某水庫自動化系統(tǒng)信息安全體系建設實踐
引言:面對越來越嚴峻的信息安全形勢,我國高度重視工業(yè)控制系統(tǒng)信息安全工作。隨著2017年《國家網絡安全法》頒布和2021年《關鍵信息基礎設施安全保護條例》實施,其中明確提出“關鍵信息基礎設施的運行安全”要在等級保護制度基礎上,實行重點防護,而關鍵信息基礎設施規(guī)定了水利等重要行業(yè)和領域的重要網絡設施、信息系統(tǒng)等,說明工業(yè)控制系統(tǒng)安全在關鍵信息基礎設施保障中的重要程度。
某水庫工控系統(tǒng)建設較早,現(xiàn)有網絡系統(tǒng)缺乏網絡安全防護能力,存在較大的網絡安全風險,不能滿足政策法規(guī)技術要求,本項目結合生產控制系統(tǒng)的安全現(xiàn)狀,幫助用戶建立縱深防御防護體系,完善管理制度,強化網絡安全技術保障能力,提高用戶網絡安全綜合防護能力,確保水庫工控網絡系統(tǒng)能安全穩(wěn)定運行。
項目概況
1. 項目背景
(1)城市運營保障責任重大
某水庫是我國目前(2012年)最大的江心水庫,設計有效庫容為4.35億立方米。日供水規(guī)模719萬立方米,占全市原水供應總規(guī)模的50%以上,是重要的飲用水源地之一,承擔著全市過半人口用水。
(2)工控整體安全形勢不容樂觀
工業(yè)控制系統(tǒng)越來越多地采用信息技術和通信技術,水庫工控系統(tǒng)建設較早,前期工控系統(tǒng)整體網絡設計只考慮了數(shù)據(jù)傳輸?shù)姆€(wěn)定性和可靠性,未充分考慮安全防護能力;隨著工業(yè)化和信息化的深度融合,,傳統(tǒng)信息網絡所面臨的病毒、網絡攻擊等安全威脅也正在向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)面臨著日益嚴峻的安全風險。例如,2015年,河北省某污水處理廠PLC設備存在繞過權限修改寄存器值的漏洞,導致鼓風機設備不受操作員站控制,自行頻繁啟停,造成鼓風機全部燒毀;2016年,河北省石家莊市某地表水廠受到惡意攻擊,設置送水泵以最大頻率運行,與此同時強制關閉泵后閥門,導致送水管道崩裂。
(3)國家法律政策驅動
面對越來越嚴峻的信息安全形勢,我國高度重視工業(yè)控制系統(tǒng)信息安全工作。 2016年10月17日,工信部信軟〔2016〕338號《工業(yè)控制系統(tǒng)信息安全防護指南》正式頒布,指出工業(yè)控制系統(tǒng)應用企業(yè)應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應急預案演練、資產安全、數(shù)據(jù)安全、供應鏈管理、落實責任十一個方面做好工控安全防護工作,切實提升工業(yè)控制系統(tǒng)信息安全防護水平,保障工業(yè)控制系統(tǒng)安全。2017年6月1日起《中華人民共和國網絡安全法》正式施行,其中明確提出“基礎設施的運行安全”,要在等級保護的基礎上實行重點防護。2021年9月1日起《關鍵信息基礎設施安全保護條例》正式實施,明確規(guī)定了關鍵信息基礎設施包括水利等重要行業(yè)和領域的重要網絡設施、信息系統(tǒng)等。
由于我國工業(yè)控制系統(tǒng)起步較晚,信息安全保障能力方面存在較大不足。面對復雜的工控安全形勢,我國加強工業(yè)控制系統(tǒng)信息安全的保障工作迫在眉捷。
2. 項目簡介
某水庫整體工控系統(tǒng)涉及取水泵閘、下游水閘、輸水泵站、輸水閘井及控制中心等幾個子系統(tǒng),且由于水庫工控系統(tǒng)建設較早,前期工控系統(tǒng)整體網絡設計只考慮了數(shù)據(jù)傳輸?shù)姆€(wěn)定性和可靠性,但工控網缺乏安全防護能力,一旦網絡內某個子系統(tǒng)遭受攻擊,很容易影響整個工控系統(tǒng)的正常運行,將會給自身以及城市的安全運營帶來嚴重的影響。
