發(fā)生事故,需要大量時間確定問題,不能夠及時有效地解決問題,也沒有追溯手段。
(6)操作人員缺乏信息安全意識
工控系統(tǒng)的操作人員往往不是IT人員,而是生產(chǎn)調(diào)度人員,這也使得工控終端缺乏傳統(tǒng)IT的管控,使其成為外部威脅的可能接入點,如USB接口、維修連接、筆記本電腦等。
針對以上某天然氣管道工控系統(tǒng)的安全現(xiàn)狀與風(fēng)險,中電安科幫其完成了工控安全建設(shè)。根據(jù)某天然氣管道實際情況,結(jié)合《網(wǎng)絡(luò)安全等級保護(hù)基本要求》《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)標(biāo)準(zhǔn)要求,科學(xué)合理評估出某天然氣管道SCADA系統(tǒng)合規(guī)差距和安全風(fēng)險,確定了安全保護(hù)措施,并在此基礎(chǔ)上設(shè)計了一整套完整的網(wǎng)絡(luò)安全體系。該方案以“一個中心、三重防護(hù)”為核心指導(dǎo)思想,從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心方面構(gòu)建安全技術(shù)體系,并協(xié)助建立安全管理制度體系,滿足等級保護(hù)2.0第三級系統(tǒng)的相關(guān)安全要求。
(1)安全區(qū)域邊界
控制中心在與站場控制系統(tǒng)、閥室等網(wǎng)絡(luò)連接邊界處通過部署工控防火墻進(jìn)行邊界防護(hù),基于工控協(xié)議配置合理的主機(jī)訪問規(guī)則,針對工業(yè)控制網(wǎng)絡(luò)在同一個大網(wǎng)的情況,通過ACL等安全訪問策略的配置對生產(chǎn)網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)。
控制中心內(nèi)部SCADA系統(tǒng)與中間數(shù)據(jù)庫或管理信息系統(tǒng)之間,部署隔離工業(yè)網(wǎng)閘保證其安全性,除必須開放的用于數(shù)據(jù)交換的特定應(yīng)用通道外,不提供任何對外的服務(wù)。
(2)安全通信網(wǎng)絡(luò)
在各場站的工控系統(tǒng)分別部署工控安全監(jiān)測審計系統(tǒng),監(jiān)測審計對工控流量進(jìn)行監(jiān)測分析,識別出工控協(xié)議,并對工控協(xié)議深度解析,同時將違規(guī)操作、非法操作和程序下載、IP變更、組態(tài)變更、PLC啟停等關(guān)鍵事件以及病毒、木馬、黑客等攻擊行為數(shù)據(jù)傳送到部署在控制中心的工控安全管理平臺中。工控安全管理平臺系統(tǒng)對監(jiān)測審計進(jìn)行統(tǒng)一監(jiān)控與管理,將監(jiān)測引擎?zhèn)魉瓦^來的異常數(shù)據(jù)進(jìn)行統(tǒng)計分析,并告警顯示,同時依據(jù)通訊流量進(jìn)行節(jié)點網(wǎng)絡(luò)拓?fù)鋭討B(tài)生成和工控資產(chǎn)識別,實現(xiàn)對工控網(wǎng)絡(luò)的監(jiān)測與審計,為事后提供追溯分析依據(jù)。
在網(wǎng)絡(luò)關(guān)鍵節(jié)點處,通過工控入侵檢測系統(tǒng)進(jìn)行入侵攻擊行為的檢測識別,發(fā)現(xiàn)并防止網(wǎng)絡(luò)攻擊行為,尤其對基于工業(yè)控制漏洞、工業(yè)控制異常指令以及關(guān)鍵事件進(jìn)行及時告警,避免入侵行為或疑似入侵攻擊的行為發(fā)生。
(3)安全計算環(huán)境
在生產(chǎn)網(wǎng)各工控系統(tǒng)中的操作員站、工程師站以及服務(wù)器等工業(yè)主機(jī)上安裝部署終端安全管理系統(tǒng)客戶端,在調(diào)度中心部署終端安全管理系統(tǒng)服務(wù)端,通過服務(wù)端對客戶端進(jìn)行統(tǒng)一管理與監(jiān)控、策略下發(fā)、異常報警等,實現(xiàn)對工業(yè)主機(jī)的進(jìn)程白名單管理,對流量、USB口管控,有效抵御未知病毒、木馬、惡意程序、非法入侵等針對終端的攻擊,實現(xiàn)工業(yè)主機(jī)安全防護(hù)與加固。
