1 項目概況
1.1 項目背景
隨著工業化和信息化的深度融合和網絡技術的不斷進步,傳統意義上較為封閉并普遍認為安全的工業控制系統,正暴露在網絡攻擊、病毒、木馬等傳統網絡安全威脅下。作為國家關鍵基礎設施的重要部分,工控系統一旦受到攻擊將容易造成設備受損、產品質量下降等問題,影響國民經濟和社會穩定,甚至危害國家安全。然而,由于工業控制系統設計之初往往只關注可靠性和實時性,信息安全被長期忽略,且由于兼容性問題,傳統信息系統的入侵檢測、防火墻和漏洞修復等信息安全技術手段很難不做更改地在工業控制網絡內進行部署,這導致系統存在的漏洞和隱患難以得到有效的防護。工業控制系統長期存在的風險隱患已經成為影響國家關鍵基礎設施穩定運行的重要因素。
2010年“震網”病毒事件為世人敲響了工業控制系統網絡安全的警鐘。短短幾年內,全球范圍內針對工控系統攻擊事件的數量大幅提升,2013年,美國的ICS-CERT(工業控制系統應急響應小組)就響應了全球范圍內共2000多件工控安全事件。尤其在2010年之后,隨著通訊協議、通用硬件、通用軟件在工業控制系統的應用,對過程控制和數據采集監控系統的攻擊增長了近10倍。目前此類事件已在電力、水利、交通、核能、制造業等領域頻繁發生,給相關企業造成重大的經濟損失和惡劣的社會影響,甚至威脅國家的戰略安全。
電力行業作為國家關鍵基礎設施的重要組成部分,一直備受矚目。因此,電力行業的發展對于控制系統要求也極為嚴格。目前國家電網變電站普遍采用了高度自動化的生產技術裝備和高度信息化的運營管理手段。嚴峻的網絡安全風險也隨之而來。風電場網絡信息安全防護有其特殊性。一是其防護的攻擊主體特殊,與以謀財、牟利為目的的網絡詐騙、網絡入侵等傳統網絡攻擊所不同,產業入侵者不會是一般意義上的“黑客”,還可能是恐怖組織甚至是敵對國家力量支撐的組織;二是遭受攻擊破壞后果嚴重,變電站等關鍵設施一旦遭受攻擊,會直接威脅到國民經濟的發展和社會安定。
早在2005年,國家電力監管委員會就頒布了《電力二次系統安全防護規定》(5號令)。同時,為了加強電力監控系統的信息安全管理,防范黑客及惡意代碼等對電力監控系統的攻擊,國家發改委于2014年頒布《電力監控系統安全防護規定》(14號令)。國家能源局頒布《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)。而隨著國家《網絡安全法》的頒布,更是明確了主體單位應盡的責任和義務.
1.2 項目簡介
當前風電場電力監控系統主機層面需加強安全木馬病毒、惡意代碼防范和移動存儲介質管控,生產控制I區和II區之間需加強邊界防護和工控協議監測,生產控制系統產生的日志需統一存儲和監管,對突發異常事件需及時進行告警和事件追溯,因此風電場需建立安全防護要求,重點加強生產控制系統安全運營和全生命周期運維保障。本方案通過合理地分區分域,構建邊界防護、網絡監測、主機防護、安全運維技術能力。
1.3 項目目標
XX風電場工控安全整體解決方案的主旨是建設所轄風電場整體網絡解決方案,包括網絡邊界設計、安全運維設計、網絡流量審計設計、網絡防入侵設計、網絡評估設計、主機安全防護設計等。
為滿足XX風電場相關要求,并保證XX風電各電力生產系統滿足等保測評及安全防護要求,方案涉及電力監控系統日志分析、生產系統網絡評估、主機安全防護、生產區域之間隔離。
本項目依據《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)、GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》等標準和法規,以及“XX華電集團XX分公司組織的網絡安全專項檢查工作”的現場調研結果,結合XX風電各電力生產系統網絡安全防護需求,通過技術結合管理的防護手段,針對專項檢查中發現的問題進行整改,滿足電力行業、集團、分公司相關要求,并保證XX風電各電力生產系統滿足等保測評要求。
根據XX分公司組織的網絡安全專項檢查工作的現場調研結果,風電場均普遍存在現階段暫時無法完成的安全防護工作,主要包括:
· I區/II區橫向隔離裝置、II區/III區橫向隔離裝置訪問控制規則的源及目的端口設置為“0”,沒有精確到端口級;
· I區/II區之間防火墻策略沒有精確到端口級,未使用工控防火墻對工業協議進行專業的過濾;
· 涉及等保三級系統的I區/II區缺少對未知威脅、APT攻擊的監測手段,無法監測系統全部邊界流量,判斷入侵行為并告警;
· I區/II區惡意代碼防范措施不夠完整,部分場站使用的傳統殺毒軟件,在工控環境中無法完全發揮殺毒作用,終端安全和管理手段匱乏;