同時,該水庫現(xiàn)有工控系統(tǒng)不滿足《中華人民共和國網絡安全法》和GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》相關技術要求,需要對其整改建設,并通過三級等保測評。
3. 項目目標
通過對某水庫進行調研和分析,并結合現(xiàn)有系統(tǒng)安全現(xiàn)狀,存在的安全風險以及面臨威脅,按照國家、行業(yè)相關標準,使之符合網絡安全等級保護2.0要求,設計出基于工業(yè)控制系統(tǒng)白環(huán)境理念的縱深防御安全防護方案,建立起完善的技術防護體系,并在此基礎上構建合規(guī)的管理制度體系,從而提高整某水庫的整體綜合防護能力。此次建設目標具體如下:
(1)以改造某水庫生產控制系統(tǒng)網絡為基礎,幫助用戶建設縱深防護防御體系,提高用戶生產網安全防護能力,避免用戶生產網遭受到網絡入侵等攻擊行為而給用戶造成巨大經濟損失。
(2)結合用戶現(xiàn)有管理制度,以GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》為基準;協(xié)助用戶建立完善的管理制度流程,從而完善用戶網絡方面管理制度。
(3)開展合規(guī)分析工作,整合工信部的《工業(yè)控制系統(tǒng)信息安全應用指南》(GB/T 32919-2016)、GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》、《關鍵信息基礎設施安全保護條例》進行合規(guī)分析,通過后期培訓和材料預準備,使得用戶能夠在今后的貫標檢查過程中,順利達標。
二、項目實施概況
依據(jù)目前某水庫生產網絡的安全現(xiàn)狀,為滿足安全防護效果能夠滿足國家政策法規(guī)及各級主管單位的相關要求,具體安全需求如下:
主機安全加固技術需求
現(xiàn)場根據(jù)調研,工控機操作系統(tǒng)以Windows server 2012、Win7操作系統(tǒng)為主,現(xiàn)場工控主機無任何惡意代碼防范措施,USB外設管控未做任何管控措施,現(xiàn)場存在移動介質內外網濫用等安全問題,極容易遭受U盤擺渡攻擊,從而造成生產業(yè)務的中斷。
內外網網絡邊界防護需求
目前外部邊界生產管理層和上級企業(yè)資源層之間缺乏外網的邊界隔離技術措施,無法對經過的數(shù)據(jù)流量進行過濾,由一些非法人員可以從上級部門側入侵到工控網,存在一定的安全隱患。
內網生產管理層與過程控制層之間缺乏有效的防護措施,容易發(fā)生針對生產控制網絡內的邏輯控制器(PLC)的非法訪問及攻擊行為。
入侵檢測防范及網絡審計技術需求
現(xiàn)有工控網絡內缺少入侵檢測及網絡檢測審計措施,無法及時發(fā)現(xiàn)內網的一些惡意流量攻擊,一旦出現(xiàn)內網的惡意網絡攻擊事件,無法進行發(fā)現(xiàn)和回溯。
日志統(tǒng)一存儲需求
工控網缺乏日志集中存儲技術措施,無法對網絡內服務器日志、操作員日志、交換機日志、安全設備日志等進行統(tǒng)一的收集存儲,在不滿足網絡安全法和等級保護制度要求的同時,也無法對工控網的網絡運維日志進行有效的大數(shù)據(jù)分析。
集中管控技術需求
現(xiàn)有工控網缺乏統(tǒng)一管理技術手段,在后續(xù)安全運維時,會消耗較多的運維時間,同時缺乏對第三方運維審計管控,存在較大安全隱患。
系統(tǒng)漏洞管理需求
