今日頭條
官方微信
官方抖音
資訊頻道1 項目背景
伴隨著網絡安全法的正式頒布實施,中國網絡空間安全管理正式步入法制時代;針對工業控制系統,國家及各部委出臺了一系列工控安全的政策、標準,指導并規范工業控制系統領域網絡與信息安全工作,保障自動化控制系統持續、安全、穩定運行,提高企業生產安全態勢。
· 2017年6月1日正式生效的《中華人民共和國網絡安全法》中明確規定 “國家實行網絡安全等級保護制度” ,并明確 “國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。”
· 新發布的《信息安全技術 網絡安全等級保護基本要求》標準(即等保2.0)中也明確定義了針對工業控制系統的安全要求,要求安全的工業控制系統解決方案需要具備相應的安全審計功能。
· “中國制造2025”及工信部的《工業控制系統信息安全行動計劃(2018-2020年)》均對工控信息安全提出了新的要求,工控系統的安全運營離不開堅實的工控安全保障。
2 項目目標與原則
本項目依據《中國石化工業儀表控制系統安全防護實施規定》(中國石化生〔2019〕318號)對青島煉化工業控制系統(DCS)網絡邊界進行安全防護提升,涉及DCS系統網絡分區與邊界隔離防護,工控態勢感知系統(OSA)升級、惡意軟件檢測及預防策略部署、工控多引擎惡意代碼掃描檢測系統部署、控制系統補丁下載平臺與補丁測試平臺搭建、時鐘同步系統升級、第三方系統和DCS之間的隔離防護、工控系統等保體系認證咨詢、數據采集接口測試等實施內容。
3 項目實施與應用情況
(1)DCS系統網絡分區與邊界隔離防護
在OT網和辦公網絡之間部署天融信工控安全隔離與信息交換系統,保證數據傳輸的安全性和實現網絡的物理隔離,并采用冗余熱備的方式部署,保證網絡通訊的健壯性、穩定性和高可用性。在終端總線上聯處部署天融信下一代防火墻,設置DMZ,該防火墻可識別工業通訊協議,實現IPS功能并能有效抵御DDoS攻擊。配置嚴格的訪問策略,實現DMZ區設備和終端總線主機的安全通訊。
(2)工控態勢感知系統(OSA)升級
在該項目中西門子會對目前青島大煉油工控網絡DMZ區的工控態勢感知系統進行升級,升級到當前最新的版本。在最新的工控態勢感知系統中OSA服務器通過采集上位機、服務器、網絡設備、防火墻、工控應用等安全日志以及工業控制網絡的全報文網絡流量,支持工控網絡資產清單發現和網絡拓撲自動生成、網絡負載監控、非法資產接入及變更管理、OT入侵檢測和安全事件管理、網絡狀態和違規行為檢測、集中日志審計和U盤管控等功能。
同時會在所有西門子工控系統DCS的上位機和服務器部署安全日志采集代理,采集上位機上的日志,并確保和現有的西門子工控系統DCS原生兼容。
升級工控態勢感知系統流量采集設備探針到最新版本,版本號至少為OSA sensor 4.x,,在交換機配置鏡像口把工控網絡與DMZ之間通信流量傳輸到工控態勢感知系統流量采集設備探針(OSA sensor 4.x),提供網絡流量采集、網絡IDS(Intrusion Detection System)及DPA(Deep Packet Analysis)分析功能并通過和服務器端的VPN通道將相關數據傳輸至服務器端。
工業控制網絡安全態勢感知系統(OSA及sensor)總體的系統架構如下圖
OSA系統架構圖
(3)基于白名單的惡意軟件檢測及預防
在OPC服務器上部署McAfee白名單軟件,把上位機和服務器上的進程加入到白名單信任列表,可以阻止新的進程、已知和未知惡意代碼在上位機和服務器上運行。其中服務器上安裝McAfee服務器白名單軟件,在終端上安裝McAfee終端白名單軟件。
McAfee白名單僅允許可信任的應用程序下載或執行內容。在系統內,應用程序級白名單功能可以通過簡單的被動式定義安全且獲授權的應用程序來強制執行命令。啟用白名單功能能禁止運行名單之外的應用程序,有助于降低系統崩潰或遭到攻擊的可能性。
(4)工控多引擎惡意代碼掃描工作站(Scanning Station)
