今日頭條
官方微信
官方抖音
資訊頻道1 項(xiàng)目背景
伴隨著網(wǎng)絡(luò)安全法的正式頒布實(shí)施,中國(guó)網(wǎng)絡(luò)空間安全管理正式步入法制時(shí)代;針對(duì)工業(yè)控制系統(tǒng),國(guó)家及各部委出臺(tái)了一系列工控安全的政策、標(biāo)準(zhǔn),指導(dǎo)并規(guī)范工業(yè)控制系統(tǒng)領(lǐng)域網(wǎng)絡(luò)與信息安全工作,保障自動(dòng)化控制系統(tǒng)持續(xù)、安全、穩(wěn)定運(yùn)行,提高企業(yè)生產(chǎn)安全態(tài)勢(shì)。
· 2017年6月1日正式生效的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確規(guī)定 “國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度” ,并明確 “國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”
· 新發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)(即等保2.0)中也明確定義了針對(duì)工業(yè)控制系統(tǒng)的安全要求,要求安全的工業(yè)控制系統(tǒng)解決方案需要具備相應(yīng)的安全審計(jì)功能。
· “中國(guó)制造2025”及工信部的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》均對(duì)工控信息安全提出了新的要求,工控系統(tǒng)的安全運(yùn)營(yíng)離不開(kāi)堅(jiān)實(shí)的工控安全保障。
2 項(xiàng)目目標(biāo)與原則
本項(xiàng)目依據(jù)《中國(guó)石化工業(yè)儀表控制系統(tǒng)安全防護(hù)實(shí)施規(guī)定》(中國(guó)石化生〔2019〕318號(hào))對(duì)青島煉化工業(yè)控制系統(tǒng)(DCS)網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)提升,涉及DCS系統(tǒng)網(wǎng)絡(luò)分區(qū)與邊界隔離防護(hù),工控態(tài)勢(shì)感知系統(tǒng)(OSA)升級(jí)、惡意軟件檢測(cè)及預(yù)防策略部署、工控多引擎惡意代碼掃描檢測(cè)系統(tǒng)部署、控制系統(tǒng)補(bǔ)丁下載平臺(tái)與補(bǔ)丁測(cè)試平臺(tái)搭建、時(shí)鐘同步系統(tǒng)升級(jí)、第三方系統(tǒng)和DCS之間的隔離防護(hù)、工控系統(tǒng)等保體系認(rèn)證咨詢、數(shù)據(jù)采集接口測(cè)試等實(shí)施內(nèi)容。
3 項(xiàng)目實(shí)施與應(yīng)用情況
(1)DCS系統(tǒng)網(wǎng)絡(luò)分區(qū)與邊界隔離防護(hù)
在OT網(wǎng)和辦公網(wǎng)絡(luò)之間部署天融信工控安全隔離與信息交換系統(tǒng),保證數(shù)據(jù)傳輸?shù)陌踩院蛯?shí)現(xiàn)網(wǎng)絡(luò)的物理隔離,并采用冗余熱備的方式部署,保證網(wǎng)絡(luò)通訊的健壯性、穩(wěn)定性和高可用性。在終端總線上聯(lián)處部署天融信下一代防火墻,設(shè)置DMZ,該防火墻可識(shí)別工業(yè)通訊協(xié)議,實(shí)現(xiàn)IPS功能并能有效抵御DDoS攻擊。配置嚴(yán)格的訪問(wèn)策略,實(shí)現(xiàn)DMZ區(qū)設(shè)備和終端總線主機(jī)的安全通訊。
(2)工控態(tài)勢(shì)感知系統(tǒng)(OSA)升級(jí)
在該項(xiàng)目中西門子會(huì)對(duì)目前青島大煉油工控網(wǎng)絡(luò)DMZ區(qū)的工控態(tài)勢(shì)感知系統(tǒng)進(jìn)行升級(jí),升級(jí)到當(dāng)前最新的版本。在最新的工控態(tài)勢(shì)感知系統(tǒng)中OSA服務(wù)器通過(guò)采集上位機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻、工控應(yīng)用等安全日志以及工業(yè)控制網(wǎng)絡(luò)的全報(bào)文網(wǎng)絡(luò)流量,支持工控網(wǎng)絡(luò)資產(chǎn)清單發(fā)現(xiàn)和網(wǎng)絡(luò)拓?fù)渥詣?dòng)生成、網(wǎng)絡(luò)負(fù)載監(jiān)控、非法資產(chǎn)接入及變更管理、OT入侵檢測(cè)和安全事件管理、網(wǎng)絡(luò)狀態(tài)和違規(guī)行為檢測(cè)、集中日志審計(jì)和U盤管控等功能。
