今日頭條
官方微信
官方抖音
資訊頻道1 項目背景
伴隨著網(wǎng)絡安全法的正式頒布實施,中國網(wǎng)絡空間安全管理正式步入法制時代;針對工業(yè)控制系統(tǒng),國家及各部委出臺了一系列工控安全的政策、標準,指導并規(guī)范工業(yè)控制系統(tǒng)領域網(wǎng)絡與信息安全工作,保障自動化控制系統(tǒng)持續(xù)、安全、穩(wěn)定運行,提高企業(yè)生產安全態(tài)勢。
· 2017年6月1日正式生效的《中華人民共和國網(wǎng)絡安全法》中明確規(guī)定 “國家實行網(wǎng)絡安全等級保護制度” ,并明確 “國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護。”
· 新發(fā)布的《信息安全技術 網(wǎng)絡安全等級保護基本要求》標準(即等保2.0)中也明確定義了針對工業(yè)控制系統(tǒng)的安全要求,要求安全的工業(yè)控制系統(tǒng)解決方案需要具備相應的安全審計功能。
· “中國制造2025”及工信部的《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》均對工控信息安全提出了新的要求,工控系統(tǒng)的安全運營離不開堅實的工控安全保障。
2 項目目標與原則
本項目依據(jù)《中國石化工業(yè)儀表控制系統(tǒng)安全防護實施規(guī)定》(中國石化生〔2019〕318號)對青島煉化工業(yè)控制系統(tǒng)(DCS)網(wǎng)絡邊界進行安全防護提升,涉及DCS系統(tǒng)網(wǎng)絡分區(qū)與邊界隔離防護,工控態(tài)勢感知系統(tǒng)(OSA)升級、惡意軟件檢測及預防策略部署、工控多引擎惡意代碼掃描檢測系統(tǒng)部署、控制系統(tǒng)補丁下載平臺與補丁測試平臺搭建、時鐘同步系統(tǒng)升級、第三方系統(tǒng)和DCS之間的隔離防護、工控系統(tǒng)等保體系認證咨詢、數(shù)據(jù)采集接口測試等實施內容。
3 項目實施與應用情況
(1)DCS系統(tǒng)網(wǎng)絡分區(qū)與邊界隔離防護
在OT網(wǎng)和辦公網(wǎng)絡之間部署天融信工控安全隔離與信息交換系統(tǒng),保證數(shù)據(jù)傳輸?shù)陌踩院蛯崿F(xiàn)網(wǎng)絡的物理隔離,并采用冗余熱備的方式部署,保證網(wǎng)絡通訊的健壯性、穩(wěn)定性和高可用性。在終端總線上聯(lián)處部署天融信下一代防火墻,設置DMZ,該防火墻可識別工業(yè)通訊協(xié)議,實現(xiàn)IPS功能并能有效抵御DDoS攻擊。配置嚴格的訪問策略,實現(xiàn)DMZ區(qū)設備和終端總線主機的安全通訊。
(2)工控態(tài)勢感知系統(tǒng)(OSA)升級
在該項目中西門子會對目前青島大煉油工控網(wǎng)絡DMZ區(qū)的工控態(tài)勢感知系統(tǒng)進行升級,升級到當前最新的版本。在最新的工控態(tài)勢感知系統(tǒng)中OSA服務器通過采集上位機、服務器、網(wǎng)絡設備、防火墻、工控應用等安全日志以及工業(yè)控制網(wǎng)絡的全報文網(wǎng)絡流量,支持工控網(wǎng)絡資產清單發(fā)現(xiàn)和網(wǎng)絡拓撲自動生成、網(wǎng)絡負載監(jiān)控、非法資產接入及變更管理、OT入侵檢測和安全事件管理、網(wǎng)絡狀態(tài)和違規(guī)行為檢測、集中日志審計和U盤管控等功能。
同時會在所有西門子工控系統(tǒng)DCS的上位機和服務器部署安全日志采集代理,采集上位機上的日志,并確保和現(xiàn)有的西門子工控系統(tǒng)DCS原生兼容。
升級工控態(tài)勢感知系統(tǒng)流量采集設備探針到最新版本,版本號至少為OSA sensor 4.x,,在交換機配置鏡像口把工控網(wǎng)絡與DMZ之間通信流量傳輸?shù)焦た貞B(tài)勢感知系統(tǒng)流量采集設備探針(OSA sensor 4.x),提供網(wǎng)絡流量采集、網(wǎng)絡IDS(Intrusion Detection System)及DPA(Deep Packet Analysis)分析功能并通過和服務器端的VPN通道將相關數(shù)據(jù)傳輸至服務器端。
工業(yè)控制網(wǎng)絡安全態(tài)勢感知系統(tǒng)(OSA及sensor)總體的系統(tǒng)架構如下圖
OSA系統(tǒng)架構圖
(3)基于白名單的惡意軟件檢測及預防
在OPC服務器上部署McAfee白名單軟件,把上位機和服務器上的進程加入到白名單信任列表,可以阻止新的進程、已知和未知惡意代碼在上位機和服務器上運行。其中服務器上安裝McAfee服務器白名單軟件,在終端上安裝McAfee終端白名單軟件。
McAfee白名單僅允許可信任的應用程序下載或執(zhí)行內容。在系統(tǒng)內,應用程序級白名單功能可以通過簡單的被動式定義安全且獲授權的應用程序來強制執(zhí)行命令。啟用白名單功能能禁止運行名單之外的應用程序,有助于降低系統(tǒng)崩潰或遭到攻擊的可能性。