在DMZ非軍事區前端防火墻外面部署工控多引擎惡意代碼掃描工作站(Scanning Station), 型號為Scanning Station v3.0,提供針對可移動存儲介質的多引擎惡意代碼掃描,同時把掃描結果通過前端防火墻上傳到OSA服務器,OSA服務器根據查殺結果通知安裝在上位機上的日志采集代理檢測及管控可移動存儲介質及U盤。
對于不可拆解無法取出硬盤的的計算機工作站等,可通過工控多引擎惡意代碼掃描設備多引擎查殺USB,型號為便攜式病毒掃描設備,查殺計算機或工作站,實現上位機、服務器及新接入到系統中的設備的病毒查殺。
Scanning Station使用場景示意圖
(5)控制系統補丁下載平臺與補丁測試平臺搭建
及時地進行Windows操作系統補丁升級可以有效的彌補已存在的漏洞,可增強工控系統的健壯性。但OT網絡又有別于普通的IT環境,OT環境更加敏感和固定,對運行環境的依賴度很高,不接受計劃外的宕機,如果不加控制的對工控系統的主機進行系統補丁升級,有可能會對現有系統造成的不確定的影響。為了使生產網絡中某些主機能及時的進行操作系統的安全和關鍵補丁更新,在避免因系統漏洞帶來潛在威脅的同時兼顧原有業務系統功能不受影響,特設計了WSUS與終端防護部署方案。
如下是補丁升級示意圖,在DMZ 區部署WSUS服務器,從微軟官方網站下載必要系統補丁,并通過防火墻策略,生產環境的SCADA主機從WSUS服務器上同步必要的補丁,為了保證系統補丁升級不會帶來負面影響,需要在大范圍實施前對需要升級的補丁進行測試,在測試環境中驗證沒有不良影響之后再對生產環境OT主機進行相應的補丁升級。
補丁升級示意圖
(6) 第三方系統與DCS之間的隔離防護
在項目實施過程中,西門子根據現場第三方系統,DCS系統以及網絡的實際情況,和客戶制定有效的防火墻安全策略,同時確保安全策略實施后客戶的業務系統仍能夠安全穩定的運行。
(7)等保體系認證與咨詢
2019年5月13日,網絡安全等級保護制度2.0標準正式發布,等保2.0標準在1.0標準的基礎上,注重在全方位主動防、安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。
等保2.0結構示意圖
(8) 數據采集接口測試
在項目部署結束后,西門子將配合客戶完成工廠辦公網數據庫的采集接口測試,實現辦公網數據倉庫單項采集DCS OPC數據功能,在此期間西門子主要為客戶提供有關測試的技術指導,協助客戶完成測試工作。
4 效益分析
(1)項目執行不對正常生產造成干擾;
(2)實現對全種類病毒的安全防護;
(3)安全方案無縫部署;
(4)全球最大的獨立工業信息安全項目;
(5)為PCS 7運行環境開發一套安全解決方案,其中包括DMZ、防火墻、防病毒系統、補丁管理、用戶管理,以及系統加固措施,工控安全態勢感知系統OSA;
(6)在工廠停工檢修2個星期內完成安全方案部署;
(7) 為工廠環境提供持續安全防護;
(8)降低安全風險的同時保證了生產可用性;
(9)零安全事件/病毒感染;
(10)中國石化領域客戶的未來安全藍圖。
近年來,制造業和基建設施受到的攻擊日益增多——生產制造型企業以及關鍵基礎設施,包括電力、能源、交通,甚至核電設備都受到了黑客多種的攻擊。不同于IT系統的安全問題,最大的威脅可能是商業業務的停滯以及信息的泄露;OT環境一旦受到攻擊,就很有可能會對環境以及人生帶來直接的傷害。安全也必須緊跟而上,確保OT的安全。但是在OT環境部署安全產品的時候會面臨很大的挑戰,其主要的原因在于OT環境自身的屬性以及安全產品對OT 環境的適應。西門子在工業控制領域的產品及方案非常豐富,從離散控制、過程控制到運動控制,幾乎都能找到成套的解決方案,這就意味著對OT系統有著深入的了解和實踐經驗,這些都有助于OT安全的實施和部署,可以快速的搭建測試環境;可以預見和規避一些風險;可以方便的獲得內部專家的支持。
北京市公安局海淀分局備案號:11010802023656號