宁波碧源供水有限公司 浙江宁波 315200
随着我国“互联网+”、“中国制造2025”战略部署和“两化深度融合”的大趋势下,以工业控制系统为代表的关键基础设施越来越多采用互联网的通用协议并通过互联网进行数据交换和运行管理,越多越多的关键基础设施和工业生产运营企业采用大数据、云计算等新兴信息技术架构,使得网络安全风险渗透到工业控制系统的方方面面。当前,城市运行实体基础设施的控制系统及工业生产的重要工业控制系统已逐步成为有组织黑客重点关注的网络安全目标。
本单位工控系统网络包括三部分,一部分由工控环网构成,连接一期至二期取水口、出水口、加药间、反冲洗等的PLC站点,与中控室相连;一部分包括各类操作终端如服务器、操作员站等;第三部分信息网各类应用,目前通过网闸与汇聚交换机相连,该部分信息安全防护措施完善。
网络安全现状分析
一)不同区域之间未做边界隔离防护
环网、服务器操作站之间未做到有效隔离,任何一个区域感染病毒木马可能迅速感染整个工控系统网络,进而影响到工控系统的安全运行。
二)工控网络边界缺乏对工控系统的入侵防范能力
工控网络缺乏网络入侵防范和安全审计,对工控网络边界的攻击行为无法识别,也无法详细审计和分析经过工控网络边界的网络流量。
三)重要资产缺乏恶意代码安全防护能力
缺少有效的工控恶意代码防护措施,工作站主机未安装杀毒软件或白名单防护软件,不能限制病毒、木马或恶意代码的传播。
存储着核心数据的数据服务器未做安全防护,有造成数据泄密、丢失及被篡改的可能性,会影响业务系统的正常运行。
四)重要控制设备无安全防护
生产核心控制单元前端无防护设备,无阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。无法对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤。
安全技术方案分析
依照工控安全技术要求,将从网络安全、主机安全、监测安全以及数据安全四个方面对工控系统的安全防护分别展开阐述。
●网络安全
为满足“网络安全”-“网络隔离及访问控制”基本要求的部分内容,需要在核心交换机与工控环网之间部署工业防火墙,工业防火墙可应用于SCADA、DCS、PCS、PLC等工业控制系统网络边界,在工业控制系统中广泛应用。
1访问控制功能
工业防火墙可基于五元组、IP/MAC绑定、协议等方式实现访问控制功能,允许必须的业务应用和协议通过防火墙传输,阻断所有其他与业务不相关的应用和协议,从而控制网络传输行为,保障业务正常运行的同时阻止不必要的网络流量和异常攻击行为。
2工控威胁检测功能
工业防火墙可以实时检测业务流,通过内置的工控威胁库及威胁特征检测规则,及时发现针对工业控制网络的入侵攻击行为,并能够根据用户需求采取告警或阻断等应急处置手段。
3工控异常行为检测功能
通过深度解析工控协议、分析工控过程行为、自动学习基于工控协议的操作行为和规则,建立工控业务正常行为基线,并判断业务流量与基线的差异,实时检测工控网络的异常行为,并能够告警或应急处置。
4基本网络攻击防护功能
工业防火墙支持泛洪攻击检测、连接数限制和扫描攻击检测。
5硬件bypass功能
为保障工业控制系统的可用性,工业防火墙支持硬件Bypass能力。当检测到设备掉电、软件宕机等异常情况时触发旁通功能,以保障业务通信的可用性。
6安全管理功能
工业防火墙设计独立的管理接口,基于SSL加密技术保障管理操作的机密性和完整性,通过分级的角色管理、管理IP地址限制等安全措施,最小化操作人员的权限,保障工业防火墙控制策略管理的安全性。
●主机安全
主机安全防护系统是专门为工业环境打造的主机安全防护软件产品,采用高效、稳定、兼容、易于设置的白名单安全防护技术,构建主机运算的可信环境。主机安全防护系统能够监控主机USB外设接口,识别USB接入设备类型,对于移动存储介质进行严格管控,切断病毒入侵的路径。
1应用程序白名单
主机安全防护系统通过自动扫描主机磁盘指定目录下的所有可执行文件,创建应用程序白名单。同时,在自动扫描的基础上,管理员可根据现场业务应用的实际情况,可手动添加、更新、删除应用程序白名单中的条目,保障业务应用白名单的准确性。
2移动存储介质白名单
n主机安全防护系统通过对USB接口和USB设备的识别与控制,实现主机移动存储介质的白名单管理。
3完整性保护
n为了保障主机计算环境的安全性,主机安全防护系统通过对应用程序完整性保护,内存空间完整性保护,关键配置文件和注册表完整性保护,保护运行环境和进程空间的运行安全,及时发现计算环境的篡改和破坏。
4安全基线管理
主机安全防护系统提供主机安全基线配置管理功能,包括操作系统账户管理、操作系统服务端口管理、密码口令管理等强制管理措施,保障主机的配置达到安全基线水平。
5非法外联管控
主机安全防护系统通过检查主机的联网信息,识别并管控主机连接到非法的网络中。
●监测审计安全
为满足 “网络安全”-“安全监测审计” 和“入侵防范”基本要求的部分内容,需在核心交换机上旁路部署工业安全监测审计系统。
工业安全监测审计系统能实时监测工控网络的业务流量,检测工控网络中入侵行为,也能根据用户定义的审计策略,追踪工控网络安全事件,它能对工控网络的数据进行留存。
1业务模型自学习
通过深度解析工控协议、分析工控过程行为,自动学习基于工控协议的操作行为和规则,协助现场实施工程师建立安全监测模型。
2网络流量实时监测
默认通过旁路的方式对工控网络进行实时监测,对协议、流量等元素进行统计分析,通过自定义规则或白名单规则,检测业务流量中不合规的工控网络行为,对不合规行为进行实时的告警,留存网络数据并实时显示网络的状态。
3关键操作行为监测
工业安全监测审计系统可对工控系统的工程师站组态变更、操控指令变更、PLC 程序上载和下装、PLC所有写操作、PLC自身负载状态异常变化等关键事件进行实时监控,对异常关键事件进行监测。
4视频状态实时监测
系统独有的视频监测引擎,能对工业网络或视频专网中的视频设备及网络状态做到实时监测,对网络中的新设备接入、网络中断、IP地址变化等实时监测报警。
5网络入侵实时监测
实时检测工控网络中的攻击行为,利用内置的工控威胁库(IP情报库、蜜罐数据、CVE/CNVD/CNNVD漏洞库)根据已知的威胁特征建立检测规则,实时对网络中的入侵进行告警。
6网络数据安全审计
工业安全监测审计系统能对安全事件进行审计,方便及时追溯安全事件的轨迹;能对用户的操作行为进行细粒度审计,方便还原操作的真相;根据用户自定义设置,留存所有网络的原始数据,可配置为留存六个月及以上时间。
●数据安全
数据备份的要求,目前在系统里基本能够满足,对于数据的保密性和完整性,主要通过对数据库进行安全加固来实现。
参考文献:
[1]《信息安全等级保护管理办法》(公通字〔2007〕43号);
[2]GB/T 17859-1999 《计算机信息系统 安全等级保护划分准则》;
[3]GB/T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》;
[4]GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》;
[5]GB/T28448-2012 《信息安全技术 信息系统安全等级保护测评要求》;
[6]《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号);
[7]《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号);
[8]《工业控制系统信息安全第1部分:评估规范》;
[9]《工业过程测量、控制与自动化、网络与系统信息安全》;
[10]《工业控制系统安全指南》。