工控網目前缺乏有效的系統(tǒng)漏洞及時發(fā)現(xiàn)技術,一旦系統(tǒng)廠商發(fā)布高危漏洞,用戶沒有及時發(fā)現(xiàn)或更新,那么黑客人員很容易利用漏洞對工控網的主機或PLC發(fā)起攻擊,一旦攻擊成功,那么用戶會面臨較大的經濟損失和企業(yè)影響。
1.方案整體概述
(1)方案整體設計
某水庫生產控制系統(tǒng)安全建設依據(jù)“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的原則進行建設。
“安全分區(qū)”:根據(jù)生產過程,將生產相關配套工業(yè)控制系統(tǒng)按照板塊進行安全分區(qū)。板塊內部再根據(jù)不同控制系統(tǒng)進行安全分域。根據(jù)劃分的安全區(qū)、安全域制定區(qū)間、域間防護措施。
“縱深防護”:結合安全區(qū)、安全域劃分結果,在制定區(qū)、域邊界防護措施的同時,也要在安全區(qū)、安全域內部部署異常行為、惡意代碼的檢測和防護措施。
“統(tǒng)一監(jiān)控”:針對各安全區(qū)、安全域的防護措施、監(jiān)測及審計措施建立統(tǒng)一的、分級的監(jiān)控系統(tǒng),統(tǒng)一監(jiān)控業(yè)務板塊的工業(yè)控制系統(tǒng)的安全狀況。將各業(yè)務板塊的工業(yè)控制系統(tǒng)安全風險進行集中的展示,以風險等級的方式給出不同工業(yè)控制系統(tǒng)的安全風險級別,全面了解并掌握系統(tǒng)動態(tài)。
圖1 某水庫網絡拓撲圖
(2)邊界安全防護安全設計
在生產管理層到企業(yè)資源層之間部署工業(yè)網閘,通過工業(yè)網閘實現(xiàn)生產管理層和企業(yè)資源層的物理隔離,工業(yè)網閘分別由內、外網處理單元與數(shù)據(jù)交換單元(專用隔離芯片)三部分組成。內、外網處理單元是一臺專有的網絡安全計算機設備,分別連接于內外網絡。內、外網處理單元之間通過專用的隔離芯片進行數(shù)據(jù)的擺渡傳輸,其過程類似U盤拷貝。當專用隔離芯片與內網聯(lián)通時與外網電路是斷開的,當隔離部件與外網聯(lián)通時,與內網是斷開的,在確保網絡隔離的前提下實現(xiàn)適度的數(shù)據(jù)交換,因此能夠最大程度的保證某水庫生產網的外網邊界與企業(yè)資源層相互訪問通信安全。
在工程師站和PLC之間串聯(lián)部署工業(yè)防火墻實現(xiàn)對現(xiàn)場工業(yè)控制指令的檢測和管控,通過工業(yè)防火墻對工業(yè)協(xié)議深度解析,保護PLC免遭工業(yè)病毒的惡意攻擊,目前某水庫生產網系統(tǒng)工業(yè)協(xié)議采用的是CIP、S7等工業(yè)協(xié)議,工業(yè)防火墻能夠對現(xiàn)場應用層CIP、S7等工業(yè)協(xié)議進行深度解析,發(fā)現(xiàn)上位機對PLC下發(fā)的指令不符合白名單的安全測量時,防火墻及時的對數(shù)據(jù)進行攔截并告警,從而及時有效的避免中間人和一些不法人員的入侵攻擊行為。
(3)網絡安全審計安全設計
在某水庫生產系統(tǒng)網絡中通過交換機的端口鏡像功能旁路部署安裝工控安全監(jiān)測與審計系統(tǒng),對工控網絡中的控制系統(tǒng)進行審計,以保證觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)內,能夠根據(jù)存儲的記錄和操作者的權限進行查詢、統(tǒng)計、管理、維護等操作,能夠在必要時從記錄中抽取所需要的資料。工控安全監(jiān)測與審計系統(tǒng)的部署為控制系統(tǒng)網絡提供事前監(jiān)控、事中記錄、事后審計。
