今日頭條
官方微信
官方抖音
資訊頻道摘要:在早期,由于信息化發展水平有限,工業控制系統與信息管理層基本上處于隔離狀態。因此,企業的信息化建設首先從信息層開始,經過10多年的建設積累,信息層的信息化建設已經有了較好的基礎,涉及到了鋼鐵、勘探、加工、煉化、化工、儲運等諸多工業領域,企業在管理層的指揮、協調和監控能力都有很大提升,提高了生產信息上傳下達的實時性、完整性和一致性,相應的網絡安全防護也有了較大提高。在信息管理層面,企業在生產領域大量引入IT技術,同時也包括各種如防火墻、IDS、VPN、防病毒等IT網絡安全技術,這些技術主要面向商用網絡應用層面,技術應用方面也相對成熟。
關鍵詞:訪問控制;行為監測;白名單;行為基線;鋼鐵;工業控制系統;信息安全
1 設計背景
鋼鐵行業是自動化普及度較高的行業之一,同時也是對工業控制系統的穩定性和控制策略復雜性要求很高的行業。系統一旦出現故障,不僅造成巨大的經濟損失和能源安全沖擊,還會造成人身安全影響。因此對控制層的網絡安全重視程度最高。
河北某鋼鐵自動化建設相對完善,但對于其控制系統網絡仍處于空白部分,本設計在分析工業控制中心信息安全需求的基礎上,通過部署信息安全設備,對工業控制中心信息安全建設提供合理依據。
1.1 設計范圍
本設計針對XX鋼鐵軋鋼產線及煉鋼產線控制環境信息安全進行設計,按IEC62443的層級劃分結構,本設計旨在對L1-L3層級信息安全進行設計。
1.2 設計原則
(1)技術可行性原則
設計過程中采用可落地的信息安全技術應用,確保選擇的信息安全手段可發揮既定的作用。
(2)生產可用性優先原則
設計過程需要建立在生產流程的基礎上,除非必須場景外,在L1.5層級不采用阻斷類的管控手段,從而保障生產過程不受信息安全策略的影響,確保不會造成二次安全威脅。
(3)經濟性原則
設計過程中需考慮經濟的有效利用,合理應用技術手段,避免資源浪費。
(4)合規性原則
設計過程需依照《工業信息安全防護指南》、《等保2.0工業擴展部分》等國家標準,確保建設過程符合國家相關要求;同時也需參照《IEC62443》《SP800-82》等國際領先標準,依照相關信息安全標準,確保設計的合理性。
(5)生命周期延續原則
設計采用成熟穩定的主流技術手段,保障在業務生命周期內的信息安全防護,在保障期間內,應用技術不處于落后淘汰范圍。
2 信息安全威脅分析
2.1 網絡結構梳理
2.1.1 軋鋼產線
某鋼鐵軋鋼產線網絡結構如圖1所示:
圖1 某鋼鐵軋鋼產線原始拓撲
軋鋼產線包含加熱爐區域、主扎線區域、平整加工區域、磨輥區域,其中主扎線區域可以根據工段劃分為粗軋、精軋、卷曲區域。
其中加熱爐區域、平整加工區域、磨輥區域在網絡結構中相對獨立。特別為磨輥區域,其L1~L2層未與其他系統連接。主扎線區域相對復雜,粗軋與精軋共用一套電氣室,在控制流程中,無法在物理層面區分。卷曲主控接入節點為粗精軋Switch3/6,間接與卷曲電氣室(Switch5)連接。
2.1.2 煉鋼產線
某鋼鐵煉鋼(150T轉爐&150連鑄)產線網絡結構如圖2所示:
圖2 某鋼鐵煉鋼產線原始拓撲
煉鋼產線網絡結構相對復雜,同時煉鋼網絡中存在大量環網應用,具體參考圖3,其中紅色標記鏈路為環網鏈路:
圖3 某鋼鐵煉鋼產線環網應用
環網交換機連接均連接多條鏈路,造成訪問控制裝置無法有效部署,同時由于環網鏈路的建立通常包含了環網交換機的私有協議,工業防火墻不具備上述寫,故不可以串接在環網主干鏈路中。
2.2 網絡層威脅分析
網絡層威脅主要體現在訪問控制、流量內容過濾,未知流量方面。
2.2.1 未經授權的訪問
