今日頭條
官方微信
官方抖音
案例頻道★鮑立萬,江君福,盛文升臺州市水務集團股份有限公司
★王劍東,王紅杰,葉秀員浙江國利網(wǎng)安科技有限公司
關(guān)鍵詞:工控網(wǎng)絡(luò)安全;城市供水;縱深防御體系;工控資產(chǎn)安全
1 項目概況
1.1 項目背景
隨著兩化融合走向深入,工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化快速發(fā)展,對水全生命周期(包括原水、制水、二次供水等)的網(wǎng)絡(luò)攻擊事件頻發(fā),地區(qū)降水量偏少,各大水庫普遍缺水,城市水務集團肩負著城市整體供水任務,2023年7月供水量最高已達到97.86萬噸。集團及下屬基層單位存在工控系統(tǒng)無法自主可控、工控安全防護技術(shù)能力薄弱、安全建設(shè)不統(tǒng)一等問題,其工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)迫在眉睫。
1.2 項目簡介
基于功能一致性原則,在充分參考城市水務集團工控網(wǎng)絡(luò)安全建設(shè)路徑、思路和做法的基礎(chǔ)上,本項目根據(jù)城市水務集團下屬單位不同安全需求進行安全設(shè)計和建設(shè),如水廠處理重點是加強關(guān)鍵控制設(shè)備(例如加藥、增壓等工藝流程的PLC控制器)防護能力;針對二次供水結(jié)合點位分散數(shù)量多的情況設(shè)計推出輕量級邊界防護設(shè)備,加強二次供水底層邊界防護能力,進一步提升水全生命周期安全防護能力。
1.3 項目目標
水全生命周期整體工控網(wǎng)絡(luò)安全建設(shè)主要存在安全建設(shè)不全面不完善、安全防護不精準、工控核心控制器缺乏防護、安全應急響應不及時、二供終端建設(shè)缺乏安全考慮等問題。針對城市水務集團工控系統(tǒng)網(wǎng)絡(luò)安全面臨的風險及行業(yè)安全建設(shè)方案的不足,本項目建設(shè)專注于核心控制層面的防護,側(cè)重工業(yè)控制網(wǎng)絡(luò)中在網(wǎng)資產(chǎn)的實時監(jiān)測,尤其是控制器資產(chǎn)信息,及時發(fā)現(xiàn)潛在威脅和異常資產(chǎn)接入情況,現(xiàn)場人員對現(xiàn)場資產(chǎn)狀態(tài)信息了如指掌,做到不遺漏生命周期中任何一個環(huán)節(jié)的工控網(wǎng)絡(luò)安全,例如常規(guī)安全提升方案中極易忽視的二供終端安全建設(shè),由于數(shù)量多分散廣的特點,計劃部署輕量級工業(yè)防火墻作為邊界防護,抵御外部入侵行為,保障居民用水正常。
本項目根據(jù)城市水務集團工控網(wǎng)絡(luò)安全建設(shè)需求,構(gòu)建具備“預警”“監(jiān)測”“響應”“防護”“保障”功能的縱深防御體系,如圖1所示,在滿足等級保護第二級能力要求基礎(chǔ)上,進一步提升水全生命周期工控網(wǎng)絡(luò)安全防護能力。
圖1 水全生命周期防護體系
(1)事前“預警”
“預警”功能整合水全生命周期中各級單位自身安全產(chǎn)品信息,包含監(jiān)測、防護產(chǎn)品采集的信息、運維中心主動掃描獲取的信息,以及跟隨知識庫實時更新的最新威脅情報信息,對用戶資產(chǎn)進行資產(chǎn)畫像分析。工控網(wǎng)絡(luò)安全預警以工控安全事件及網(wǎng)絡(luò)安全事件為主,幫助用戶查看資產(chǎn)的詳細信息、網(wǎng)絡(luò)事件、風險暴露點和潛在的漏洞風險等,即“預測”資產(chǎn)的風險并“感知”網(wǎng)絡(luò)的隱患。
(2)實時“監(jiān)測”
