今日頭條
官方微信
官方抖音
案例頻道編者按:隨著物聯網、云計算、移動互聯網、大數據、人工智能等新技術的飛速發展,以及IT與OT技術的進一步融合,工業制造、城市交通、電力能源、農業等各大行業領域的智慧化發展已成為必然趨勢。推進各領域向智慧化發展是一項復雜而龐大的系統工程,既需要單一技術與裝備的突破應用,還需要系統化的集成創新。智慧系統解決方案是推廣普及智能化技術的關鍵手段,是促進各行業智能化水平提升的核心。
為深化智慧產業發展,進一步提升智慧產業各領域系統解決方案應用水平,現由中國自動化學會、智能制造推進合作創新聯盟、工業控制系統信息安全產業聯盟、邊緣計算產業聯盟、中國儀器儀表行業協會主辦,《自動化博覽》雜志社&控制網(www.miconline.com.cn)承辦的“2018智慧系統解決方案征集”活動已正式啟動,面向全行業公開征集智慧系統解決方案。本刊特開設智慧系統解決方案專欄,刊發其中優秀的解決方案以饗讀者。
隨著“工業4.0”、“中國制造2025”“互聯網+”行動計劃等戰略的實施,網絡經濟的發展和智能社會快速推進,各種新業務形態大量涌現,中國制造業也在兩化深度融合的基礎上不斷進行產業結構調整和升級轉型,在給人們的生產生活帶來了巨大變化的同時,其開放性、隱蔽性、跨地域性等特性,也使得網絡空間存在巨大的安全隱患,安全問題日益突顯、迅速放大,其一旦受到網絡攻擊,將會造成巨大經濟損失和社會影響。加強工業互聯網安全防護不僅涉及企業自身利益,更是確保工業互聯網在各領域能夠落地實施的前提,也是產業安全和國家安全的重要基礎和保障。
本方案立足石油石化現狀,以某市油庫工控安全加固建設為例,參考企業信息化建設實踐經驗,結合新技術發展,制定具備戰略性、前瞻性、可落地性的工控系統安全防護方案。該方案可廣泛應用于智能制造、能源、水利、醫療、電力等領域。本案中某市油庫通過工業互聯網建設,實現了數字油庫工控系統構建,最終建成了自動化、信息化、智能化的智慧能源運營體系。通過本方案實施,最終實現了某市油庫工控安全防護體系的整體建設。
本設計方案包括工控系統網絡安全防護設計、工控系統主機防護與預警設計、服務器終端監測與響應(EDR)、身份認證系統設計。
1 工控系統網絡安全防護設計
本方案針對某市油庫系統的特點,由內而外設計,與工控廠商結合,著眼于茁壯性的機制,從控制系統“自生長”出來的保護方案,如圖1所示。具體思路如下:
圖1 全生命周期解決方案示意圖
(1)全生命周期解決方案;
(2)通過多種手段提高該系統的整體安全性;
(3)源自該系統內部,并非外部補償性措施;
(4)監測與防御相結合,產品與服務相補充。
1.1 總體防護設計
本方案某市油庫工業控制網絡提供了全方位的綜合防御與保護,并且完整覆蓋了工業控制系統整個生命周期。
在軟件層面上, 該平臺建立在機器智能學習引擎、深度數據包解析引擎和開放式特征匹配三大功能引擎之上,支持工控協議和工業以太網協議,同時適用于PLC、DCS、SCADA等現場環境,不僅具備多種工控網絡協議數據的檢查、過濾、報警、阻斷功能,同時擁有基于工業漏洞庫的黑名單入侵防御功能,和基于機器智能學習引擎的白名單主動防御功能以及大規模分布式實時網絡部署和更新等功能,并提供高度開放的平臺開發工具包。
硬件層面上,該平臺具有全封閉、無風扇、多電源冗余、硬件加密等特點,確保達到苛刻的可靠性和穩定性要求。
智能保護系統能夠識別出網絡中由于惡意入侵、系統故障、人員誤操作所引起的異常控制行為和非法數據包,及時對其進行告警和阻斷,并能為后續的安全威脅排查提供依據。
根據上述情況總體防護拓撲如圖2所示。
圖2 總防護示意圖
1.2 區域安全隔離設計
