某水庫自動化系統信息安全體系建設實踐
引言:面對越來越嚴峻的信息安全形勢,我國高度重視工業控制系統信息安全工作。隨著2017年《國家網絡安全法》頒布和2021年《關鍵信息基礎設施安全保護條例》實施,其中明確提出“關鍵信息基礎設施的運行安全”要在等級保護制度基礎上,實行重點防護,而關鍵信息基礎設施規定了水利等重要行業和領域的重要網絡設施、信息系統等,說明工業控制系統安全在關鍵信息基礎設施保障中的重要程度。
某水庫工控系統建設較早,現有網絡系統缺乏網絡安全防護能力,存在較大的網絡安全風險,不能滿足政策法規技術要求,本項目結合生產控制系統的安全現狀,幫助用戶建立縱深防御防護體系,完善管理制度,強化網絡安全技術保障能力,提高用戶網絡安全綜合防護能力,確保水庫工控網絡系統能安全穩定運行。
項目概況
1. 項目背景
(1)城市運營保障責任重大
某水庫是我國目前(2012年)最大的江心水庫,設計有效庫容為4.35億立方米。日供水規模719萬立方米,占全市原水供應總規模的50%以上,是重要的飲用水源地之一,承擔著全市過半人口用水。
(2)工控整體安全形勢不容樂觀
工業控制系統越來越多地采用信息技術和通信技術,水庫工控系統建設較早,前期工控系統整體網絡設計只考慮了數據傳輸的穩定性和可靠性,未充分考慮安全防護能力;隨著工業化和信息化的深度融合,,傳統信息網絡所面臨的病毒、網絡攻擊等安全威脅也正在向工業控制系統擴散,工業控制系統面臨著日益嚴峻的安全風險。例如,2015年,河北省某污水處理廠PLC設備存在繞過權限修改寄存器值的漏洞,導致鼓風機設備不受操作員站控制,自行頻繁啟停,造成鼓風機全部燒毀;2016年,河北省石家莊市某地表水廠受到惡意攻擊,設置送水泵以最大頻率運行,與此同時強制關閉泵后閥門,導致送水管道崩裂。
(3)國家法律政策驅動
面對越來越嚴峻的信息安全形勢,我國高度重視工業控制系統信息安全工作。 2016年10月17日,工信部信軟〔2016〕338號《工業控制系統信息安全防護指南》正式頒布,指出工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任十一個方面做好工控安全防護工作,切實提升工業控制系統信息安全防護水平,保障工業控制系統安全。2017年6月1日起《中華人民共和國網絡安全法》正式施行,其中明確提出“基礎設施的運行安全”,要在等級保護的基礎上實行重點防護。2021年9月1日起《關鍵信息基礎設施安全保護條例》正式實施,明確規定了關鍵信息基礎設施包括水利等重要行業和領域的重要網絡設施、信息系統等。
由于我國工業控制系統起步較晚,信息安全保障能力方面存在較大不足。面對復雜的工控安全形勢,我國加強工業控制系統信息安全的保障工作迫在眉捷。
2. 項目簡介
某水庫整體工控系統涉及取水泵閘、下游水閘、輸水泵站、輸水閘井及控制中心等幾個子系統,且由于水庫工控系統建設較早,前期工控系統整體網絡設計只考慮了數據傳輸的穩定性和可靠性,但工控網缺乏安全防護能力,一旦網絡內某個子系統遭受攻擊,很容易影響整個工控系統的正常運行,將會給自身以及城市的安全運營帶來嚴重的影響。
同時,該水庫現有工控系統不滿足《中華人民共和國網絡安全法》和GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》相關技術要求,需要對其整改建設,并通過三級等保測評。
3. 項目目標