· 生產控制大區USB的管控缺少技術措施;
· 生產控制大區缺少日志的統一監控和存儲;
· 生產控制大區缺少對已知漏洞安全加固和發現。
2 項目實施
2.1 技術方案
(1)工控防火墻
在安全I區與安全II區之間部署工業防火墻,提高各區域間訪問控制能力,合理梳理優化邊界設備的安全策略,遵循最小化和白名單原則,只允許業務數據通過邊界,阻斷其他非授權連接,例如來自區域之間的越權訪問,病毒、蠕蟲惡意軟件擴散和入侵攻擊,保護各個區域控制系統安全運行。
(2)USB隔離裝置
在工控系統工程師站、操作員站交換機上并聯各部署1臺USB安全隔離裝置,防止病毒、木馬等惡意文件通過USB接口進入系統,同時解決USB移動設備接入工控系統無管控、無記錄等技術需求,從而提高主機的接口安全防護能力。
(3)漏洞掃描系統
在安全管理中心離線部署工控漏洞掃描管理系統,可在系統停機檢修時接入系統,工控漏洞掃描系統涵蓋了空間資產探測、系統漏洞掃描、Web漏洞掃描、網站安全監測、數據庫漏洞掃描、基線配置核查、工控漏洞掃描、Wi-Fi安全檢測、App安全掃描、大數據漏洞掃描、視頻監控安全檢測、Windows安全加固、等保合規關聯、分布式管理等功能,能夠全面、精準地檢測信息系統中存在的各種脆弱性問題,包括各種安全漏洞、安全配置問題、不合規行為等,在信息系統受到危害之前為管理員提供專業、有效的漏洞分析和修補建議。并結合可信的漏洞管理流程對漏洞進行預警、掃描、修復、審計,防患于未然。
(4)日志審計
在系統交換機部署一套日志審計系統,該系統能夠實時將工業控制網絡中網絡設備、安全設備、服務器、數據庫系統的日志信息統一收集、處理和關聯分析,幫助一線管理人員從海量日志中迅速、精準地識別安全事件,及時對安全事件進行追溯或干預,滿足國家標準規范中關于日志審計的相關要求。
(5)主機防護
在工作站、服務器等工業主機上部署主機安全防護系統軟件,實現身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等功能,同時啟用操作系統自身的安全策略,實現操作系統自身安全性的提升和審計、記錄。
(6)安全應用模式
通過在風電場建立日志審計、漏洞掃描、主機防護系統、USB隔離裝置、工控防火墻,可有效加強電力監控系統安全防護,并突出應用價值,產品具備白名單防護功能,滿足行業安全防護特定需求和兼容性。
2.2 應用場景及效果
(1)通過在風電場生產控制大區部署日志審計,實現生產系統日志統一監控和安全監控,當出現安全威脅可進行調查取證和威脅追溯。
(2)生產控制I區和II區之間部署工業防火墻實現數據檢測和訪問控制,針對風電場產生的異常訪問和邊界攻擊事件可及時進行隔離和防護。
(3)生產控制大區配置一套漏洞掃描系統,可掃描資產中安全漏洞和隱患,及時發現已知威脅,進行安全加固,從而避免安全事件造成的危害。
(4)生產控制大區服務器、工程師站、操作員站需加強惡意代碼防護和移動存儲介質管控,主機衛士可提升主機防護能力,避免主機出現病毒和木馬造成生產系統故障。
(5)通過以上安全防護產品可加強風電場生產控制大區安全防護保障,同時符合風電場應用場景安全需求。
2.3 解決行業痛點及創新能力
通過在生產控制大區部署工控安全防護產品實現工控協議深度解析和防護,彌補了傳統安全產品協議解析能力和設備穩定性,工控安全產品具備白名單防護功能,有效加強生產環境檢測防護能力,同時生產環境要求低延遲、低功耗,通過工業級產品均可滿足行業需求并解決行業痛點問題,提高行業新技術和技術創新能力。
3 案例亮點
對于風電場工控安全防護項目的建設,其輸出成果具有重要的意義和價值。
(1)滿足安全合規要求:本次項目立足于《電力監控系統安全防護總體方案》及國電集團等安全文件和監管要求,結合企業的生產業務特點,在基于安全防護框架的指導下開展風電場企業工業控制系統安全防護建設。
(2)優化資源配置:本方案在滿足合規要求的同時最大限度利用用戶本身現有資源,同時有效地結合上級單位的運營模式,在有限資源條件下最大限度地提升安全防護水平。
(3)提高安全防護性:本次項目成果可為風電場相關工業控制系統網絡安全穩定運行提供基礎保障,實現病毒、木馬等惡意程序的防護,可防范內外部人員攻擊、軟件后門利用等多種威脅,顯著加強企業自身工控系統在當前愈加惡劣的網絡環境下防范和預警感知能力,有效保障企業及國民經濟的穩定發
展。
(4)樹立標桿形成示范:本次項目提供的方案針對工控系統的技術特點以及企業自身的業務特點,完整覆蓋管理、技術層面,很好地滿足了監管以及未來業務發展的需要,并在能源類企業特別是分公司積累了豐富的經驗,為其他類似企業起到良好的示范作用。
