今日頭條
官方微信
官方抖音
案例頻道★于海躍,周升寶,白小愚,李顯松杭州安恒信息技術(shù)股份有限公司
★周亞超上海安恒時(shí)代信息技術(shù)有限公司
關(guān)鍵詞:DCS生產(chǎn)控制系統(tǒng);工業(yè)控制系統(tǒng)安全
1 項(xiàng)目概況
1.1 項(xiàng)目背景
國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告指出,工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)側(cè)暴露的工業(yè)設(shè)備有4630臺(tái),涉及國(guó)內(nèi)外35家廠商的可編程邏輯控制器、智能樓宇、數(shù)據(jù)采集等47種設(shè)備類型。監(jiān)測(cè)發(fā)現(xiàn)重點(diǎn)行業(yè)暴露的聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)有480套,其中石油天然氣有118套。暴露在互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)一旦被攻擊,將嚴(yán)重威脅生產(chǎn)系統(tǒng)的安全。上半年境內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)持續(xù)遭受來(lái)自境外的掃描嗅探日均超過2萬(wàn)次,嗅探行為主要來(lái)自于美國(guó)、英國(guó)、德國(guó)等境外國(guó)家。嗅探目標(biāo)涉及境內(nèi)能源、制造、通信等重點(diǎn)行業(yè)的聯(lián)網(wǎng)工業(yè)控制設(shè)備和系統(tǒng),大量關(guān)鍵信息基礎(chǔ)設(shè)施及其聯(lián)網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)信息被境外嗅探,給我國(guó)網(wǎng)絡(luò)空間安全帶來(lái)隱患。
某集團(tuán)公司儀表計(jì)量檢測(cè)中心工業(yè)生產(chǎn)控制系統(tǒng)中的兩條生產(chǎn)線的DCS控制系統(tǒng),目前均未采取安全防護(hù)措施。在巨大利益的驅(qū)使下,DCS生產(chǎn)控制系統(tǒng)已成為了被研究和攻擊的重點(diǎn)目標(biāo)。利益集團(tuán)千方百計(jì)采取針對(duì)性的手段來(lái)突破當(dāng)前已有防護(hù),而且當(dāng)前DCS控制系統(tǒng)與多廠商多設(shè)備對(duì)接,系統(tǒng)設(shè)備分布在各個(gè)區(qū)域,情況非常復(fù)雜,現(xiàn)有的防護(hù)措施難以應(yīng)對(duì)越來(lái)越復(fù)雜的攻擊行為,急需全面提升DCS生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)等級(jí)。
1.2 項(xiàng)目簡(jiǎn)介
安恒信息結(jié)合客戶集團(tuán)公司的網(wǎng)絡(luò)安全現(xiàn)狀,確定安全建設(shè)需求,加強(qiáng)“監(jiān)測(cè)預(yù)警系統(tǒng)”“應(yīng)急響應(yīng)手段”“大數(shù)據(jù)安全平臺(tái)”“信息系統(tǒng)等級(jí)保護(hù)建設(shè)”的推進(jìn)工作,全面提升集團(tuán)的工控網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力,并建立一個(gè)完善的信息安全預(yù)防、監(jiān)測(cè)、防御和響應(yīng)的縱深防御的安全體系。
1.3 項(xiàng)目目標(biāo)
根據(jù)集團(tuán)網(wǎng)絡(luò)安全所面臨的風(fēng)險(xiǎn)及特點(diǎn),為保障集團(tuán)生產(chǎn)線安全穩(wěn)定運(yùn)行,本解決方案主要達(dá)成以下幾方面目標(biāo):
(1)管理人員對(duì)目前內(nèi)網(wǎng)所存在風(fēng)險(xiǎn)能夠精確掌握。
(2)新上線安全設(shè)備及軟件與現(xiàn)有生產(chǎn)環(huán)境兼容,在不影響正常業(yè)務(wù)的情況下,全面保障集團(tuán)生產(chǎn)運(yùn)行。
(3)對(duì)生產(chǎn)網(wǎng)(車間接入)和辦公網(wǎng)邊界進(jìn)行隔離,確保辦公網(wǎng)對(duì)生產(chǎn)網(wǎng)訪問的安全性。