通過對某水庫進行調研和分析,并結合現有系統安全現狀,存在的安全風險以及面臨威脅,按照國家、行業相關標準,使之符合網絡安全等級保護2.0要求,設計出基于工業控制系統白環境理念的縱深防御安全防護方案,建立起完善的技術防護體系,并在此基礎上構建合規的管理制度體系,從而提高整某水庫的整體綜合防護能力。此次建設目標具體如下:
(1)以改造某水庫生產控制系統網絡為基礎,幫助用戶建設縱深防護防御體系,提高用戶生產網安全防護能力,避免用戶生產網遭受到網絡入侵等攻擊行為而給用戶造成巨大經濟損失。
(2)結合用戶現有管理制度,以GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》為基準;協助用戶建立完善的管理制度流程,從而完善用戶網絡方面管理制度。
(3)開展合規分析工作,整合工信部的《工業控制系統信息安全應用指南》(GB/T 32919-2016)、GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》、《關鍵信息基礎設施安全保護條例》進行合規分析,通過后期培訓和材料預準備,使得用戶能夠在今后的貫標檢查過程中,順利達標。
二、項目實施概況
依據目前某水庫生產網絡的安全現狀,為滿足安全防護效果能夠滿足國家政策法規及各級主管單位的相關要求,具體安全需求如下:
主機安全加固技術需求
現場根據調研,工控機操作系統以Windows server 2012、Win7操作系統為主,現場工控主機無任何惡意代碼防范措施,USB外設管控未做任何管控措施,現場存在移動介質內外網濫用等安全問題,極容易遭受U盤擺渡攻擊,從而造成生產業務的中斷。
內外網網絡邊界防護需求
目前外部邊界生產管理層和上級企業資源層之間缺乏外網的邊界隔離技術措施,無法對經過的數據流量進行過濾,由一些非法人員可以從上級部門側入侵到工控網,存在一定的安全隱患。
內網生產管理層與過程控制層之間缺乏有效的防護措施,容易發生針對生產控制網絡內的邏輯控制器(PLC)的非法訪問及攻擊行為。
入侵檢測防范及網絡審計技術需求
現有工控網絡內缺少入侵檢測及網絡檢測審計措施,無法及時發現內網的一些惡意流量攻擊,一旦出現內網的惡意網絡攻擊事件,無法進行發現和回溯。
日志統一存儲需求
工控網缺乏日志集中存儲技術措施,無法對網絡內服務器日志、操作員日志、交換機日志、安全設備日志等進行統一的收集存儲,在不滿足網絡安全法和等級保護制度要求的同時,也無法對工控網的網絡運維日志進行有效的大數據分析。
集中管控技術需求
現有工控網缺乏統一管理技術手段,在后續安全運維時,會消耗較多的運維時間,同時缺乏對第三方運維審計管控,存在較大安全隱患。
系統漏洞管理需求
工控網目前缺乏有效的系統漏洞及時發現技術,一旦系統廠商發布高危漏洞,用戶沒有及時發現或更新,那么黑客人員很容易利用漏洞對工控網的主機或PLC發起攻擊,一旦攻擊成功,那么用戶會面臨較大的經濟損失和企業影響。
1.方案整體概述
(1)方案整體設計
某水庫生產控制系統安全建設依據“安全分區、縱深防護、統一監控”的原則進行建設。
“安全分區”:根據生產過程,將生產相關配套工業控制系統按照板塊進行安全分區。板塊內部再根據不同控制系統進行安全分域。根據劃分的安全區、安全域制定區間、域間防護措施。
“縱深防護”:結合安全區、安全域劃分結果,在制定區、域邊界防護措施的同時,也要在安全區、安全域內部部署異常行為、惡意代碼的檢測和防護措施。
