長揚科技(北京)有限公司
1 項目概況
1.1 項目背景
隨著國內外工業控制系統網絡信息安全形勢越來越嚴峻,國家工信部陸續發布了《加強工業互聯網安全工作的指導意見》《關于加強工業控制系統信息安全管理的通知》《工業控制系統信息安全防護指南》等一系列的工業信息安全防護文件,強調了加強工業控制系統信息安全管理的重要性和緊迫性,并明確了核設施、鋼鐵、有色、化工、石油石化、電力等與國計民生緊密相關領域的工業控制系統信息安全管理要求。
鋼鐵企業是典型的生產、資金、技術密集型企業,其生產連續性強,生產系統耦合性高,加之近年我國眾多鋼鐵企業不斷推進智能化建設,尤其是在工業控制系統方面大量投入,以實現企業的智能化升級轉型,其主要應用的工業控制系統主要是PCS、DCS、PLC、SCADA等,不僅越來越注重系統開放性設計,且多采用第三方集成,操作端PC化,這一改進大大降低了用戶的投資與維護成本,但與此同時,面臨的網絡風險也越來越嚴峻。如何有效地防范來自內部或外部的攻擊,做好工控系統網絡安全的防護工作,確保生產系統的穩定可靠,是鋼鐵行業工控系統信息安全亟待解決的問題。從應用案例經驗總結來看,目前鋼鐵行業的工控系統管理缺失、防護手段落后、工業網絡病毒、設備漏洞和后門、持續性威脅APT、無線技術等問題是其重要關注點,這些問題一旦發生,將會導致重大經濟損失,威脅人員安全,造成惡劣的社會影響。
本方案以鋼鐵行業安全現狀為背景,結合泉州閔光鋼鐵現存安全問題,制定具備前瞻性、可落地性的工業網絡安全防御解決方案。
1.2 項目簡介
“鋼鐵行業自動化工業網絡安全防御解決方案”針對泉州閔光鋼鐵工控系統網絡,遵照《工業控制系統信息安全防護指南》等標準進行風險評估、核實等工作,經過對現場網絡深入調研和對風險問題的分析,從“安全缺失類、配置整改類、管理整改類”等角度對系統網絡進行防護和加固,針對不同的風險采用不同的應對措施,遵從相關標準以實現鋼鐵工控安全網絡架構的搭建,提出熱軋網絡工控系統安全縱深防御的思想,從事前檢測和預警、事中防范和控制、事后審計和追查等方面提供一個整體的解決方案。
1.3 項目目標
隨著鋼鐵企業信息化程度不斷提升,大量數據橫縱向交互,企業辦公網絡、生產網絡架構上不再孤立。營銷、生產監控集中化和生產網絡“一網到底”的架構使企業關鍵控制系統的受攻擊可能性不斷擴大。鋼鐵冶金行業作為國家關鍵基礎設施,需要滿足網絡安全法要求。本方案是面向鋼鐵行業的典型工控安全防護方案,依照等級保護安全技術要求,從網絡安全、主機安全、數據安全以及應用安全四個方面對工業控制系統進行安全防護,深度融合白名單技術適應不同工藝段網絡特點,構建鋼鐵企業工控系統網絡安全動態防御體系。可廣泛應用于鋼鐵冶金行業各工藝流程廠,包括綜合廠、燒結廠、煉鐵廠、煉鋼廠等各個業務環節的控制系統安全防護。
本方案依據行業網絡安全“安全分區、整體保護、積極預防、動態管理”策略,以風險為核心,先了解風險,再分步規劃實施,進行網絡區域劃分,縱向分層,橫向分區;同時以技術為先,管理跟隨,實行邊界分層防護、域內實施監控的總體思路。根據鋼鐵行業的核心業務系統的安全建設需求,結合工控安全特性,為企業構建工控安全管理和服務體系,實現鋼鐵工控系統網絡安全防護,全面提升工控網絡的整體安全性,保障系統的安全穩定運行,本方案在遵循鋼鐵企業生產系統業務特點的前提下,滿足工信部《工業控制系統信息安全防護指南》以及等級保護相關安全要求,設計相應的安全防護方案,并參考如下通知及標準:
(1)《關于加強工業控制系統網絡安全管理的通知》(工信部〔2011〕451號)
(2)《工業控制系統信息安全:評估規范》(GB/T 30976.1—2014)
(3)《工業控制系統信息安全:驗收規范》(GB/T 30976.2—2014)
(4)《工業自動化和控制系統網絡安全》(GB/T 33007、GB/T 33008、GB/T 33009)
(5)《工業控制系統信息安全防護指南》(工信部〔2016〕338號)
(6)《信息安全技術網絡安全等級保護基本要求-第5部分:工業控制系統安全擴展要求》(GA/T1390.5-2017)。
2 項目實施
整體安全解決方案流程如圖1所示。
圖1 整體安全解決方案流程
2.1 工控安全防護解決方案(配置安全設備)
