宁波和利时信息安全研究院有限公司
1 项目概况
1.1 项目背景
能源问题与社会、经济发展密切相关,受到了越来越广泛的关注。研发适应能源转型发展需求、有效促进产业升级的能源电力新装备、新技术、新模式已成为构建现代产业发展体系的重要组成部分,其核心特征就是能源利用的清洁化与能源转换的智能化。本项目基于信息安全主动防御技术,工控安全态势分析与管控平台,支持5种以上主流工控协议的自识别与解析,实现全系统的在线安全态势分析与智能预警,满足《信息安全技术 信息系统等级保护基本要求》《信息安全技术 信息系统等级保护实施指南》等标准要求;信息安全相关软硬件对系统功能业务流程无影响,对系统运行态实时性能影响<10%。
1.2 项目简介
大唐集团三门峡电厂(以下简称:电厂)于2009年投产发电,锅炉为亚临界压力、一次中间再热、循环流化床式,汽机为亚临界、一次中间再热、单轴双缸双排汽、直接空冷凝汽式,发电机为三相交流隐极式同步发电机,控制系统为和利时HOLLiASMACS DCS系统。
传统信息安全防护与态势感知无法有效下沉到控制系统网内部,使得工业控制业务与安全威胁分析无法有效融合。和利时依托自身在控制系统领域的优势,结合工控威胁情报、行为分析建模、情报关联分析、可视化等技术,对工业现场业务数据和多源网络安全数据进行同步采集,并通过和利时特有的工业安全专家数据分析模型将工业生产业务数据与安全数据融合起来进行关联分析,把网络安全分析作为业务生产保障的一个输入点,切实从工业网络全局视角提升对安全威胁的发现识别、理解分析和响应处置,帮助用户提升安全决策的能力,最终实现对工业生产的持续安全运行提供保障,打通安全与业务,形成“业务+安全”一体化的解决方案。
1.3 项目目标
现代工控系统网络中专有设备较多,私有协议不公开,数据类型与流量特点不同于互联网,且攻击数据、背景数据和业务数据混杂在一起,具有隐蔽性。因此需要开发一套工控系统数据旁路采集工具,实现对工控系统网络节点与流量的旁路采集、工控专用协议的深度解析、工控系统网络因受到攻击而产生的异常行为的识别与记录等,提高工业控制系统安全性。
随着电厂的数字化、智能化升级发展,对信息化建设和机组运行水平、设备管理水平都提出了更高的要求,电厂运营效益提升、员工劳动强度降低还有较大提升空间。当前面临的主要挑战是,机组控制层和管理层的深度融合不够,各系统信息孤岛情况严重,数据利用率不高,不能有效地为管理、生产、检修提供支撑。
针对面临的问题和挑战,电厂基于现有各系统情况和运营管理提升诉求,在现场建立基于工业互联网技术的智能发电运行优化云平台、部署电厂智能化运营管理模块,将数据挖掘和场景画像的综合竞价上网技术进行落地实施,构建了面向现场实际应用的智能电厂整体解决方案。电厂智能改造的过程大大提高了电厂的智能化程度,在优化分析和产能提升方面获得了极大提升。由于互联互通的需求,智能化建设过程打通了电厂各子系统网络,在关键网络节点和关键网络设备方面缺乏信息安全防护能力,缺乏统一的安全态势管理和集中网络分析,整体系统内生网络安全防护能力提升空间巨大。
通过部署数据采集设备对工控系统网络数据进行实时采集、解析与检测。数据采集探针以旁路方式部署在工控系统中,获取工控系统数据,进行初步处理后上报给数据分析与处理平台。该平台为一个硬件服务器,负责接收各个数据采集探针上报的数据,进行统一分析检测,将结果以图形化方式展示给用户。该技术可自动识别工业控制协议,对网络中的所有安全节点进行实时监控与分析,及时发现异常流量或异常操作。自动分析安全态势,并根据配置策略产生实时报警。
2 项目实施
2.1 系统总体设计
2.2.1 安全防护体系架构
依据上述需求,基于终端安全可信防护系统、工控安全态势分析与管控平台等关键产品技术,设计了信息安全防护体系架构,如图1所示。
图1 火电机组智能运行控制系统信息安全防护体系架构
(1)工控安全态势分析与管控平台
工控安全态势分析与管控平台对通过下层网络探针采集到的数据进行统一分析与展示,能够实现对工控现场安全事件的预警与响应、安全事件集中展示、安全风险评估、工控安全设备策略管理等,并进一步为安全事件响应与处置提供态势情报基础。
在下层网络中工控安全态势分析与管控平台通过工控网络数据流量采集探针对工控网络的协议和数据报文进行集中数据采集和分析,采集的数据通过基线和知识库分析由工控安全态势分析与管控平台进行告警分析和可视化呈现,进而实现对网络安全风险和安全态势的集中管控。