“統一監控”:針對各安全區、安全域的防護措施、監測及審計措施建立統一的、分級的監控系統,統一監控業務板塊的工業控制系統的安全狀況。將各業務板塊的工業控制系統安全風險進行集中的展示,以風險等級的方式給出不同工業控制系統的安全風險級別,全面了解并掌握系統動態。
圖1 某水庫網絡拓撲圖
(2)邊界安全防護安全設計
在生產管理層到企業資源層之間部署工業網閘,通過工業網閘實現生產管理層和企業資源層的物理隔離,工業網閘分別由內、外網處理單元與數據交換單元(專用隔離芯片)三部分組成。內、外網處理單元是一臺專有的網絡安全計算機設備,分別連接于內外網絡。內、外網處理單元之間通過專用的隔離芯片進行數據的擺渡傳輸,其過程類似U盤拷貝。當專用隔離芯片與內網聯通時與外網電路是斷開的,當隔離部件與外網聯通時,與內網是斷開的,在確保網絡隔離的前提下實現適度的數據交換,因此能夠最大程度的保證某水庫生產網的外網邊界與企業資源層相互訪問通信安全。
在工程師站和PLC之間串聯部署工業防火墻實現對現場工業控制指令的檢測和管控,通過工業防火墻對工業協議深度解析,保護PLC免遭工業病毒的惡意攻擊,目前某水庫生產網系統工業協議采用的是CIP、S7等工業協議,工業防火墻能夠對現場應用層CIP、S7等工業協議進行深度解析,發現上位機對PLC下發的指令不符合白名單的安全測量時,防火墻及時的對數據進行攔截并告警,從而及時有效的避免中間人和一些不法人員的入侵攻擊行為。
(3)網絡安全審計安全設計
在某水庫生產系統網絡中通過交換機的端口鏡像功能旁路部署安裝工控安全監測與審計系統,對工控網絡中的控制系統進行審計,以保證觸發審計系統的事件存儲在審計系統內,能夠根據存儲的記錄和操作者的權限進行查詢、統計、管理、維護等操作,能夠在必要時從記錄中抽取所需要的資料。工控安全監測與審計系統的部署為控制系統網絡提供事前監控、事中記錄、事后審計。
工控安全監測與審計系統能夠解決以下問題:
基于正常通信模型,對工控指令攻擊、控制參數的篡改、病毒和蠕蟲等惡意代碼攻擊行為等進行實時監測和告警。
實時監測設備流量,當發現其在一段時間內沒有收發流量,則進行實時報警。
實現對工控協議報文不符合其規約規定的格式進行檢測并告警。
對工程師站組態變更、操控指令變更、PLC下裝、負載變更等操作行為進行記錄和存儲,便于安全事件的事后審計。
對各類安全日志進行記錄和存儲,便于安全事件的調查取證。
(4)網絡入侵防范安全設計
目前某水庫工控網絡內部缺乏對異常的攻擊檢測措施,無法通過技術手段來實現基于攻擊檢測告警,因此在控制網管理層核心交換機上部署入侵檢測設備對工控網絡內部的網絡攻擊進行檢測。同時入侵檢測也是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
(5)主機安全加固安全設計
根據某水庫生產系統現狀,操作員站等主機使用的是微軟的Windows 7等操作系統,且現場操作系統未做過任何的系統補丁更新,同時這些現場主機需要經常采用U盤進行數據拷貝,很容易將外網病毒木馬帶入工作系統終端上,然后通過終端散播到網絡的各個區域,最終致使整體生產網絡癱瘓。
此次在某水庫服務器和主機上部署工控主機衛士軟件,保護這些設備的主機安全。工控主機衛士采用“白名單”管理技術,通過對數據采集和分析,其內置智能學習模塊會自動生成工業控制軟件正常行為的白名單,與現網中的實時傳輸數據進行比較、匹配、判斷。如果發現其用戶節點的行為不符合白名單中的行為特征,其主機安全防護系統將會對此行為進行阻斷或告警,以此避免主機網絡受到未知漏洞威脅,同時還可以有效的阻止操作人員異常操作帶來的危害。
