北京網御星云信息技術有限公司
1 項目概況
1.1 項目背景
工業控制系統脆弱的安全狀況以及日益嚴重的攻擊威脅,已經引起了國家高度重視,甚至提升到國家安全戰略的高度。在明確重點領域工業控制系統信息安全管理要求的同時,國家主管部門在政策和科研層面上也積極部署工業控制系統的安全保障工作。
冶金行業工業設備企業的發展趨勢是利用先進的信息技術以及網絡技術,不斷提高工業設備的自動化、網絡化程度,以減輕工業設備使用人員的工作負擔,提高工業設備管理者的管理效率。但隨著信息化和工業化的深度融合,網絡化管理操作也使針對工業控制系統的病毒和木馬攻擊呈現出攻擊來源復雜化、攻擊目的多樣化以及攻擊過程持續化的特征。當前主流的煉鋼工業控制系統普遍存在安全漏洞,且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞。專有的工業控制通信協議或規約在設計時通常只強調通信的實時性及可用性,對安全性普遍考慮不足,比如缺少足夠強度的認證、加密、授權等。工業控制系統沒有足夠的安全政策、管理制度以及對人員的安全意識培養,都給生產系統埋下極大的安全隱患。
1.2 項目簡介
通過構建工控系統安全體系架構、各層詳細部署方案以及工業控制系統安全管理平臺,多層次的隔離防護措施、全面的監控手段、縱深的防御技術,實現了對工業控制系統的整體安全防護,從而保障整個工業控制系統安全穩定運行。工控系統采用通用平臺,加大了工控系統面臨的安全風險,而“兩化融合”和工控系統自身的脆弱性,進一步加劇了工業控制系統的安全風險。
根據這個特點,工業控制系統安全解決方案主要從三個方面解決工業控制系統安全問題:構建工控系統安全體系架構;全面監控工業控制系統可用性與安全事件;對工業控制系統從工控終端、服務器、工控應用進行縱深防御。
方案對其信息系統進行分層次,使信息系統結構清晰;對信息系統進行安全域劃分,有利于安全域的邊界防護;對安全域分等級,有利于安全防護的重點突出,安全防護資源的合理分配。
1.3 項目目標
解決方案要確保冶金行業工控網絡中即使某一點發生網絡安全事故,系統也能正常運行,同時,操作人員能夠迅速地找到問題并進行處理。主要達到以下目標:
· 區域隔離:工業防火墻能夠過濾兩個區域網絡間的通信,或者在鋅錠生產的流程階段中間實現隔離;
· 實時監控:所有部署的安全防護設備都能由安全管理平臺統一進行實時監控,任何非法的(沒有被組態允許的)訪問,都會在安全管理平臺產生實時信息,從而故障問題會在原始發生區域被迅速發現和解決。
2 項目實施
2.1 構建工控系統安全體系架構
對冶金行業的工控網絡進行縱向分層、橫向分區,同時根據不同區域的特點進行不同等級的防護,從而構建工控系統安全防護體系架構。
通過三個層次的劃分,進行多個層次的隔離防護,在管理層與數采監控層之間,主要進行身份鑒別、訪問控制、入侵檢測、行為審計、病毒過濾等安全防護;在數采監控層和PLC系統層之間,主要基于工業控制通信協議進行訪問控制。
基于工控系統分區隔離防護的特點,本方案以冶金行業工業控制系統為基礎,進行了“層層防護,工業控制系統統一安全管理平臺”的設計。
2.2 各層詳細部署方案
(1)各電氣室工控網絡安全防護
在各電氣室車間網絡結構中,主要配置4類工控安全防護設備:
· SCADA系統與PLC之間采用工業防火墻;
· 現場設備控制器與現場工控控制網絡部署工業防火墻;
· PLC網絡中部署異常檢測系統;
· 移動終端現場接入工控網絡安全防護防火墻。
(2)上位監控系統網絡安全防護
在上位監控網絡結構中,主要配置4類工控安全防護設備:
· SCADA系統和服務器之間采用工業防火墻;
· SCADA系統安全域之間采用工業防火墻;
· 在PC機上部署操作站安全管理系統;
· 在SCADA網絡匯總部署入侵檢測系統。
(3)服務器工控網絡安全防護
服務器總體結構中,主要配置4類工控安全防護設備:
· 服務器級和生產管理層之間采用縱向工業安全防火墻;
· 服務器上部署操作站統一安全管理系統;
· 服務器網絡中部署網絡安全審計系統;
· 服務器網絡中入侵檢測系統。
2.3 工業控制系統安全管理平臺
2.3.1 系統架構設計
系統重點實現工控系統全網設備安全監控、工控安全綜合分析、輔助安全管理、系統運維管理等功能,形成工業控制系統統一信息安全管理系統。統一安全管理平臺架如圖1所示。
圖1 統一安全管理平臺架構圖
2.3.2 主要實現功能
(1)設備安全管理
設備安全管理模塊包括全網工控設備安全監控、工控系統性能監控、工業設備配置核查、工業設備安全漏洞管理。對系統內部工控設備拓撲中具體設備性能、狀態的展示,對工業設備的漏洞進行檢測管理,能讓管理員隨時了解設備安全狀態以及設備性能等其他信息,及時掌握工控系統內設備安全性。
(2)系統安全綜合分析
