长扬科技(北京)有限公司
1 项目概况
1.1 项目背景
随着国内外工业控制系统网络信息安全形势越来越严峻,国家工信部陆续发布了《加强工业互联网安全工作的指导意见》《关于加强工业控制系统信息安全管理的通知》《工业控制系统信息安全防护指南》等一系列的工业信息安全防护文件,强调了加强工业控制系统信息安全管理的重要性和紧迫性,并明确了核设施、钢铁、有色、化工、石油石化、电力等与国计民生紧密相关领域的工业控制系统信息安全管理要求。
钢铁企业是典型的生产、资金、技术密集型企业,其生产连续性强,生产系统耦合性高,加之近年我国众多钢铁企业不断推进智能化建设,尤其是在工业控制系统方面大量投入,以实现企业的智能化升级转型,其主要应用的工业控制系统主要是PCS、DCS、PLC、SCADA等,不仅越来越注重系统开放性设计,且多采用第三方集成,操作端PC化,这一改进大大降低了用户的投资与维护成本,但与此同时,面临的网络风险也越来越严峻。如何有效地防范来自内部或外部的攻击,做好工控系统网络安全的防护工作,确保生产系统的稳定可靠,是钢铁行业工控系统信息安全亟待解决的问题。从应用案例经验总结来看,目前钢铁行业的工控系统管理缺失、防护手段落后、工业网络病毒、设备漏洞和后门、持续性威胁APT、无线技术等问题是其重要关注点,这些问题一旦发生,将会导致重大经济损失,威胁人员安全,造成恶劣的社会影响。
本方案以钢铁行业安全现状为背景,结合泉州闵光钢铁现存安全问题,制定具备前瞻性、可落地性的工业网络安全防御解决方案。
1.2 项目简介
“钢铁行业自动化工业网络安全防御解决方案”针对泉州闵光钢铁工控系统网络,遵照《工业控制系统信息安全防护指南》等标准进行风险评估、核实等工作,经过对现场网络深入调研和对风险问题的分析,从“安全缺失类、配置整改类、管理整改类”等角度对系统网络进行防护和加固,针对不同的风险采用不同的应对措施,遵从相关标准以实现钢铁工控安全网络架构的搭建,提出热轧网络工控系统安全纵深防御的思想,从事前检测和预警、事中防范和控制、事后审计和追查等方面提供一个整体的解决方案。
1.3 项目目标
随着钢铁企业信息化程度不断提升,大量数据横纵向交互,企业办公网络、生产网络架构上不再孤立。营销、生产监控集中化和生产网络“一网到底”的架构使企业关键控制系统的受攻击可能性不断扩大。钢铁冶金行业作为国家关键基础设施,需要满足网络安全法要求。本方案是面向钢铁行业的典型工控安全防护方案,依照等级保护安全技术要求,从网络安全、主机安全、数据安全以及应用安全四个方面对工业控制系统进行安全防护,深度融合白名单技术适应不同工艺段网络特点,构建钢铁企业工控系统网络安全动态防御体系。可广泛应用于钢铁冶金行业各工艺流程厂,包括综合厂、烧结厂、炼铁厂、炼钢厂等各个业务环节的控制系统安全防护。
本方案依据行业网络安全“安全分区、整体保护、积极预防、动态管理”策略,以风险为核心,先了解风险,再分步规划实施,进行网络区域划分,纵向分层,横向分区;同时以技术为先,管理跟随,实行边界分层防护、域内实施监控的总体思路。根据钢铁行业的核心业务系统的安全建设需求,结合工控安全特性,为企业构建工控安全管理和服务体系,实现钢铁工控系统网络安全防护,全面提升工控网络的整体安全性,保障系统的安全稳定运行,本方案在遵循钢铁企业生产系统业务特点的前提下,满足工信部《工业控制系统信息安全防护指南》以及等级保护相关安全要求,设计相应的安全防护方案,并参考如下通知及标准:
(1)《关于加强工业控制系统网络安全管理的通知》(工信部〔2011〕451号)
(2)《工业控制系统信息安全:评估规范》(GB/T 30976.1—2014)
(3)《工业控制系统信息安全:验收规范》(GB/T 30976.2—2014)
(4)《工业自动化和控制系统网络安全》(GB/T 33007、GB/T 33008、GB/T 33009)
(5)《工业控制系统信息安全防护指南》(工信部〔2016〕338号)
(6)《信息安全技术网络安全等级保护基本要求-第5部分:工业控制系统安全扩展要求》(GA/T1390.5-2017)。
2 项目实施
整体安全解决方案流程如图1所示。
图1 整体安全解决方案流程