“監(jiān)測”功能通過網(wǎng)絡(luò)流量捕捉、主機信息捕捉、工業(yè)控制器信息捕捉、網(wǎng)絡(luò)設(shè)備信息捕捉等方式,全面監(jiān)測用戶網(wǎng)絡(luò)中的安全狀態(tài),實現(xiàn)網(wǎng)絡(luò)的空間測繪,全息展現(xiàn)網(wǎng)絡(luò)中的通信關(guān)系;實現(xiàn)威脅分析,包含掃描、病毒、惡意代碼、高危遠程訪問等網(wǎng)絡(luò)威脅分析;實現(xiàn)深度流量分析,分析維度包含資產(chǎn)流量、協(xié)議流量、接口流量等;實現(xiàn)工控操作的審計,細粒度至協(xié)議、功能碼、操作地址、操作值的審計;實現(xiàn)工控資產(chǎn)識別,識別資產(chǎn)的品牌、型號、系列、固件版本、操作系統(tǒng)等信息;實現(xiàn)工控異常網(wǎng)絡(luò)事件監(jiān)測,包含異常通信、跨域鏈接、非法外鏈、異常資產(chǎn)接入等網(wǎng)絡(luò)事件監(jiān)測;實現(xiàn)非法工控操作監(jiān)測,包含非法訪問控制器、非法操作功能碼等異常行為監(jiān)測,全方位、持續(xù)性地監(jiān)測網(wǎng)絡(luò)中存在的威脅。
(3)快速“響應”
“響應”功能是當網(wǎng)絡(luò)中出現(xiàn)威脅的時候,可以進行威脅事件回溯、攻擊路徑還原,可以幫助用戶查看攻擊的攻擊源、攻擊路徑、攻擊類型、攻擊階段、影響范圍等,以此進一步幫助用戶對攻擊進行處理,并對攻擊影響范圍進行修復。同時,還可以針對威脅進行策略的優(yōu)化并分發(fā)至防護產(chǎn)品進行防護。舉例來說,當“監(jiān)測”功能發(fā)現(xiàn)一個異常外鏈的網(wǎng)絡(luò)風險,即可通過“響應”功能形成相應的防護策略,并下發(fā)至“防護”產(chǎn)品,阻斷該外鏈行為的數(shù)據(jù)包,為城市水務集團及下屬單位提供了快速應急情況響應,可以及時解決網(wǎng)絡(luò)安全問題,持續(xù)保障生產(chǎn)穩(wěn)定。
(4)可靠“防護”
“防護”功能根據(jù)用戶配置的策略,保障用戶的操作行為符合白名單的設(shè)置,對用戶網(wǎng)絡(luò)進行防護。以小至大,分別可以對控制器和操作主機進行定點防護,防護內(nèi)容包含非法操作IP與MAC阻斷、非法操作功能碼阻斷、非法寫入數(shù)值阻斷等;可以對生產(chǎn)管理區(qū)和生產(chǎn)控制區(qū)進行隔離防護,阻斷不符合白名單的通信報文。
(5)專業(yè)“保障”
“保障”服務根據(jù)水全生命周期單位不同工藝特點提供全方位專業(yè)的安全保障服務,例如安全風險評估、滲透測試、重大活動保障、應急演練、應急響應、安全培訓等,力求通過安全服務為客戶持續(xù)培養(yǎng)安全人才并提升現(xiàn)場人員安全技術(shù)能力,建立專業(yè)的工控網(wǎng)絡(luò)安全團隊。
2 項目實施
2.1 應用案例介紹
本方案根據(jù)前期對該地區(qū)多個水廠的現(xiàn)場調(diào)研,了解了水務集團及各個制水廠、泵站、二次供水等工控系統(tǒng)的基本情況,包括其整體網(wǎng)絡(luò)架構(gòu)、廠級防護能力、工控資產(chǎn)狀態(tài)、二次供水邊界防護等。本項目根據(jù)水全生命周期的業(yè)務特點,針對設(shè)備安全、控制安全、應用安全及資產(chǎn)安全等進行縱深防御體系建設(shè),并根據(jù)集團要求開展生產(chǎn)網(wǎng)整體規(guī)劃。整體方案如圖2所示。
圖2 工控網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)拓撲示意圖
在主力水廠核心控制前端部署控制器防護系統(tǒng),基于行業(yè)工藝流程特點,精準防護控制器的誤操作、惡意操作,阻斷針對控制器特定漏洞的攻擊行為;在核心交換機旁路部署控制器完整性監(jiān)測與恢復系統(tǒng),深入研究工業(yè)控制器本質(zhì)安全,對控制器的運行狀態(tài)、故障診斷及內(nèi)部組態(tài)工程進行實時監(jiān)測和支持無損恢復控制器組態(tài)工程。
在水廠工控系統(tǒng)的生產(chǎn)控制層與現(xiàn)場監(jiān)控層之間、二次供水及泵站前端部署工業(yè)防火墻,通過白名單技術(shù)實現(xiàn)工業(yè)控制網(wǎng)絡(luò)邊界防護;在水廠生產(chǎn)網(wǎng)邊界部署工業(yè)網(wǎng)閘,實現(xiàn)物理隔離,保障水廠生產(chǎn)數(shù)據(jù)上傳。