(4)技術(shù)人員對(duì)生產(chǎn)網(wǎng)中入侵、異常行為的及時(shí)發(fā)現(xiàn),對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行深度防護(hù)。
(5)管理人員、技術(shù)人員對(duì)整個(gè)工控系統(tǒng)各類設(shè)備運(yùn)行狀況、安全狀況統(tǒng)一管理。
2 項(xiàng)目實(shí)施
依據(jù)等保2.0最新要求和集團(tuán)工業(yè)控制系統(tǒng)安全防護(hù)策略,方案整體拓?fù)鋱D如圖1所示。
圖1 方案整體拓?fù)鋱D
2.1 總體設(shè)計(jì)思路
根據(jù)前期與客戶的交流,本次方案整體按照等保要求,從建立分區(qū)分域控制體系和構(gòu)建縱深防御體系兩個(gè)方面出發(fā),全面建設(shè)集團(tuán)儀表計(jì)量檢測(cè)中心兩條生產(chǎn)線DCS控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系,在滿足合規(guī)的同時(shí),達(dá)到整體網(wǎng)絡(luò)安全態(tài)勢(shì)可視的目的。
(1)構(gòu)建分域的控制體系方案在總體架構(gòu)上將按照區(qū)域邊界保護(hù)思路進(jìn)行,儀表計(jì)量檢測(cè)中心工控系統(tǒng)和外部系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域,以安全區(qū)域?yàn)閱挝贿M(jìn)行安全防御技術(shù)措施的建設(shè),從而構(gòu)成了分域的安全控制體系。(2)構(gòu)建縱深的防御體系方案包括技術(shù)和管理兩個(gè)部分,集團(tuán)工控系統(tǒng)圍繞著安全管理中心,從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境三個(gè)維度進(jìn)行安全技術(shù)和措施的設(shè)計(jì),保證業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù);通過集中管理,可對(duì)安全設(shè)備進(jìn)行聯(lián)動(dòng),對(duì)確認(rèn)的重大威脅或攻擊可進(jìn)行安全聯(lián)動(dòng)防護(hù),充分考慮各種技術(shù)的組合和功能的互補(bǔ)性,提供多重安全措施的綜合防護(hù)能力,從外到內(nèi)形成一個(gè)縱深的安全防御體系,保障系統(tǒng)整體的安全保護(hù)能力。
(3)保證一致的安全強(qiáng)度集團(tuán)工控安全等級(jí)保護(hù)設(shè)計(jì)方案將采用分級(jí)的辦法,對(duì)于同一安全等級(jí)系統(tǒng)采取強(qiáng)度一致的安全措施,并采取統(tǒng)一的防護(hù)策略,使各安全措施在作用和功能上相互補(bǔ)充,形成動(dòng)態(tài)的防護(hù)體系。
2.2 詳細(xì)方案設(shè)計(jì)
2.2.1 安全通信網(wǎng)絡(luò)
工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,區(qū)域間應(yīng)采用單向的技術(shù)隔離手段;工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同安全域,安全域之間應(yīng)采用技術(shù)隔離手段;涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。
在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸。
工業(yè)防火墻:集團(tuán)現(xiàn)網(wǎng)生產(chǎn)線有兩條鏈路,需要分別在每條鏈路生產(chǎn)網(wǎng)服務(wù)區(qū)的邊界部署工業(yè)防火墻,實(shí)現(xiàn)生產(chǎn)服務(wù)區(qū)與各個(gè)工廠之間的訪問控制;利用工業(yè)防火墻通過深度解析OPC、Modbus、S7、Ethernet/IP(CIP)等數(shù)十種工控協(xié)議,建立工業(yè)網(wǎng)絡(luò)通信“電子?xùn)艡凇保柚谷魏蝸?lái)自安全區(qū)域外的非授權(quán)訪問,有效抑制病毒、木馬在工控網(wǎng)絡(luò)中的傳播和擴(kuò)散,防護(hù)針對(duì)SCADA、PLC、DCS等重要控制系統(tǒng)的各類已知、未知的惡意攻擊和破壞行為。
2.2.2 安全區(qū)域邊界
