今日頭條
官方微信
官方抖音
案例頻道★北京網御星云信息技術有限公司
1 項目概況
1.1 項目背景
在“兩化”融合的行業發展需求下,燃氣公司除了ERP、CRM以及OA等多數企業使用的經營管理類信息系統外,還建立了大量的符合自身需求的生產運營類的系統,包括SCADA系統、生產調度系統、GIS系統以及其他生產運營相關的工控系統等。當前燃氣企業正在向“智能管網”的方向邁進,對SCADA系統的依賴更加嚴重。
當前,國家對工業控制系統的通用性與開放性提出了更高的要求。燃氣行業未來工業控制系統面臨的安全威脅也會越來越多。燃氣作為國家關鍵基礎設施之一,特別是隨著監管側的相關法律法規的出臺,工控網絡安全建設需求愈發迫切。
1.2 項目簡介
本方案整體思路是建立ICS的全生命周期的安全防護,即在系統的規劃設計、建設實施、運行維護、廢棄各階段進行安全防護。
本方案總體防護思路如圖1所示。首先對整個燃氣ICS進行全面風險評估,掌握目前ICS風險現狀;其次對ICS進行合理的安全域劃分,在區域之間進行邊界隔離,實現安全域之間的訪問控制,并根據相關標準,在不同區域設置相應的監測、防護策略和技術措施,保證安全區域內部安全;最后對整個ICS進行統一安全呈現,將各個防護點組成一個全面的防護體系,保障整個ICS安全穩定運行。
圖1 總體防護思路
1.3 項目目標
本項目整體防護目標的設計充分參考了國內外相關工控安全標準和成熟安全模型,并結合了行業工控系統的業務特點和安全需求。同時,按照生產優先的原則,以保障工控系統生產任務正常運行為基本出發點,確保方案中的所有安全防護措施的部署不會對正常工業生產構成影響,并充分考慮了他們和工控系統、網絡和軟硬件設備之間的兼容性。
本項目預期達成以下目標:
燃氣SCADA系統信息安全技術體系規劃結合燃氣信息系統現狀、安全需求和業務發展實際需要,分為網絡安全、主機安全、應用安全、數據安全、基礎設施5個層面。
(1)網絡安全:采用工業防火墻實現網絡安全域劃分、工控網與辦公網絡的技術隔離,防御外部威脅的侵入,形成從內到外的防護體系。
圖2 總體部署方案
(2)主機安全:采用工業控制系統終端安全管理平臺統一管控工作站和服務器,實現補丁分發、病毒防護及策略定制,發現系統存在的漏洞和風險,降低終端維護和管理工作量,阻止非法程序和未經授權軟件運行,保障工作站和服務器主機全生命周期的安全。
(3)應用安全:采用工控異常監測系統對燃氣SCADA系統工控網絡中傳輸的數據進行實時監測、記錄和審計,及時發現網絡違規操作和異常行為,實現事前部署、事中監控、事后追溯。
(4)數據安全:燃氣SCADA系統調度中心與場站之間通過工業防火墻VPN技術提供安全訪問通道,解決工控網絡數據傳輸通道加密的問題。
(5)基礎設施:采用工控統一安全管理平臺采集、監控燃氣SCADA系統中的IFIX服務器、中心數據庫、前置機、SCADA工作站、場站無人值守操作站以及安全設備的可用性,并對其日志信息進行統一收集、管理和分析。
2 項目實施
2.1 防護方案
2.1.1安全域規劃
本方案采取按功能分層的方式對燃氣SCADA系統進行分析和安全設計,并根據其應用、數據、用戶及特定接入的不同安全需求由下至上劃分出四層架構,具體如圖3所示。
圖3 SCADA系統網絡架構
依據安全域劃分原則,同一安全域擁有相同的安全等級和屬性,域內是相互信任的,安全風險主要來自不同的安全域互訪,需要加強安全域邊界的安全防護。區域之間依據業務及安全的需要配置安全策略,有效實現信息系統合理安全域劃分。具體規劃如圖4所示。
圖4 安全域規劃
2.1.2 場站終端安全防護
將導軌式工業防火墻部署于場站PLC/RTU與上聯交換機之間,通過工業防火墻特有的應用協議分析功能和業務需求指令配置功能,保證關鍵鏈路只傳遞業務必要信息,避免病毒和病毒的相互感染,更重要的是保證生產指令正確、可靠、及時地傳遞。具體規劃如圖5所示。
