今日頭條
官方微信
官方抖音
案例頻道★趙峰,趙萌杭州中電安科現(xiàn)代科技有限公司
關(guān)鍵詞:工業(yè)控制系統(tǒng)安全;等級(jí)保護(hù)2.0;SCADA系統(tǒng)防護(hù)
1 項(xiàng)目概況
隨著天然氣管道企業(yè)信息化、管控一體化的建設(shè)與實(shí)現(xiàn),越來(lái)越多的控制系統(tǒng)通過(guò)信息技術(shù)實(shí)現(xiàn)互聯(lián)互通,使得工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)愈發(fā)復(fù)雜,迫使內(nèi)部的安全隱患逐漸暴露,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題日益突出。各類生產(chǎn)系統(tǒng)一旦遭受惡意攻擊、勒索病毒等安全威脅,發(fā)生生產(chǎn)事故,將會(huì)直接導(dǎo)致經(jīng)濟(jì)損失、天然氣泄漏,甚至人員傷亡。
中電安科幫助某天然氣分公司完成了工控安全建設(shè)。根據(jù)某天然氣管道實(shí)際情況,結(jié)合相關(guān)標(biāo)準(zhǔn)要求,科學(xué)合理評(píng)估出某天然氣管道SCADA系統(tǒng)合規(guī)差距和安全風(fēng)險(xiǎn),確定了安全保護(hù)措施,并在此基礎(chǔ)上設(shè)計(jì)了一整套完整的安全體系。該項(xiàng)目以“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想,從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心方面構(gòu)建安全技術(shù)體系,滿足等級(jí)保護(hù)2.0第三級(jí)系統(tǒng)的相關(guān)安全要求。
該項(xiàng)目的實(shí)施,有效提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性,符合國(guó)家主管部門、行業(yè)監(jiān)管部門的管理要求以及工控安全防護(hù)要求。本次安全建設(shè)采用最低干擾方式,未對(duì)業(yè)務(wù)產(chǎn)生任何影響,通過(guò)可視化平臺(tái)可清晰地看到生產(chǎn)網(wǎng)各節(jié)點(diǎn)的通訊情況,大幅提升了對(duì)資產(chǎn)的掌握程度。本次安全建設(shè)實(shí)現(xiàn)了對(duì)生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全事件的事前預(yù)防、事中控制、事后可查,保障了天然氣管道控制系統(tǒng)的安全運(yùn)行。
2 項(xiàng)目實(shí)施
隨著互聯(lián)網(wǎng)+、智慧城市、物聯(lián)網(wǎng)、工業(yè)4.0、大數(shù)據(jù)和云計(jì)算等新概念與新技術(shù)的不斷涌現(xiàn),工業(yè)信息化不斷深入,工業(yè)生產(chǎn)和互聯(lián)網(wǎng)之間不再彼此孤立,而是彼此緊密關(guān)聯(lián)起來(lái),越來(lái)越多的控制系統(tǒng)通過(guò)信息技術(shù)實(shí)現(xiàn)互聯(lián)互通,使得工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)愈發(fā)復(fù)雜。。
天然氣企業(yè)作為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施之一,在“兩化融合”期間除了建立ERP、CRM以及OA等多數(shù)企業(yè)會(huì)使用的經(jīng)營(yíng)管理類信息系統(tǒng)外,也建立了大量的符合自身需求的生產(chǎn)運(yùn)營(yíng)類的系統(tǒng),其中就包括了SCADA系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、GIS系統(tǒng)以及其他生產(chǎn)運(yùn)營(yíng)相關(guān)的工控系統(tǒng)等,特別是天然氣企業(yè)正在往“智能管網(wǎng)”的方向邁進(jìn),對(duì)工業(yè)控制系統(tǒng)的依賴度更加嚴(yán)重。工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式和互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)聯(lián)接,致使病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,造成了工業(yè)控制系統(tǒng)信息安全問(wèn)題的日益突出,一旦各類生產(chǎn)系統(tǒng)遭受惡意攻擊、勒索病毒等安全威脅,發(fā)生生產(chǎn)事故,將會(huì)直接導(dǎo)致重大經(jīng)濟(jì)損失,甚至引發(fā)社會(huì)恐慌,危及國(guó)家安全。如何應(yīng)對(duì)工業(yè)控制系統(tǒng)所帶來(lái)的風(fēng)險(xiǎn)成為天然氣企業(yè)未來(lái)需要解決的重要問(wèn)題。
