今日頭條
官方微信
官方抖音
案例頻道★ 北京天地和興科技有限公司
1 項目概況
1.1 項目背景
城市供熱系統作為城市熱力供應的重要組成部分,是城鎮建設的重要基礎設施之一。供熱系統的安全穩定運行是國民經濟和社會運行的重要基礎。近幾年來,隨著全球工業信息和互聯網的快速發展,工業企業信息安全領域遭受惡意攻擊事件時有發生,這些針對工業自動化設備、網絡設備和工業控制系統的漏洞攻擊、信息竊取、信息探測、惡意攻擊對企業生產、信息安全以及社會公共秩序造成嚴重威脅。
本項目中供熱公司的供熱管網控制系統屬于典型的物理分散、系統分散、風險分散的系統,極易受到各種形式的攻擊,進而對供熱管網控制系統形成惡意破壞以及其他非法操作,導致供熱管網控制系統發生重大事故,給企業聲譽帶來負面效應,因此存在巨大的安全風險。
1.2 項目簡介
城市熱力站地理位置分散,覆蓋面廣。大部分城市熱力站通過電信運營商互聯網網絡與控制系統的數據通信,調度中心控制指令和各熱力站實時控制數據以不安全的傳輸協議進行數據傳輸,極易被惡意攻擊者竊取信息數據或者對信息數據進行篡改,導致無法真實傳遞控制指令和反映當前熱力站控制系統運行狀態。
可能存在的安全風險有:
(1)破壞供熱系統,中斷正常供熱;
(2)內部人員失誤導致業務中斷;
(3)竊取供熱用戶身份、供熱信息;
(4)竊取財務或辦公信息;
(5)內部人員非法交易用戶身份、供熱信息;
(6)外包人員在程序中安插后門;
(7)跨國的政治或商業目的的信息竊取;
(8)惡意軟件;
(9)網絡被攻擊,通信中斷;
(10)自然災害;
(11)熱力站失火、漏水,導致熱力站控制系統損壞,造成供暖中斷。
供熱行業網絡安全規劃框架根據《網絡安全法》、國家等級保護2.0安全建設要求,在安全體系的指導下,從技術體系、管理體系、運維體系三大體系入手,進行規劃設計。
本項目參照相關國家/行業標準要求,結合安全現狀與需求分析,針對市政供熱行業特點,通過安全風險評估的方式全面了解生產控制系統的安全狀況,將問題轉化為需求,圍繞“一個中心、三重防護”國家網絡安全等級保護2.0的防護思維進行網絡安全防護體系的詳細設計,形成縱深網絡安全防護能力,并通過完善相關安全管理的制度方式,落實安全管理體系化建設目標,構建技防與管理相結合的網絡安全縱深防御體系,高效發揮防御體系的防護效能,為市政供熱行業系統安全運行保駕護航。
1.3 項目目標
本項目通過對供熱管網控制系統的網絡架構、邊界及系統風險進行明確,對其面臨的網絡安全風險進行研究,依據等級保護要求,就現有控制系統的網絡安全問題,提出針對性的安全防護解決方案,并從區域隔離、接入雙向認證、網絡通信鏈路防護、軟件系統安全、集中監管、主動防護等方面出發,構建供熱控制系統安全縱深防御體系,確保供熱管網系統安全運行。
2 項目實施
2.1 方案設計
(1)全面安全風險評估
通過調研、現場勘查訪問、借助檢查工具與專業技術實操,全面發現與驗證在物理環境、通信網絡、計算環境等多層面存在的安全風險,讓企業領導及安全運維人員系統了解生產網控制系統存在的安全風險。
(2)網絡安全防護體系建設
安全風險評估為安全建設輸出了準確的安全建設需求,需結合現狀與未來發展規劃,遵照國家/行業相關安全標準要求,遵照用戶建設規劃,開展網絡安全防護體系設計與建設,并借助先進的工控安全產品,構建“一個中心、三重防護”,即安全管理中心、安全通信網絡、安全區域邊界、安全計算環境,的縱深安全防護技術體系,完善安全管理體系,形成綜合防御能力,滿足用戶建設目標,滿足網絡安全合規性要求,滿足供熱控制系統安全防護的實際需要。
