今日頭條
官方微信
官方抖音
資訊頻道★ 丁查明,劉杰,呂楊,王俊杰中國市政工程華北設計研究總院有限公司
摘要:對長輸供熱工程的能源監控中心、能源站所涉及的工業控制系統及其所依托的工控網絡進行網絡安全防護。深度結合長輸供熱工程業務現狀及未來發展趨勢,從網絡邊界、通信網絡、計算終端的角度出發,按照“事前預警、事中管控、事后處置、安全運營”的防護原則,構建長輸供熱工程工控網絡主動防御安全防護體系。
關鍵詞:長輸供熱工程;工控安全;安全運營;主動防御;調度中心
1 引言
隨著工業信息化和工業互聯網技術的快速發展以及“智能制造2025”時代的到來,工業控制系統的技術正在不斷革新,主要體現在兩個方向:
(1)為了保證生產運行效率和提高生產管理效率,自動化的很多應用領域大力推進工控系統自身的集中化管理;
(2)工控系統的互聯互通性開始加強,工業控制網絡與信息化網絡甚至互聯網也產生了直接或者間接的聯系。工業信息化與工業互聯網技術開始向各行業推進,引領了新型的運營模式。
在“智能化、智慧化運營”理念的推動下,將以PLC/DCS、分布式SCADA系統為代表的工控系統應用到城市長輸供熱工程,結合長輸供熱工程運營業務情況,運用“大數據、物聯網”等先進技術,并與上層信息化系統相融合,為長輸供熱管網的熱力調度、供熱綜合分析、輔助決策提供依據。本文結合海陽長輸供暖項目對長輸供熱工程工控安全防護解決方案做了詳細闡述。
2 長輸供熱工程簡介
該長輸供熱工程建設輸送干線2×DN1000供熱管道,路由長度約15km;建設輸送支線2×DN800供熱管道,路由長度約20.5km;建設輸送支線2×DN700供熱管道,路由長度約6.5km;配套建設能源站3座,分別為1號能源監控站、2號能源監控站及3號能源監控站,并在1號能源監控站綜合樓內設置綜合管網調度中心。本項目中的工業控制系統主要以PLC/DCS、SCADA系統、現場執行設備、傳感器為主,網絡結構以站控工業局域網(雙網冗余)、調度控制環網、專線(運營商專線)為主;智能化信息系統位于能源分配中心,可在監視供熱管網運行關鍵工藝參數的同時,利用大數據、智能算法模型技術為熱能調度提供決策依據。
該長輸供熱工程的工控安全防護主要以綜合管網調度中心、1號能源監控站、2號能源監控站及3號能源監控站的供熱調度系統和站控系統及其工業網絡為主,從計算環境安全、通信網絡安全、區域邊界安全、生產運營安全的角度出發,建立工控安全主動防御體系,如圖1所示。
圖1 長輸供熱工程流程圖
3 建設目標
為確保長輸供熱工程綜合管網調度中心SCADA系統及能源站站控系統的工控網絡安全及其運行的合規性、穩定性,并確保符合國內工控系統網絡安全防護的相關標準、規范和最佳實踐,本方案對項目中的工控系統從計算環境安全、通信網絡安全、區域邊界安全、生產運營安全的角度進行安全規劃。
本方案的規劃設計,可確保綜合管網調度中心SCADA系統及能源站監控系統及其工控網絡符合國家及供熱管網行業的相關要求,實現對黑客、病毒、惡意代碼等的抵御,阻止內部/外部人員的非法訪問,并在遭受外部攻擊和破壞時能及時恢復系統,建立“事前預警、事中管控、事后處置、安全運營”的主動防御工控安全體系,確保防護范圍內業務數據的“可用性、完整性、機密性”。
本項目建設目標如下:
(1)抵御來自工控網絡外部的惡意攻擊和破壞。
(2)防止勒索病毒、木馬等惡意程序對工控關鍵系統造成不利影響和破壞。
(3)對工控關鍵系統主機進行USB接口管控、系統加固、病毒防范等。
(4)對綜合管網調度中心SCADA系統及能源站監控系統的運維人員進行實時管控與審計。
(5)實現工控網絡的高安全隔離與訪問控制、業務數據交換的深度審計與行為管控。
(6)對生產管理網路進行深度地審計及行為管控。
(7)在長輸供熱工程工控網絡劃分安全區域,實現域間安全隔離與訪問控制。
(8)形成長輸供熱工程熱能調度與生產運營的有效安全保障。
(9)以工控資產為核心,結合關鍵日志、事件信息,對長輸供熱工程進行威脅風險研判與網絡態勢感知。
4 設計依據
