1 项目概况
钢铁行业是我国的基础性产业,更是国民经济的支柱产业,钢铁工业控制系统主要包括现场设备控制级、区域自动化控制级、过程控制级、制造执行级、企业信息管理级等,各级协调完成原料供配、焦化、烧结、炼铁、炼钢、连铸、轧制等一系列连续的控制任务,该系统一旦受到恶性攻击、病毒感染,就会导致工控系统的控制组件和整个生产线被迫停止运转,严重时造成人员伤亡和巨大的直接经济损失,甚至会危及环境及国家安全。钢铁企业的信息化建设中存在着 “信息孤岛”“安全隐患”等问题,MIS系统与DCS系统沟通不畅形成信息孤岛,控制网络的实时数据不能被合理利用,企业有限资源得不到充分利用,形成巨大浪费,但是管理信息系统(MIS)与DCS系统互联互通,可能会从MIS系统导入DDoS攻击,导致控制网络的瘫痪,造成极为严重的后果和重大经济损失。
1.1 项目背景
某钢铁股份有限公司为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全;参照工业和信息化部制定的《工业控制系统信息安全防护指南》的要求,并依托国家及行业监管机构与工控安全的相关政策和标准要求,结合生产需求,完善钢铁行业生产网络信息安全技术防护体系、信息安全管理体系,提升钢铁行业的信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力,亟需建立一套适用于某钢铁厂的工业网络安全防护体系。
1.2 项目简介
目前钢铁行业生产网络抗风险能力较弱,安全防范工作难度较大,特别是近年来,由于恐怖分子和故意犯罪分子的威胁,国内外钢铁行业生产网络安全事故时有发生,各国对此高度重视,纷纷采取各种安全防范措施,防止发生新的恐怖袭击。我国钢铁行业生产网络同样面临恐怖袭击和故意犯罪事件的威胁,要应对这些威胁或将受到袭击后的损失降到最小,必须进一步加强我国钢铁行业生产网络安全防范建设。某钢铁工业以太网为实时控制网,负责控制器、操作员站和工程师站之间过程控制数据实时通讯,网络上所有操作员站、数采机和PLC都采用以太网接口,网络中远距离传输介质为光缆,本地传输介质为网线(如PLC与操作站之间)。在冶炼工业自动化过程中,连铸机结晶器、液面控制器、高炉控制系统、炼钢智能控制系统、轧薄带智能控制系统、高精度板厚控制器、SCADA系统以及DCS分散控制系统越来越广泛地应用在冶炼行业,同时制造执行系统(MES)、现代集成制造系统(CIMS)、企业资源计划系统(ERP)也被广泛应用于企业管理过程中。
1.3 项目目标
工业设备高危漏洞、外国设备后门、高级持续性威胁(APT)、工业网络病毒以及无线技术应用的风险是钢铁行业生产网络安全现实存在的五大威胁。目前国内面对这些威胁缺乏相关的产品、技术、标准以及有效的解决方案,因此钢铁行业生产网络工业控制系统威胁感知与智能防护技术研究势在必行、刻不容缓。钢铁工业控制系统网络威胁感知与智能防护需要从对钢铁行业生产网络现有的各个层次系统部署状况、网络架构及主要安全问题进行分析,形成一套有自主知识产权的信息安全产品和国家标准,推动钢铁行业信息安全基础建设,完善钢铁行业生产网络信息安全技术防护体系、信息安全管理体系,提升钢铁行业的信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力。同时通过项目研发成果和推广应用,可以大幅提高钢铁行业的安全防护水平,推动国家自主的钢铁行业生产网络工业控制系统标准体系的建设和规范,有利于提高我国国民经济重要领域的信息安全防护能力,为国家整体信息安全环境奠基筑石。
2 项目实施
通过多层次的隔离防护措施、全面的监控手段、完善的行为审计措施、纵深的防御技术,实现对钢铁行业工控网络整体安全防护,从而保障生产安全,建立健全企业安全基线,整体提升生产控制系统信息安全管理水平和企业核心竞争能力,满足国家对关键基础设施安全水平的要求,为国家关键基础设施的信息安全防护提供有力支撑。要实现对钢铁工业网络不同层级、不同区域的纵深防护,需要对工业网络内部通信的各种数据采集协议和控制协议进行深度解析,对工控主机进行安全加固以及外设管理,阻止病毒木马入侵,对工控网络进行全网安全审计和威胁感知,并进行统一平台管理。钢铁行业工控网络整体安全防护架构如图1所示。