2. 安全集中管理中心建設
(1)安全集中管理中心建設總體設計
在生產管理層核心交換機上搭建一套安全集中管理中心,通過安全集中管理中心對生產網的安全設備、網絡設備、安全軟件進行集中管理和日志集中存儲分析,并通過安全集中管理中心的漏洞掃描設備定期的對生產控制系統的服務器和主機進行漏洞掃描,及時發現工控系統內部的系統漏洞并進行修復。
圖2 安全集中管理中心建設拓撲圖
(2)日志審計集中存儲設計
目前某水庫生產網沒有統一的日志存儲服務器,無法生產網安全設備、服務器、交換機、操作員站等日志進行統一存儲,同時《中華人民共和國網絡安全法》的出臺及信息系統安全等級保護的要求,明確要求對關鍵信息基礎設施和二級以上的信息系統必須對網絡、主機和應用進行安全審計。
綜上所述,用戶需要一個全面的、面向網絡資源的、集中的安全日志審計平臺及其系統,這個系統能夠收集來自客戶網絡資源中各種設備和應用的安全日志,并進行存儲、監控、審計、分析、報警、響應和報告。
此次在生產網內部安全集中管理中心部署一臺日志審計與分析系統實現對安全設備及網絡設備的日志存儲,以便滿足相關法律法規的政策要求。
(3)安全運維審計設計
目前某水庫網絡當中缺乏安全運維管控,用戶無法對生產網的運維進行詳細技術管控,因此此次在生產網當中部署一臺安全運維堡壘機,對生產網的后期運維進行統一管理,通過堡壘機對不同對象的運維人員下發不同的管理權限,并對管理權限進行劃分,其次通過運維堡壘機能夠追溯運維人員在運維過程中做的運維操作,以便在發生安全事件時,能夠通過運維堡壘機進行事件追溯。
(4)工控漏洞掃描安全設計
此次在生產當中部署一臺漏洞掃描設備,它可以幫助用戶管理人員隨時掌握當前系統中漏洞情況,通過掃描生產網當中的網絡及工控設備從而評估你的網絡的安全級別,并生成評估報告,提供相應的整改措施。
(5)統一集中管理平臺安全設計
在生產網網設置安全管理區域,在生產網的核心交換機旁路部署統一安全管理平臺,方便管理人員的日常管理與維護
3. 具體應用場景和應用模式
通過在某水庫的控制中心搭建一套完善的安全集中管理中心實現對取水泵站、下游水閘、輸水泵閘、輸水閘井的網絡會話日志、設備運行日志及設備的告警日志進行集中收集并分析,實時掌握各個子系統的網絡安全態勢,一旦某個子系統網絡出現異常情況,配合安全集中管理中心的統一安全管理平臺對安全設備的策略進行動態化的調整,達到對某水庫工控系統進行實時監控和精準防護。
4. 安全及可靠性
在許多情況下,設備的不可靠會導致系統的不安全。當設備發生故障時,不僅會影響用戶的正常業務運行,而且可能會因設備出現故障而導致安全防護體系失效,從而使系統受到網絡攻擊,因此此次項目在方案設計時從技術層面和管理層面入手,來整體提高設備的安全性和可靠性,具體如下:
基于技術層面:首先從技術層面入手,此次需要串聯在系統中的設備分別是工業防火墻和工控網閘,其它設備因旁路部署,即使出現故障也不會影響現有的業務正常運行,方案的可靠性和安全性只涉及到串聯的安全設備。工業防火墻是串聯生產管理層和過程控制層之間,一旦防火墻出現故障會導致水庫整個工控系統業務癱瘓,因此本次采用工控專用防火墻來實現管理層和控制層之間的安全防護,工控專用防火墻業務接口具備Bypass功能;工業防火墻通過接口的Bypass功能保護網絡間的應急通訊。保證物理硬件在出現問題時工控網絡的正常通訊。