某天然氣管道工控系統(tǒng)的核心是SCADA系統(tǒng),主要工作是用于天然氣管道調(diào)度數(shù)據(jù)的采集和分析。系統(tǒng)主要包括SCADA系統(tǒng)、GIS、生產(chǎn)調(diào)度系統(tǒng)、仿真系統(tǒng)和安全保護(hù)系統(tǒng)等,通過(guò)專線、移動(dòng)運(yùn)營(yíng)商等技術(shù)與下級(jí)門站所站進(jìn)行連接,實(shí)現(xiàn)數(shù)據(jù)的采集和分析,上層系統(tǒng)也會(huì)將相應(yīng)的指令下發(fā)給下層單位。當(dāng)前某天然氣管道主要存在如下網(wǎng)絡(luò)安全問(wèn)題和風(fēng)險(xiǎn):
(1)網(wǎng)絡(luò)隔離不合理
系統(tǒng)采用了傳統(tǒng)的IT防火墻進(jìn)行防護(hù),無(wú)法對(duì)工控網(wǎng)絡(luò)做到有效的防護(hù)。另外許多控制網(wǎng)絡(luò)都是“敞開(kāi)的”,不同的接入網(wǎng)絡(luò)之間都沒(méi)有有效的隔離,尤其是基于OPC、Modbus等通訊的工業(yè)控制網(wǎng)絡(luò),容易造成安全故障并通過(guò)網(wǎng)絡(luò)迅速蔓延。
(2)工控系統(tǒng)普遍存在漏洞
由于工控系統(tǒng)大多以滿足工業(yè)生產(chǎn)為前提,并沒(méi)有太多考慮自身的系統(tǒng)安全問(wèn)題,工控設(shè)備普遍存在漏洞。國(guó)家信息安全漏洞平臺(tái)中已公布的工業(yè)控制系統(tǒng)漏洞,包括西門子產(chǎn)品漏洞、施耐德產(chǎn)品漏洞、RTU產(chǎn)品漏洞等。
(3)缺乏審計(jì)監(jiān)測(cè)機(jī)制
控制中心沒(méi)有部署安全監(jiān)控設(shè)備,無(wú)法及時(shí)發(fā)現(xiàn)、告警控制網(wǎng)內(nèi)的非法數(shù)據(jù)流量和異常操作行為。系統(tǒng)缺少控制系統(tǒng)安全審計(jì)機(jī)制。獨(dú)立的安全審計(jì)人員應(yīng)當(dāng)定期檢查和驗(yàn)證系統(tǒng)日志記錄,并主動(dòng)判斷安全控制措施是否充分。未針對(duì)其工控系統(tǒng)建立信息安全審計(jì)機(jī)制,可能造成無(wú)法及時(shí)發(fā)現(xiàn)、追溯系統(tǒng)內(nèi)部或源于網(wǎng)絡(luò)的信息安全事件。
(4)終端存在安全隱患,缺少技術(shù)手段
生產(chǎn)環(huán)境中操作站多數(shù)采用Windows XP,上線后基本不會(huì)對(duì)操作系統(tǒng)進(jìn)行升級(jí),而操作系統(tǒng)在使用期間不斷曝出漏洞,導(dǎo)致操作站和服務(wù)器暴露在風(fēng)險(xiǎn)中。另外,在終端上對(duì)于執(zhí)行的系統(tǒng)及程序缺少有效的安全控制措施,導(dǎo)致惡意軟件及病毒可以毫無(wú)阻礙地執(zhí)行,甚至工業(yè)的控制程序及系統(tǒng)直接感染惡意代碼,對(duì)生產(chǎn)造成嚴(yán)重的安全風(fēng)險(xiǎn)。
同時(shí),在生產(chǎn)環(huán)境中存在隨意使用U盤、移動(dòng)硬盤、手機(jī)等移動(dòng)存儲(chǔ)介質(zhì)現(xiàn)象,有可能將傳染病毒、木馬等威脅因素帶入生產(chǎn)系統(tǒng)。加上防病毒軟件的安裝不全面或者即使安裝后也不及時(shí)更新防病毒軟件版本和惡意代碼庫(kù),出現(xiàn)問(wèn)題后無(wú)法及時(shí)準(zhǔn)確定位產(chǎn)生問(wèn)題的原因、影響范圍及追究責(zé)任。
(5)安全運(yùn)維問(wèn)題
目前系統(tǒng)主要通過(guò)遠(yuǎn)程桌面方式進(jìn)行運(yùn)維,缺乏完善的運(yùn)維審計(jì)機(jī)制,對(duì)運(yùn)維人員的操作過(guò)程沒(méi)有記錄、審計(jì),不能發(fā)現(xiàn)越權(quán)訪問(wèn)、異常操作等行為。一旦發(fā)生事故,需要大量時(shí)間確定問(wèn)題,不能夠及時(shí)有效地解決問(wèn)題,也沒(méi)有追溯手段。
(6)操作人員缺乏信息安全意識(shí)
工控系統(tǒng)的操作人員往往不是IT人員,而是生產(chǎn)調(diào)度人員,這也使得工控終端缺乏傳統(tǒng)IT的管控,使其成為外部威脅的可能接入點(diǎn),如USB接口、維修連接、筆記本電腦等。