工控安全監(jiān)測與審計系統(tǒng)能夠解決以下問題:
基于正常通信模型,對工控指令攻擊、控制參數(shù)的篡改、病毒和蠕蟲等惡意代碼攻擊行為等進行實時監(jiān)測和告警。
實時監(jiān)測設備流量,當發(fā)現(xiàn)其在一段時間內沒有收發(fā)流量,則進行實時報警。
實現(xiàn)對工控協(xié)議報文不符合其規(guī)約規(guī)定的格式進行檢測并告警。
對工程師站組態(tài)變更、操控指令變更、PLC下裝、負載變更等操作行為進行記錄和存儲,便于安全事件的事后審計。
對各類安全日志進行記錄和存儲,便于安全事件的調查取證。
(4)網絡入侵防范安全設計
目前某水庫工控網絡內部缺乏對異常的攻擊檢測措施,無法通過技術手段來實現(xiàn)基于攻擊檢測告警,因此在控制網管理層核心交換機上部署入侵檢測設備對工控網絡內部的網絡攻擊進行檢測。同時入侵檢測也是防火墻的合理補充,幫助系統(tǒng)對付網絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎結構的完整性。
(5)主機安全加固安全設計
根據(jù)某水庫生產系統(tǒng)現(xiàn)狀,操作員站等主機使用的是微軟的Windows 7等操作系統(tǒng),且現(xiàn)場操作系統(tǒng)未做過任何的系統(tǒng)補丁更新,同時這些現(xiàn)場主機需要經常采用U盤進行數(shù)據(jù)拷貝,很容易將外網病毒木馬帶入工作系統(tǒng)終端上,然后通過終端散播到網絡的各個區(qū)域,最終致使整體生產網絡癱瘓。
此次在某水庫服務器和主機上部署工控主機衛(wèi)士軟件,保護這些設備的主機安全。工控主機衛(wèi)士采用“白名單”管理技術,通過對數(shù)據(jù)采集和分析,其內置智能學習模塊會自動生成工業(yè)控制軟件正常行為的白名單,與現(xiàn)網中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征,其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警,以此避免主機網絡受到未知漏洞威脅,同時還可以有效的阻止操作人員異常操作帶來的危害。
2. 安全集中管理中心建設
(1)安全集中管理中心建設總體設計
在生產管理層核心交換機上搭建一套安全集中管理中心,通過安全集中管理中心對生產網的安全設備、網絡設備、安全軟件進行集中管理和日志集中存儲分析,并通過安全集中管理中心的漏洞掃描設備定期的對生產控制系統(tǒng)的服務器和主機進行漏洞掃描,及時發(fā)現(xiàn)工控系統(tǒng)內部的系統(tǒng)漏洞并進行修復。
圖2 安全集中管理中心建設拓撲圖
(2)日志審計集中存儲設計
目前某水庫生產網沒有統(tǒng)一的日志存儲服務器,無法生產網安全設備、服務器、交換機、操作員站等日志進行統(tǒng)一存儲,同時《中華人民共和國網絡安全法》的出臺及信息系統(tǒng)安全等級保護的要求,明確要求對關鍵信息基礎設施和二級以上的信息系統(tǒng)必須對網絡、主機和應用進行安全審計。
綜上所述,用戶需要一個全面的、面向網絡資源的、集中的安全日志審計平臺及其系統(tǒng),這個系統(tǒng)能夠收集來自客戶網絡資源中各種設備和應用的安全日志,并進行存儲、監(jiān)控、審計、分析、報警、響應和報告。
此次在生產網內部安全集中管理中心部署一臺日志審計與分析系統(tǒng)實現(xiàn)對安全設備及網絡設備的日志存儲,以便滿足相關法律法規(guī)的政策要求。
(3)安全運維審計設計
