今日頭條
官方微信
官方抖音
案例頻道 背景
魯西化工是典型的化工企業(yè),其化工產(chǎn)品生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發(fā),工藝生產(chǎn)自動化、連續(xù)化、生產(chǎn)裝置大型化、 工藝復雜等特點,由于其各個生產(chǎn)環(huán)節(jié)不安全因素較多,一旦發(fā)生安全事故,具 有事故后果嚴重、危險性和危害性比傳統(tǒng)制造行業(yè)更大的特點。
DCS 和 PLC 數(shù)字化控制已經(jīng)成為化工生產(chǎn)過程控制的主要手段,魯西化工自 動化程度較高,大量使用浙江中控、和利時等 DCS、PLC 控制系統(tǒng),能夠極大地提高生產(chǎn)效率,但是過程控制系統(tǒng)整呈開放的趨勢,隨著“兩化”的深度融合, 工控系統(tǒng)面臨的安全形勢越來越嚴峻。
現(xiàn)狀
整個魯西集團園區(qū)納入信息化的裝置共 23 個,裝置名稱及其產(chǎn)品、功能如 下:
動力一、動力二裝置為全園區(qū)各裝置提供水、電、氣為主的公共資源和能源, 為園區(qū)重點裝置。
煤化一、煤化二裝置為園區(qū)各工企業(yè)提供主要化工生產(chǎn)原料,包括一氧化碳、 甲醇、液氨等。為園區(qū)重點裝置。
園區(qū)西區(qū)裝置有氟化工、甲烷氯化物、氯化鈣、西區(qū)灌裝站、氯磺酸、西區(qū) 污水處理、有機硅、離子膜。以上裝置大部分涉及重大危險物質,包括氯氣、液 氨、一氧化碳等園區(qū)中區(qū)裝置有氯化芐、三聚氰胺、苯甲醇等裝置,生產(chǎn)氯氣及其下游產(chǎn)品, 其中煤一和動力一裝置在此區(qū)域中。
園區(qū)東區(qū)裝置包括甲酸、丁辛醇、已內酰胺等,均涉及氫氣、一氧化碳等危 險氣體。其中煤二及動力二裝置在此區(qū)域中。
另外西區(qū)和東區(qū)各有一個灌裝區(qū)域,為外來危險品車輛進行化工產(chǎn)品和原料 的裝卸。
網(wǎng)絡拓撲如下:
圖一 網(wǎng)絡拓撲
企業(yè)生產(chǎn)網(wǎng)控制系統(tǒng)數(shù)據(jù)通過 OPC 接口,由寶信通訊網(wǎng)關進行數(shù)據(jù)采集轉發(fā)到實時數(shù) 據(jù)庫 PI1,再通過單向網(wǎng)閘將 PI1 數(shù)據(jù)導入至實時數(shù)據(jù)庫 PI2,實現(xiàn) PI1 與 PI2 的同步,并進 行了生產(chǎn)網(wǎng)與外網(wǎng)的隔離。其中遠程監(jiān)測終端通過 3G 無線網(wǎng)絡經(jīng)過 PC 機轉發(fā)給通訊網(wǎng)關 進入 PI1 數(shù)據(jù)庫。
需求分析
隨著企業(yè)應用系統(tǒng)的增加以及信息化建設的不斷推進,MES 系統(tǒng)的實施,生產(chǎn)網(wǎng)絡與管 理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢也是一種必需,但辦公網(wǎng)及外網(wǎng)的應用復雜,多樣性強。感染病毒及 惡意程序的機率大,生產(chǎn)網(wǎng)的開放,勢必對 PI 數(shù)據(jù)庫的數(shù)據(jù)完整性、保密性、安全性形成 挑戰(zhàn),對 DCS、PLC 控制系統(tǒng)形成嚴重的安全威脅,如果系統(tǒng)受到攻擊或感染病毒后,使得 DCS 或 PLC 控制發(fā)生故障,壓力、溫度、流量、液位、計量等指示失效,檢測系統(tǒng)連鎖報警 失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態(tài),后果不堪設想,將危急現(xiàn)場操作人員甚至工廠附近人群的生命安全。
所以對控制系統(tǒng)及生產(chǎn)網(wǎng)絡的安全防護是當下要優(yōu)先考慮和解決的問題。
風險分析