2.1 工控安全防护解决方案(配置安全设备)
(1)边界安全防护
在与信息化机房边界部署工业防火墙,保障区域之间的逻辑隔离,通过策略保障数据传输过程中的深度检测及安全,如图2所示。
图2 边界防火墙部署
防火墙主要实现以下功能:
· 已知工控威胁检测:实时检测工控网络中的攻击行为,通过内置的工控威胁库及威胁特征检测规则,实时对网络中的入侵进行处置和告警。
· 工控行为和协议规则自学习:通过深度解析工控协议,分析工控过程行为,自动学习基于工控协议的操作行为和规则,建立安全检测模型。
· 黑白名单访问控制:通过白名单规则控制网络传输行为,保障业务正常运行的同时阻止不必要的网络流量、异常攻击行为。通过已知黑名单特征,有效阻止已知漏洞的危害。
· 工控协议深度检测:支持OPC协议的深度包检测、OPC动态端口开放、报文格式和完整性检查。持Ethernet/IP、Modbus/TCP、IEC 104、DNP3、PROFINET、MMS、S7、GOOSE、SV等工控协议的深度检测,例如报文格式检查、功能码控制、寄存器控制、连接状态控制等的检测。支持油气行业私有协议的深度包检测。支持自定义格式的工控协议检测。
· 传统的状态检测包过滤:通过访问控制规则对数据包进行过滤。根据实际应用的需要,采用动态过滤技术,为合法的访问连接动态地打开所需端口,在连接结束的时候,自动关闭相应的端口。
(2)监控审计解决方案
在各个逻辑区域的重要核心节点部署审计检测设备,主要对流量、日志、关键数据实现指令级检测,审计检测设备部署如图3所示。
图3 审计检测设备部署
主要实现功能如下:
· 实时工业网络安全监测
默认通过旁路的方式(也可以串接)对工控网络进行实时监测,对协议、流量、日期和时间、用户、事件类型、事件是否成功等元素进行审计并进行统计分析,实时显示网络的安全状态。
· 入侵监测
实时检测工控网络中的攻击行为,利用内置的工控漏洞库和工控行为白名单建立监测规则,实时对网络中的入侵进行告警。
· 不合规行为监测
通过自定义规则或白名单规则,检测业务流量中不合规的工控网络行为,对不合规行为进行实时的告警和响应,留存网络数据。
· 工控协议深度检测和流还原
深度数据包解析引擎支持包括Modbus TCP、IEC 104、DNP3、S7、CIP、Ethernet/IP、OPC等大多数主流工控协议。深度监测引擎支持IP分片重组和TCP分段还原重组,支持工业畸形报文预警。深度检测引擎支持工业协议的指令集和数据报文的流还原,为安全事后追踪提供依据。
· 工业重要事件审计预警
对工业网络控制系统的启动、停止、上装、下载等重大工业网络行为进行记录并预警。
· 数据留存
根据用户自定义设置,留存所有网络的原始数据,可配置为留存六个月及以上时间。
· 安全审计及异常响应
对安全事件进行审计,及时追溯安全事件的轨迹。对用户的操作行为进行细粒度审计,方便还原操作的真相。独立的告警响应机制,可定义对不同安全级别的安全事件的响应方式。
(3)主机安全、移动存储解决方案
在各个区域的操作站、管理终端、服务器安装主机卫士对操作系统本身、基线、应用、服务、U口进行管理,如图4所示。
图4 主机卫士安装
主要实现功能如下:
· 应用程序白名单防护
禁止白名单以外的非法进程运行,通过证书、校验值等确认程序的完整性,从而阻止被病毒感染、篡改的程序运行。
· 移动存储介质白名单保护
USB设备识别:支持通用USB设备识别。
USB设备审计:提供USB存储设备的操作记录,此记录不可删除、不可篡改。
USB设备白名单:禁止白名单以外的非法USB设备连接,产生安全事件。
· 白名单管理
白名单生成:通过自动扫描功能,建立白名单。
白名单导入导出:提供白名单的导入导出功能。
白名单更新:需要运行新的程序、添加新的网络服务和USB设备时,可以很方便地将这些新的设置更新到白名单中。
· 特定对象完整性保护
对特定安装目录的文件进行完整性保护,防止恶意程序或误操作对目标文件进行注入、修改或删除。
· 安全事件审计
安全事件日志:非白名单进程运行、USB设备接入,产生安全事件。
安全事件审计:安全事件的记录不可删除、不可篡改。
· 安全U盘