當前在各個產線控制系統中,通過Vlan進行了網段劃分,但仍存在利用交換機作為“中間人”對下發起訪問的行為。
同時,軋鋼產線特別是粗精軋產線存在共用控制器的場景,上述環境造成理論中存在異常操作可能。
2.2.2 拒絕服務攻擊
若在網絡中任意節點下發大量無效報文,會對正常通信造成影響,從而影響生產。在網絡層面而言,究其原因缺少針對報文的有效識別及過濾能力,無法過濾無效報文內容。
2.2.3 未知流量威脅
對于未知流量,缺少有效的識別及管控手段,無法判定網絡中是否存在漏洞利用攻擊行為,需要在網絡層面實現對于漏洞攻擊的有效識別及防范。
2.2.4 利用無線網絡的入侵行為
軋鋼產線中Switch3接入設備包含無線AP,無線網絡因其開放性,相比于傳統網絡更易造成網絡侵入,存在仿冒設備接入的可能。
2.3 主機層信息安全威脅
2.3.1 惡意代碼
部分操作工或運維人員通過移動存儲設備或感染惡意代碼的個人PC與控制系統中上位機進行連接,造成惡意代碼植入上位機。
2.3.2 非法存儲介質接入
在工程建設或生產過程中不可避免涉及到移動存儲介質的接入問題,當前缺少對移動存儲介質可信性進行認證的措施,這也是主機惡意代碼的主要來源。
2.3.3 脆弱性威脅
工業應用及主機存在眾多已知漏洞,上述漏洞則會成為攻擊者利用的條件,對生產環境進行影響。
2.4 主機層信息安全威脅
2.4.1 缺少進程、服務管控
由于工控機特別是老式工控機性能受限,且其物理環境缺少必要的監控,存在操作人員利用工程師站、操作員站計算資源進行非生產操作的場景。
2.4.2 應用脆弱威脅
工業應用如SCADA、組態編程軟件,其通常不進行補丁加固,存在較多已知漏洞,造成漏洞攻擊成本降低,易遭受漏洞利用攻擊。
2.5 數據層信息安全威脅
控制系統通訊協議均為工業專用協議,其在設計支持考慮多為數據傳輸的實時性、容錯性等,無安全層面考慮,造成其中數據部分多為明文或HEX類型數據,通過對報文監聽即可獲取數據內容,造成生產數據的外泄。
3 信息安全設計
3.1 設計思路
依照行為基線,整體安全設計參照“白名單”環境進行設定,即僅限定合法流量、進程、服務的應用。
在IT環境下由于流量種類及目標指向過于繁雜,白名單很難執行落地,在工業環境下,通信結構及流量、應用較IT環境簡化,基于白名單結構可以更簡單實現安全策略的落地。
3.2 安全域劃分
對網絡各個系統進行安全域劃分,目的旨在切割風險,同時方便管理策略的執行。
軋鋼產線具體劃分如圖4所示:
圖4 某鋼鐵軋鋼產線安全域劃分
根據軋鋼連扎車間的生產流程及接入環境,共劃分為6個區域,如圖5所示,分別為加熱爐控制區、磨輥控制區、主扎線控制區、平整加工控制區及無線接入區等。
圖5 某鋼鐵煉鋼產線安全域劃分
3.3 技術設計
3.3.1 訪問控制設計
(1)與非控制系統邊界訪問控制設計
為保障IT至OT網絡間實現對于指令級別的訪問控制,需要部署具備對功能工業協議識別的訪問控制裝置。目前等保2.0對控制區與非控制區邊界要求實現單向隔離即協議剝離,故在該節點建議將原防火墻替換為工業網閘實現訪問控制功能。
圖6 二級中控與非控制區邊界訪問設計
圖7 磨輥車間與非控制區邊界訪問控制設計
煉鋼車間中150T轉爐五樓值班室具備對其他網絡接口,包括OA系統(辦公)、MES系統(生產管理)、質量系統(ERP),其均為對生產數據進行分析、研判等應用,根據劃分,屬于非控制區域。
圖8 煉鋼車間與非控制區邊界訪問控制設計
(2)產線間控制系統邊界訪問控制設計
XX鋼鐵采用的數采網關為windows PE操作系統,在隔離作用中可視作雙網卡PC,僅實現通訊協議的采集及轉發功能,較易作為“中間跳板”對軋鋼產線進行非法訪問,綜上所述,數采網關不具備邊界隔離作用。需要在其邊界部署訪問控制手段實現對于其他產線訪問流量管控。