1、操作系統(tǒng)安全漏洞:企業(yè)的工程師站/操作站/HMI /Server 基本都是Windows 平臺的,Windows 所采用的存儲數(shù)據(jù)庫和加密過程導致了一系列安全漏,例如,Windows 把用戶信息和加密口令保存于 NTRegistry 中的 SAM 文件中,即安全帳戶管理 (Security Accounts Management) 數(shù)據(jù)庫。加密口令分兩個步驟完成。首先,采用 RSA MD4 系統(tǒng)對口令進行加密。第二步則是令人迷惑的缺乏 復雜度的過程,不添加任何“調料”,比如加密口令時考慮時間的因素。結果, Windows 口令比 UNIX 口令更加脆弱,更容易受到一本簡單字典的攻擊。黑客可以利用這些漏洞來破譯一個或多個 Administrator 帳戶的口令,進而對主機進行破壞活動。
另外由于工業(yè)控制系統(tǒng)的特殊性,為了保證過程控制系統(tǒng)的相對獨立性,以 及考慮到系統(tǒng)的穩(wěn)定運行,現(xiàn)場工程師未對 Windows 平臺安裝任何補丁,導致的問題是,不安裝補丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
2、網(wǎng)絡協(xié)議安全漏洞:本案中TCP/IP 以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設備越廣泛地應用在工業(yè)控制網(wǎng)絡中,給工業(yè)安全帶來了安全漏洞威脅,具體表現(xiàn)為:
1)TCP/IP協(xié)議鏈路層的安全漏洞
本案以太網(wǎng)中,信道是共享的,任何主機發(fā)送的每一個以太網(wǎng)幀都會到達別的與該主機處于同一網(wǎng)段的所有主機的以太網(wǎng)接口,不法人員稍做設置或修改, 就可以使一個以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。從而對控制網(wǎng)絡關鍵數(shù)據(jù)的竊取。
2)TCP/IP協(xié)議網(wǎng)絡層安全漏洞
網(wǎng)絡中控制系統(tǒng)、設備及Server都對ICMP echo請求進行響應。所以如果一 旦敵意主機同時運行很多個ping命令向一個系統(tǒng)或服務器發(fā)送超過其處理能力的ICMP echo請求時,就可以淹沒該DCS系統(tǒng)及服務器使其拒絕其他的服務。導致生產(chǎn)失控或停車,另外,ping命令可以在得到允許的網(wǎng)絡中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進行方便的攻擊,如收集目標上的信息并進行秘密通信 等。
3)OPC Classic 協(xié)議安全問題
現(xiàn)場采集傳輸均采用OPC協(xié)議采集控制層數(shù)據(jù),而OPC Classic 協(xié)議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM 協(xié)議,DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC 通訊采用不固定的端口號,導致目前幾乎無法使用傳統(tǒng)的IT 防火墻來確保其安全性。
4)無線網(wǎng)絡的安全問題拓撲可見,遠程監(jiān)測終端通過3G無線網(wǎng)絡進入生產(chǎn)網(wǎng),其間沒有任何安全防護手段,不法人員可以通過該條路徑進入企業(yè)內網(wǎng)控制PC,繼而對數(shù)據(jù)進行非法篡改,和對傳輸惡意控制指令,勢必對控制系統(tǒng)造成嚴重威脅。
3、DCS 和 PLC 控制系統(tǒng)缺乏對程序行為的審計能力 惡意程序行為是對工控系統(tǒng)產(chǎn)生安全威脅最為主要的原因之一,在工控系統(tǒng)端點主機上程序行為是否正常,需要對其所有的行為數(shù)據(jù)進行深度感知、聚集和細粒度的處理和審計。 操作管理人員的技術水平和安全意識差別較大,容易發(fā)生越權訪問、違規(guī)操作,給生產(chǎn)系統(tǒng)埋下極大的安全隱患。實事上,DCS 和 PLC 系統(tǒng)相對封閉的環(huán)境,也使得來自系統(tǒng)內部人員在應用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操 作成為工業(yè)控制系統(tǒng)所面臨的主要安全風險。例如:缺乏基于分組的 HIS 安全策略。在用戶安全策略的定義界面下,首先要考慮進行分組的設置,分組后再設置 不同級別的用戶從屬于各自的用戶組,從而依據(jù)各自裝置的控制站作為操作和監(jiān) 視的范圍。