在水全生命周期工控系統(tǒng)的各個工控主機、服務器、接口機等設(shè)備安裝工業(yè)主機安全防護系統(tǒng)進行安全加固,能夠?qū)た刂鳈C的運行資源、數(shù)據(jù)資源和物理存儲資源進行管控,防范未知病毒的運行及其對主機資源的利用。
在水廠測試運行工控資產(chǎn)健康監(jiān)測系統(tǒng),通過主動掃描形式發(fā)現(xiàn)在網(wǎng)資產(chǎn)健康狀態(tài),防范異常資產(chǎn)接入及時告警,保障水廠工控資產(chǎn)安全。
在水廠建立廠級安全運維中心,將核心交換機流量鏡像接入工控安全審計、工業(yè)入侵檢測系統(tǒng)進行實時分析,實現(xiàn)操作行為審計、外部入侵檢測和異常行為告警;旁路部署日志審計實現(xiàn)全網(wǎng)日志統(tǒng)一存儲分析;部署數(shù)據(jù)庫審計實現(xiàn)數(shù)據(jù)庫服務器行為操作審計記錄預警;部署運維審計實現(xiàn)第三方安全運維審計記錄告警,資源合理劃分;通過統(tǒng)一安全管理平臺實現(xiàn)廠內(nèi)安全設(shè)備集中管理與統(tǒng)一配置。
2.2 實施成效
通過本方案實施,從設(shè)備安全、控制安全、邊界安全及資產(chǎn)安全等角度出發(fā),構(gòu)建水全生命周期工控網(wǎng)絡(luò)安全縱深防御體系。主要實施成效如下:
(1)實現(xiàn)水全生命周期的資產(chǎn)繪制和圖譜建立
基于內(nèi)置完備的工控知識庫,通過主動探測獲取網(wǎng)絡(luò)中的資產(chǎn)指紋信息,對資產(chǎn)關(guān)鍵特征進行有效提取,構(gòu)建基于資產(chǎn)識別、狀態(tài)監(jiān)測、日志獲取、風險預警的全面資產(chǎn)繪制,形成工控資產(chǎn)圖鑒與接入網(wǎng)絡(luò)圖譜。基于資產(chǎn)風險規(guī)則引擎,結(jié)合網(wǎng)絡(luò)拓撲動態(tài)監(jiān)測,全局分析資產(chǎn)健康指標,實現(xiàn)工業(yè)網(wǎng)絡(luò)空間的全息測繪。
(2)實現(xiàn)水全生命周期關(guān)鍵控制器防護
通過采取設(shè)備身份鑒別與白名單訪問控制實現(xiàn)對工業(yè)控制器的保護,使得所有對工業(yè)控制器的訪問均為已授權(quán)的訪問,確保工業(yè)控制器執(zhí)行的控制命令均來自合法用戶。同時,實現(xiàn)對工業(yè)控制器的運行狀態(tài)、數(shù)據(jù)狀態(tài)等進行實時、深度監(jiān)測,根據(jù)異常情況進行告警與防護,并可在控制器工藝組態(tài)文件被篡改的情況下快速恢復安全版本。
(3)實現(xiàn)水全生命周期生產(chǎn)邊界隔離
通過白名單訪問控制實現(xiàn)泵房控制網(wǎng)絡(luò)的區(qū)域邊界隔離,對非法訪問行為及時阻斷,有效解決外部入侵威脅,持續(xù)保障水全生命周期終端節(jié)點生產(chǎn)控制安全;通過先進的網(wǎng)絡(luò)物理隔離技術(shù)和數(shù)據(jù)擺渡技術(shù),解決水廠生產(chǎn)網(wǎng)與信息網(wǎng)數(shù)據(jù)交互與不同安全區(qū)域之間的邊界隔離防護問題。
(4)實現(xiàn)水全生命周期資產(chǎn)識別與監(jiān)測
通過工控資產(chǎn)健康監(jiān)測系統(tǒng),利用主動形式識別水廠控制網(wǎng)絡(luò)在網(wǎng)資產(chǎn)健康狀態(tài)并進行實時監(jiān)測與分析,識別網(wǎng)絡(luò)內(nèi)的異常資產(chǎn)接入情況提供快速告警,協(xié)助梳理在網(wǎng)資產(chǎn)網(wǎng)絡(luò)結(jié)構(gòu),幫助現(xiàn)場人員快速掌握網(wǎng)絡(luò)狀態(tài),保障生產(chǎn)控制網(wǎng)絡(luò)資產(chǎn)安全。
3 案例亮點及創(chuàng)新性
3.1 技術(shù)先進性
(1)基于交互特征的工控通信主體識別技術(shù)