(3)智能AI安全監控
通過智能AI算法安全分析加強安全運營體系,包括日常運維的規范化、安全培訓、安全檢查與應急演練的常態化,并借助平臺技術手段,構建多級級聯式安全運營平臺應用,實現全網風險動態感知、趨勢分析、安全預警、聯動處置。
本方案采用的技術與產品均為工控安全專用技術,具有主流工控協議深度解析能力,支持白名單部署策略,并具有全面的工業漏洞庫與工業設備指紋庫,具備工控行為的識別、合規性檢查、訪問控制、安全審計以及安全風險集中管理、綜合分析與處置的能力,為市政供熱行業控制系統穩定安全運行提供保障。供熱管網控制系統網絡架構圖如圖1所示。
圖1 供熱管網控制系統網絡架構圖
2.2 項目技術
對供熱管網控制系統網絡架構安全防護風險進行調研,對系統資產進行梳理,對網絡安全隱患進行風險點分析,并形成相關分析報告。按照國家網絡安全法提出的原則,利用當前先進的網絡安全防護理念、技術與產品,有序地開展供熱行業生產系統中網絡安全防護體系的頂層設計、分期設計與建設工作,編制供熱行業網絡安全立體的防護體系建設標準。同時,研發自主AI算法引擎創新的網絡安全防護產品,實現全網動態安全監測、風險可視、通報預警與聯動處置,提高網絡安全綜合管控與防護能力,完成防護建設試點并通過等保2.0等級測評。
在換熱站的網絡出口鏈路部署定制開發的網絡安全綜合防護終端,與中心網安綜合防護網關配套,利用國密算法對換熱站業務數據進行加解密,有效預防和避免由于管理疏忽造成的數據泄露現象,減少或避免因人員操作管理失誤造成的損失。
網安綜合防護終端支持對業務數據傳輸的源地址/目的地址、源端口/目的端口、應用規格和協議進行安全防護,同時支持流量審計功能,可以對流經設備的流量進行分析、會話統計和工業協議解析。
整個方案還采用包過濾技術、應用網關技術和狀態檢測技術,實現換熱站安全防護網關與首站服務器之間的信息加密傳輸,實時檢測網絡傳輸并對異常數據信息及時響應,保障供熱系統的網絡安全。
包過濾技術是網絡防護中最重要的技術手段之一,通常通過路由器、防火墻來實現對網絡數據包的實時動態監控。該技術工作原理是檢查數據包,整個檢查過程在網絡層進行,保障了數據包的傳輸性和安全性。但該技術可能受到病毒軟件的欺騙,因此仍存在被黑客攻破的可能。
應用網關技術效果相對包過濾技術有所提升,該技術是通過對應用層數據包進行檢查的方式來提高網絡安全性,減少風險數據的入侵。
狀態檢測技術是實現網絡狀態監控監測的關鍵技術,有著較高穩定性,網絡安全性提升明顯。另一方面,該技術對新應用程序也有一定的透明性,突破了應用網關技術弊端,更繼承了包過濾技術的優點,又提高了對欺騙數據包的識別能力,有效降低了被攻擊的可能性,保障了網絡安全。
創新應用圖像AI算法引擎技術適配供熱場景中的視頻監控。對換熱站的視頻監控中的蒸汽/煙霧泄漏、液體滴漏等異常生產環境適配AI算法,可以對異常視頻監控畫面進行智能分析并告警,助力安全生產。
2.3 應用場景
(1)安全物理環境:對換熱站的視頻監控中的蒸汽/煙霧泄漏、液體滴漏等異常生產環境視頻適配AI算法,對異常視頻畫面進行智能分析并告警。
(2)安全通信網絡:在換熱站與供熱管網控制系統鏈路部署加密設備,對自控系統區域進行安全隔離,在換熱站與供熱管網控制系統之間進行身份認證與數據傳輸加密防護。
(3)安全區域邊界:在供熱管網控制系統核心交換機旁路部署入侵檢測系統,通過交換機鏡像功能,把網絡出入口、重要安全域的通信數據送給入侵檢測系統進行實時檢測。