通過數(shù)據(jù)庫審計系統(tǒng)全面審計在使用數(shù)據(jù)庫過程中的訪問過程,對于越權(quán)訪問、異常數(shù)據(jù)庫操作以及對數(shù)據(jù)庫關(guān)鍵數(shù)據(jù)進(jìn)行關(guān)鍵指令操作過程全面審計,檢測識別非授權(quán)操作的行為,避免數(shù)據(jù)庫刪除、篡改、異常訪問等情況發(fā)生,為數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行及事后審計提供有力保障。
(4)安全管理中心
通過工控安全管理平臺,實現(xiàn)對工控防火墻、工控安全監(jiān)測審計管理系統(tǒng)、終端安全管理系統(tǒng)、堡壘機(jī)等安全產(chǎn)品以及交換機(jī)的統(tǒng)一管理與監(jiān)控。同時針對被防護(hù)資產(chǎn)綜合全部安全要素信息,通過多種數(shù)據(jù)、分析方法構(gòu)建動態(tài)的多層次、全天候網(wǎng)絡(luò)安全管理,結(jié)合等級保護(hù)管理,為天然氣管道構(gòu)建網(wǎng)絡(luò)安全動態(tài)深度防御體系,形成對安全威脅、風(fēng)險隱患的動態(tài)持續(xù)管理。
通過堡壘主機(jī),進(jìn)行集中賬號管理、集中登錄認(rèn)證、集中用戶授權(quán)和集中操作審計,實現(xiàn)對運(yùn)維人員的操作行為審計,以及對違規(guī)操作、非法訪問等行為的有效監(jiān)督,為事后追溯提供依據(jù),解決了運(yùn)維行為無法監(jiān)控的問題以及在訪問系統(tǒng)資源、操作記錄無法做到安全審計、事后可追溯的問題。
(5)安全管理制度
通過制定和完善工控網(wǎng)絡(luò)安全管理制度,形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度保障體系,做到有章可循、有法可依、人人有責(zé)的工控網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)格局;定期組織工業(yè)控制系統(tǒng)信息安全培訓(xùn),定期進(jìn)行風(fēng)險評估等,實現(xiàn)某天然氣管道整體信息安全防護(hù)。
3 案例亮點及創(chuàng)新性
本方案從網(wǎng)絡(luò)、終端、通信、運(yùn)維、管理等多個層面提供了完整的安全防護(hù)與管理手段,實現(xiàn)了工控網(wǎng)絡(luò)全面的安全保護(hù),有效提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性,滿足了《網(wǎng)絡(luò)安全法》框架下關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度要求、網(wǎng)絡(luò)安全等級保護(hù)制度要求和防護(hù)指南的相關(guān)要求。本方案安全建設(shè)采用非侵入式安全監(jiān)測與防護(hù)工作方式(最小干擾方式),未對業(yè)務(wù)產(chǎn)生任何影響,通過可視化平臺可清晰地看到生產(chǎn)網(wǎng)各節(jié)點的通訊情況,大幅提升了對資產(chǎn)的掌握程度。本方案在采用安全技術(shù)和產(chǎn)品的同時,也重視安全管理,不斷完善各類安全管理規(guī)章制度和操作規(guī)程,提高了安全管理水平。本次安全建設(shè)實現(xiàn)了對某天然氣管道生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全事件的事前預(yù)防、事中控制、事后可查,保障了天然氣管道控制系統(tǒng)的安全運(yùn)行。
作者簡介
趙 峰(1978-),男,河南南陽人,高級工程師,學(xué)士,現(xiàn)就職于杭州中電安科現(xiàn)代科技有限公司,主要從事工業(yè)自動化方面的研究。
趙 萌(1990-),男,北京人,學(xué)士,現(xiàn)就職于杭州中電安科現(xiàn)代科技有限公司,主要從事網(wǎng)絡(luò)安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號