針對(duì)以上某天然氣管道工控系統(tǒng)的安全現(xiàn)狀與風(fēng)險(xiǎn),中電安科幫其完成了工控安全建設(shè)。根據(jù)某天然氣管道實(shí)際情況,結(jié)合《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)標(biāo)準(zhǔn)要求,科學(xué)合理評(píng)估出某天然氣管道SCADA系統(tǒng)合規(guī)差距和安全風(fēng)險(xiǎn),確定了安全保護(hù)措施,并在此基礎(chǔ)上設(shè)計(jì)了一整套完整的網(wǎng)絡(luò)安全體系。該方案以“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想,從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心方面構(gòu)建安全技術(shù)體系,并協(xié)助建立安全管理制度體系,滿足等級(jí)保護(hù)2.0第三級(jí)系統(tǒng)的相關(guān)安全要求。
(1)安全區(qū)域邊界
控制中心在與站場(chǎng)控制系統(tǒng)、閥室等網(wǎng)絡(luò)連接邊界處通過(guò)部署工控防火墻進(jìn)行邊界防護(hù),基于工控協(xié)議配置合理的主機(jī)訪問(wèn)規(guī)則,針對(duì)工業(yè)控制網(wǎng)絡(luò)在同一個(gè)大網(wǎng)的情況,通過(guò)ACL等安全訪問(wèn)策略的配置對(duì)生產(chǎn)網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)。
控制中心內(nèi)部SCADA系統(tǒng)與中間數(shù)據(jù)庫(kù)或管理信息系統(tǒng)之間,部署隔離工業(yè)網(wǎng)閘保證其安全性,除必須開(kāi)放的用于數(shù)據(jù)交換的特定應(yīng)用通道外,不提供任何對(duì)外的服務(wù)。
(2)安全通信網(wǎng)絡(luò)
在各場(chǎng)站的工控系統(tǒng)分別部署工控安全監(jiān)測(cè)審計(jì)系統(tǒng),監(jiān)測(cè)審計(jì)對(duì)工控流量進(jìn)行監(jiān)測(cè)分析,識(shí)別出工控協(xié)議,并對(duì)工控協(xié)議深度解析,同時(shí)將違規(guī)操作、非法操作和程序下載、IP變更、組態(tài)變更、PLC啟停等關(guān)鍵事件以及病毒、木馬、黑客等攻擊行為數(shù)據(jù)傳送到部署在控制中心的工控安全管理平臺(tái)中。工控安全管理平臺(tái)系統(tǒng)對(duì)監(jiān)測(cè)審計(jì)進(jìn)行統(tǒng)一監(jiān)控與管理,將監(jiān)測(cè)引擎?zhèn)魉瓦^(guò)來(lái)的異常數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,并告警顯示,同時(shí)依據(jù)通訊流量進(jìn)行節(jié)點(diǎn)網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)生成和工控資產(chǎn)識(shí)別,實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)的監(jiān)測(cè)與審計(jì),為事后提供追溯分析依據(jù)。
在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處,通過(guò)工控入侵檢測(cè)系統(tǒng)進(jìn)行入侵攻擊行為的檢測(cè)識(shí)別,發(fā)現(xiàn)并防止網(wǎng)絡(luò)攻擊行為,尤其對(duì)基于工業(yè)控制漏洞、工業(yè)控制異常指令以及關(guān)鍵事件進(jìn)行及時(shí)告警,避免入侵行為或疑似入侵攻擊的行為發(fā)生。
(3)安全計(jì)算環(huán)境
在生產(chǎn)網(wǎng)各工控系統(tǒng)中的操作員站、工程師站以及服務(wù)器等工業(yè)主機(jī)上安裝部署終端安全管理系統(tǒng)客戶端,在調(diào)度中心部署終端安全管理系統(tǒng)服務(wù)端,通過(guò)服務(wù)端對(duì)客戶端進(jìn)行統(tǒng)一管理與監(jiān)控、策略下發(fā)、異常報(bào)警等,實(shí)現(xiàn)對(duì)工業(yè)主機(jī)的進(jìn)程白名單管理,對(duì)流量、USB口管控,有效抵御未知病毒、木馬、惡意程序、非法入侵等針對(duì)終端的攻擊,實(shí)現(xiàn)工業(yè)主機(jī)安全防護(hù)與加固。