本項目引用下列文件,凡是標注日期的引用文件版本適用于本項目,凡是不標注日期的引用文件,其最新版本(包括所有的修訂單)適用于本項目。
(1)中華人民共和國主席令〔2017〕第53號《中華人民共和國網絡安全法》;
(2)GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》;
(3)GB/T25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》;
(4)GB/T22240-2016《信息安全技術網絡安全等級保護定級指南》;
(5)GB/T26333-2010《工業控制網絡安全風險評估規范》;
(6)GB/T36323-2018《信息安全技術工業控制系統安全管理基本要求》;
(7)GB/T36466-2018《信息安全技術工業控制系統風險評估實施指南》;
(8)工信部信軟〔2016〕338號《工業控制系統信息安全防護指南》;
(9)工信部信軟〔2017〕316號《工業控制系統信息安全行動計劃(2018-2020)》。
5 方案技術路線
與傳統的IT信息安全的要求不同,工控系統的安全防護將保障所有系統部件的可用性放在首位,然后才是完整性和保密性。工控系統的實時性指標、持續可操作性、穩定的系統訪問、系統性能、專用工業控制系統安全保護技術以及全生命周期的安全,都需要在工控網絡安全建設時重點考慮。
本方案主要目的是實現綜合管網調度中心SCADA系統及能源站站控系統及其工控網絡的網絡安全防護,結合長輸供熱工程實際的業務情況,建設“事前預警、事中管控、事后處置、安全運營”的長輸供熱工程主動防御工控安全體系。
(1)事前預警:在網絡安全事件發生前對網絡行為和事件信息進行綜合關聯,實現安全預警。
(2)事中管控:在網絡安全事件發生時或在運維過程中依托安全設備進行綜合審計、行為管控。
(3)事后處置:在網絡安全事件發生后,進行應急處置、恢復運營和事件定責,快速恢復生產。
(4)安全運營:使網絡安全防護保持在持續的更新與完善狀態,有效應對高級威脅與攻擊。
圖2 系統框架圖
6 整體解決方案
依據工控網絡安全建設相關政策、標準、指南等文件要求,充分結合長輸供熱工程業務安全的真實需求,對保護對象進行區域劃分和定級,并從通信網絡防護、區域邊界防護、計算環境防護等各方面對其進行不同級別的安全防護設計;同時利用安全管理手段保障安全防護的有效協同及一體化管理,保障安全技術措施有效運行和落地;通過“事前預警、事中管控、事后處置、安全運營”的安全設計思想,構建工控網絡安全主動防御防護體系,突出技術思維和立體防范,注重全方位主動防御、整體防控和精準防護。
從長輸供熱工程綜合管網調度中心SCADA系統及能源站站控系統的各類安全邊界、區域內網絡審計、計算終端安全、主動防御和安全運營的防護角度,在不影響長輸供熱工程業務運營的情況下部署工業防火墻、工業邊界防火墻、計算終端安全一體化裝置、外來設備準入管控裝置和工控安全管理一體化裝置。同時,合理規劃安全策略及安全能力輸出,發揮工控網絡安全設備應有的功能及作用,為長輸供熱工程工控網絡安全提供保障。
區域邊界安全:在能源站和監控中心的網絡邊界劃分安全區域,在安全區域邊界部署工業防火墻設備,實現域間訪問控制;把區域內部與工控網絡有聯系的其他系統作為域內邊界,使用工業防火墻進行安全防護,落實邊界安全防護措施;在安全區域邊界進行訪問控制及安全隔離的同時,分析進入安全區域的網絡數據包,實時監測數據流,并使用模式匹配、統計分析等技術檢測攻擊行為,當發現可疑行為時,可及時作出告警、響應。
通信網絡安全:對安全區域內的核心網絡流量及工業通信數據進行深度解析、審計,對安全域工控網絡的流量違規行為、無流量以及高流量行為進行預警;同時在安全區域內網中釋放大量高仿真的虛假節點和虛開端口,通過層層預警、攻擊捕獲等技術手段保障區域工控網絡的通信安全。