區域隔離:智能工業防火墻可以根據工業網絡的區域劃分,對每個區域進行數據保護,做到橫向隔離,縱向保護的安全數據過濾隔離。通過訪問控制實現網絡的結構安全性,滿足實際應用需求。支持Modbus/TCP、OPC、IEC104、DNP3、Profinet、MMS等眾多工業協議深度包檢測和智能白名單學習及規則部署。
智能工業防火墻除了支持自身安全管理外,同時支持統一安全管理平臺的集中管理,形成“近可分流,遠可聯動”的整體工控網絡安全解決方案,全方位保護工控網絡安全,充分保障客戶安全投入的價值。
圖3 區域安全隔離部署示意圖
1.3 網絡監測審計
監測審計:采用監測審計系統對工業控制網絡實現實時告警系統,通過特定的安全策略,快速識別出系統中存在的非法操作、異常事件、外部攻擊并實時告警,提高了整個系統的監測預警能力有利于對每個目標的安全防護。
圖4 監測審計部署示意圖
1.4 控制器保護
控制器終端保護:保護系統為工業控制網絡提供了底層及終端設備全方位的綜合防御與保護,保護系統能夠識別出網絡中由于惡意入侵、系統故障、人員誤操作所引起的異常控制行為和非法數據包,及時對其進行告警和阻斷,并能為后續的安全威脅排查提供依據。
圖5 控制器智能保護部署示意圖
2 工控系統主機防護與預警設計
2.1 總體設計思路
工控系統主機防護與預警設計包括三方面的內容:檢測與預警、控制、管理。
(1)監測與預警
通過工控上位機攻擊行為跟蹤分析、工控異常行為審計、工控安全態勢感知及預計等功能實現工業控制系統的安全檢測與預警,全天候全方位感知工控系統網絡安全態勢。掌握攻擊發起的時間、地點、攻擊方式、攻擊路徑和攻擊目的/目標。
(2)控制及防御
通過主動防御系統ICS-PDS對已知和未知威脅進行感知、跟蹤、識別、控制和處理(清除惡意程序),使進入工業控制網絡上位機的惡意程序得到清除處理,守住工業控制系統安全防御的最后一道防線。
(3)管理
通過工業控制系統統一安全管理平臺,對工業控制系統所部署的安全系統及所產生安全事件進行集中統一管理,建立集中統一安全管理策略及安全事件應急處置機制和流程。
圖6 集中統一安全管理策略及安全事件應急處置機制示意圖
2.2 功能設計
(1)主動防御系統由三大防御體系構成如圖7所示。
圖7 主動防御體系構成
(2)對建立的事前、事中、事后防御體系的安全事件及攻擊行為進行關聯分析;
(2)具有六大子防御系統構成上位機防御體系;
圖8 主動防御安全保護模型
(3)部署在上位機的ICS-PDS的防御引擎具備對未知和已知攻擊進行實時對抗的能力;
(4)主動防御系統具有安全檢測及安全加固功能;
(5)對惡意代碼或惡意程序的處理提供系統自動處理與人工干預處理(即手動處理)兩種模式。
3 服務器終端檢測與響應(EDR)
為保證終端計算機的安全,禁用所有USB設備,只允許使用鼠標鍵盤設備。
3.1 端安全加固
對終端計算機的安全加固,可采取的措施有:補丁管理、防病毒軟件監測、主機防火墻,上述措施均增強了終端計算機的安全性和健壯性。
3.2 行為監控
對用戶行為的監控,包括用戶網絡資源的進程監控、上網控制。
3.3 終端配置管理
配置管理主要完成終端計算機的各種信息的收集和系統參數的配置。通過配置管理,IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數,并批量地對終端計算機的運行參數進行遠程修改。
3.4 遠程維護管理
遠程維護就是依靠技術手段和工具,遠程對終端計算機進行故障診斷、系統修復和日常維護等。
3.5 軟件分發管理
軟件分發,支持分發任意類型軟件,包括:程序生成安裝包、MSI安裝包、獨立軟件安裝包、各類腳本、文檔。同時還需支持在登錄用戶是普通用戶權限(無安裝權限)情況下,進行軟件自動分發、安裝。
3.6 資產管理