通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)全面審計(jì)在使用數(shù)據(jù)庫(kù)過(guò)程中的訪問(wèn)過(guò)程,對(duì)于越權(quán)訪問(wèn)、異常數(shù)據(jù)庫(kù)操作以及對(duì)數(shù)據(jù)庫(kù)關(guān)鍵數(shù)據(jù)進(jìn)行關(guān)鍵指令操作過(guò)程全面審計(jì),檢測(cè)識(shí)別非授權(quán)操作的行為,避免數(shù)據(jù)庫(kù)刪除、篡改、異常訪問(wèn)等情況發(fā)生,為數(shù)據(jù)庫(kù)系統(tǒng)的安全運(yùn)行及事后審計(jì)提供有力保障。
(4)安全管理中心
通過(guò)工控安全管理平臺(tái),實(shí)現(xiàn)對(duì)工控防火墻、工控安全監(jiān)測(cè)審計(jì)管理系統(tǒng)、終端安全管理系統(tǒng)、堡壘機(jī)等安全產(chǎn)品以及交換機(jī)的統(tǒng)一管理與監(jiān)控。同時(shí)針對(duì)被防護(hù)資產(chǎn)綜合全部安全要素信息,通過(guò)多種數(shù)據(jù)、分析方法構(gòu)建動(dòng)態(tài)的多層次、全天候網(wǎng)絡(luò)安全管理,結(jié)合等級(jí)保護(hù)管理,為天然氣管道構(gòu)建網(wǎng)絡(luò)安全動(dòng)態(tài)深度防御體系,形成對(duì)安全威脅、風(fēng)險(xiǎn)隱患的動(dòng)態(tài)持續(xù)管理。
通過(guò)堡壘主機(jī),進(jìn)行集中賬號(hào)管理、集中登錄認(rèn)證、集中用戶授權(quán)和集中操作審計(jì),實(shí)現(xiàn)對(duì)運(yùn)維人員的操作行為審計(jì),以及對(duì)違規(guī)操作、非法訪問(wèn)等行為的有效監(jiān)督,為事后追溯提供依據(jù),解決了運(yùn)維行為無(wú)法監(jiān)控的問(wèn)題以及在訪問(wèn)系統(tǒng)資源、操作記錄無(wú)法做到安全審計(jì)、事后可追溯的問(wèn)題。
(5)安全管理制度
通過(guò)制定和完善工控網(wǎng)絡(luò)安全管理制度,形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度保障體系,做到有章可循、有法可依、人人有責(zé)的工控網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)格局;定期組織工業(yè)控制系統(tǒng)信息安全培訓(xùn),定期進(jìn)行風(fēng)險(xiǎn)評(píng)估等,實(shí)現(xiàn)某天然氣管道整體信息安全防護(hù)。
3 案例亮點(diǎn)及創(chuàng)新性
本方案從網(wǎng)絡(luò)、終端、通信、運(yùn)維、管理等多個(gè)層面提供了完整的安全防護(hù)與管理手段,實(shí)現(xiàn)了工控網(wǎng)絡(luò)全面的安全保護(hù),有效提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性,滿足了《網(wǎng)絡(luò)安全法》框架下關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度要求、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求和防護(hù)指南的相關(guān)要求。本方案安全建設(shè)采用非侵入式安全監(jiān)測(cè)與防護(hù)工作方式(最小干擾方式),未對(duì)業(yè)務(wù)產(chǎn)生任何影響,通過(guò)可視化平臺(tái)可清晰地看到生產(chǎn)網(wǎng)各節(jié)點(diǎn)的通訊情況,大幅提升了對(duì)資產(chǎn)的掌握程度。本方案在采用安全技術(shù)和產(chǎn)品的同時(shí),也重視安全管理,不斷完善各類安全管理規(guī)章制度和操作規(guī)程,提高了安全管理水平。本次安全建設(shè)實(shí)現(xiàn)了對(duì)某天然氣管道生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全事件的事前預(yù)防、事中控制、事后可查,保障了天然氣管道控制系統(tǒng)的安全運(yùn)行。
作者簡(jiǎn)介
趙 峰(1978-),男,河南南陽(yáng)人,高級(jí)工程師,學(xué)士,現(xiàn)就職于杭州中電安科現(xiàn)代科技有限公司,主要從事工業(yè)自動(dòng)化方面的研究。
趙 萌(1990-),男,北京人,學(xué)士,現(xiàn)就職于杭州中電安科現(xiàn)代科技有限公司,主要從事網(wǎng)絡(luò)安全方面的研究。
摘自《自動(dòng)化博覽》2024年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)