北京网御星云信息技术有限公司
1 项目概况
1.1 项目背景
工业控制系统脆弱的安全状况以及日益严重的攻击威胁,已经引起了国家高度重视,甚至提升到国家安全战略的高度。在明确重点领域工业控制系统信息安全管理要求的同时,国家主管部门在政策和科研层面上也积极部署工业控制系统的安全保障工作。
冶金行业工业设备企业的发展趋势是利用先进的信息技术以及网络技术,不断提高工业设备的自动化、网络化程度,以减轻工业设备使用人员的工作负担,提高工业设备管理者的管理效率。但随着信息化和工业化的深度融合,网络化管理操作也使针对工业控制系统的病毒和木马攻击呈现出攻击来源复杂化、攻击目的多样化以及攻击过程持续化的特征。当前主流的炼钢工业控制系统普遍存在安全漏洞,且多为能够造成远程攻击、越权执行的严重威胁类漏洞。专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足,比如缺少足够强度的认证、加密、授权等。工业控制系统没有足够的安全政策、管理制度以及对人员的安全意识培养,都给生产系统埋下极大的安全隐患。
1.2 项目简介
通过构建工控系统安全体系架构、各层详细部署方案以及工业控制系统安全管理平台,多层次的隔离防护措施、全面的监控手段、纵深的防御技术,实现了对工业控制系统的整体安全防护,从而保障整个工业控制系统安全稳定运行。工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的脆弱性,进一步加剧了工业控制系统的安全风险。
根据这个特点,工业控制系统安全解决方案主要从三个方面解决工业控制系统安全问题:构建工控系统安全体系架构;全面监控工业控制系统可用性与安全事件;对工业控制系统从工控终端、服务器、工控应用进行纵深防御。
方案对其信息系统进行分层次,使信息系统结构清晰;对信息系统进行安全域划分,有利于安全域的边界防护;对安全域分等级,有利于安全防护的重点突出,安全防护资源的合理分配。
1.3 项目目标
解决方案要确保冶金行业工控网络中即使某一点发生网络安全事故,系统也能正常运行,同时,操作人员能够迅速地找到问题并进行处理。主要达到以下目标:
· 区域隔离:工业防火墙能够过滤两个区域网络间的通信,或者在锌锭生产的流程阶段中间实现隔离;
· 实时监控:所有部署的安全防护设备都能由安全管理平台统一进行实时监控,任何非法的(没有被组态允许的)访问,都会在安全管理平台产生实时信息,从而故障问题会在原始发生区域被迅速发现和解决。
2 项目实施
2.1 构建工控系统安全体系架构
对冶金行业的工控网络进行纵向分层、横向分区,同时根据不同区域的特点进行不同等级的防护,从而构建工控系统安全防护体系架构。
通过三个层次的划分,进行多个层次的隔离防护,在管理层与数采监控层之间,主要进行身份鉴别、访问控制、入侵检测、行为审计、病毒过滤等安全防护;在数采监控层和PLC系统层之间,主要基于工业控制通信协议进行访问控制。
基于工控系统分区隔离防护的特点,本方案以冶金行业工业控制系统为基础,进行了“层层防护,工业控制系统统一安全管理平台”的设计。
2.2 各层详细部署方案
(1)各电气室工控网络安全防护
在各电气室车间网络结构中,主要配置4类工控安全防护设备:
· SCADA系统与PLC之间采用工业防火墙;
· 现场设备控制器与现场工控控制网络部署工业防火墙;
· PLC网络中部署异常检测系统;
· 移动终端现场接入工控网络安全防护防火墙。
(2)上位监控系统网络安全防护
在上位监控网络结构中,主要配置4类工控安全防护设备:
· SCADA系统和服务器之间采用工业防火墙;
· SCADA系统安全域之间采用工业防火墙;
· 在PC机上部署操作站安全管理系统;
· 在SCADA网络汇总部署入侵检测系统。
(3)服务器工控网络安全防护
服务器总体结构中,主要配置4类工控安全防护设备:
· 服务器级和生产管理层之间采用纵向工业安全防火墙;
· 服务器上部署操作站统一安全管理系统;
· 服务器网络中部署网络安全审计系统;
· 服务器网络中入侵检测系统。
2.3 工业控制系统安全管理平台
2.3.1 系统架构设计
系统重点实现工控系统全网设备安全监控、工控安全综合分析、辅助安全管理、系统运维管理等功能,形成工业控制系统统一信息安全管理系统。统一安全管理平台架如图1所示。
图1 统一安全管理平台架构图
2.3.2 主要实现功能
(1)设备安全管理
设备安全管理模块包括全网工控设备安全监控、工控系统性能监控、工业设备配置核查、工业设备安全漏洞管理。对系统内部工控设备拓扑中具体设备性能、状态的展示,对工业设备的漏洞进行检测管理,能让管理员随时了解设备安全状态以及设备性能等其他信息,及时掌握工控系统内设备安全性。
(2)系统安全综合分析