(1)邊界安全防護
在與信息化機房邊界部署工業防火墻,保障區域之間的邏輯隔離,通過策略保障數據傳輸過程中的深度檢測及安全,如圖2所示。
圖2 邊界防火墻部署
防火墻主要實現以下功能:
· 已知工控威脅檢測:實時檢測工控網絡中的攻擊行為,通過內置的工控威脅庫及威脅特征檢測規則,實時對網絡中的入侵進行處置和告警。
· 工控行為和協議規則自學習:通過深度解析工控協議,分析工控過程行為,自動學習基于工控協議的操作行為和規則,建立安全檢測模型。
· 黑白名單訪問控制:通過白名單規則控制網絡傳輸行為,保障業務正常運行的同時阻止不必要的網絡流量、異常攻擊行為。通過已知黑名單特征,有效阻止已知漏洞的危害。
· 工控協議深度檢測:支持OPC協議的深度包檢測、OPC動態端口開放、報文格式和完整性檢查。持Ethernet/IP、Modbus/TCP、IEC 104、DNP3、PROFINET、MMS、S7、GOOSE、SV等工控協議的深度檢測,例如報文格式檢查、功能碼控制、寄存器控制、連接狀態控制等的檢測。支持油氣行業私有協議的深度包檢測。支持自定義格式的工控協議檢測。
· 傳統的狀態檢測包過濾:通過訪問控制規則對數據包進行過濾。根據實際應用的需要,采用動態過濾技術,為合法的訪問連接動態地打開所需端口,在連接結束的時候,自動關閉相應的端口。
(2)監控審計解決方案
在各個邏輯區域的重要核心節點部署審計檢測設備,主要對流量、日志、關鍵數據實現指令級檢測,審計檢測設備部署如圖3所示。
圖3 審計檢測設備部署
主要實現功能如下:
· 實時工業網絡安全監測
默認通過旁路的方式(也可以串接)對工控網絡進行實時監測,對協議、流量、日期和時間、用戶、事件類型、事件是否成功等元素進行審計并進行統計分析,實時顯示網絡的安全狀態。
· 入侵監測
實時檢測工控網絡中的攻擊行為,利用內置的工控漏洞庫和工控行為白名單建立監測規則,實時對網絡中的入侵進行告警。
· 不合規行為監測
通過自定義規則或白名單規則,檢測業務流量中不合規的工控網絡行為,對不合規行為進行實時的告警和響應,留存網絡數據。
· 工控協議深度檢測和流還原
深度數據包解析引擎支持包括Modbus TCP、IEC 104、DNP3、S7、CIP、Ethernet/IP、OPC等大多數主流工控協議。深度監測引擎支持IP分片重組和TCP分段還原重組,支持工業畸形報文預警。深度檢測引擎支持工業協議的指令集和數據報文的流還原,為安全事后追蹤提供依據。
· 工業重要事件審計預警
對工業網絡控制系統的啟動、停止、上裝、下載等重大工業網絡行為進行記錄并預警。
· 數據留存
根據用戶自定義設置,留存所有網絡的原始數據,可配置為留存六個月及以上時間。
· 安全審計及異常響應
對安全事件進行審計,及時追溯安全事件的軌跡。對用戶的操作行為進行細粒度審計,方便還原操作的真相。獨立的告警響應機制,可定義對不同安全級別的安全事件的響應方式。
(3)主機安全、移動存儲解決方案
在各個區域的操作站、管理終端、服務器安裝主機衛士對操作系統本身、基線、應用、服務、U口進行管理,如圖4所示。
圖4 主機衛士安裝
主要實現功能如下:
· 應用程序白名單防護
禁止白名單以外的非法進程運行,通過證書、校驗值等確認程序的完整性,從而阻止被病毒感染、篡改的程序運行。
· 移動存儲介質白名單保護
USB設備識別:支持通用USB設備識別。
USB設備審計:提供USB存儲設備的操作記錄,此記錄不可刪除、不可篡改。
USB設備白名單:禁止白名單以外的非法USB設備連接,產生安全事件。
· 白名單管理
白名單生成:通過自動掃描功能,建立白名單。
白名單導入導出:提供白名單的導入導出功能。
白名單更新:需要運行新的程序、添加新的網絡服務和USB設備時,可以很方便地將這些新的設置更新到白名單中。
· 特定對象完整性保護
對特定安裝目錄的文件進行完整性保護,防止惡意程序或誤操作對目標文件進行注入、修改或刪除。
· 安全事件審計
安全事件日志:非白名單進程運行、USB設備接入,產生安全事件。
安全事件審計:安全事件的記錄不可刪除、不可篡改。
· 安全U盤
通過使用安全U盤可以對移動介質中的文件進行管控,只能安全范圍內傳輸,使非安裝白名單的主機無法讀取文件。
2.2 工程師站電子鎖解決方案(補充安全配置)