(2)工业终端安全可信防护系统
工业终端安全可信防护系统作为可信计算的核心管控系统能够对工业终端安全的可信策略进行策略配置、集中告警和统一管控。可信上层平台与工业终端安全可信防护系统构成基于可信计算技术的统一整体,同时可信策略和可信告警作为态势系统分析数据源的一部分为整体态势分析提供基础。
工业终端安全采用可信计算技术,设计了工业终端安全可信防护系统,基于可信策略和可信度量技术实现对工业终端计算环境的完整性校验和可信监管。工业终端安全可信防护系统能够对操作系统内核级的安全威胁和未知威胁进行有效抵御,同时配合管理平台实现可信策略和安全告警的集中控制。
上述各部分之间的主要交互关系如图2所示,构成完整的信息安全防护体系。
图2 信息安全防护体系构成
2.2.2 业务影响分析
该应用验证方案所采用的信息安全防护架构核心技术和设备采用轻量化旁路部署,实现对系统功能业务的无扰运行。
(1)工控安全态势分析与管控平台采用旁路部署的方式并接入系统业务网络中,通过核心交换机镜像口部署,以被动式数据采集方式,对业务网络无流量干扰、不主动发包,实现系统业务网络与安全数据采集的通讯隔离。
(2)工业终端安全可信防护系统采用可信计算技术,可信计算技术不同于传统的黑名单防护技术,通过构建可信度量环境实现对可信基准值的可信校验,从而完成对恶意代码、非法进程和未知威胁的检测。可信度量基于密码技术对被度量对象进行密码校验,该技术实现方式相比于黑名单扫描检测,具有计算量小、资源负荷低的特点,全面应用可信计算技术的终端防护系统对计算终端的CPU资源占用小于5%。标准上位机组态操作系统的实时数据刷新时间为500ms,根据实时性周期和数据量的分析结果显示,当前工业控制系统上位机运行对组态软件实时数据采集的性能影响不到30%,应用可信计算技术的终端防护系统后的性能要求仍不到设计要求的30%,总体对上位机实时性设计指标无影响。
2.2 关键产品技术
2.2.1 工业终端安全可信防护
(1)工业终端安全可信防护架构
工业终端安全可信防护以可信计算为核心技术,基于TCM构建从操作系统引导到上层应用的信任链,实现工业控制系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,为现有系统构建自主防御体系,打造可信应用环境,抵御未知病毒、木马、恶意代码的攻击,其架构如图3所示。
首先构建一个信任根,以信任根为起点建立一条信任链,从信任根开始到硬件平台、操作系统、应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而从源头上确保整个计算机系统可信,并且能够通过可信报告功能将这种信任关系通过网络连接延伸到整个信息系统。通过可信计算技术和标签管理、证书管理技术的结合,可以解决上述诸如应用来源判断、应用动态度量、一致性访问控制及可信网络连接等问题。
图3 可信环境架构图
可信计算通过信任根和信任链的技术对恶意代码起到了免疫的效果。主要从系统的三个阶段进行防护:初态启动阶段、运行阶段和网络连接阶段。在启动阶段通过BIOS设置,由可信芯片进行启动,可信芯片内部存储着启动的初始代码MBR等信息,这样由硬件保护提升了代码安全性且不会被恶意篡改,其次对存于硬盘上的后续执行代码进行校验,只有通过才能继续启动。在操作系统运行阶段,通过可信软件库和白名单机制,对运行的软件进行可信保护和执行限制,保障了恶意代码不能被执行。
动态度量技术保障操作系统与安全机制的完整,恶意代码要实现攻击会对操作系统进行破坏,修改其关键的数据结构和配置信息,动态度量确保了应用的执行环境的安全;主客体行为度量和关键数据保护则是从应用行为和数据两个方面提供恶意代码防护,使得恶意代码既不能做越权行为,对关键数据也没有访问权限。
最后通过可信网络连接建立安全的业务系统网络,在终端发生网络连接之前可信机制对连接的双方进行可信检验,主要检验双方的身份、平台以及系统环境的安全,保障网络连接是在可信的环境中进行数据交换。可信网络连接既保障网络连接的可信也控制了非法接入,对已经被恶意代码破坏的终端进行隔离,防止了恶意代码的扩散。