圖5 終端安全防護圖
實現效果:
(1)基礎功能:具備基礎防火墻功能,包括基于傳統五元組、協議、資產、時間等多元組一體化訪問控制;支持透明、路由、混合模式部署;設備內置多種工業防護模型,并可以自定義防護規則。
(2)工業DPI:支持多種工業協議深度解析,包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等協議,可以做到指令級訪問控制。
(3)工業IPS:預置工控系統攻擊事件庫,全面提升工業網絡安全防護能力;基于自然語言描述的可擴展規則引擎,支持自定義報文解析,具備極佳的安全防護擴展能力。
(4)流量自學習:流量智能學習,自動推薦安全策略幫助管理員輕松運維;流量可視化,讓管理員洞悉工業網絡情況。
(5)集中管理:支持工業防火墻的大規模部署,全網策略統一下發,設備情況統一展現,日志告警集中顯示。
(6)日志審計:支持設備管理日志和系統日志的記錄和外發。
2.1.3 調度中心檢測審計
在燃氣調度中心SCADA安全域接入層交換機部署工業異常檢測系統,并配置鏡像端口對數據流實施抓取和分析,監控所有流經主控系統的網絡流量和訪問行為,對異常流量和行為實時監控和報警。在此基礎上增加安全審計產品,可以更好地對入侵和安全事件進行關聯和管理,并采取短信、郵件等形式的告警。
部署專業審計設備(如圖6所示),對數據庫操作及日志記錄進行安全審計。通過將SCADA系統所產生的運行日志和操作日志寫入關系數據庫中,對關系數據庫日志記錄表進行審計。
圖6 調度中心檢測審計部署
審計設備對日志記錄的審計包含日期和時間、用戶、事件類型、事件操作結果等審計記錄,審計設備提供審計記錄導出功能,將定期導出審計記錄進行備份保存。審計設備將與系統統一時鐘源進行同步,確保審計記錄時間的正確性。
實現效果:
(1)通用網絡入侵檢測:對采用標準以太網的信息網絡,檢測已知的各種木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、DDOS、掃描探測、欺騙劫持、網站掛馬等。
(2)工控語言專項解讀:支持Modbus協議、IEC-60870-104協議、BACnet協議、DNP3協議、Modicon協議、NiagaraFox協議、SiemensS7協議等工控協議的深度解析。
(3)工控網絡特有檢測策略:通過對工控語言的解讀,研究其中各種入侵途徑,從而形成特有的工控網絡檢測策略,并內置在產品中。
(4)利用工控漏洞的入侵行為檢測:支持利用已知工控設備漏洞的入侵攻擊行為檢測,支持利用西門子、羅克韋爾等廠商設備漏洞的入侵攻擊行為檢測。
(5)網絡偽造報文攻擊檢測:可發現惡意構造的異常報文、畸形報文。
(6)可定制的工控網絡安全異常檢測:產品開放其靈活、強大的定制檢測能力,可針對專用工控網絡的業務操作數據進行梳理,總結出相應的業務白名單,進而制定出有效的安全異常檢測規則,實現具有用戶特色的專屬檢測方式。
2.1.4 操作站安全防護
工控終端安全管理系統中心服務器部署在SCADA安全域內,方便進行管理,更有利于安全接入管理;客戶端部署在調度中心和站控的操作員站、工程師站、遠程訪問SCADA系統的各個終端,部署方式可以采用登錄WEB頁面下載安裝和電子郵件分發客戶端相結合的方法。
工控終端安全管理系統中心負責燃氣SCADA區域終端的管理,負責全網各業務系統終端計算機的信息收集與策略下發,實現對終端計算機的管理,并在服務器上配置補丁系統,將補丁文件的存貯、發放和管理集中在服務器進行。負責對各終端計算機進行查看,并進行策略制定、下發。
SCADA系統終端安裝客戶端程序,負責向服務器上報資產、行為、補丁等信息,同時從服務器接收策略,并執行。