系统安全综合分析模块包括业务流量异常分析、安全事件监控、安全风险监控、工控安全态势监控。实现业务流量行为特征的精确分析、基于业务行为规则的白名单式的精准检测、基于业务流量行为异常分析的预警,通过防火墙策略控制达到智能、柔性的防御,通过与系统其他功能的结合,可以实现对系统安全的精确关联分析,系统能够从宏观的角度对烟厂的整体网络安全进行评估,为烟厂安全防护能力提供决策支持。
(3)辅助安全管理
辅助安全管理模块包括告警监控、知识管理和报表管理。系统可以针对通过性能监控的监控指标阈值,或者安全事件的关联规则设置告警,以弹窗、短信、邮件等多种手段对告警行为进行监控。系统还内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出并打印。
(4)系统运维管理
工控设备安全监控分为四个层次:
Level1:生产现场监控人员展示界面,包括本生产线设备拓扑图、设备通断情况展示、设备重大安全事件报警显示。
Level2:生产设备运维人员展示本生产线设备拓扑图、流量情况、通断情况、安全事件详情和统计图表等。
Level3:公司生产安全管理人员展示公司下属的所有生产线整体安全日志信息、信息安全事件分布、风险统计和趋势、设备漏洞和配置问题、生产线异常流量情况等。
Level4:集团生产安全管理人员展示全集团生产企业工控安全状态,包括信息安全事件分布、风险统计和趋势、安全生产KPI管理等。
3 案例亮点
(1)集专业性与先进性于一体
当前,工业数字化转型发展趋势显著,尤其在冶金行业,正逐步向“清洁、低碳、高效、安全、智能”转型,发展智能化、精益化管理等模式。目前化工行业存在的突出问题在于使用细粒度的安全技术特性的同时没有充分考虑到生产安全的兼容性。本项目采用控制系统、安全系统同步建设方式进行,考虑需求全面,建设内容丰富,实现功能多样,在后期推广复制时,可以根据各项目实际情况进行方案裁剪。
· 本项目通过分析冶金行业的业务场景及其安全需求,构建出多维度、深层次的安全场景化方案,追求安全防护与业务深度耦合以及最终的有效落地。
· 本项目基于流程制造的控制特性实现控制设备终端管控以及整体展示,在保障控制系统运行的同时,发挥了云、网、端三层的整体安全建设优势,将有力保障智慧水电站安全和持续运营。
· 本项目实时检测控制设备操作码,保障下发指令在合理范围内无越权操作与违规操作。
(2)良好的规范性和扩展性
本项目从需求角度分析,分为自驱力需求和刚性需求。其中自驱力引导的建设需求属于弹性需求,此需求产生的根本原因是各地冶金集团在推进建设“数字化转型”的过程中逐渐意识到网络安全是保障持续生产、安全生产的必要条件,与此同时各地政府在十四五期间关于本地冶金行业的发展规划中重点强调了智慧冶炼、安全冶炼等概念。而监管侧引导的建设需求则属于刚性需求,例如网络安全法、等保、关保对于大型冶金企业的强制性建设要求,目的是弥补生产企业在网络安全建设方面的不足,另一方面将合规安全建设纳入在新生产场景建设规划的过程中,实现同步规划、同步建设、同步运营。本项目既满足客户在调研咨询过程中的特殊安全需求,也满足了监管单位对于此企业的合规要求。另外在此建设基础上,本项目在建设规划上分为了多期建设、持续优化的策略,为了配合今后生产安全、园区安全、数据安全等新需求,相关系统预留了计算冗余和扩展接口,为今后不断增加安全要素预留空间。
(3)多维度多样化的数据分析展现
· 业务资产数据分析
随着冶金企业业务的不断壮大,各种业务支撑平台和管理系统越来越多,服务器、存储设备、网络设备、安全设备越来越复杂,带给管理员的资产管理工作也愈发困难。本项目最终能够通过但不限于扫描引擎、流设备,采用主被动结合的发现机制快速发现工业资产,利用资产指纹库建立各类型资产的特征,准确识别网络设备、控制设备、安全设备、各类操作系统、数据库、应用中间件等资产的属性及信息,包括主机名称、设备类型、端口情况、操作系统、配置变更情况、设备接口以及开放的服务等,此类资产指纹信息皆可参与网络安全威胁分析,提高威胁分析准确性,加强攻击溯源能力。
· 现场业务行为数据分析
本项目通过收集现场上位机、控制软件、中间件、PLC、MES系统、能源管理系统、域名系统(Domain Name System,DNS)、代理服务器、访问流数据、负载均衡日志等数据对业务行为基线进行分析及建立。利用威胁建模形成用户网络各业务系统的威胁视图,从每条业务路径上分析各类常见威胁发生的可能性。针对各类威胁动作采取不同的分析和防御措施,通过判断列举的威胁动作是否真实发生,不断调整和优化对威胁过程的监控和管理。
· 工业基础设施秩序数据分析
本项目通过收集控制系统日志、应用日志、网络日志、系统日志及网络访问审计日志对现场业务系统基础设施进行访问及安全运行秩序感知,可以利用威胁建模构建秩序白名单,并通过机器学习及行为模型或数据模型发现违反基础设施及网络访问秩序的异常情况。