基于可信计算技术提升工业控制系统核心技术能力,为控制系统上位机组态软件构建安全环境,对终端主机搭建可信计算环境,目标是建立计算机免疫系统,主要包括可信芯片COS、可信软件基、可信网络连接、网络化的管理支持等,构建可信芯片起始的完整信任链,实现计算机运行的同时进行防护,为上层业务应用的运行提供可信的环境,为建立体系化的安全防护系统提供基础支撑。
(2)工业终端安全可信防护服务端
工业终端安全可信防护服务端实现对接入终端的策略、资源的统一管理以及审计的统计与分析。主要实现以下功能:
· 统一管理
· 资源可信监控
· 策略管理
· 审计管理
· 三权分立
(3)工业终端安全可信防护客户端
工业终端安全可信防护客户端部署在DCS控制系统的上位机环境中,主要实现了以下各项功能:
· 内核级安全防护
· 权限控制
· 移动存储介质的管理
· 基于白名单的终端应用控制
· 协议和内容识别
· 操作系统告警
· 白名单机制(静态度量)
· 动态度量技术
工业终端安全可信防护系统客户端防护如图4所示。
图4 工业终端安全可信防护系统客户端防护
工业终端安全可信防护对系统中所有装载的可执行文件代码进行控制,通过可信白名单机制可以增强终端和主机的安全防护能力,为边缘安全服务提供防篡改和恶意代码抵御的能力,在终端软件安装时通过扫描工具自动采集本地执行程序,为系统制定可信白名单(记录执行程序全路径、摘要值),并可通过管理中心配置下发白名单策略。
2.2.2 工控安全态势分析与管控平台
(1)工控安全态势分析与管控平台
· 深入理解工业自动化行业需求,对工控安全设备进行统一管控;对工控网络日志进行统一采集与分析,帮助用户及时发现问题,并提供决策依据;
· 完善的工控网络态势综合分析与展示能力:支持工控行业主机节点的识别及拓扑展示,符合行业习惯;支持可视化的攻击链状况展示、风险仪表盘展示、告警事件类型分布展示、资产风险分布展示、最新安全事件列表等可视化模块;
· 融合业务特性的工控知识库:包括工控事件库、处置预案库、工控漏洞库、工控协议库,并据此进行整合关联分析,产生告警并给出处置建议;
· 符合自主安全可控,采用基于国家商用密码算法的通信加解密技术及身份认证技术,护航工业数据安全。
(2)网络流量数据采集探针
工控安全态势分析与管控平台通过网络流量数据采集探针,对工业控制协议的通信报文进行深度解析,实时检测针对工业协议的网络攻击、用户误操作、用违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,将数据收集汇聚到工控安全态势分析与管控平台中,为工业控制系统的安全事故调查提供坚实的基础。
工控网络数据流量采集探针的技术特点如下:
· 工业协议深度解析:支持OPC、ModbusTCP、IEC 104、S7、DNP3等数十种工控协议,对协议内容进行细粒度分析;
· 高可靠的自身安全性:采用独立的硬件平台,数据分区加密,Web站点采用HTTPS方式访问;产品相关任务、日志、数据等导出都采用独立的加密处理;
· 无扰部署模式:通过流量镜像的方式对工控网络进行全流量数据监听,不主动发包,不做网络的任
何修改,对工控系统“无扰动,零风险” 。
3 案例亮点
智能发电系统中控制系统采用TCM可信计算密码支撑平台、具备可信启动的现场设备等技术,通过可信根、静态可信扩展和动态可信扩展、可信隔离和可信连接等可信支撑功能,实现设备安全、网络安全、控制安全、应用安全和数据安全防护全方位安全防护,构建安全可信、稳定可靠的智能发电系统。通过部署相关可信设备及相关管理软件,实现电厂控制系统的安全可靠,分别从管理体系、技术体系、运维体系多个维度进行可信防护,实现非授权未知威胁进不来、拿不走、看不到、改不了、走不掉等安全目标。
在系统整个安全架构设计上,基于“安全分区、网络专用、横向隔离、纵向认证”的总设计原则,将系统分为管理信息大区和生产控制大区,两区之间部署单向隔离装置进行横向隔离,实现生产控制区安全,从而保障控制系统安全运行。
数据采集探针以旁路方式部署在工控系统中,实时获取工控系统数据,进行初步处理后上报给数据分析与处理平台。该平台为一个硬件服务器,负责接收各个数据采集探针上报的数据,进行统一分析检测,将结果以图形化方式展示给用户。可自动识别工业控制协议,对网络中的所有安全节点进行实时监控与分析,及时发现异常流量或异常操作。自动分析安全态势,并根据配置策略产生实时报警。