圖1 城市供排水流程
隨著信息化在各個行業應用的普及,采用現代化的技術和管理手段來進行供排水管理、運營、應急及服務,以更加精細和動態的方式管理水務系統的整個生產、管理和服務流程,從而達到“智慧”的狀態。城市供排水行業中的自來水廠、污水處理廠、工業供水廠及管網的工控系統也逐漸由信息孤島向萬物互聯的方向延伸,越來越多的網絡協議、通用軟硬件被應用到傳統城市供排水工控系統中,在提高運行效率的同時也帶來了信息安全隱患。工控網絡安全攻防時刻存在,每個城市的基礎設施也是敵對勢力和黑客的戰場和練兵場,嚴重影響城市的正常運行。
通過在水廠工控系統中逐級部署安全方案,形成一個中心四重防護(安全管理中心,安全區域邊界,安全通信網絡,安全計算環境,控制器防護)的安全保障,構建“1+4”多重工控信息安全防護體系,以廠級安全運維中心為指揮中樞,將四重防御體系有機結合、統一管理,實現城市供排水工控網絡安全可知、可視、可管、可控的總體目標,保障城市用水安全。
2 城市供排水工控系統架構及風險
2.1 城市供排水工控網絡架構
城市供排水系統主要分為自來水廠、污水處理廠和工業供水廠,分別對自來水、污水和工業用水進行生產與處理。水廠通過部署工控系統對供排水設備進行控制管理,架構上形成控制層與現場設備層分離的管控模式
(1)自來水廠:原水經過沉淀、消毒、過濾等工藝流程的處理,完成自來水整個生產過程,水質符合一般生活用水要求。大部分水廠設備由PLC控制器進行控制,數據來源于工控系統,現場網絡層使用交換機形成環網,典型自來水廠網絡結構拓撲圖如圖2所示。
圖2 典型自來水廠網絡拓撲圖
(2)工業供水廠:工業用水是工業生產中必要的用水,原水經過沉淀、消毒等工藝達到工業用水標準,使用量最大的為冷卻用水,其次為洗凈用水和產品處理用水。典型的工業供水廠通過運行服務器雙網卡將現場控制層和過程監控層進行隔離,現場控制層使用交換機組成環網,使用PLC控制器對水處理設備進行控制,工控系統環境與自來水廠類似,網絡拓撲圖如圖3所示。
圖3 典型工業供水廠網絡拓撲圖
(3)污水處理廠:現代污水處理技術通過沉淀、消毒,再按處理程度要求劃分,可分為一級、二級和三級處理,使污水達到排入某一水體或再次使用的水質要求對其進行凈化的過程。一般根據水質狀況和處理后的水的去向來確定污水處理程度。典型污水處理廠工控網絡結構與自來水廠類似,現場控制層使用交換機形成環網,網絡拓撲圖如圖4所示。
圖4 典型污水處理廠網絡拓撲圖
通過對當前典型自來水廠、工業供水廠和污水處理廠工控網絡拓撲的研究與分析,其網絡結構大體相似,存在較多共性,根據IEC 62443-1-1工控模型可以抽象概括為5個層次:
(1)現場設備層:包括水廠里水處理設備;
(2)設備控制層:主要是PLC控制器,對水處理設備進行控制與信息采集;
動控制生產過程;
(3)過程監控層:通過人機界面,實時數據等自
(4)生產管理層:通過服務器、工作站、數據服務器對所有控制器進行管理與控制;
(5)企業資源層:企業管理系統,一般架設在公網。
典型水廠網絡拓撲圖如圖5所示。
圖5 典型水廠網絡拓撲圖
2.2 行業網絡安全現狀及風險
我國供排水企業在信息安全生產上建設還處于起步階段,城市供排水行業缺乏完善的信息安全規范制度。從業人員安全意識淡薄,高端技術人才匱乏,沒有形成完善的突發信息安全事件應急響應機制。
除了缺乏相關的管理制度外,目前各個水廠、水庫及管網也存在工業控制系統建設時間較久,工業控制器及主機系統均較為老舊,信息安全防護水平偏低,防護措施不到位等行業普遍問題,且控制層與現場設備層之間數據交互大多采用私有協議,缺乏安全性考慮。
通過對水廠網絡安全現狀的分析調研,在系統各個層次還普遍存在如下問題:
(1)設備控制層:對PLC設備的網絡訪問沒有控制策略,使廣播風暴、惡意代碼傳播、網絡攻擊等變得更容易,且缺少控制器組態備份,一旦遭受數據破壞,無法進行數據恢復;
(2)過程監控層:廠區整個控制網絡為統一網段,極易收到廣播風暴、惡意代碼的傳播和網絡攻擊。無網絡審計功能,在網絡安全事件發生后無法進行溯源;
(3)生產管理層:服務器、工作站、工控系統的登錄口令無復雜度校驗和定期更換機制,存在口令被惡意用戶暴力破解的可能。工控系統無日志審計功能,無法對用戶的重要行為進行審計;廠級運維中心缺少對設備狀態、安全審計、惡意代碼等安全事項集中管理;