結合現有安全措施和實際終端安全需求,其安全登錄系統管理建設采用身份鑒別系統,該系統由服務端、客戶端、USBKey三部分組成,如圖5所示。可實現物理身份與用戶身份的雙重認證,從根本上彌補Windows系統自身的缺陷,保障操作系統安全。系統采用C/S和B/S的混合架構模式對終端登錄進行管理,實現對計算機終端登錄、鎖屏、管理、日志采集、展示等功能,既能有效管理、降低管理成本又提高了客戶端的安全性。
圖5 身份鑒別系統組成
2.3 安全管理(補充管理制度)
根據安全管理制度的基本要求制定各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法,是具有可操作性,且必須得到有效推行和實施的。
制度需要統一格式并進行有效版本控制;發布方式需要正式、有效并注明發布范圍,對收發文進行登記。信息安全領導小組負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定,定期或不定期對安全管理制度進行評審和修訂。
從管理制度風險與安全意識風險方面,對客戶企業現有安全管理制度進行摸底補充。首先,操作管理人員的技術水平和安全意識差別較大,容易發生越權訪問、違規操作,給生產系統埋下極大的安全隱患。其次,國內工控系統相對封閉的環境,系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操作成為工業控制系統所面臨的主要安全風險;最后,工業控制系統在設計時普遍對安全性問題考慮不足,缺乏完善的工業控制系統安全政策、管理制度以及對人員的安全意識培養。基于此,對客戶企業開展了以下建設:
· 安全管理制度建設
· 安全管理機構建設
· 安全管理人員建設
· 安全建設管理建設
· 安全運維管理建設
2.4 應用效果
“鋼鐵行業自動化工業網絡安全防御解決方案”已在福建閩鋼、首鋼、馬鋼等集團企業落地實施,整體實施中包含了工控網絡風險調研分析、安全管理體系完善(安全管理制度分析編制、安全意識培訓、工控安全應急響應機制完善、運維體系優化)、安全技術體系的建立(工控安全域劃分、工控網絡安全檢測、工控安全域防護、工控安全管理平臺),產品包含了工控安全管理平臺、工控監測審計、入侵防御系統、入侵檢測系統、工控防火墻、工控主機衛士等。
通過該項目的建設亦取得了以下成果:
(1)滿足安全合規要求:本次項目立足于符合國家安全法要求,并努力遵從《工業控制系統信息安全防護指南》中相關技術、管理要求,結合企業的生產業務特點開展工控系統安全防護建設。
(2)優化資源配置:本方案從用戶的角度設計的安全防護方案,在合規前提下最大限度利用企業現有資源,同時有效結合上級單位的運營模式,在有限資源條件下最大限度地提升安全防護水平。
(3)提高企業安全防護性:本次項目成果可為鋼鐵公司工控網絡安全穩定運行提供基礎保障,實現病毒、木馬等惡意程序和內外部人員攻擊、軟件后門利用等多種威脅的防范,顯著加強企業工控系統系統在當前愈加惡劣的網絡環境下防范能力,有效保障國民經濟的穩定發展。
(4)樹立標桿形成示范:本次項目提供的方案設計針對工控系統的技術特點以及鋼鐵行業自身的業務特點,完整覆蓋管理、技術,很好地滿足了監管以及未來業務發展的需要,并在鋼鐵行業相關企業中積累豐富的經驗,為集團其他平行企業起到良好的示范作用。
3 案例亮點
(1)案例為客戶企業開展網絡安全分級試點提供了堅實基礎
本案例的實施對象為福建泉州閩光鋼鐵,也是福建省第一批業互聯網企業網絡安全分級試點企業。在試點確定之前,實施過程中充分參照了《工業控制系統信息安全防護指南》、《信息安全技術網絡安全等級保護基本要求》2.0版本中相關技術、管理要求,可為企業減少網絡安全事故和經濟損失做好全面防護。
(2)創新示范效益顯著
通過項目建設,有利于孵化行業標準,提升行業監管、企業管理的效率及水平。尤其有利于在鋼鐵領域形成工控及網絡安全監管示范效應。
(3)管理效益突出
該方案基于雙向機制,建立了福建泉州閩光鋼鐵工控網絡安全管理體系,制定工控安全綜合管控平臺業務與技術規范,建立管理標準與制度體系,實現了對所有工控安全防護設備及系統的統一管理,降低運維管理成本。尤其為集團型工控信息化提供樣板指導。