图1 钢铁行业工控网络整体安全防护架构
安全防护思路如下:
2.1 设计原则
(1)安全性原则
产品设计方案要能够为钢铁行业的信息安全提供 指导、建设方向,必须保证其工控信息资源受控、合法、安全地使用。
(2)可靠性原则
产品应在不影响钢铁行业工控系统功能和效率的前提下,做到稳定、可靠、不间断地运行。
(3)可扩展性原则
安全产品必须满足工控系统安全性不断增长的需要。
(4)标准化原则
工控系统安全防护产品的安全规划、安全建设、安全整改及建设的各个环节都必须符合国家关于信息安全的法律、法规和相关行业标准
(5)可管理性原则工控系统安全防护产品必须可管理,做到分布式安全布控、集中式安全管理。
(6)经济适用原则钢铁行业工控系统安全防护产品方案的设计要在安全需求、安全风险和安全成本之间进行科学的平衡(比较和折中),使工控系统安全、经济、适用、性价比合理。
(7)统筹规划、分步实施的原则钢铁行业工控系统安全防护产品的现场实施将做好统筹规划工作,制订总体方案,贯彻边开发、边服务的分步实施方针,避免因防护产品不能有效发挥作用而影响效益。
(8)严格监督的原则钢铁行业工控系统安全防护方案的具体实施,将在信息部的严格监督下开展,可对产品设计方案进行严格的论证、把关和监督,以确保方案有计划、按步骤地顺利进行。
2.2 防护体系
(1)区域隔离
运用工业控制防火墙对不同的网络域进行隔离,防护各域的网络边界。阻止来自业务办公网络的攻击、病毒、木马等感染入侵其它网络域。抑制在某一个网络域中的病毒木马向其它网络传播扩散,缩小安全问题影响范围。
· 通过白名单策略和协议分析实现工控网络之间、工控网络与管理信息网络之间的边界访问控制;
· 为工控网络安全接入管理信息网络提供逻辑安全隔离手段,实现通讯的单向传输;
· 快速识别网络上的非法操作、外部攻击和异常事件,实时告警和阻断非法数据包。
(2)控制/数据业务流及协议识别确定网络域之间,工作组之间,上位机、下位机、服务器、客户端、操作站、监控站之间的控制及数据业务流的传输关系、应用的协议等。利用终端安全卫士软件收集统计工作站、服务器等终端设备上运行的工控软件,针对每台终端配置软件白名单,保证工作站、服务器的软件安全稳定运行。对于白名单以外的软件、进程、通信等阻止运行。对于白名单内软件的更新、修改、移动、删除等操作进行审计或控制。
· 创建操作员站终端计算机的可信运行环境,有效抵御病毒、木马和非法主机入侵;
· 通过进程与应用程序白名单管理、移动存储介质注册与使用管理、计算外设管理,有效防范用户违规操作和误操作;
· 实现主机非法入侵和违规操作的监测、报警与审计记录。
(3)工控网络安全审计
在各网络域边界处部署智能工控网络安全审计系统,进行威胁感知及故障监测,发现工控网络中的异常行为、攻击入侵行为,定位被攻击点及故障点。加强工控网络流量监测与分析能力,有效提升事件发现、安全处置和事件回溯等安全运维能力水平。可集中呈现整个工控网络的安全异常、安全威胁态势、病毒爆发趋势、设备故障情况等。
· 工控网络资产管理,设备运行状态监测,异常行为监测和工控协议细粒度审计;
· 基于机器学习和深度协议分析技术,自动收集网络数据,识别行为并提取特征,生成白名单规则;
· 内置安全黑名单,有效识别恶意入侵和安全威胁;
· 支持字符和图形操作两种管理方式,完整记录和回放操作人员的运维操作会话;行为进行现场检查。
· 实时切入用户运维操作会话,对用户运维操作
(4)工控主机安全防护
在服务器与操作员站、工程师站上部署终端安全卫士,通过其白名单机制为终端计算机创建了一个安全的运行环境,非法进程和应用程序无法通过安全检验,确保将病毒、木马以及恶意软件阻挡在终端运行环境之外。时对USB端口、蓝牙、无线接口进行全面管控,U盘等未授权设备无法接入终端计算机,有效防范通过USB接口发起的高级攻击。
· 对操作员站运行的进程和应用程序设置白名单,只有白名单中的进程和应用程序才允许运行;
· 对移动存储介质进行全生命周期管理,跟踪移动存储介质的行为,实现对移动存储的可信管理;
· 检测防病毒软件安装状态、病毒库版本和防病毒软件运行状态,全面保证内网计算机不受病毒侵扰;
· 安全事件及用户行为审计,如文件操作、进程活动、系统日志、系统账户变更、信息泄密、资源滥用。