通过使用安全U盘可以对移动介质中的文件进行管控,只能安全范围内传输,使非安装白名单的主机无法读取文件。
2.2 工程师站电子锁解决方案(补充安全配置)
结合现有安全措施和实际终端安全需求,其安全登录系统管理建设采用身份鉴别系统,该系统由服务端、客户端、USBKey三部分组成,如图5所示。可实现物理身份与用户身份的双重认证,从根本上弥补Windows系统自身的缺陷,保障操作系统安全。系统采用C/S和B/S的混合架构模式对终端登录进行管理,实现对计算机终端登录、锁屏、管理、日志采集、展示等功能,既能有效管理、降低管理成本又提高了客户端的安全性。
图5 身份鉴别系统组成
2.3 安全管理(补充管理制度)
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的。
制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订。
从管理制度风险与安全意识风险方面,对客户企业现有安全管理制度进行摸底补充。首先,操作管理人员的技术水平和安全意识差别较大,容易发生越权访问、违规操作,给生产系统埋下极大的安全隐患。其次,国内工控系统相对封闭的环境,系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险;最后,工业控制系统在设计时普遍对安全性问题考虑不足,缺乏完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养。基于此,对客户企业开展了以下建设:
· 安全管理制度建设
· 安全管理机构建设
· 安全管理人员建设
· 安全建设管理建设
· 安全运维管理建设
2.4 应用效果
“钢铁行业自动化工业网络安全防御解决方案”已在福建闽钢、首钢、马钢等集团企业落地实施,整体实施中包含了工控网络风险调研分析、安全管理体系完善(安全管理制度分析编制、安全意识培训、工控安全应急响应机制完善、运维体系优化)、安全技术体系的建立(工控安全域划分、工控网络安全检测、工控安全域防护、工控安全管理平台),产品包含了工控安全管理平台、工控监测审计、入侵防御系统、入侵检测系统、工控防火墙、工控主机卫士等。
通过该项目的建设亦取得了以下成果:
(1)满足安全合规要求:本次项目立足于符合国家安全法要求,并努力遵从《工业控制系统信息安全防护指南》中相关技术、管理要求,结合企业的生产业务特点开展工控系统安全防护建设。
(2)优化资源配置:本方案从用户的角度设计的安全防护方案,在合规前提下最大限度利用企业现有资源,同时有效结合上级单位的运营模式,在有限资源条件下最大限度地提升安全防护水平。
(3)提高企业安全防护性:本次项目成果可为钢铁公司工控网络安全稳定运行提供基础保障,实现病毒、木马等恶意程序和内外部人员攻击、软件后门利用等多种威胁的防范,显著加强企业工控系统系统在当前愈加恶劣的网络环境下防范能力,有效保障国民经济的稳定发展。
(4)树立标杆形成示范:本次项目提供的方案设计针对工控系统的技术特点以及钢铁行业自身的业务特点,完整覆盖管理、技术,很好地满足了监管以及未来业务发展的需要,并在钢铁行业相关企业中积累丰富的经验,为集团其他平行企业起到良好的示范作用。
3 案例亮点
(1)案例为客户企业开展网络安全分级试点提供了坚实基础
本案例的实施对象为福建泉州闽光钢铁,也是福建省第一批业互联网企业网络安全分级试点企业。在试点确定之前,实施过程中充分参照了《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》2.0版本中相关技术、管理要求,可为企业减少网络安全事故和经济损失做好全面防护。
(2)创新示范效益显著
通过项目建设,有利于孵化行业标准,提升行业监管、企业管理的效率及水平。尤其有利于在钢铁领域形成工控及网络安全监管示范效应。
(3)管理效益突出
该方案基于双向机制,建立了福建泉州闽光钢铁工控网络安全管理体系,制定工控安全综合管控平台业务与技术规范,建立管理标准与制度体系,实现了对所有工控安全防护设备及系统的统一管理,降低运维管理成本。尤其为集团型工控信息化提供样板指导。