目前某水庫網絡當中缺乏安全運維管控,用戶無法對生產網的運維進行詳細技術管控,因此此次在生產網當中部署一臺安全運維堡壘機,對生產網的后期運維進行統(tǒng)一管理,通過堡壘機對不同對象的運維人員下發(fā)不同的管理權限,并對管理權限進行劃分,其次通過運維堡壘機能夠追溯運維人員在運維過程中做的運維操作,以便在發(fā)生安全事件時,能夠通過運維堡壘機進行事件追溯。
(4)工控漏洞掃描安全設計
此次在生產當中部署一臺漏洞掃描設備,它可以幫助用戶管理人員隨時掌握當前系統(tǒng)中漏洞情況,通過掃描生產網當中的網絡及工控設備從而評估你的網絡的安全級別,并生成評估報告,提供相應的整改措施。
(5)統(tǒng)一集中管理平臺安全設計
在生產網網設置安全管理區(qū)域,在生產網的核心交換機旁路部署統(tǒng)一安全管理平臺,方便管理人員的日常管理與維護
3. 具體應用場景和應用模式
通過在某水庫的控制中心搭建一套完善的安全集中管理中心實現(xiàn)對取水泵站、下游水閘、輸水泵閘、輸水閘井的網絡會話日志、設備運行日志及設備的告警日志進行集中收集并分析,實時掌握各個子系統(tǒng)的網絡安全態(tài)勢,一旦某個子系統(tǒng)網絡出現(xiàn)異常情況,配合安全集中管理中心的統(tǒng)一安全管理平臺對安全設備的策略進行動態(tài)化的調整,達到對某水庫工控系統(tǒng)進行實時監(jiān)控和精準防護。
4. 安全及可靠性
在許多情況下,設備的不可靠會導致系統(tǒng)的不安全。當設備發(fā)生故障時,不僅會影響用戶的正常業(yè)務運行,而且可能會因設備出現(xiàn)故障而導致安全防護體系失效,從而使系統(tǒng)受到網絡攻擊,因此此次項目在方案設計時從技術層面和管理層面入手,來整體提高設備的安全性和可靠性,具體如下:
基于技術層面:首先從技術層面入手,此次需要串聯(lián)在系統(tǒng)中的設備分別是工業(yè)防火墻和工控網閘,其它設備因旁路部署,即使出現(xiàn)故障也不會影響現(xiàn)有的業(yè)務正常運行,方案的可靠性和安全性只涉及到串聯(lián)的安全設備。工業(yè)防火墻是串聯(lián)生產管理層和過程控制層之間,一旦防火墻出現(xiàn)故障會導致水庫整個工控系統(tǒng)業(yè)務癱瘓,因此本次采用工控專用防火墻來實現(xiàn)管理層和控制層之間的安全防護,工控專用防火墻業(yè)務接口具備Bypass功能;工業(yè)防火墻通過接口的Bypass功能保護網絡間的應急通訊。保證物理硬件在出現(xiàn)問題時工控網絡的正常通訊。
在生產管理層和企業(yè)管理層之間部署工業(yè)網閘實現(xiàn)某水庫和原水公司之間的邊界防護,目前某水庫只需要把本地的生產數(shù)據(jù)通過網閘上傳到原水公司即可,現(xiàn)場的水泵控制還是由生產管理層實現(xiàn),因此對現(xiàn)場數(shù)據(jù)傳輸?shù)膶崟r性要求不高,同時某水庫本地有一臺數(shù)據(jù)服務器來實時的存儲生產數(shù)據(jù),由數(shù)據(jù)服務器把數(shù)據(jù)同步給上級原水公司,一旦網閘設備出現(xiàn)故障,導致某水庫和原水公司鏈路中斷,數(shù)據(jù)服務器會進行本地緩存,當后續(xù)鏈路恢復通信時,數(shù)據(jù)服務器會把本地緩存的數(shù)據(jù)同時上傳到原水公司,從而提高數(shù)據(jù)傳輸?shù)目煽啃浴?/span>