在生产内网交换机旁路部署工控运维堡垒机,接管服务器、工程师站等设备的登录,运维人员、第三方人员统一在堡垒机上操作。通过堡垒机进行权限分配、操作审计、合规性管理,对风险行为进行告警。通过堡垒机的部署可对内网进行集中管理、划分权重等级和访问控制权限。
· 对所有可远程管理的服务器、网络设备的账号以及所有使用堡垒主机开展运维管理活动的自然人的
账号实行集中管理;资源进行关联授权;
· 提供统一的管理界面,对用户、角色、行为、号、操作命令、自定义命令的强访问控制;
· 提供基于访问时间、访问地点、资源、系统账
· 系统支持静态口令认证、动态口令认证、USBKEY、数字证书、动态令牌、生物特征等多种组合认
证方式,并且传输过程加密;
· 提供实时的运维会话监控功能,随时可切入用户操作会话当中进行运维过程监视和指导,对违规操作实时阻断。
(6)统一监控管理
将所有的工控安全防护设备(网关/防火墙、主机安全加固软件、安全审计系统等)接入统一的工控网络安全管理平台,实时监控设备状态和工控网络安全态势,帮助管理人员进行工控安全评估、防护效果监测、工作情况总结、攻击行为及违规操作溯源等,并且支持分级分权管理。
· 建立体系化的等级保护工作管理、信息通报工作管理机制和相应的工作平台,促进安全管理工作落地;
· 实现工控网络安全集中管理、事件监测和预警;
· 工控安全事件的关联分析和集中展现。
(7)建立智能大数据分析、安全预警平台
通过工控网络安全管理平台,发现工控网络中的异常行为、攻击入侵行为,定位被攻击点及故障点。收集所有安全防护设备、安全防护软件、工控设备、网络设备日志上传至大数据日志服务器,以供后续分析处理。通过对海量日志进行分析,集中呈现整个工控网络的安全异常、安全威胁态势、病毒爆发趋势、设备故障情况等,可以帮助管理人员进行工控安全评估、防护效果监测、工作情况总结、攻击行为及违规操作溯源等。
(8)工控安全咨询评估服务
通过工控安全咨询评估服务,对生产系统的网络安全、主机安全、应用安全,以及管理方面的安全风险进行全面评估,帮助了解现有工控系统安全的不足,并针对进行安全建设之后的安全状况进行再评估,使得整体安全能够达到较高水平。同时能够满足国家相关主管部门的安全要求。工控安全咨询评估服务包括:
· 技术安全风险评估:网络安全评估、主机安全评估、应用安全评估、PLC/DCS安全评估、数据库安全评估、无线安全评估;
· 管理风险评估:网络架构审计与优化、信息业务流程安全评估、安全策略流程审计与优化、公司安全规章建议、企业人员信息安全培训;
· 政策法规辅导咨询:信息安全管理体系
(ISMS)认证辅导、国家工控安全法规培训、行业信息安全法规培训与咨询;
· 安全支持服务:业务系统安全攻防演练、安全预警服务、系统安全加固、事件应急响应。
(9)管理制度编写
针对钢铁行业现有规章管理制度,并结合国家工控网络信息安全相关标准,配合技术在生产管理方面发挥更大的作用,有效促进生产线的顺利进行。管理制度的编写从如下几个方面进行:
· 从国家政策法规、工业控制系统相关标准出发,制定在机房等物理方面的管理制度;
· 根据设备通用性,制定设备运维方面的管理规章制度;
· 结合实际情况,分析来自多方面的因素,制定针对核心业务系统的使用规章制度。
3 案例亮点
(1)建立业务安全通信基线模型,保证只有信任的数据在系统网络内传输;
(2)通过对网络边界防护、网络异常流量监测、主机安全防护实现工业网络的三重防护;
(3)建立针对工业控制系统网络的黑名单与白名单机制,针对网络上危险的数据包可根据级别进行报警、阻断等操作;
(4)通过“白名单+自学习”技术对工业互联网进行安全集中管理和纵深防御,解决来自工业控制网络内、外部的攻击,病毒感染,非法访问等问题;
(5)利用物理隔离网闸超强的抗攻击和自身防护能力,在内外网之间筑起了一道无法逾越的屏障;
(6)通过部署安全统一管理平台实现对主机、网络设备、安全设备等集中运维管理、日志审计分析和安全策略配置;
(7)对工业控制系统网络的接入处进行工控协议的深度包解析;求,与工业控制系统的兼容性好;
(9)增强了企业自身信息安全防护能力,降低生产安全的风险;
(10)完善了工控安全防护体系,提升了企业的精益化管理水平。