同時(shí)會(huì)在所有西門子工控系統(tǒng)DCS的上位機(jī)和服務(wù)器部署安全日志采集代理,采集上位機(jī)上的日志,并確保和現(xiàn)有的西門子工控系統(tǒng)DCS原生兼容。
升級(jí)工控態(tài)勢(shì)感知系統(tǒng)流量采集設(shè)備探針到最新版本,版本號(hào)至少為OSA sensor 4.x,,在交換機(jī)配置鏡像口把工控網(wǎng)絡(luò)與DMZ之間通信流量傳輸?shù)焦た貞B(tài)勢(shì)感知系統(tǒng)流量采集設(shè)備探針(OSA sensor 4.x),提供網(wǎng)絡(luò)流量采集、網(wǎng)絡(luò)IDS(Intrusion Detection System)及DPA(Deep Packet Analysis)分析功能并通過(guò)和服務(wù)器端的VPN通道將相關(guān)數(shù)據(jù)傳輸至服務(wù)器端。
工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)(OSA及sensor)總體的系統(tǒng)架構(gòu)如下圖
OSA系統(tǒng)架構(gòu)圖
(3)基于白名單的惡意軟件檢測(cè)及預(yù)防
在OPC服務(wù)器上部署McAfee白名單軟件,把上位機(jī)和服務(wù)器上的進(jìn)程加入到白名單信任列表,可以阻止新的進(jìn)程、已知和未知惡意代碼在上位機(jī)和服務(wù)器上運(yùn)行。其中服務(wù)器上安裝McAfee服務(wù)器白名單軟件,在終端上安裝McAfee終端白名單軟件。
McAfee白名單僅允許可信任的應(yīng)用程序下載或執(zhí)行內(nèi)容。在系統(tǒng)內(nèi),應(yīng)用程序級(jí)白名單功能可以通過(guò)簡(jiǎn)單的被動(dòng)式定義安全且獲授權(quán)的應(yīng)用程序來(lái)強(qiáng)制執(zhí)行命令。啟用白名單功能能禁止運(yùn)行名單之外的應(yīng)用程序,有助于降低系統(tǒng)崩潰或遭到攻擊的可能性。
(4)工控多引擎惡意代碼掃描工作站(Scanning Station)
在DMZ非軍事區(qū)前端防火墻外面部署工控多引擎惡意代碼掃描工作站(Scanning Station), 型號(hào)為Scanning Station v3.0,提供針對(duì)可移動(dòng)存儲(chǔ)介質(zhì)的多引擎惡意代碼掃描,同時(shí)把掃描結(jié)果通過(guò)前端防火墻上傳到OSA服務(wù)器,OSA服務(wù)器根據(jù)查殺結(jié)果通知安裝在上位機(jī)上的日志采集代理檢測(cè)及管控可移動(dòng)存儲(chǔ)介質(zhì)及U盤。
對(duì)于不可拆解無(wú)法取出硬盤的的計(jì)算機(jī)工作站等,可通過(guò)工控多引擎惡意代碼掃描設(shè)備多引擎查殺USB,型號(hào)為便攜式病毒掃描設(shè)備,查殺計(jì)算機(jī)或工作站,實(shí)現(xiàn)上位機(jī)、服務(wù)器及新接入到系統(tǒng)中的設(shè)備的病毒查殺。
Scanning Station使用場(chǎng)景示意圖
(5)控制系統(tǒng)補(bǔ)丁下載平臺(tái)與補(bǔ)丁測(cè)試平臺(tái)搭建
及時(shí)地進(jìn)行Windows操作系統(tǒng)補(bǔ)丁升級(jí)可以有效的彌補(bǔ)已存在的漏洞,可增強(qiáng)工控系統(tǒng)的健壯性。但OT網(wǎng)絡(luò)又有別于普通的IT環(huán)境,OT環(huán)境更加敏感和固定,對(duì)運(yùn)行環(huán)境的依賴度很高,不接受計(jì)劃外的宕機(jī),如果不加控制的對(duì)工控系統(tǒng)的主機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí),有可能會(huì)對(duì)現(xiàn)有系統(tǒng)造成的不確定的影響。為了使生產(chǎn)網(wǎng)絡(luò)中某些主機(jī)能及時(shí)的進(jìn)行操作系統(tǒng)的安全和關(guān)鍵補(bǔ)丁更新,在避免因系統(tǒng)漏洞帶來(lái)潛在威脅的同時(shí)兼顧原有業(yè)務(wù)系統(tǒng)功能不受影響,特設(shè)計(jì)了WSUS與終端防護(hù)部署方案。