因此,對生產(chǎn)網(wǎng)絡的訪問行為真實性、完整性進行監(jiān)控、管理與審計是非常必要的。
4、缺乏工控系統(tǒng)的安全威脅預警能力魯西化工的主要產(chǎn)品在生產(chǎn)過程中全部由 DCS 和 PLC 控制,系統(tǒng)的重要性和實時要求及時掌握系統(tǒng)的信息安全情況,目前缺乏對整個系統(tǒng)的安全威脅預警能力,缺乏應急處置安全事件的數(shù)據(jù)支撐。
5、面對高級持續(xù)性威脅(APT)攻擊,缺乏有效的應對措施 高級持續(xù)性威脅(APT)正在通過一切方式,繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS 等),并更長時間地潛伏在系統(tǒng)中,讓傳統(tǒng)防御體系難以偵測。同時,還會采用智能手機、平板電腦和 USB 等移動設備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。前述以超級工廠病毒(W32.Stuxnet)為代表的針對工業(yè)控制系統(tǒng)的攻擊事件變呈現(xiàn)了這些攻擊技術特征。
但是針對這種 APT 攻擊,現(xiàn)有的安全防護手段均顯得有些無力。這也許需要 整合各種安全技術,通過形成完善的安全防御體系(防御手段的組織化、體系化) 才可能有效,然而 DCS 和 PLC 系統(tǒng)對安全技術及管理的嚴重不足的現(xiàn)實,使其在 面臨持續(xù)攻擊時將會遭到不可估量的安全損失。
方案設計
根據(jù)魯西化工的控制系統(tǒng)及信息化生產(chǎn)運行管理流程,結合 GB/17859、 GB/T25070 基本要求,按照等保三級相關相求,構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡三重防御體系,通過強化分區(qū)、隔離防護、協(xié)議管 控、入侵防御及安全審計等技術手段構建縱深安全防御體系,確保生產(chǎn)現(xiàn)場 DCS、 PLC 等控制設備的本質安全。具體如下:
● 遵循國家、地方、行業(yè)相關法規(guī)和標準;
● 貫徹等級保護和分域保護的原則;
● 管理與技術并重,互為支撐,互為補充,相互協(xié)同,形成有效的綜合防 范體系;
● 充分依托已有的信息安全基礎設施,加快、加強信息安全保障體系建設。
● 第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。
● 在技術策略方面,第三級要求按照確定的安全策略,實施強制性的安全保護,使數(shù)據(jù)信息免遭非授權的泄露和破壞,保證較高安全的系統(tǒng)服務。 這些安全技術主要包括物理層、網(wǎng)絡層、系統(tǒng)層、應用層、數(shù)據(jù)層的以下內容:
○ 對計算機、網(wǎng)絡的設備、環(huán)境和介質采用較嚴格的防護措施,確保其為信息系統(tǒng)的安全運行提供硬件支持,防止由于硬件原因造成信 息的泄露和破壞;
○ 通過對局域計算環(huán)境內各組成部分采用網(wǎng)絡安全監(jiān)控、安全審計、 數(shù)據(jù)、設備及系統(tǒng)的備份與恢復、集中統(tǒng)一的病毒監(jiān)控體系、兩種級要求的操作系統(tǒng)和數(shù)據(jù)庫、較高強度密碼支持的存儲和傳輸數(shù)據(jù) 的加密保護、客體重用等安全機制,實現(xiàn)對局域計算環(huán)境內的信息 安全保護和系統(tǒng)安全運行的支持;
○ 采用分區(qū)域保護和邊界防護(如應用級防火墻、網(wǎng)絡隔離部件、信 息過濾和邊界完整性檢查等),在不同區(qū)域邊界統(tǒng)一制定邊界訪問控 制策略,實現(xiàn)不同安全等級區(qū)域之間安全互操作的較嚴格控制;
○ 按照系統(tǒng)化的要求和層次化結構的方法設計和實現(xiàn)安全子系統(tǒng),增 強各層面的安全防護能力,通過安全管理中心,在統(tǒng)一安全策略下 對系統(tǒng)安全事件集中審計、集中監(jiān)控和數(shù)據(jù)分析,并做出響應和處 理,從而構建較為全面的動態(tài)安全體系。
● 在管理策略方面,第三級要求實施體系的安全管理。應建立完整的信息系統(tǒng)安全管理體系,對安全管理過程進行規(guī)范化的定義。根據(jù)實際安全需求,成立安全管理機構,配備專職的安全管理人員,落實各級領導及相關人員的責任。