計算環境安全:在安全域內的計算環境(終端及服務器)部署工控安全管理一體化裝置的客戶端,實現計算環境(終端及服務器)的白名單管控功能,阻止惡意程序的入侵及發作,并將計算環境(終端及服務器)進行系統、應用、數據按數據節點同步進行整體實時備份;對所有接入計算環境(終端及服務器)的USB外設進行病毒查殺和管控,杜絕因外來設備的使用導致惡意程序的傳播;對于計算環境(終端及服務器),均須通過工控安全管理一體化裝置進行運維,并對運維行為進行實時監控與錄屏,發現不法行為可直接阻斷;全面、精準地檢測安全域內計算終端中存在的各種脆弱性問題,包括各種安全漏洞、安全配置問題、不合規行為等,在信息系統受到危害之前為管理員提供專業、有效的漏洞分析和修補建議,并結合可信的漏洞管理流程對漏洞進行預警、掃描修復、審計,防患于未然;各種網絡設備、網絡安全設備、主機等,通過資產管理、運行狀態監控、日志收集和存儲、事件分析和告警以及配置管理等方式,對事件進行范式化和合并,并為用戶展示最有價值的數據信息;數據庫可以存儲各種設備的基本情況、運行狀態、安全日志信息等,以資產管理、資產性能和可用性監測、日志管理以及資產配置四個方面對工控網絡進行風險研判及態勢感知。
通過上述對區域邊界、通信網絡、計算環境以及安全管理相關安全技術措施與安全策略的部署,歸納總結長輸供熱工程業務的主動防御工控網絡安全體系如下:
(1)事前預警:在網絡安全事件發生前,對邊界安全防護設備、入侵防范措施發出的預警信息進行綜合關聯,結合工業應用仿真與計算環境仿真等技術,在內網中釋放高仿真的虛假節點和虛開端口,通過層層預警、攻擊捕獲、溯源定位等技術手段保障區域工控網絡的通信安全;利用多種漏洞特征庫及智能算法的高速解析引擎對工業生產網絡鏡像流量數據進行深度解析和智能關聯分析,實現對工業控制網絡的異常行為、協議攻擊和關鍵事件的實時檢測,對異常工業報文、異常操作行為、異常訪問及惡意攻擊等的及時告警以及對多種安全風險的監測分析和預警,確保工業網絡安全受到侵犯時及時預警。
(2)事中管控:在網絡安全事件發生時或在運維過程中所進行的管控。通過安全聯動迅速調整邊界防護設備策略,加強計算環境白名單管控力度,調整運維審計系統監管力度,從區域邊界、計算環境、運維角度對攻擊源進行封堵;同時利用新一代企業級反病毒引擎(融入沙盒、病毒過濾技術、SAMAT(自監測、分析、報告技術)、安全主動管理、未知病毒主動防御等獨有技術,殺毒效率更高),在網絡安全事件發生時或者在運維過程中對“黑木蠕”進行有效的管控。
(3)事后處置:事后處置用于網絡安全事件發生后的處置。利用系統備份與恢復、攻擊回溯、運維審計過程回放等技術快速恢復關鍵服務器與終端的運行,確定攻擊源頭,判定相關責任,在恢復生產的同時定性網絡安全事件。做到“事前可知、事中可控、事后可查”的操作全過程管理,回顧網絡安全事件發生前后的操作,確定事故責任。
(4)安全運營:根據企業內出現的網絡安全事件和網絡態勢進行事件總結,完善網絡安全管理,動態調整工控安全策略,使網絡安全建設保持在持續更新與完善的狀態,有效應對高級威脅(APT)攻擊。對移動存儲介質的管控是日常運營中的重要組成部分,對移動存儲介質進行病毒隔離、查殺、管控,有效規避移動存儲介質直接插在工程師站上導致的病毒感染問題。態勢感知以可視化方式綜合展現網絡的攻擊態勢、事件態勢等總體態勢,及時掌握工控安全發展趨勢,從全局的角度呈現域內工控網絡安全態勢。工控安全管理界面如圖3所示。
圖3 工控安全管理界面圖
7 項目難點與創新點
(1)計算環境的安全防護
在工控網絡安全建設的過程中,對計算環境的安全防護主要以白名單管控為主,無法做到對帶毒移動介質的查殺與隔離,因此在系統出現故障時無法及時備份與恢復。本項目中的外來設備準入管控與計算終端安全一體化裝置在提供白名單管控的同時可對外來移動存儲介質進行深度管控與隔離查殺,并提供系統備份與恢復功能(最大512節點),提供工業應用仿真與環境仿真,形成域內工業蜜網,可有效保障域內主機的安全與持續運行。
(2)工控網絡安全的主動防御
本項目具有“事前防御、事中管控、事后處置、安全運營”的主動防御體系,可實現區域邊界安全、計算環境安全、通信網絡安全的多方聯動,可主動抵御非法的攻擊與入侵,實現工控網絡的安全運營。本項目不是單純的安全設備堆砌,也不是為了合規才部署的安全設備。