在生產管理層和企業管理層之間部署工業網閘實現某水庫和原水公司之間的邊界防護,目前某水庫只需要把本地的生產數據通過網閘上傳到原水公司即可,現場的水泵控制還是由生產管理層實現,因此對現場數據傳輸的實時性要求不高,同時某水庫本地有一臺數據服務器來實時的存儲生產數據,由數據服務器把數據同步給上級原水公司,一旦網閘設備出現故障,導致某水庫和原水公司鏈路中斷,數據服務器會進行本地緩存,當后續鏈路恢復通信時,數據服務器會把本地緩存的數據同時上傳到原水公司,從而提高數據傳輸的可靠性。
基于管理制度:“三分技術,七分管理”是網絡安全領域的一句至理名言,因此現場網絡是否能夠安全穩定的運行還需要結合安全管理制度,此次在項目完成建設后,協助用戶制定完善的安全運維管理制度和安全巡檢管理制度,每天由現場工作人員登錄到各個設備上查看設備的運行日志和告警日志,并生成巡檢報告,一旦發現設備出現故障,及時的啟動應急預案,恢復網絡,提高設備系統的可靠性。
5. 其他亮點
(1)本方案以主動防護為核心,白名單防護技術為基礎,幫助用戶建立縱深防御防護體系,提高用戶網絡安全防護能力,確保水庫工控網絡系統能安全穩定運行;
(2)根據客戶現場管理組織架構,幫助客戶完善管理制度,提高企業網絡運行的標準化和規范化,從而協助用戶實現網絡運維管理“一切按照制度辦事”的目標;
(3)順利通過三級等級保護測評,為后續水務集團構建集團級態勢感知監測預警平臺奠定堅實的基礎。
三、下一步實施計劃
在原水公司完成多個廠區的工控安全建設后,后續由水務公司牽頭,定制研發水務集團級態勢感知監測預警平臺,首先由每個廠區統一安全管理平臺把安全設備的運行狀態,對安全事件、資產脆弱性、安全規則配置、設備可用性與安全相關的數據進行統一采集、集中分析,發現事件或安全風險時可實時觸發告警。后續由統一安全管理平臺把相關的數據發送到集團級態勢感知監測平臺實現聯動,從而實現對整體水務工控系統安全設備的集中管控和展示。
圖3 安全集中管理中心建設拓撲圖
四、項目創新點和實施效果
1. 項目先進性及創新點
本次基于工業白環境理念的縱深防御安全防護建設項目涉及多處原創性、創新性技術應用兩點,總結歸納為如下:
(1)基于軟件服務器的進程白名單更新技術
通過軟件服務器的進程白名單更新技術,在企業部署環境中只需要更新軟件服務器計算機上的進程白名單列表便能使全網相同操作系統的電腦都能共享這一更新的白名單,從而不需再對每臺計算機進行重復操作,有效減少安全運維工作量,更有益于積累全網軟件的白名單庫。
(2)一種基于工業網絡異常中斷的檢測方法
通過創新的采用技術檢測手段,以達到針對工業網絡中的異常網絡中斷情況進行告警,及時提醒用戶進行應急管理。
(3)一種工控網絡文件強制訪問控制策略配置的方法
采用針對工控網絡文件特別設計的強制訪問控制技術,以實現在特殊環境下具備針對相關文件的訪問策略的控制和配置,以達到合規要求。
(4)一種工控協議解碼規則的表述及優化解碼方法
用于在工業場景下針對不同的工控協議數據流進行解碼和識別,該方法設計優化了其解碼的方法,提高效率和準確率。
2. 實施效果
(1)本方案以主動防護為核心,白名單防護技術為基礎,幫助用戶建立縱深防御防護體系,提高用戶網絡安全防護能力,確保水庫工控網絡系統能安全穩定運行;
(2)根據客戶現場管理組織架構,幫助客戶完善管理制度,提高企業網絡運行的標準化和規范化,從而協助用戶實現網絡運維管理“一切按照制度辦事”的目標;
(3)順利通過三級等級保護測評,為后續水務集團構建集團級態勢感知監測預警平臺奠定堅實的基礎。
AII微信公眾號
AII頭條號