如下是補(bǔ)丁升級(jí)示意圖,在DMZ 區(qū)部署WSUS服務(wù)器,從微軟官方網(wǎng)站下載必要系統(tǒng)補(bǔ)丁,并通過(guò)防火墻策略,生產(chǎn)環(huán)境的SCADA主機(jī)從WSUS服務(wù)器上同步必要的補(bǔ)丁,為了保證系統(tǒng)補(bǔ)丁升級(jí)不會(huì)帶來(lái)負(fù)面影響,需要在大范圍實(shí)施前對(duì)需要升級(jí)的補(bǔ)丁進(jìn)行測(cè)試,在測(cè)試環(huán)境中驗(yàn)證沒(méi)有不良影響之后再對(duì)生產(chǎn)環(huán)境OT主機(jī)進(jìn)行相應(yīng)的補(bǔ)丁升級(jí)。
補(bǔ)丁升級(jí)示意圖
(6) 第三方系統(tǒng)與DCS之間的隔離防護(hù)
在項(xiàng)目實(shí)施過(guò)程中,西門子根據(jù)現(xiàn)場(chǎng)第三方系統(tǒng),DCS系統(tǒng)以及網(wǎng)絡(luò)的實(shí)際情況,和客戶制定有效的防火墻安全策略,同時(shí)確保安全策略實(shí)施后客戶的業(yè)務(wù)系統(tǒng)仍能夠安全穩(wěn)定的運(yùn)行。
(7)等保體系認(rèn)證與咨詢
2019年5月13日,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布,等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上,注重在全方位主動(dòng)防、安全可信、動(dòng)態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋。
等保2.0結(jié)構(gòu)示意圖
(8) 數(shù)據(jù)采集接口測(cè)試
在項(xiàng)目部署結(jié)束后,西門子將配合客戶完成工廠辦公網(wǎng)數(shù)據(jù)庫(kù)的采集接口測(cè)試,實(shí)現(xiàn)辦公網(wǎng)數(shù)據(jù)倉(cāng)庫(kù)單項(xiàng)采集DCS OPC數(shù)據(jù)功能,在此期間西門子主要為客戶提供有關(guān)測(cè)試的技術(shù)指導(dǎo),協(xié)助客戶完成測(cè)試工作。
4 效益分析
(1)項(xiàng)目執(zhí)行不對(duì)正常生產(chǎn)造成干擾;
(2)實(shí)現(xiàn)對(duì)全種類病毒的安全防護(hù);
(3)安全方案無(wú)縫部署;
(4)全球最大的獨(dú)立工業(yè)信息安全項(xiàng)目;
(5)為PCS 7運(yùn)行環(huán)境開(kāi)發(fā)一套安全解決方案,其中包括DMZ、防火墻、防病毒系統(tǒng)、補(bǔ)丁管理、用戶管理,以及系統(tǒng)加固措施,工控安全態(tài)勢(shì)感知系統(tǒng)OSA;
(6)在工廠停工檢修2個(gè)星期內(nèi)完成安全方案部署;
(7) 為工廠環(huán)境提供持續(xù)安全防護(hù);
(8)降低安全風(fēng)險(xiǎn)的同時(shí)保證了生產(chǎn)可用性;
(9)零安全事件/病毒感染;
(10)中國(guó)石化領(lǐng)域客戶的未來(lái)安全藍(lán)圖。
近年來(lái),制造業(yè)和基建設(shè)施受到的攻擊日益增多——生產(chǎn)制造型企業(yè)以及關(guān)鍵基礎(chǔ)設(shè)施,包括電力、能源、交通,甚至核電設(shè)備都受到了黑客多種的攻擊。不同于IT系統(tǒng)的安全問(wèn)題,最大的威脅可能是商業(yè)業(yè)務(wù)的停滯以及信息的泄露;OT環(huán)境一旦受到攻擊,就很有可能會(huì)對(duì)環(huán)境以及人生帶來(lái)直接的傷害。安全也必須緊跟而上,確保OT的安全。但是在OT環(huán)境部署安全產(chǎn)品的時(shí)候會(huì)面臨很大的挑戰(zhàn),其主要的原因在于OT環(huán)境自身的屬性以及安全產(chǎn)品對(duì)OT 環(huán)境的適應(yīng)。西門子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富,從離散控制、過(guò)程控制到運(yùn)動(dòng)控制,幾乎都能找到成套的解決方案,這就意味著對(duì)OT系統(tǒng)有著深入的了解和實(shí)踐經(jīng)驗(yàn),這些都有助于OT安全的實(shí)施和部署,可以快速的搭建測(cè)試環(huán)境;可以預(yù)見(jiàn)和規(guī)避一些風(fēng)險(xiǎn);可以方便的獲得內(nèi)部專家的支持。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)