(3)工控安全管理一體化
本項目中部署的工控安全管理一體化裝置,集入侵防范技術、工業流量審計技術、運維審計與管理技術、漏洞掃描與管理技術及工業網絡安全管理技術于一體,利用虛擬化、集成化技術,實現占用空間小、性能高、可靠性高等優勢,解決了多點故障難管控和統一運維管理的難題。
8 解決方案價值
(1)提升了長輸供熱工程生產安全性
本方案深度融合了長輸供熱工程調度系統及能源站站控系統的業務應用,降低了長輸供熱工程安全運營風險,提高了安全運維效率,為長輸供熱工程自動化、智能化建設提供了可靠的安全保障。
(2)構建了長輸供熱工程安全化體系
本方案強化了區域邊界、域內網絡、計算環境、工業應用的安全防護,增強了長輸供熱工程從執行層至調度層的整體安全防護能力,確保了長輸供熱工程的安全生產、可持續運營,構建了“事前防御、事中管控、事后處置、安全運營”的主動防御體系。
(3)促進了長輸供熱工程智能化發展
通過本方案所建設的長輸供熱工程工控網絡安全主動防御體系,可解決長輸供熱工程智能化建設過程中帶來的網絡安全風險,保障了長輸供熱工程工控系統安全及設備可靠運行與安全運營,促進了工業自動化業務與上層信息化系統的融合,為數字化轉型與智能化發展打下了堅實的安全基礎。
(4)滿足了標準合規性要求
本方案符合《信息安全技術網絡安全等級保護基本要求》(GB/T22239-2019)《工業控制系統信息安全防護指南》及供熱管網行業相關政策、標準及監管要求。
9 結語
在工業信息化與工業互聯網技術快速發展以及“智能制造2025”的大背景下,工業企業加快了數字化轉型與智能化發展的步伐,但隨之而來的安全威脅與風險也與日俱增,高級威脅(APT)、工業自動化系統漏洞、0day攻擊、病毒變異等都給工業企業帶來了巨大的安全威脅與隱患。對于保障民生的關鍵基礎設備的安全防護,國家已相繼制定和頒布了相應的制度和法規,并要求與工控網絡安全防護同步規劃、同步建設。但工控網絡安全建設不僅僅是合規,只有深度結合工業企業業務的“事前防御、事中管控、事后處置、安全運營”主動防御體系才能順應“智能制造2025”大背景下的業務發展。目前工控網絡安全主動防御體系已在供熱、供水、燃氣等市政行業大力推廣。
作者簡介
丁查明(1993-),男,安徽安慶人,工程師,學士,現就職于中國市政工程華北設計研究總院有限公司,主要從事市政工程電氣自控設計方面的研究。
劉 杰(1971-),男,山東萊州人,高級工程師,學士,現就職于中國市政工程華北設計研究總院有限公司,主要從事市政工程電氣自控方面的研究。
呂 楊(1981-),男,山西陽泉人,高級工程師,學士,現就職于中國市政工程華北設計研究總院有限公司,主要從事市政工程電氣自控方面的研究。
王俊杰(1993-),女,河北高碑店人,工程師,學士,現就職于中國市政工程華北設計研究總院有限公司,主要從事市政工程電氣自控方面的研究。
參考文獻:
[1] 夏冀. 以貫標提升工業控制系統信息安全防護水平[J]. 自動化博覽, 2021, 38 (07) : 42 - 44.
[2] 王照. 工業控制系統信息安全解決方案探究[J]. 數字通信世界, 2022, 07 : 82 - 84.
[3] 李陽. 關于工業控制系統信息安全的研究[J]. 信息系統工程, 2020, 02 : 69 - 70.
[4] 龍海軍. 工業控制系統信息安全防護措施 [J]. 科技創新導報, 2022, 04 : 8 - 9.
[5] 徐達. 工業控制系統信息安全現狀 [J]. 電腦知識與技術, 2019, 15 (26) : 38 - 39.
[6] 賴紅嬌. 工業控制系統信息安全的探索與實踐 [J]. 石油化工自動化, 2018, 06 : 59 - 62.
[7] 肖建榮. 工業控制系統信息安全軟件與監控綜述 [J]. 自動化博覽, 2018, 35 (S2) : 16 - 22.
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號