(4)企業資源層:部分系統部署在外網,外界網絡攻擊、病毒等威脅容易通過網絡邊界侵入內網。因此,急需加大城市供排水工控系統信息安全方面的投入,全面提升供排水工控系統各個層次的信息安全防護水平。
2.3 城市供排水工控安全必要性
工業控制系統是所有工業系統、重大裝備和基礎設施的“大腦”,是城市中樞神經,城市基礎設施工控安全關系到國家安全、經濟發展和社會穩定。城市供排水系統作為重要的城市基礎設施,影響著居民和工業生產用水,關系重大,一旦遭到網絡攻擊,將會直接影響人民日常生活和社會穩定運行,建立城市級供排水工控系統的網絡信息安全體系已刻不容緩。
針對上述城市供排水行業中各類水廠工控系統普遍存在的安全風險及國家對工控系統安全防護要求,提出水務行業工控安全解決方案,在系統不同層次部署相應的網絡安全產品,配置必要的網絡安全策略,構建“一個中心四重防護”的“1+4”多重工控信息安全防護體系,實現行業工控系統網絡安全統一標準、統一建設、統一管理。
3 城市供排水“1+4”多重工控信息安全防護系統設計
城市供排水行業“1+4”多重工控信息安全防護系統,遵循可視性、協同性、智慧中樞、深度防御、主動防護、動態調整的原則,搭建廠級網絡安全管理中心及四重安全防護設備,實現自來水廠、工業供水廠、污水處理廠工控網絡安全可知、可視、可管、可控。
3.1 “1+4”多重工控信息安全防護系統結構
城市供排水工控網絡安全防護系統主要采用一個中心四重防護的多重防護部署模式,建設一個廠級安全運維管理中心以及安全區域邊界、安全通信網絡、安全計算環境、控制器防護四重防護架構,并根據設備控制層、過程監控層、生產管理層的功能和業務特點采用相適配的安全防護策略,達到多重工控防護,保證水廠網絡安全。部署模式如圖6所示。
圖6 水廠工控網絡多重安全系統部署模式圖
3.2 工控安全防護系統載體
為實現城市供排水工控網絡安全防護系統的功能,需要引入一系列安全軟硬件進行全方位、分層次防護,涉及的安全產品有廠級安全運維中心、工業安全隔離與信息交換系統、工業防火墻、工業主機安全防護系統、控制器防護系統、工控安全審計與入侵檢測系統、工控運維審計系統、控制器完整性檢測與恢復系統等。
在現場控制層、過程監控層、生產管理層、企業資源層部署相應的安全產品,實現附加在設備、控制、網絡、應用、數據等基礎架構之上的安全能力。
通過層次化防護系統使城市供排水工控系統網絡安全可控、日常運維可管、工控行為可知、業務安全可信、安全威脅可防、攻擊事件可溯、安全態勢可視,以支撐城市供排水行業中各個水廠、管網、泵站等流程的工控系統安全應用實踐,使供排水工控安全呈現如下特點:
(1)構建工控網絡安全防護體系的所有產品、組件自身安全可控;
(2)工控網絡安全防護體系的日常運維自主管控;
(3)符合國家網絡安全相關法律、法規、政策及行業標準,并具有一定前瞻性;
(4)能夠針對城市供排水工控系統內的安全風險進行評估與排查,對安全威脅進行檢測、保護、預警與響應處置,盡可能減少風險與損失;
(5)針對發生的攻擊事件可以審計與追溯,以防再次發生;
(6)能夠實現企業的安全狀態全面呈現,安全風險與威脅趨勢可預測;
(7)控制器組態可備份與無損恢復,保證控制器正常運行。
3.3 “1+4”多重工控信息安全防護系統的技術引擎庫
“1+4”多重工控信息安全防護系統包含五大技術引擎庫以支撐整個體系的功能,分別為信息采集&發送,深度流量檢測&工控協議解析,實時&智能分析引擎,安全運維和知識庫,如圖7所示。
圖7 城市供排水工控網絡安全防護系統功能結構圖
信息采集&發送:主要實現工控數據的采集與發送。一是,支持無損流量采集技術,核心交換機流量通過鏡像口采集進行安全審計;二是,通過定制化的軟硬件實現高性能轉發,做到低時延;三是,支持主機信息采集;四是,支持資產探測技術,結合知識庫,探測網絡中的工業控制器、控制主機、網絡設備等資產的詳情。
深度流量檢測&工控協議解析:主要對數據進行細粒度的提取和分析。一是,支持協議深度解析技術。除了深度解析多種傳統協議外,還支持解析多種工控協議,包含Modbus、ENIP、FINS、S7 COMM等,解析的細粒度可達操作的功能碼、地址、數值類型和數值;二是,支持深度流量檢測技術,監測并記錄資產流量、協議流量、接口流量以及會話的連接狀態、異常中斷、異常重連、異常報文、工控停機、閾值超限等;三是,支持威脅深度匹配技術,結合知識庫檢測網絡中的掃描探測、病毒、惡意代碼、高危遠程鏈接等威脅;四是,實現資產自動識別。