系統自動登記終端計算機的硬件配置(包括CPU類型、主頻、內存、硬盤、顯示卡、網卡等),并自動將終端計算機的操作系統、安裝的軟件、運行的程序和服務、系統日志、共享資源以及補丁、端口等信息統計匯總,可以按設備類型、部門等方法對設備進行分類管理,使得系統管理員能夠輕松自如地管理著整個網絡的硬件、軟件資源,及時洞察系統配置的變動。
3.7 網絡管理
系統自動發現網絡內所有網絡設備(設備的IP地址),通過系統提供的智能學習功能,自動識別網絡的物理拓撲結構,生成網絡物理連接拓撲圖。
3.8 設備監控管理
系統自動登記受控終端的硬件配置(包括CPU、內存、硬盤、顯示卡、網卡等等),當受控終端的硬件發生變動時能自動向安全管理核心系統發出報警信息。
4 身份認證系統設計
身份管理平臺包括統一身份管理、統一應用管理、集中賬號管理、身份庫查詢API、身份庫管理API、統一身份認證、統一權限管理、分級管理、安全審計與用戶行為分析、分布式認證部署、系統自身安全保障。
通過與統一身份認證系統的集成,可以實現以下使用效果:
(1)提高用戶身份管理、應用系統帳號的管理效率,管理員可以在統一身份認證平臺上對所有的應用系統進行集中的帳號管理。
(2)通過與HR信息聯動的用戶全生命周期管理,從人員入職帳號自動開通到離職時自動注銷及帳號的歸檔管理。
(3)通過與應用系統的統一認證集成,用戶使用手機安全令或UKey等強認證方式登錄應用系統,整體上提升應用系統訪問的安全性,最大程度降低用戶名口令方式帶來的安全隱患。
(4)對于不同安全級別的應用系統及同一應用系統中的關鍵操作可以通過策略配置進行二次認證,保證系統訪問的安全。
(5)用戶在所有平臺的訪問及關鍵操作都將被審計平臺全部進行基于自然人的審計,并形成圖形化展示報表。
(6)可以快速實現與其他應用系統的集成,更大范圍內保護應用系統的使用安全。
統一身份認證管理平臺的應用構架方案適用于企業多個應用系統的集中管理需求,可以真正實現一個實名用戶永遠只在企業中有一個唯一的身份及一套證明其身份的認證方式。采用此方案,真正的將原有對賬戶資源基本的管理及認證改變為以自然人為主體的安全認證管理模式。讓用戶無論是在互聯網訪問企業的郵件系統,或通過企業辦公網絡訪問OA系統都采用相同的身份及認證方式。
5 結論
通過對于某市油庫的工控系統網絡安全防護設計、工控系統主機防護與預警設計、服務器終端監測與響應(EDR)、身份認證系統設計,最終完成油庫工控系統網絡安全防護體系和應用系統綜合防御體系建設。新建立的信息安全保障體系,可以為針對信息系統的各種攻擊行為建立完善的防御和監管措施。其部署實施具有重要的意義和價值:
(1)滿足安全合規要求
使企業工控系統符合國家安全性政策法規,滿足其工業網絡安全的剛性需求。
(2)提高油庫安全防護性
為企業工控網絡安全穩定運行提供了基礎保障,實現病毒、木馬等惡意程序的防護,可防范內外部人員攻擊、軟件后門利用等多種威脅,顯著加強企業自身工控系統防范和預警感知能力,有效保障企業及國民經濟的穩定發展。
(3)優化資源配置
在滿足合規要求的同時,利用業主本身現有資源,在有限資源條件下最大限度地提升安全防護水平。
(4)樹立標桿形成示范
針對工控系統的技術特點以及企業自身的業務特點,實現從管理到技術的完整覆蓋,充分滿足監管及未來業務發展需要,為能源類企業工控安全防護積累經驗,起到良好的示范作用。
本方案可推廣適用于SCADA、DCS、PCS、PLC等工業控制系統,可廣泛應用于石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市供水供氣供熱等工業控制系統中。本方案的推廣實施,將為我國工業網絡和基礎設施網絡安全防護能力的全面提升提供助力,為國家關鍵基礎設施防護和網絡安全防護體系建設貢獻力量。
摘自《自動化博覽》2018年11月刊
北京市公安局海淀分局備案號:11010802023656號