1、具體安全策略
按照層層防護的思想,信息系統(tǒng)由具有相同或不同等級的子系統(tǒng)構成,各子系統(tǒng)均需要實現(xiàn)安全域內部安全、安全域邊界安全及安全域互聯(lián)安全。 邊界保護的目的是對邊界內的局域計算環(huán)境和獨立用戶/用戶群的計算機環(huán)境進行保護,防止非法的用戶連接和數(shù)據(jù)傳輸。 安全域內部安全是指局域計算環(huán)境自身安全和網(wǎng)絡連接設備自身安全。 安全域互聯(lián)安全是指在不同等級的系統(tǒng)之間互聯(lián)時,應采取的保護原則和保護策略。
2、安全域內部策略
為滿足威脅需求的基本防護要求應實現(xiàn)以下安全域內部的安全目標:
網(wǎng)絡層策略
b1、通過合理的結構設計和網(wǎng)段劃分手段實現(xiàn)合理分配、控制網(wǎng)絡、操 作系統(tǒng)和應用系統(tǒng)資源及路由選擇和控制;
b2、通過網(wǎng)絡訪問控制手段實現(xiàn)網(wǎng)絡、系統(tǒng)和應用的訪問的嚴格控制及數(shù)據(jù)、文件或其他資源的訪問的嚴格控制;
b3、通過網(wǎng)絡安全審計手段實現(xiàn)記錄用戶操作行為和分析記錄;以及對資源訪問的行為進行記錄、集中分析并響應;
b4、通過邊界完整性檢查手段實現(xiàn)檢測非法接入設備及檢測網(wǎng)絡邊界完 整性;并能切斷非法連接;
b5、通過網(wǎng)絡入侵防范手段實現(xiàn)檢測、集中分析、響應、阻止對網(wǎng)絡和所有主機的各種攻擊;
b6、通過惡意代碼防范手段實現(xiàn)發(fā)現(xiàn)并修補已知漏洞;對惡意代碼的檢測、集中分析、阻止和清除及防止惡意代碼在網(wǎng)絡中的擴散;對惡意代 碼庫和搜索引擎及時更新并防止未授權下載、拷貝軟件或者文件;
B7、通過網(wǎng)絡設備防護手段實現(xiàn)對網(wǎng)絡、系統(tǒng)和應用的嚴格訪問控制及對用戶進行唯一標識;同時對同一個用戶產(chǎn)生多重鑒別信息,其中一個 是不可偽造的鑒別信息并進行多重鑒別;另外對硬件設備進行唯一標識 和合法身份確定;并在持續(xù)非活動狀態(tài)一段時間后自動切斷連接。
系統(tǒng)層策略
c1、通過身份鑒別手段實現(xiàn)對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格的限制; 并對用戶進行唯一標識及同一用戶產(chǎn)生多重鑒別信息,其中一個不可偽 造的鑒別信息并進行多重鑒別;對硬件設備進行唯一標識及合法身份確 定并實現(xiàn)在持續(xù)非活動狀態(tài)一段時間后自動切斷連連接;
c2、通過自主訪問控制手段實現(xiàn)對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制并對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制;
c3、通過強制訪問控制手段實現(xiàn)對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制并對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制及對敏感信息及其流 向進行標識;
c4、通過安全審計手段實現(xiàn)記錄用戶操作行為和分析記錄結果并對安全機制失效進行自動監(jiān)測和報警及對資源訪問的行為進行記錄、集中分析 并響應;
c5、通過系統(tǒng)保護手段實現(xiàn)系統(tǒng)軟件、應用軟件的容錯及自動保護當前工作狀態(tài);
c6、通過剩余信息保護手段實現(xiàn)對存儲介質中的殘余信息的刪除;應、阻止對網(wǎng)絡和所有主機的各種攻擊并重要數(shù)據(jù)和程序進行完整性檢測和糾錯;
c8、通過惡意代碼防范手段實現(xiàn)對已知漏洞的檢測和修補并防止惡意代碼在網(wǎng)絡中的擴散及對惡意代碼庫和搜索引擎及時更新;防止未授權下 在、拷貝軟件或者文件;
c9、通過系統(tǒng)資源控制手段實現(xiàn)合理使用和控制系統(tǒng)資源及按優(yōu)先級自動分配系統(tǒng)資源并能在持續(xù)非活動狀態(tài)一段時間后自動切斷連接;
應用層策略
