随着计算机技术网络技术的发展,特别是互联网及社会公共网络平台的快速发展,在“两化”融合的行业发展需求下,为提高生产高效运行、生产管理效率,国内众多行业大力推进工业控制系统自身的集成化,集中化管理。但是工业控制系统建设时更多的是考虑各自系统的可用性,并没有考虑系统之间互联互通的安全风险和防护建设。使得国际国内针对工业控制系统的攻击事件层出不穷,“震网”病毒事件为全球工业控制系统安全问题敲响了警钟,促使国家和社会逐渐重视工业控制系统的信息安全问题。
中国智能化网(http://www.zgznh.com)了解到,工业自动化控制系统的安全直接关系到各重点工业行业的生产安全。如何保证开放性越来越强的生产控制网络的安全性,是目前摆在用户及行业自动化制造商面前的难题。
2 方案概况
本方案适用于钢铁行业所属各业务板块工业控制系统的网络安全建设工作,方案中所指的工业控制系统包括但不限于分散控制系统、安全仪表系统、可编程序控制器、过程控制计算机、数据采集计算机、数据库服务器及重要设备控制系统等,以下简称工控系统。
本方案基于钢铁行业工控系统的一般防护对象模型、规划设计了安全防护技术方法,做出防护对象数量初步统计并形成项目预算。
3 解决方案
3.1 安全防护体系介绍
根据工业与信息化部2016年印发的《工业控制系统信息安全防护指南》要求,结合工业控制系统信息安全防护思路,工业控制系统的信息安全措施可分为防护类和监控两大类,本方案将遵循指南要求形成一套全面的安全防护体系,整体提高企业的工控网络安全保障能力。安全防护体系主要包括如下几个方面:
3.1.1 防护类措施
(1)在区域边界处部署工业防火墙类安全设备,实现IP、端口的访问控制、应用层协议访问控制、流量控制等。
(2)在操作站、工程师站部署操作站安全系统实现移动存储介质使用的管理、软件黑白名单管理。
(3)安全配置网络设备,实现联网控制、网络准入控制、端口管控等。
3.1.2 监控检查类措施
(1)在工业以太网交换机上部署工控异常监测系统,检测工业控制系统内部入侵行为,异常操作行为,发现异常流量和异常访问关系等。
(2)部署工控漏洞扫描系统,在系统检修、停机或新系统上线时进行漏洞扫描,对漏洞进行修补。
(3)建立周期性风险测评机制,在系统检修、停机或新系统上线时进行配置基线检查、病毒检查、使用记录检查等,重点关注工控系统主机开放的服务,账号密码策略、协议的安全配置等问题,有计划的对风险进行持续性改进。
3.2 管理方面
3.2.1 编制工控信息安全资产表、梳理设备接线
以硬件为核心,落实资产责任人、运维负责人、外协单位等人员名录,将资产的看护、巡检、保修等工作落实到人。通过接口梳理和线路梳理,使得整个物理环境可信、可控、可检查。
3.2.2 供应链管理
工业控制系统的全生产周期的安全管理过程中,采用适合于工业控制环境的管理和服务方式,要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点,且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读,保证相应法律法规的有效落实,并以合同的方式约定服务商在服务过程中应当承担的责任和义务。与工业控制系统安全服务方签定保密协议,防范敏感信息外泄。
3.2.3 对关键主机设备、网络设备、控制组件等进行冗余配置
对关键主机设备、网络设备、控制组件等进行冗余配置,防止重大安全事件的发生
3.2.4 对重要的工业控制系统的核心组件防止自人为的恶意破坏
结合重点生产部位管理办法,对核心工业控制软硬件所在的位置,按照物理位置和业务功能进行区域划分,区域之间设置物理隔离装置。定期对工控环境进行巡检,确保所有变动都得到记录、论证和有人负责。
3.2.5 拆除或封闭工业主机上不必要的USB、光驱、无线等接口
拆除或封闭工业主机上不必要的USB、光驱、无线等接口可以从根本上切断非法数据、程序的传播途径。若确需使用,可以通过主机安全管理软件对外设的端口进行控制,记录文件的导入导出等操作痕迹,实现对端口的严格访问控制。
3.3 技术方面
3.3.1 安全管控工控主机使用软件和外部移动设备
工控主机使用应用程序白名单软件、外部移动设备管控软件实现进程管控和设备管控,起到防病毒和恶意代码的作用。
3.3.2 关键设备和重点工控网络区域边界安全防护
在关键网络节点处通过部署工控防火墙设备检测并阻止从工控系统外部发起的网络攻击行为,禁止未经授权通讯传入或传出工控系统。同时,通过部署工控防火墙检测并阻止工控系统内部发生的网络攻击行为和病毒传播行为。
3.3.3 远程访问安全
采取技术和管理手段禁止工业控制系统向互联网开通高风险通用网络服务;确需远程访问控制系统的情况,则指定远程访问对象,并在访问对象的网络接口处部署工控防火墙或网闸等安全设备,对通讯协议和内容进行过滤;通过工控主机操作系统和工控系统软件的审计功能,记录并保存工业控制系统设备、应用等访问日志,并定期进行备份,通过审计账户登录、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
3.3.4 安全监测和应急预案演练
采用基于工控网络数据流分析技术的安全审计类产品对关键部位的网络链路、安全设备、网络设备和服务器等的运行状况、设备信息、通讯流量等进行集中监测;对常用公开协议进行数据解析和存储,根据控制策略配置报警条件,实时监测工控设备异常通讯行为和异常操作行为,并能够提供追溯异常事件的完整证明数据。
使用专门的审计中心将工控系统网络设备和网络安全设备的审计日志进行收集汇总和集中展示,根据需要生成审计报表,并对网络中发生的各类安全事件进行识别、报警和分析;制定工控安全事件应急响应预案。
3.4 解决方案解析
针对钢铁行业网络现状,结合《指南》要求,从安全防护和安全监测两方面综合考虑,制定整体方案,下图为汇总钢铁行业工控系统网络拓扑特点后,进行模型化处理后绘制的安全防护示意图,意在简化展示各类网络拓扑和防护策略。