基于管理制度:“三分技術,七分管理”是網絡安全領域的一句至理名言,因此現(xiàn)場網絡是否能夠安全穩(wěn)定的運行還需要結合安全管理制度,此次在項目完成建設后,協(xié)助用戶制定完善的安全運維管理制度和安全巡檢管理制度,每天由現(xiàn)場工作人員登錄到各個設備上查看設備的運行日志和告警日志,并生成巡檢報告,一旦發(fā)現(xiàn)設備出現(xiàn)故障,及時的啟動應急預案,恢復網絡,提高設備系統(tǒng)的可靠性。
5. 其他亮點
(1)本方案以主動防護為核心,白名單防護技術為基礎,幫助用戶建立縱深防御防護體系,提高用戶網絡安全防護能力,確保水庫工控網絡系統(tǒng)能安全穩(wěn)定運行;
(2)根據(jù)客戶現(xiàn)場管理組織架構,幫助客戶完善管理制度,提高企業(yè)網絡運行的標準化和規(guī)范化,從而協(xié)助用戶實現(xiàn)網絡運維管理“一切按照制度辦事”的目標;
(3)順利通過三級等級保護測評,為后續(xù)水務集團構建集團級態(tài)勢感知監(jiān)測預警平臺奠定堅實的基礎。
三、下一步實施計劃
在原水公司完成多個廠區(qū)的工控安全建設后,后續(xù)由水務公司牽頭,定制研發(fā)水務集團級態(tài)勢感知監(jiān)測預警平臺,首先由每個廠區(qū)統(tǒng)一安全管理平臺把安全設備的運行狀態(tài),對安全事件、資產脆弱性、安全規(guī)則配置、設備可用性與安全相關的數(shù)據(jù)進行統(tǒng)一采集、集中分析,發(fā)現(xiàn)事件或安全風險時可實時觸發(fā)告警。后續(xù)由統(tǒng)一安全管理平臺把相關的數(shù)據(jù)發(fā)送到集團級態(tài)勢感知監(jiān)測平臺實現(xiàn)聯(lián)動,從而實現(xiàn)對整體水務工控系統(tǒng)安全設備的集中管控和展示。
圖3 安全集中管理中心建設拓撲圖
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
本次基于工業(yè)白環(huán)境理念的縱深防御安全防護建設項目涉及多處原創(chuàng)性、創(chuàng)新性技術應用兩點,總結歸納為如下:
(1)基于軟件服務器的進程白名單更新技術
通過軟件服務器的進程白名單更新技術,在企業(yè)部署環(huán)境中只需要更新軟件服務器計算機上的進程白名單列表便能使全網相同操作系統(tǒng)的電腦都能共享這一更新的白名單,從而不需再對每臺計算機進行重復操作,有效減少安全運維工作量,更有益于積累全網軟件的白名單庫。
(2)一種基于工業(yè)網絡異常中斷的檢測方法
通過創(chuàng)新的采用技術檢測手段,以達到針對工業(yè)網絡中的異常網絡中斷情況進行告警,及時提醒用戶進行應急管理。
(3)一種工控網絡文件強制訪問控制策略配置的方法
采用針對工控網絡文件特別設計的強制訪問控制技術,以實現(xiàn)在特殊環(huán)境下具備針對相關文件的訪問策略的控制和配置,以達到合規(guī)要求。
(4)一種工控協(xié)議解碼規(guī)則的表述及優(yōu)化解碼方法
用于在工業(yè)場景下針對不同的工控協(xié)議數(shù)據(jù)流進行解碼和識別,該方法設計優(yōu)化了其解碼的方法,提高效率和準確率。
2. 實施效果
(1)本方案以主動防護為核心,白名單防護技術為基礎,幫助用戶建立縱深防御防護體系,提高用戶網絡安全防護能力,確保水庫工控網絡系統(tǒng)能安全穩(wěn)定運行;
(2)根據(jù)客戶現(xiàn)場管理組織架構,幫助客戶完善管理制度,提高企業(yè)網絡運行的標準化和規(guī)范化,從而協(xié)助用戶實現(xiàn)網絡運維管理“一切按照制度辦事”的目標;
(3)順利通過三級等級保護測評,為后續(xù)水務集團構建集團級態(tài)勢感知監(jiān)測預警平臺奠定堅實的基礎。
AII微信公眾號
AII頭條號