d1、通過采取身份鑒別措施,來實現(xiàn)有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制,對用戶進行唯一標識,對同一個用戶產(chǎn)生多重鑒別信息進行 多重鑒別,對持續(xù)性非活動狀態(tài)一段時間后自動切斷連接的目標;
d2、通過采取相應的訪問控制措施,來實現(xiàn)對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制,對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制,對敏感 信息進行標識的目標;
d3、通過安全審計措施,來實現(xiàn)記錄用戶操作行為和分析記錄結果,對資源訪問的行為進行記錄、集中分析并響應的目標;
d4、通過對剩余信息采取相應的保護措施,來實現(xiàn)對存儲介質中的殘余信息進行刪除的目標;
d5、通過采取相應的措施來確保通信的完整性,來實現(xiàn)對傳輸和存儲數(shù)據(jù)進行完整性檢測和糾錯,對通信數(shù)據(jù)進行完整性檢測和糾錯,重要數(shù) 據(jù)和程序進行完整性檢測和糾錯的目標;
d6、通過采取相應的措施來確保通信的保密性,來實現(xiàn)對傳輸和存儲中的信息進行保密性保護,防止加密數(shù)據(jù)被破解的目標;
d7、通過采取相應的抗抵賴性措施,來實現(xiàn)信息源發(fā)的鑒別,基于密碼技術的抗抵賴的目標;
d8、通過采取相應的軟件容錯措施,來實現(xiàn)系統(tǒng)軟件、應用軟件容錯, 軟件故障分析,自動保護當前工作狀態(tài)的,對用戶的誤操作行為進行檢 測、報警和恢復的目標;
d9、通過采取相應的資源控制措施,來實現(xiàn)合理使用和控制系統(tǒng)資源,按優(yōu)先級自動分配系統(tǒng)資源,限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用, 合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源,持續(xù)非活動狀態(tài)一段時間后自動切斷連接的目標;
d10、通過相應的措施來控制軟件代碼的安全,來實現(xiàn)對軟件缺陷進行檢查的目標。
數(shù)據(jù)層策略
e1、通過采取相應數(shù)據(jù)完整性措施, 來實現(xiàn)對傳輸和存儲數(shù)據(jù)進行完整性檢測和糾錯,重要數(shù)據(jù)和程序進行完整性檢測和糾錯的目標;
e2、通過采取數(shù)據(jù)保密性措施, 來實現(xiàn)保證鑒別數(shù)據(jù)傳輸和存儲保密性, 對傳輸和存儲中的信息進行保密性保護,防止加密數(shù)據(jù)被破解的目標;
e3、通過采取數(shù)據(jù)備份和恢復措施, 來實現(xiàn)對抗中等強度地震、臺風等自然災難造成破壞,防止雷擊事件導致大面積設備被破壞,及時恢復正 常通信,對用戶的誤操作行為進行檢測、報警和恢復,使重要通信線路及時恢復,及時恢復重要數(shù)據(jù),保證重要業(yè)務系統(tǒng)及時恢復運行的目標。
3、安全域邊界策略 為滿足威脅需求的基本防護要求應實現(xiàn)以下安全域邊界的安全目標:
● 通過網(wǎng)絡訪問控制手段實現(xiàn)網(wǎng)絡、系統(tǒng)和應用的訪問的嚴格控制;
● 數(shù)據(jù)、文件或其他資源的訪問的嚴格控制;
● 通過邊界完整性檢查手段實現(xiàn)檢測非法接入設備;
● 檢測網(wǎng)絡邊界完整性;
● 切斷非法連接。
4、安全域互聯(lián)策略 不同安全等級的安全域之間可以根據(jù)業(yè)務需要進行互聯(lián)。互聯(lián)問題的本質就是互聯(lián)系統(tǒng)間的邊界安全問題。不同安全等級互聯(lián),要根據(jù)系統(tǒng)業(yè)務和安全需求, 制定相應的多級安全策略,主要包括訪問控制策略和數(shù)據(jù)交換策略等,采取相應 的邊界保護、訪問控制等安全措施,防止高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。
不同安全等級的安全域互聯(lián)主要有以下幾種情況:
● 位于同一業(yè)務單位域內共享網(wǎng)絡平臺的系統(tǒng)互聯(lián);