(4)安全計算環境:針對市政供熱企業工控網絡中的相關應用服務器、管理操作終端等主機系統,設計安裝部署主機安全防護軟件系統,實現對人機交互界面的主機系統必要的安全管控;白名單的主動防御機制可占用更小的系統計算資源,實現最大的防護效能;有效實現主機防病毒、防第三方軟件的非授權安裝與使用、主機系統外接口的管控、USB外接存儲設備的認證管控、操作行為審計,為主機系統安全運行提供必要的安全保障。
(5)安全管理中心:在熱管網控制系統劃分出安全管理域,部署日志審計系統、堡壘機系統及定制開發安全管理平臺。安全管理平臺采用兩級管控平臺的創新布局,可實現報警分級、管控分權的網絡安全平臺建設,可向上對接上級監管機構的管控平臺。
本方案通過對供熱公司供熱管網控制系統的網絡架構、邊界及系統風險進行明確,對其面臨的網絡安全風險進行研究,依據等級保護要求,就現有控制系統的網絡安全問題,提出針對性的安全防護解決方案,并從區域隔離、接入雙向認證、網絡通信鏈路防護、軟件系統安全、集中監管、主動防護等方面出發,構建供熱控制系統網絡安全縱深防御體系,確保終端和主站之間的通信鏈路安全,保障終端和主站之間傳輸數據的保密性和完整性,同時實現主站和終端之間的雙向身份鑒別。本方案重點防范各種主動攻擊對系統的惡意破壞以及其它非法操作,防止由此導致的供熱管網系統事故,確保供熱公司供熱系統的安全運行,具有很強的現實需求。
3 案例亮點及創新性
(1)實現了市政供熱行業網絡安全從被動防御向主動防御的轉變。通過部署網安綜合防護網關、AI視頻智能分析算法和數字證書系統的一體化防護方案,使供熱系統建設達到了“智能檢測”“智能上報”“智能響應”的安全防護體系,全面提升了供熱企業的安全防護和安全管控能力。
(2)構建了供熱控制系統網絡安全縱深防御體系,確保了終端和主站之間的通信鏈路安全,保障了終端和主站之間傳輸數據的保密性和完整性,同時實現了主站和終端之間的雙向身份鑒別。
(3)自主AI算法引擎的創新應用。安全防護設備采用了自主研發的AI算法引擎,將OT與IT的防護引擎算法分析、知識庫、防護功能進行了一體化設計,實現了對供熱行業未知威脅的態勢感知,助力了供熱企業安全生產運行。
(4)完善了供熱行業工業互聯網安全產業鏈,貼合了業務場景化安全建設,推動了企業數字化轉型升級。
(5)指導了企業樹牢網絡安全意識,落實了網絡安全工作責任制,防范了網絡風險,切實加強了網絡安全監測預警、信息通報和應急處置能力,確保了供熱管網系統安全運行,具有很強的現實需求和示范作用。
(6)加強了供熱管網行業企業生產安全和服務風險管理能力,深化了全生命周期資產運用水平。
(7)本方案運用創新技術建成了完善的供熱系統網絡安全防護體系,其研發的安全防護體系產品技術指標達到了國內先進水平。
本方案通過對供熱公司供熱管網控制系統的網絡架構、邊界及系統風險進行明確,對其面臨的網絡安全風險進行研究,依據等級保護要求,就現有控制系統的網絡安全問題,提出了針對性的安全防護解決方案,并從區域隔離、接入雙向認證、網絡通信鏈路防護、軟件系統安全、集中監管、主動防護等方面出發,構建了供熱控制系統網絡安全縱深防御體系,確保了終端和主站之間的通信鏈路安全,保障了終端和主站之間傳輸數據的保密性和完整性,同時實現了主站和終端之間的雙向身份鑒別。本方案重點防范了各種主動攻擊對系統的惡意破壞以及其它非法操作,防止了由此導致的供熱管網系統事故,確保了供熱公司供熱系統的安全運行,具有很強的現實需求、廣闊的應用前景和較好的示范作用。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號