應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備,配置訪問控制策略,禁止任何穿越區(qū)域邊界的通用網(wǎng)絡(luò)服務(wù);應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí),及時(shí)進(jìn)行報(bào)警。本次方案設(shè)計(jì)在工控系統(tǒng)邊界使用工業(yè)控制系統(tǒng)專用的工控防火墻進(jìn)行工控協(xié)議的安全防護(hù),在傳統(tǒng)IT網(wǎng)絡(luò)邊界區(qū)使用下一代防火墻為傳統(tǒng)IT網(wǎng)絡(luò)協(xié)議提供安全防護(hù)。
下一代防火墻:為保障傳統(tǒng)IT網(wǎng)絡(luò)與工控系統(tǒng)安全域的安全隔離,加強(qiáng)縱深防護(hù),需要在安全管理區(qū)部署下一代防火墻,梳理各業(yè)務(wù)流向,使用下一代防火墻對(duì)此邊界的入侵行為進(jìn)行安全防護(hù)。
工業(yè)防火墻:在OPC服務(wù)器和數(shù)采專網(wǎng)邊界部署一臺(tái)工控防火墻,使用工業(yè)防火墻將工業(yè)網(wǎng)絡(luò)內(nèi)部安全域間進(jìn)行邊界劃分,并配置訪問控制策略,利用工業(yè)防火墻的多業(yè)務(wù)端口實(shí)現(xiàn)橫向隔離,只允許特定設(shè)備的特定協(xié)議通過(如OPC、Modbus等)。工業(yè)防火墻具有bypass功能,確保生產(chǎn)業(yè)務(wù)的連續(xù)性。
2.2.3 安全計(jì)算環(huán)境
安全計(jì)算環(huán)境為整個(gè)工業(yè)控制系統(tǒng)提供安全的運(yùn)行環(huán)境。要保障整個(gè)計(jì)算環(huán)境的安全,需要部署工控漏洞掃描系統(tǒng)對(duì)工業(yè)控制系統(tǒng)計(jì)算環(huán)境中的漏洞進(jìn)行非侵入式探測(cè),及時(shí)發(fā)現(xiàn)計(jì)算環(huán)境的安全隱患。同時(shí)部署一臺(tái)工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái),對(duì)網(wǎng)絡(luò)中的工控協(xié)議進(jìn)行安全監(jiān)測(cè)。
工控漏洞掃描系統(tǒng):定期對(duì)生產(chǎn)網(wǎng)絡(luò)內(nèi)的終端設(shè)備進(jìn)行漏洞發(fā)現(xiàn),工控漏掃產(chǎn)品集資產(chǎn)探測(cè)識(shí)別、漏洞掃描、任務(wù)管理以及報(bào)表分析展示等功能于一體;擁有豐富的漏洞信息庫(kù),支持對(duì)傳統(tǒng)IT系統(tǒng)(包括:主流操作系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化系統(tǒng))的已知漏洞掃描與配置核查,以及對(duì)工業(yè)控制系統(tǒng)的已知漏洞識(shí)別檢測(cè);適用于各種企業(yè)的工業(yè)控制網(wǎng)絡(luò)環(huán)境中,能夠讓工控系統(tǒng)管理者及時(shí)發(fā)現(xiàn)安全漏洞,全面掌握當(dāng)前工業(yè)控制網(wǎng)絡(luò)及系統(tǒng)中的安全風(fēng)險(xiǎn);協(xié)議管理者進(jìn)行漏洞修復(fù),為提高安全建設(shè)提供直接依據(jù),從而全面提升整理安全性。
工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái):在工控服務(wù)器區(qū)核心交換機(jī)上部署工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái),實(shí)時(shí)監(jiān)測(cè)生產(chǎn)過程中產(chǎn)生的所有流量,識(shí)別多種工控協(xié)議,實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)內(nèi)的異常流量、異常行為、異常操作、非法接入等安全風(fēng)險(xiǎn)的實(shí)時(shí)告警。
2.2.4 安全管理中心
等保2.0對(duì)工控系統(tǒng)的要求,除了要滿足通用等保安全防護(hù)要求,還需要滿足工控?cái)U(kuò)展要求,同時(shí)等保2.0對(duì)三級(jí)系統(tǒng)安全建設(shè)新增了對(duì)安全管理中心的要求,需要再劃分出安全管理域,并將安全設(shè)備審計(jì)集中進(jìn)行管理。