● 位于同一業(yè)務單位域內不同安全等級網(wǎng)絡平臺的系統(tǒng)互聯(lián);
● 位于不同業(yè)務單位域內的系統(tǒng)互聯(lián)。
方案內容
參照 ANSI/ISA-99 、GB/17859、GB/T25070 等相關要求,將企業(yè)系統(tǒng)結構劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。區(qū)域與區(qū)域之間利用安全產(chǎn)品進行策略控制,確保每個區(qū)域的相互獨立性,實現(xiàn)風險的最小化和 可控。從以下方面進行設計,如圖 2 所示:
圖二 安全部署圖
辦公網(wǎng)與管理網(wǎng)區(qū)域
由于辦公網(wǎng)直接與互聯(lián)網(wǎng)相連,且應用復雜,人員眾多。存在被感染病毒或被惡意控制的高風險,所以在辦公網(wǎng)與管理網(wǎng)之間部署一臺網(wǎng)絡病毒網(wǎng)關,入侵防御(IPS)系統(tǒng)。可以處理 HTTP、SMTP、POP3、FTP 和 IMAP 等多種協(xié)議,全面保護郵件、WEB 訪問以及文件傳輸過程中的安全。從而有效抵御來自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡病毒和風險,確保內網(wǎng)的安全。管理網(wǎng)絡的安全防護在管理核心區(qū)域需要實現(xiàn)全網(wǎng)數(shù)據(jù)流量審計和入侵檢測,計劃部署網(wǎng)絡安全
審計和入侵防御(IPS)系統(tǒng),實現(xiàn)整個區(qū)域數(shù)據(jù)流的審計和檢測。計劃在核心交換之間部署 1 臺網(wǎng)絡安全審計和 1 臺入侵防御系統(tǒng)。 通過網(wǎng)絡安全審計實現(xiàn)對業(yè)務環(huán)境下的網(wǎng)絡操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對業(yè)務人員訪問系統(tǒng)的行為進行解析、分析、記錄、匯報, 用來幫助用戶事前規(guī)劃預防,事中實時監(jiān)視、違規(guī)行為響應,事后合規(guī)報告、事 故追蹤溯源,同時加強內外部網(wǎng)絡行為監(jiān)管、促進核心資產(chǎn)(數(shù)據(jù)庫、服務器、 網(wǎng)絡設備等)的正常運營通過部署入侵防御系統(tǒng)實現(xiàn)對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡、緩沖區(qū)溢出 攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網(wǎng)站掛馬、異常流量等惡 性攻擊行為有非常準確高效的檢測防御效果,并通過簡單易懂的去技術化語言幫 助用戶分析威脅,對威脅進行有效處理。
DCS 控制器安全防護
浙大中控、和利時 DCS 控制系統(tǒng)其操作站 HIS 和控制站 FCS 通過冗余的基于以太網(wǎng)通訊的控制總線連接,HIS 實現(xiàn)監(jiān)控,操作功能,F(xiàn)CS 則完成具體的控 制運算,輸入/輸出及數(shù)據(jù)處理功能。由于以太網(wǎng)的開放性,在帶來通訊便捷的 同時也增加了安全風險。
所以必須要在控制器入口端部署控制器防護設備,能夠識別針對控制器的操控服務指令(包括組態(tài)服務、數(shù)據(jù)上傳服務、數(shù)據(jù)下載服務、讀服務、寫服務、 控制程序下載服務、操控指令服務等),并能夠根據(jù)安全策略要求對非法的服務 請求進行報警和自動阻斷。如圖 2 所示,使用工業(yè)防火墻對控制器進行安全防護, 一方面通過對源、目的地址的控制,僅允許工程師站和操作員站可訪問控制器, 且對關鍵控制點的讀寫權限加以嚴格限制,保障了資源的可信與可控,另一方面, 通過對端口服務的控制,杜絕了一切有意或無意的攻擊,最后使用“白名單”機 制,僅允許 ScnetII 等專有協(xié)議通過,阻斷一切 TCP 及其它訪問,從而確保控制 器的安全。
無線遠程監(jiān)測接入安全防護