(4)工控多引擎惡意代碼掃描工作站(Scanning Station)
在DMZ非軍事區(qū)前端防火墻外面部署工控多引擎惡意代碼掃描工作站(Scanning Station), 型號為Scanning Station v3.0,提供針對可移動存儲介質的多引擎惡意代碼掃描,同時把掃描結果通過前端防火墻上傳到OSA服務器,OSA服務器根據(jù)查殺結果通知安裝在上位機上的日志采集代理檢測及管控可移動存儲介質及U盤。
對于不可拆解無法取出硬盤的的計算機工作站等,可通過工控多引擎惡意代碼掃描設備多引擎查殺USB,型號為便攜式病毒掃描設備,查殺計算機或工作站,實現(xiàn)上位機、服務器及新接入到系統(tǒng)中的設備的病毒查殺。
Scanning Station使用場景示意圖
(5)控制系統(tǒng)補丁下載平臺與補丁測試平臺搭建
及時地進行Windows操作系統(tǒng)補丁升級可以有效的彌補已存在的漏洞,可增強工控系統(tǒng)的健壯性。但OT網(wǎng)絡又有別于普通的IT環(huán)境,OT環(huán)境更加敏感和固定,對運行環(huán)境的依賴度很高,不接受計劃外的宕機,如果不加控制的對工控系統(tǒng)的主機進行系統(tǒng)補丁升級,有可能會對現(xiàn)有系統(tǒng)造成的不確定的影響。為了使生產網(wǎng)絡中某些主機能及時的進行操作系統(tǒng)的安全和關鍵補丁更新,在避免因系統(tǒng)漏洞帶來潛在威脅的同時兼顧原有業(yè)務系統(tǒng)功能不受影響,特設計了WSUS與終端防護部署方案。
如下是補丁升級示意圖,在DMZ 區(qū)部署WSUS服務器,從微軟官方網(wǎng)站下載必要系統(tǒng)補丁,并通過防火墻策略,生產環(huán)境的SCADA主機從WSUS服務器上同步必要的補丁,為了保證系統(tǒng)補丁升級不會帶來負面影響,需要在大范圍實施前對需要升級的補丁進行測試,在測試環(huán)境中驗證沒有不良影響之后再對生產環(huán)境OT主機進行相應的補丁升級。
補丁升級示意圖
(6) 第三方系統(tǒng)與DCS之間的隔離防護
在項目實施過程中,西門子根據(jù)現(xiàn)場第三方系統(tǒng),DCS系統(tǒng)以及網(wǎng)絡的實際情況,和客戶制定有效的防火墻安全策略,同時確保安全策略實施后客戶的業(yè)務系統(tǒng)仍能夠安全穩(wěn)定的運行。
(7)等保體系認證與咨詢
2019年5月13日,網(wǎng)絡安全等級保護制度2.0標準正式發(fā)布,等保2.0標準在1.0標準的基礎上,注重在全方位主動防、安全可信、動態(tài)感知和全面審計,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎信息網(wǎng)絡、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋。
等保2.0結構示意圖
(8) 數(shù)據(jù)采集接口測試
在項目部署結束后,西門子將配合客戶完成工廠辦公網(wǎng)數(shù)據(jù)庫的采集接口測試,實現(xiàn)辦公網(wǎng)數(shù)據(jù)倉庫單項采集DCS OPC數(shù)據(jù)功能,在此期間西門子主要為客戶提供有關測試的技術指導,協(xié)助客戶完成測試工作。
4 效益分析
(1)項目執(zhí)行不對正常生產造成干擾;
(2)實現(xiàn)對全種類病毒的安全防護;
(3)安全方案無縫部署;
(4)全球最大的獨立工業(yè)信息安全項目;
(5)為PCS 7運行環(huán)境開發(fā)一套安全解決方案,其中包括DMZ、防火墻、防病毒系統(tǒng)、補丁管理、用戶管理,以及系統(tǒng)加固措施,工控安全態(tài)勢感知系統(tǒng)OSA;
(6)在工廠停工檢修2個星期內完成安全方案部署;
(7) 為工廠環(huán)境提供持續(xù)安全防護;
(8)降低安全風險的同時保證了生產可用性;
(9)零安全事件/病毒感染;
(10)中國石化領域客戶的未來安全藍圖。
近年來,制造業(yè)和基建設施受到的攻擊日益增多——生產制造型企業(yè)以及關鍵基礎設施,包括電力、能源、交通,甚至核電設備都受到了黑客多種的攻擊。不同于IT系統(tǒng)的安全問題,最大的威脅可能是商業(yè)業(yè)務的停滯以及信息的泄露;OT環(huán)境一旦受到攻擊,就很有可能會對環(huán)境以及人生帶來直接的傷害。安全也必須緊跟而上,確保OT的安全。但是在OT環(huán)境部署安全產品的時候會面臨很大的挑戰(zhàn),其主要的原因在于OT環(huán)境自身的屬性以及安全產品對OT 環(huán)境的適應。西門子在工業(yè)控制領域的產品及方案非常豐富,從離散控制、過程控制到運動控制,幾乎都能找到成套的解決方案,這就意味著對OT系統(tǒng)有著深入的了解和實踐經(jīng)驗,這些都有助于OT安全的實施和部署,可以快速的搭建測試環(huán)境;可以預見和規(guī)避一些風險;可以方便的獲得內部專家的支持。
北京市公安局海淀分局備案號:11010802023656號