系統安全綜合分析模塊包括業務流量異常分析、安全事件監控、安全風險監控、工控安全態勢監控。實現業務流量行為特征的精確分析、基于業務行為規則的白名單式的精準檢測、基于業務流量行為異常分析的預警,通過防火墻策略控制達到智能、柔性的防御,通過與系統其他功能的結合,可以實現對系統安全的精確關聯分析,系統能夠從宏觀的角度對煙廠的整體網絡安全進行評估,為煙廠安全防護能力提供決策支持。
(3)輔助安全管理
輔助安全管理模塊包括告警監控、知識管理和報表管理。系統可以針對通過性能監控的監控指標閾值,或者安全事件的關聯規則設置告警,以彈窗、短信、郵件等多種手段對告警行為進行監控。系統還內置了豐富的報表模板,包括統計報表、明細報表、綜合審計報告,審計人員可以根據需要生成不同的報表。系統內置報表生成調度器,可以定時自動生成日報、周報、月報、季報、年報,并支持以郵件等方式自動投遞,支持以PDF、Excel、Word等格式導出并打印。
(4)系統運維管理
工控設備安全監控分為四個層次:
Level1:生產現場監控人員展示界面,包括本生產線設備拓撲圖、設備通斷情況展示、設備重大安全事件報警顯示。
Level2:生產設備運維人員展示本生產線設備拓撲圖、流量情況、通斷情況、安全事件詳情和統計圖表等。
Level3:公司生產安全管理人員展示公司下屬的所有生產線整體安全日志信息、信息安全事件分布、風險統計和趨勢、設備漏洞和配置問題、生產線異常流量情況等。
Level4:集團生產安全管理人員展示全集團生產企業工控安全狀態,包括信息安全事件分布、風險統計和趨勢、安全生產KPI管理等。
3 案例亮點
(1)集專業性與先進性于一體
當前,工業數字化轉型發展趨勢顯著,尤其在冶金行業,正逐步向“清潔、低碳、高效、安全、智能”轉型,發展智能化、精益化管理等模式。目前化工行業存在的突出問題在于使用細粒度的安全技術特性的同時沒有充分考慮到生產安全的兼容性。本項目采用控制系統、安全系統同步建設方式進行,考慮需求全面,建設內容豐富,實現功能多樣,在后期推廣復制時,可以根據各項目實際情況進行方案裁剪。
· 本項目通過分析冶金行業的業務場景及其安全需求,構建出多維度、深層次的安全場景化方案,追求安全防護與業務深度耦合以及最終的有效落地。
· 本項目基于流程制造的控制特性實現控制設備終端管控以及整體展示,在保障控制系統運行的同時,發揮了云、網、端三層的整體安全建設優勢,將有力保障智慧水電站安全和持續運營。
· 本項目實時檢測控制設備操作碼,保障下發指令在合理范圍內無越權操作與違規操作。
(2)良好的規范性和擴展性
本項目從需求角度分析,分為自驅力需求和剛性需求。其中自驅力引導的建設需求屬于彈性需求,此需求產生的根本原因是各地冶金集團在推進建設“數字化轉型”的過程中逐漸意識到網絡安全是保障持續生產、安全生產的必要條件,與此同時各地政府在十四五期間關于本地冶金行業的發展規劃中重點強調了智慧冶煉、安全冶煉等概念。而監管側引導的建設需求則屬于剛性需求,例如網絡安全法、等保、關保對于大型冶金企業的強制性建設要求,目的是彌補生產企業在網絡安全建設方面的不足,另一方面將合規安全建設納入在新生產場景建設規劃的過程中,實現同步規劃、同步建設、同步運營。本項目既滿足客戶在調研咨詢過程中的特殊安全需求,也滿足了監管單位對于此企業的合規要求。另外在此建設基礎上,本項目在建設規劃上分為了多期建設、持續優化的策略,為了配合今后生產安全、園區安全、數據安全等新需求,相關系統預留了計算冗余和擴展接口,為今后不斷增加安全要素預留空間。
(3)多維度多樣化的數據分析展現
· 業務資產數據分析
隨著冶金企業業務的不斷壯大,各種業務支撐平臺和管理系統越來越多,服務器、存儲設備、網絡設備、安全設備越來越復雜,帶給管理員的資產管理工作也愈發困難。本項目最終能夠通過但不限于掃描引擎、流設備,采用主被動結合的發現機制快速發現工業資產,利用資產指紋庫建立各類型資產的特征,準確識別網絡設備、控制設備、安全設備、各類操作系統、數據庫、應用中間件等資產的屬性及信息,包括主機名稱、設備類型、端口情況、操作系統、配置變更情況、設備接口以及開放的服務等,此類資產指紋信息皆可參與網絡安全威脅分析,提高威脅分析準確性,加強攻擊溯源能力。
· 現場業務行為數據分析
本項目通過收集現場上位機、控制軟件、中間件、PLC、MES系統、能源管理系統、域名系統(Domain Name System,DNS)、代理服務器、訪問流數據、負載均衡日志等數據對業務行為基線進行分析及建立。利用威脅建模形成用戶網絡各業務系統的威脅視圖,從每條業務路徑上分析各類常見威脅發生的可能性。針對各類威脅動作采取不同的分析和防御措施,通過判斷列舉的威脅動作是否真實發生,不斷調整和優化對威脅過程的監控和管理。
· 工業基礎設施秩序數據分析
本項目通過收集控制系統日志、應用日志、網絡日志、系統日志及網絡訪問審計日志對現場業務系統基礎設施進行訪問及安全運行秩序感知,可以利用威脅建模構建秩序白名單,并通過機器學習及行為模型或數據模型發現違反基礎設施及網絡訪問秩序的異常情況。