如上圖所示,遠程監(jiān)測終端通過 3G 無線網(wǎng)絡聯(lián)入企業(yè)內網(wǎng),內網(wǎng) PC 通過NAT 映射到互聯(lián)網(wǎng)。由于 3G 設備 IP 地址的不確定因素,本 PC 開放 UDP 所有訪 問權限,導致外網(wǎng)不法人員通過掃描或嗅探技術捕獲 PC 信息,從而入侵到該 PC 或內網(wǎng),雖然 PC 與通訊網(wǎng)關采用串口通訊,但仍可通過對 PC 機的入侵破壞數(shù)據(jù) 的完整性,并且通過了解其串口通信方式,下置惡意指令和傳輸病毒。對 PI 數(shù) 據(jù)庫及控制系統(tǒng)造成致命破壞。
所以如圖 2 所示,在無線接入 PC 機與控制網(wǎng)絡之間部署一臺工業(yè)防火墻, 僅允許指定的設備、特定的工業(yè)數(shù)據(jù)進入內網(wǎng)上傳到 PI1 服務,阻斷一切無關的 訪問、控制指令。
工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)
我們企業(yè)控制網(wǎng)絡布署工業(yè)掃描系統(tǒng),針對對符合 IEC61131-3 標準的控制 系統(tǒng)上位機(SCADA/HMI)軟件、PLC、器嵌入式軟件以及各種主流現(xiàn)場總線離線 掃描。
與入侵檢測/防御系統(tǒng)等別動防御手段相比,漏洞掃描是一種主動的防范措施;可以有效避免黑客攻擊行為,放患于未然。通過對工業(yè)網(wǎng)絡的掃描,可以了 解工業(yè)網(wǎng)絡安全配置的和運行的應用服務,及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡風 險等級,進而及時修復漏洞。
PKI/CA 系統(tǒng) 由于魯西工藝流程、生產(chǎn)配方、生產(chǎn)裝置以及特種產(chǎn)品數(shù)據(jù)的敏感性,所以布署一套 PKI/CA 系統(tǒng),一方面通過數(shù)字證書來進行相應權限分配,實現(xiàn)對 DCS、PLC 控制系統(tǒng)的分權管理及多因子驗證,另一方面通過 PKI/CA 系統(tǒng)對網(wǎng)絡上傳 的數(shù)據(jù)信息進行加密和解密、數(shù)字簽名和簽名驗證,從而保證:信息除發(fā)送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證 書來確認接收方的身份;發(fā)送方對于自己的信息不能抵賴。在保障了數(shù)據(jù)的完整性與保密性的同時,也增加了防抵賴。
終端防病毒
由于終端應用復雜,感染病毒的可能性較大,所以在終端 PC、工程師站、 操作員站上都進行查殺毒軟件的安裝,前提必須是經(jīng)過驗證后的殺毒軟件,要確保其對工控軟件的兼容性。
同時,也要及時地對殺毒軟件進行病毒庫的升級,但不能影響工控系統(tǒng)的安全性。我們采取在企業(yè)管理網(wǎng)絡及控制網(wǎng)絡同時布署一臺病毒服務器,企業(yè)管理網(wǎng)絡服務器實時升級,經(jīng)過驗證之后定時通過人工拷盤或單向導入到控制網(wǎng)絡病毒服務器,以確保控制網(wǎng)絡病毒庫的更新。
網(wǎng)絡準入
由于以太網(wǎng)的高效性與經(jīng)濟性,企業(yè)每個站點的 DCS、PLC 控制設備都采用以太網(wǎng)接口組成工業(yè)控制網(wǎng)絡,隨著當前智能設備和移動 PC 的廣泛應用,隨時 有可能非法接入企業(yè)的控制網(wǎng)絡,把惡意程序及病毒帶入到控制網(wǎng)絡從而對關鍵控制系統(tǒng)造成致命威脅,所以針對以上威脅,在企業(yè)控制及管理網(wǎng)絡布署網(wǎng)絡準入系統(tǒng):
● 防止非法的外來電腦、移動 PC 及智能終端接入控制網(wǎng)絡,影響控制系統(tǒng)的安全;
● 防止內部用戶私自接 HUB、無線 AP 等不安全行為;
● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網(wǎng)關、DHCP 強制、SNMP 強制以及透明網(wǎng)橋等多種入網(wǎng)強制認證技術;
通過網(wǎng)絡準入系統(tǒng),以實現(xiàn)控制網(wǎng)資源的保護和訪問控制,禁止非法計算機接入內網(wǎng)。即只有經(jīng)過認證的主機才可以訪問控制網(wǎng)絡資源,而當可疑主機出現(xiàn)時,能夠系統(tǒng)記錄其 IP 地址、MAC 地址、計算機名等基本信息,并自動通過某種方式阻止此計算機訪問局域網(wǎng),切斷其網(wǎng)絡連接。如下圖所示:
準入控制流程
可信計算
魯西化工關鍵設施的控制系統(tǒng)都是基于 windows 平臺研發(fā)的,所有工程師站及操作員站均使用 Windows XP 系統(tǒng),2014 年 4 月 8 日隨著微軟宣布徹底取消對 Windows XP 的所有技術支持,終端安全直接影響了魯西化工基礎實施的安全, 我們在網(wǎng)絡層面防護的同時,積極應用國內先進的可信計算技術對用戶的身份認 證、應用程序的完整性和合法性認證,從而確保工程師站、操作員站計算運行環(huán) 境的安全。如圖所示:
可信計算平臺框架
安全管理平臺(SOC)
在企業(yè)管理網(wǎng)部署安全管理中心,如圖 2 所示,對生產(chǎn)控制網(wǎng)絡搜集所有安全信息,并通過對收集到各種安全事件進行深層的分析,統(tǒng)計和關聯(lián),及時反映被管理資產(chǎn)的安全基線,定位安全風險,對各類安全時間及時提供處理方法和建 議的安全解決方案。
功能如下:
● 面向業(yè)務的統(tǒng)一安全管理
系統(tǒng)內置業(yè)務建模工具,用戶可以構建業(yè)務拓撲,反映業(yè)務支撐系統(tǒng)的資產(chǎn)構成,并自動構建業(yè)務健康指標體系,從業(yè)務的性能與可用性、業(yè)務的脆弱性和業(yè)務的威脅三個維度計算業(yè)務的健康度,協(xié)助用戶從業(yè)務的角度去分析業(yè)務可用性、業(yè)務安全事件和業(yè)務告警。
● 全面的日志采集
可以通過多種方式來收集設備和業(yè)務系統(tǒng)的日志,例如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web Service 等等。
● 智能化安全事件關聯(lián)分析
借助先進的智能事件關聯(lián)分析引擎,系統(tǒng)能夠實時不間斷地對所有范式化后的日志流進行安全事件關聯(lián)分析。系統(tǒng)為分析師提供了三種事件關聯(lián)分析技術, 分別是:基于規(guī)則的關聯(lián)分析、基于情境的關聯(lián)分析和基于行為的關聯(lián)分析,并 提供了豐富的可視化安全事件分析視圖,充分提升分析效率。
● 全面的脆弱性管理
系統(tǒng)實現(xiàn)與天鏡漏掃系統(tǒng)的實時高效聯(lián)動,內置配置核查功能,從技術和管理兩個維度進行全面的資產(chǎn)和業(yè)務脆弱性管控。
● 主動化的預警管理
用戶可以通過預警管理功能發(fā)布內部及外部的早期預警信息,并與網(wǎng)絡中的IP資產(chǎn)進行關聯(lián),分析出可能受影響的資產(chǎn),提前讓用戶了解業(yè)務系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內部預警和外部預警;預警類型包括安全 通告、攻擊預警、漏洞預警和病毒預警等;預警信息包括預備預警、正式預警和 歸檔預警三個狀態(tài)。
總結
DCS/PLC 控制系統(tǒng)是化工生產(chǎn)過程最為關鍵的基礎設施,這些關鍵基礎設施中任何控制系統(tǒng)、工控網(wǎng)絡和數(shù)據(jù)庫服務器受到干擾或破壞后將對國民的健康、 安全、經(jīng)濟乃至對國家政府的正常運作造成嚴重影響。事實上,目前化工行業(yè)很多 DCS/PLC 系統(tǒng)都非常脆弱,非常容易受到惡意攻擊。試想,如果 DCS 或 PLC 系統(tǒng)受到攻擊或感染病毒后發(fā)生故障,壓力、溫度、流量、液位、計量等指示失效, 檢測系統(tǒng)連鎖報警失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態(tài),有毒氣體發(fā)生泄露,后果不堪設想。它的影響可能是時間上的浪費,資源上的消耗,或者是對生態(tài)環(huán)境造成的極大污染,甚至是犧牲生命 的慘痛代價。
綜上所述,通過魯西化工生產(chǎn)控制系統(tǒng)及網(wǎng)絡安全防護工程的建設,有助于為我國推進關鍵基礎設施信息安全防護標準、規(guī)范、策略的形成與實施,促進工業(yè)控制系統(tǒng)信息安全可控產(chǎn)品、技術的成熟,具有重大的經(jīng)濟及著的社會效益。
北京市公安局海淀分局備案號:11010802023656號