工業(yè)安全管理平臺(tái):可以通過專用的安全管理通道,對(duì)各安全域的工業(yè)防火墻、安全監(jiān)測(cè)審計(jì)等安全設(shè)備進(jìn)行集中管控、狀態(tài)監(jiān)測(cè)、策略配置下發(fā)等。工業(yè)安全管理平臺(tái)可及時(shí)發(fā)現(xiàn)、報(bào)告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為,通過統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測(cè)、安全防護(hù)和應(yīng)急處置,全方位保障工業(yè)控制系統(tǒng)信息安全。
綜合日志審計(jì)系統(tǒng):集中收集分散在各個(gè)安全域探針的日志、流量等信息進(jìn)行信息匯總和集中分析;支持多種設(shè)備型號(hào)的日志收集,覆蓋幾乎所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用及數(shù)據(jù)庫(kù)等,通過多維度、跨設(shè)備、細(xì)粒度的關(guān)聯(lián)分析,打破信息孤島,自動(dòng)進(jìn)行日志審計(jì),快速發(fā)現(xiàn)潛在安全事件。
運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)(堡壘機(jī)):通過賬號(hào)管理、身份認(rèn)證、自動(dòng)改密、資源授權(quán)、實(shí)時(shí)阻斷、同步監(jiān)控、審計(jì)回放、自動(dòng)化運(yùn)維流程管理等功能,增強(qiáng)運(yùn)維管理的安全性。
工業(yè)安全態(tài)勢(shì)感知平臺(tái):工業(yè)控制系統(tǒng)主要部署于企業(yè)生產(chǎn)網(wǎng),與互聯(lián)網(wǎng)嚴(yán)格隔離,相關(guān)流量與日志信息無(wú)法及時(shí)獲取。工業(yè)企業(yè)生產(chǎn)網(wǎng)的相關(guān)流量和日志信息是工控安全監(jiān)測(cè)的重點(diǎn)區(qū)域,如出現(xiàn)安全隱患或安全事件,可能造成極為嚴(yán)重的后果。為此,有必要建設(shè)一套覆蓋工業(yè)企業(yè)的安全態(tài)勢(shì)感知平臺(tái),為工業(yè)控制系統(tǒng)安全監(jiān)測(cè)與預(yù)警體系提供技術(shù)支撐。在工業(yè)場(chǎng)景中,對(duì)數(shù)據(jù)的實(shí)時(shí)性要求很高,數(shù)據(jù)的價(jià)值隨著時(shí)間的流逝而降低。工業(yè)安全監(jiān)測(cè)分析能夠?qū)φ诎l(fā)生的事件進(jìn)行實(shí)時(shí)分析,及時(shí)發(fā)現(xiàn)最可疑的安全威脅。
3 案例亮點(diǎn)及創(chuàng)新性
3.1 結(jié)合威脅情報(bào)為安全事件提供溯源分析和問題定位
通過基于大數(shù)據(jù)技術(shù)平臺(tái)的企業(yè)級(jí)網(wǎng)絡(luò)安全監(jiān)控平臺(tái)的建設(shè),在平臺(tái)完成以威脅情報(bào)中心作為信息源,通過收集內(nèi)部與外部威脅信息,以及與第三方情報(bào)提供商合作,形成企業(yè)自主的情報(bào)中心,主動(dòng)掌握攻擊方最新的活動(dòng)及攻擊手段。在監(jiān)測(cè)告警環(huán)節(jié)啟動(dòng)應(yīng)急響應(yīng)流程,全程跟蹤安全事件及漏洞,將被動(dòng)挨打轉(zhuǎn)化為主動(dòng)出擊。依托強(qiáng)大的安全大數(shù)據(jù)處理能力,對(duì)公司全網(wǎng)進(jìn)行快速排查與分析,打造主動(dòng)縱深防御的機(jī)制,第一時(shí)間掌握企業(yè)安全態(tài)勢(shì),做到全局把控,避免出現(xiàn)攻擊事件突發(fā)情況的產(chǎn)生,從企業(yè)內(nèi)部根本性解決安全隱患。
3.2 提高了技術(shù)能力和安全意識(shí)
在平臺(tái)運(yùn)營(yíng)過程中,將技術(shù)創(chuàng)新貫穿到業(yè)務(wù)系統(tǒng)的全生命周期中,形成全生命周期的安全檢測(cè)機(jī)制;讓各成員企業(yè)最了解自己業(yè)務(wù)的技術(shù)人員主動(dòng)去檢測(cè)自己的業(yè)務(wù)系統(tǒng),定期對(duì)相應(yīng)的人員進(jìn)行評(píng)優(yōu),給予相應(yīng)獎(jiǎng)勵(lì),充分調(diào)動(dòng)了大家的積極性,提高了安全意識(shí)與安全技能。