圖7 操作站安全防護部署
實現效果:
以燃氣調度中心內SCADA系統服務區及終端計算機為管理對象,通過傳統桌面管理、終端數據防泄密、終端防病毒三大模塊形成全面終端安全解決方案,提升內網安全防護能力和合規管理水平;構建“不可信終端進不來”“入網終端管得住”“敏感數據出不去”的內網終端安全管理體系,逐漸形成桌面管理、數據防泄密、終端防病毒三位一體的終端安全管控產品新業態。
(1)終端管理一體化:桌面管理、數據防泄密、終端防病毒三功能合一,一個客戶端解決終端安全管理的所有問題,減輕用戶桌面壓力。
(2)全面資產管理:對終端資產全生命周期進行管理,提供終端操作系統漏洞檢測和修復、終端平臺環境規范以及遠程支持和維護等全方位的終端運維管理。
(3)精細化安全防護:天珣客戶端內置強大的主機防火墻引擎,采用訪問控制、流量控制、ARP欺騙控制、網絡行為模式控制、非法外聯控制等手段,實現針對計算機終端的威脅主動防御和網絡行為控制,從而保證計算機終端雙向訪問安全、行為受控。
(4)規范終端行為:從終端審計、移動存儲管理、安全基線設定等角度,提供全方位的終端合規管理功能,從規范終端用戶行為出發,封堵終端違規的漏洞,監控和規范終端用戶行為,全面提升終端安全管理水平。
(5)敏感數據保護:從讓用戶了解內網敏感數據的角度出發,到發現敏感數據,監控數據流動,檢測泄密風險并在發生泄密行為時及之后進行相應的阻止和審計,保證泄密事件發生前、中、后都能有效地為用戶提供強有力的技術支撐。
(6)防病毒:集成經過權威防病毒機構認證的終端防病毒引擎,保證內網每一個終端節點都處于殺毒軟件的實時保護中。
2.1.5兩網隔離
在燃氣調度中心SCADA安全域單獨規劃,使其擁有獨立的VM交換機,在安全域之間使用工控網閘進行安全隔離。對SCADA安全域內的服務器等工控應用進行安全隔離防護,避免SCADA域外的安全風險入侵SCADA服務器。工控網閘在SCADA域與非SCADA域之間進行安全隔離,監視和控制區域邊界通信,拒絕所有非必要的網絡數據流,允許例外網絡數據流,識別邊界入侵行為并有效阻斷。具體兩網隔離部署如圖8所示。
圖8 兩網隔離部署
實現功能:
(1)OPC應用數據傳輸:支持DCS/SCADA網絡與管理網絡之間的OPC應用數據的傳輸;支持協議格式檢查及內容過濾;支持同步、異步監測數據的傳輸;支持高安全的自動協商動態端口通訊機制;支持情景模式,能夠設置OPC工控應用允許通信的時間;支持端口訪問控制。
(2)數據庫訪問:實現對多種(如MySql、SqlServer、Oracle、DB2、Sybase)主流數據庫系統的安全訪問;支持SQLServer和Oracle數據庫SQL語句過濾功能;支持實時數據庫的訪問與數據傳輸。
(3)數據庫同步:支持Oracle、SQLServer、Sybase、Db2等主流數據庫間單向和雙向同步;支持同構、異構同步;支持一對多、多對一同步;支持字段級的同步,具有條件同步等多種同步策略;支持詳細的日志審計和報警功能;支持病毒檢測。
(4)文件同步:實現文件的安全交換,支持NFS、SMBFS、SAMBA等文件系統;支持跨系統平臺文件同步;支持有客戶端和無客戶端方式;可實現單向和雙向同步;支持多種文件同步控制;支持內容過濾和病毒檢測。
(5)FTP訪問:實現安全的FTP訪問,支持對用戶、命令、文件類型等細粒度訪問控制;支持動態建立數據通道,并可對訪問端口號自由定義;支持中文文件名的過濾控制等多種功能。
(6)定制訪問:實現特定TCP、UDP協議的數據隔離交換,可合作定制開發針對特定協議的安全檢測,實現如黑白名單控制、關鍵字過濾等;支持對訪問源地址的控制;透明模式支持時段控制策略,時間模式可以是一次性或周循環。
2.1.6 工控信息安全集中管理