圖9 與其他產線控制邊界訪問控制設計
(3)無線區域邊界訪問控制設計
無線接入區域中輥道小車均為獨立控制(本地HMI),部分數據通過Wi-Fi傳輸與其他區域,該區域相對其他區域,安全性較低,需要增加訪問控制措施實現不同安全等級安全域的隔離。
圖10 無線區域邊界訪問控制設計
(4)區域間訪問控制設計
在生產網中,網絡邊界防火墻將以最小通過性原則部署配置,根據業務需求采用白名單方式,逐條梳理業務流程,增加開放IP和開放端口,實現嚴格流量管控。
圖11 加熱爐控制區與主扎線區域邊界訪問控制設計
3.3.2 網絡行為監測設計
(1)操作行為監測設計
在控制器前端交換機部署監測審計手段,用來實現對于操作過程的監測。
(2)訪問流量回溯
針對控制系統外對控制系統訪問內容進行回溯,該設計要求行為審計不僅對工業流量進行解析,而且對遠程桌面、telnet等行為進行有效解析,同時針對控制器與上位機固定通訊流量進行監測并統計。
(3)網絡白名單
通過策略設定或自學習,對網絡監測節點協議進行白名單過濾,限定可流通協議,對于限定外協議進行報警。
3.3.3 主機行為管控設計
主機白名單客戶端部署于軋鋼產線全部PC,原則上不允許存在例外,通過對終端的管控,構成工業安全實質層面最外層的安全防線。
(1)進程及服務管控
主機白名單以最小化設定為原則,對主機中應用進行管控,針對目標應用必要進程及服務開放白名單,非限定進程及服務均禁止運行。該策略在保證生產持續進行條件下有效降低對工控計算資源的占用。
(2)接口管控
對軋鋼產線中移動存儲介質通過終端管控進行分級授權,未經授權移動存儲介質從驅動層面禁用。在管理層面,禁止運維移動終端作為工程師個人PC,第三方調試PC均需要納入終端管控范圍。
3.3.4 脆弱性檢測設計
采用離線工控系統漏洞掃描和入網檢測,對目標設備進行掃描,凡是生產網內工業控制系統中所特有的設備/系統必須經工控漏洞掃描檢測合格后,方能具備入網資格。
4 部署結構及說明
4.1 部署結構
軋鋼產線部署結構如圖12所示:
圖12 軋鋼產線信息安全整體部署結構圖
本次設計在不改變原有網絡結構的基礎上,將原有網絡劃分為6個獨立區域,在其間部署訪問控制手段進行隔離;控制器接入前端部署審計探針,對出入棧內容進行解析及檢測;全部主機部署主機白名單面對進程及服務進行管控;漏洞掃描以服務形式,對停產維護資產以及新上線系統進行健康性檢測。
煉鋼產線部署結構圖如圖13所示:
圖13 煉鋼產線信息安全整體部署結構圖
由于環網主干鏈路的存在,煉鋼車間部分區域無法進行有效訪問控制。同時由于煉鋼車間與軋鋼車間間隔兩臺數據采集網關,造成網絡不可達,故在部署過程中煉鋼產線也部署一套獨立的審計系統。
4.2 技術對應設備說明
表1 技術對應設備說明
5 補充設計說明
由于本次設計僅針對軋鋼產線及煉鋼產線,建議在全廠基礎設施信息安全建設完畢后,增加全廠信息安全調度平臺及廠級工業信息安全態勢感知平臺及相關服務應用。
整體信息安全防護框架如圖14所示:
圖14 安全框架設計
整體框架分別由安全防護體系、態勢感知體系及應急響應體系構成,三套體系分別承擔生產網中的安全防護及安全檢測能力,安全場景分析能力,安全應急響應能力。三套體系數據交互,構成整體縱向防御架構。
作者簡介
馬霄(1988-),男,自動化、工商管理雙學士學位,現任北京天融信網絡安全技術有限公司解決方案中心總監,主要研究領域為工業控制系統信息安全、工業互聯網安全、內生安全等。
來源:工業安全產業聯盟
北京市公安局海淀分局備案號:11010802023656號