基于工控網(wǎng)絡(luò)通信主體交互特征庫,通過主動掃描和被動監(jiān)控相結(jié)合的工控通信主體識別方法,通過策略自學習、測試模式等設(shè)定,針對連接狀態(tài)、認證狀態(tài)、請求-響應等變遷特征形成高效、高準確度的工控通信主體識別方法,構(gòu)造數(shù)據(jù)包主動與在網(wǎng)資產(chǎn)通信,提取在網(wǎng)資產(chǎn)自身的資產(chǎn)屬性及運行特征,如資產(chǎn)類型、資產(chǎn)型號、操作系統(tǒng)、在離線狀態(tài)、資源使用情況、運行日志、開放服務端口等信息,結(jié)合工控網(wǎng)絡(luò)中的會話信息特征,再提取相應資產(chǎn)的對外通信內(nèi)容、通信協(xié)議、流量數(shù)據(jù)等信息,實現(xiàn)實時監(jiān)測資產(chǎn)及網(wǎng)絡(luò)狀態(tài),及時發(fā)現(xiàn)資產(chǎn)異常、網(wǎng)絡(luò)異常、風險暴露面,形成工控資產(chǎn)圖鑒與接入網(wǎng)絡(luò)圖譜。
(2)資產(chǎn)健康度評分算法
基于工控通信主體識別技術(shù)提取在網(wǎng)資產(chǎn)自身的資產(chǎn)屬性、運行特征及工控網(wǎng)絡(luò)會話信息,對獲取的信息進行分析預處理,融合時序變化特征,輸出事件及事件等級;構(gòu)建多維度工控資產(chǎn)健康度評估模型,根據(jù)當前網(wǎng)絡(luò)情況、資產(chǎn)重要程度自適應調(diào)整事件評估權(quán)重,生成相應資產(chǎn)的健康度評分,并輸出資產(chǎn)預測風險點。
(3)工控OT操作深度審計
根據(jù)工藝要求和控制流程,結(jié)合I/O點表信息,智能識別工控系統(tǒng)應用服務對象、角色關(guān)聯(lián)對象、目標系統(tǒng)安全域?qū)ο蠛湍繕讼到y(tǒng)參數(shù)安全范圍對象,根據(jù)識別出來的安全對象,映射生成安全產(chǎn)品防護策略規(guī)則樹,實現(xiàn)工控OT操作深度審計,支持多指標的工控行為檢測及工控數(shù)據(jù)變更檢測,支持深度解析城市水務行業(yè)常用協(xié)議Modbus、S7、ENIP/CIP、OPC、IEC104等。
3.2 可推廣性
隨著城市水務數(shù)字化、智能化建設(shè)浪潮,城市水務集團水全生命周期工控網(wǎng)絡(luò)安全面臨著愈加復雜的網(wǎng)絡(luò)安全風險挑戰(zhàn)。通過此次項目建設(shè),為典型的集團型水務企業(yè)提供了工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)和運維管理的示范案例,有效保障了水全生命周期的生產(chǎn)安全,提高了整體生產(chǎn)網(wǎng)絡(luò)應急響應能力水平,以及集團工控網(wǎng)絡(luò)安全管控能力水平,并借此建立了集團工控網(wǎng)絡(luò)安全標準,可作為典型案例進行示范推廣,為持續(xù)推進工控網(wǎng)絡(luò)安全建設(shè)提供了模板,加強了整體工控網(wǎng)絡(luò)安全防護能力,保障了水全生命周期安全,保證了居民用水安全。
作者簡介
鮑立萬(1973-),男,浙江臺州人,高級工程師,學士,現(xiàn)就職于臺州市水務集團股份有限公司,主要從事生產(chǎn)過程優(yōu)化、智慧水務方面的研究。
江君福(1977-),男,浙江臺州人,工程師,學士,現(xiàn)就職于臺州市水務集團股份有限公司,主要從事智慧水務方面的研究。
盛文升(1985-),男,浙江臺州人,工程師,碩士,現(xiàn)就職于臺州市水務集團股份有限公司,主要從事智慧水務及網(wǎng)絡(luò)安全方面的研究。
王劍東(1979-),男,黑龍江牡丹江人,工程師,碩士,現(xiàn)就職于浙江國利網(wǎng)安科技有限公司,主要從事控制理論與控制工程方面的研究。
王紅杰(1991-),女,山東菏澤人,碩士,現(xiàn)就職于浙江國利網(wǎng)安科技有限公司,主要從事城市關(guān)鍵基礎(chǔ)設(shè)施工控網(wǎng)絡(luò)安全方面的研究。
葉秀員(1985-),男,浙江寧波人,學士,現(xiàn)就職于浙江國利網(wǎng)安科技有限公司,主要研究方向為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號