工控信息安全管理系統部署于燃氣調度中心SCADA安全域,主要由安全信息管理中心、數據中心和事件采集代理三大組件構成,如圖9所示。
圖9 工控信息安全集中管理部署
管理服務中心在部署時可以分為兩部分:服務器與功能模塊。資產管理子系統、認證管理子系統、報表管理子系統和服務器層組件(含WEB門戶服務器)需統一安裝在一臺服務器上,而各功能模塊可以根據用戶的實際網絡規模與主機性能由用戶確定安裝主機。在安裝時,所有的功能模塊均可以選擇單獨安裝,或與服務器共用一臺主機,最大限度地保證部署的靈活性與運行效率。
根據等級保護中提出的“進行集中的安全管理”和“系統運維管理”要求,需要實現主要功能如下:
(1)安全風險管理;(2)風險評估;(3)風險分析;(4)風險分級;(5)信息資產管理。
安全管理平臺應能實現對信息系統內所有的IT資產進行集中統一的管理,包括資產的特征、分類等屬性;但同時資產信息管理并不是為了簡單的統計,而是在統計的基礎上來發現資產的安全狀況,并納入到平臺的數據庫中,為其它安全管理模塊提供信息接口。
(1)系統脆弱性管理:各種重要信息資產存在的脆弱性是影響信息系統網絡安全的重要潛在風險,為了了解其安全脆弱性狀況,安全管理平臺應提供脆弱性管理功能,實現對重要信息資產安全脆弱性的收集和管理。該模塊收集和管理的脆弱性信息主要包括兩類:通過遠程安全掃描可以獲得的安全脆弱性信息和通過人工評估的方式收集的脆弱性信息。在定期收集到這些脆弱性信息后可以利用脆弱性管理系統進行導入和處理,以利于安全管理員對脆弱性信息的查詢、呈現并采取相應的措施進行處理。
(2)安全預警管理:安全管理平臺應能夠管理并實時呈現風險評估中心所提供的各類安全威脅、安全風險、安全態勢、安全隱患等信息;能夠在安全管理平臺統一界面上給出網絡安全的趨勢分析報表,分析的內容包括漏洞的分布范圍、受影響的系統情況、可能的嚴重程度等;能夠根據全網安全事件的監控情況,在安全管理平臺統一界面上給出現網中主要的攻擊對象分布、攻擊類型分布等情況分析,指導全網做好有效的防范工作,防止類似事件的發生;具備接收風險數據的接口,能夠在安全管理平臺統一界面上預先定義數據格式,自動生成預警信息。
(3)安全響應管理:安全管理平臺應能夠提供響應流程和響應方式的管理,能夠提供專家系統和知識庫的支持,并能夠針對各類用戶所關心的安全問題進行響應。響應方式包括從專家系統調用相關腳本自動進行漏洞修補、防火墻配置下發、網絡設備端口關閉等操作,從知識庫自動/手動地進行解決方案的匹配,然后通過自動或手動產生工單,通知相關管理員進行處理,并對工單的生命周期進行監控。此外還包括利用短信、E-mail等方式進行通知等。
(4)網絡安全管理:安全管理平臺應能夠實現對網絡設備的集中管理,能夠實現網絡設備的升級、網絡設備工作狀態監管、網絡流量監管、網絡設備漏洞分析與加固等功能,同時具備對網絡設備訪問日志的統一收集和分析功能。
(5)安全事件管理:安全事件管理是一種實時的、動態的管理模型,通過關聯分析來自不同地點、不同層次、不同類型的信息事件,幫助用戶系統管理人員發現真正關注的安全威脅,從而可以準確、實時地評估當前的安全態勢和風險,并根據預先制定策略做出快速的響應,有效應對出現的各類安全事件。
3 案例亮點及創新性
(1)全面提升了燃氣工控系統網絡安全防護管理的合規性,符合國家主管部門、行業監管部門的管理要求以及工控安全防護要求;
(2)全面提升了智慧煉化工控網絡的整體安全性,確保了設備、系統、網絡的可靠性、穩定性和安全性,為保障民生保駕護航;
(3)全面提升了智慧煉化業務人員的安全水平和安全意識,提升了安全管理水平、工作效率和管理效率。
摘自《自動化博覽》2023年3月刊
北京市公安局海淀分局備案號:11010802023656號