3.3 滿足了工控安全等保合規(guī)性
目前行業(yè)沒有完善的工控安全體系建設(shè),并且企業(yè)也沒有相應(yīng)的工控安全建設(shè)規(guī)范文件。在當(dāng)前國(guó)家政策的指引下,等保的合規(guī)性事關(guān)重要,首先必須滿足等保的最基本相關(guān)要求,然后在這個(gè)要求的基礎(chǔ)上再?gòu)奶岣咂髽I(yè)自身的安全運(yùn)營(yíng)能力上進(jìn)一步去提升公司的工控安全建設(shè)。方案中應(yīng)用具有免疫特征的安全防護(hù)體系、機(jī)制和關(guān)鍵技術(shù)在保證合規(guī)性建設(shè)的同時(shí),可以持續(xù)解決新技術(shù)、新應(yīng)用所帶來(lái)的安全問題。
3.4 提高了安全運(yùn)維人員的工作效率
(1)通過考核管理模塊,創(chuàng)建考核任務(wù),可以對(duì)各個(gè)廠或者相關(guān)人員進(jìn)行整體的安全評(píng)價(jià),方便安全運(yùn)維人員實(shí)時(shí)掌握各廠或者人員安全工作開展的情況;
(2)安全運(yùn)維人員可以一鍵生成安全運(yùn)營(yíng)及分析報(bào)告,以圖形化形式對(duì)報(bào)告進(jìn)行展現(xiàn),解放安全運(yùn)維人員以往需要人工編寫分析運(yùn)營(yíng)報(bào)告的工作,并且當(dāng)發(fā)生安全事件時(shí),可以提供詳細(xì)的安全事件分析溯源取證信息及專家處置建議指導(dǎo),幫助企業(yè)洞察網(wǎng)絡(luò)安全態(tài)勢(shì);
(3)“一張卡片看清風(fēng)險(xiǎn),一頁(yè)報(bào)告看清始末”,可以為企業(yè)安全運(yùn)維人員展示企業(yè)基本信息以及發(fā)生的安全事件和處置的狀態(tài),以及系統(tǒng)和資產(chǎn)的安全狀態(tài)、企業(yè)面臨的安全風(fēng)險(xiǎn)等,方便安全運(yùn)維人員及時(shí)掌握整個(gè)企業(yè)的安全狀況;
(4)方案中平臺(tái)提供在線安全培訓(xùn)模塊,可以讓相關(guān)人員及時(shí)地學(xué)習(xí)相關(guān)的網(wǎng)絡(luò)安全知識(shí);
(5)可以實(shí)時(shí)掌握資產(chǎn)訪問流量、訪問次數(shù)變化趨勢(shì)、訪問來(lái)源、資產(chǎn)的漏洞信息等,方便安全運(yùn)維人員對(duì)整個(gè)企業(yè)的資產(chǎn)進(jìn)行安全管理;
(6)平臺(tái)可實(shí)現(xiàn)安全自動(dòng)化編排響應(yīng)(自動(dòng)化處置相關(guān)的事件),將安全運(yùn)維人員從分析工作中解放出來(lái),可以流程化地完成事件的管理,提高了協(xié)作溝通能力。
作者簡(jiǎn)介
于海躍(1992),男,黑龍江鶴崗人,學(xué)士,現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司,主要從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面的研究。
周升寶(1982-),男,天津人,中級(jí)工程師,學(xué)士,現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司,主要從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全、工業(yè)自動(dòng)化方面的研究。
白小愚(1984-),男,北京人,學(xué)士,現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司,主要從事工業(yè)互聯(lián)網(wǎng)威脅評(píng)估與態(tài)勢(shì)感知技術(shù)方面的研究。
李顯松(1989-),男,重慶人,學(xué)士,現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司,主要從事工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全以及功能安全方面的研究。
周亞超(1985-),女,河北唐山人,高級(jí)工程師,博士,現(xiàn)就職于上海安恒時(shí)代信息技術(shù)有限公司,主要從事網(wǎng)絡(luò)安全方面的研究。
摘自《自動(dòng)化博覽》2024年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)