實時&智能分析引擎:為數據報文的告警與阻斷提供決策,是實現“監測”與“防護”功能的核心。一是,通過主機安全監控技術實現主機風險預測,監測并防止威脅操作;二是,支持工控組態監測與恢復。對工控組態信息進行特征分析與智能搜索技術,對偏離基線的工控組態進行告警并支持組態恢復;三是,支持交互特征分析技術和主體識別技術,將資產信息及其通信關系分析,并整合風險事件,全息展現資產畫像;四是,支持智能學習技術,自動生成用戶策略、資產通信關系策略、操作功能碼策略、組態文件基線等。
安全運維:實現數據清洗、分析、可視化以及態勢感知。一是,支持事件關聯分析和攻擊鏈分析技術;二是,支持策略管理與協同,根據監測到的異常通信、非法外鏈等事件生成防護策略并下發至防護產品,形成“監測—響應—防護”管理鏈;三是,支持機器學習技術建立工控業務基線。
知識庫:包含惡意代碼特征庫、僵木蠕特征庫、惡意IP/URL庫、漏洞庫、資產庫、協議庫等。根據最新的工業威脅情報,進行實時知識庫研發和更新。
3.4 系統的智能化防護技術
根據國家等保2.0要求以及現代化工控安全理念,水廠工控安全融合了智能化主動防護策略:
(1)利用基于機器行為訓練的誤差修正算法,根據工控系統網絡通信信息模式庫和行為特征進行業務行為訓練;
(2)采用基于規則樹的推理引擎,利用推理算法和沖突消解機制,較優地解決規則推理機制和規則條件匹配的效率問題;
(3)采用主被動雙重檢驗的組態工程重建和監測技術,實時測量、收集控制器健康狀況數據;
(4)采用基于機器學習的進化基線檢測技術,對各項數據進行深度學習,建立起始多節點復合基線,并學習當前工控網絡特點,調整基線;
(5)采用基于周期性的無損報文精簡存儲技術;
(6)基于工藝指令組合智能識別的控制器防護技術,利用業務流程模型和基于規則樹的規則推理引擎,高效匹配工控策略規則,實現業務處理的低時延、可預測;
(7)使用控制器完整性監測與恢復系統,采用特有的安全監測算法,對設備的運行狀態、數據狀態等控制器健康狀態進行實時監測,并支持控制器控制代碼、硬件配置、原始參數等關鍵數據進行備份與恢復。
(8)采用工控系統通信主體交互特征分析與提取技術,建立較為全面的工控系統資產庫,分析和識別系統類型、關鍵組件構成、網絡結構并分析通信主體間的交互特征。
(9)采用基于交互特征的工控通信主體識別技術,通過主動掃描和被動監控相結合的工控通信主體識別方法以及策略自學習高準確度進行主體識別。
4 工控安全防護體系應用部署
通過對城市供排水工控系統網絡安全測評,在管理中心及通信網絡、區域邊界、計算環境、控制器等區域進行安全系統部署:
(1)在水廠工控系統的過程監控層與生產管理層之間部署工業防火墻,在網絡邊界處部署工業安全隔離與信息交換系統,從物理層面實現網絡隔離;
(2)在水廠工控系統的流量核心節點,部署工控安全審計系統,實現資產關系校驗、網絡流量審計、入侵檢測和異常行為告警;
(3)在水廠工控系統生產管理層的各個工控主機、服務器、接口機等設備安裝工業主機安全防護系統進行安全加固;
(4)在水廠工控系統重點PLC控制器交換節點處,部署控制器完整性監測與恢復系統。在各個水廠工控系統的設備控制層的重點控制器前,部署控制器防護系統,對工控協議進行深度檢測,高性能地實現對控制器的防護。
(5)在邏輯上將使用者與目標設備分離,建立“人——主賬號授權——從賬號”的模式,在水廠內部署工控運維審計系統,建立針對維護人員的“主賬號——登錄——訪問操作——退出”的全過程完整審計管理。
整體部署方案如圖8所示。
圖8 典型水廠工控安全產品部署示意拓撲圖
5 結語
本文對城市供排水工控系統進行了分析,并根據水廠特點設計了一個中心四重防護的“1+4”多重工控信息安全防護系統,以廠級安全運維中心為指揮中樞,將四重防護體系有機結合、統一管理,構建城市供排水行業工控網絡與信息安全環境,落實網絡安全法和國家網絡安全等級保護制度,為行業工控系統網絡安全統一標準、統一建設、統一管理提供建設方向。
作者簡介
張志群(1974-),男,浙江衢州人,工程師,碩士,現任浙江國利網安科技有限公司研發主任,主要研究方向為網絡安全、工控安全、大數據、物聯網安全。
陳 波(1987-),男,浙江慈溪人,工程師,碩士,現任浙江國利網安科技有限公司產品經理,主要研究方向為4G/5G通信協議、網絡安全、大數據、物聯網。
摘自《工業控制系統信息安全專刊(第七輯)》
