為貫徹《工業控制系統信息安全防護指南》、落實“十四五”規劃綱要“統籌發展和安全”等政策要求,充分發揮先進典型的引領示范作用,加快提升工業互聯網安全防護能力,強化工業互聯網安全綜合保障能力,進一步推動我國工業安全產業高質量發展,工業控制系統信息安全產業聯盟(ICSISIA)于2021年5月20日啟動了2021年工業安全系統典型應用案例征集遴選活動。ICSISIA特推出工業安全系統案例專題,發布其中遴選出的典型應用案例以饗讀者。
1 項目概況
1.1 項目背景
近年來,能源板塊層出不窮的網絡安全事件,表明油氣管道SCADA系統已經成為國內外黑客的攻擊目標,面臨愈發嚴峻的威脅。管道SCADA系統一旦受攻擊容易發生故障或者被控制,可能直接影響到管道輸送的正常生產運營,導致火災、爆炸、中毒事件的發生,造成重大經濟損失、人員傷亡和環境污染,直接威脅到國家能源安全和社會穩定。因此,研究油氣管道SCADA系統安全風險,同時制定針對性的配套網絡安全防護能力建設,對我國能源安全具有重要的意義。
物聯網、大數據、云平臺等新技術的應用,形成了油氣管道生產網絡的互聯互通,但這給工業控制系統帶來諸多網絡層面的安全風險,來自辦公管理層網絡的入侵、病毒等風險很容易向生產網蔓延。同時,非法接入風險也不容忽視,攻擊者偽造身份從外部或內部網絡節點對生產系統進行滲透,獲取訪問權限,惡意操作,其威脅是巨大的,不僅可以拿到工藝數據,甚至可能造成重大安全事故。
1.2 項目簡介
油氣管道連接著上游的油氣田板塊,中、下游的煉化和銷售板塊產業鏈,是油氣生產設施的重要組成部分。為了保證油氣管道的安全、可靠、平穩、高效、經濟地運行,必須提高對管道的監視控制和管理等信息化建設。而作為國家重要的基礎設施和公用設施,油氣管道承擔了所有的天然氣和近八成的油品輸送任務,具有易燃、易爆和高壓的特點,其安全運行非常重要。建設該系統安全、穩定地運行及管網調控系統的安全接入,是一個至關重要的問題。
本項目中采用了全面評估當前的生產網、網內業務系統、控制系統及自動化設備可能存在的網絡安全風險,圍繞當前企業技改與未來“一張網”發展規劃,按照國家網絡安全法提出的“同步規劃、同步建設、同步使用”的三同步原則,利用當前先進的網絡安全防護理念、技術與產品,有序開展SCADA系統中安全防護體系的頂層設計與建設工作,構建網絡安全立體的防護體系,滿足標準合規性要求。同時,按照企業多級管理職能,設計構建全網工控安全管控與運營體系,形成多級聯動機制,實現全網動態安全監測、風險可視、通報預警與聯動處置,提高網絡安全綜合管控與防護能力。
1.3 項目目標
(1)安全通信網絡安全需求
針對油氣管道的特點,側重對調度中心SCADA系統通訊網絡進行全面的網絡安全防護,包括優化網絡結構,劃分安全域,在通信過程中采用密碼技術保證數據的保密性,采用校驗技術保證數據的完整性,通過應用工控防火墻搭載可信模塊的形式,實現可信驗證。
(2)安全區域邊界安全需求
按照安全域劃分與業務訪問邏輯,在安全域邊界部署入侵檢測和工控審計,建立安全訪問規則,重點對安全權重高的安全域進行重點安全防護。利用先進的技術與產品,設計部署相應的安全監測與審計措施,監控網絡中存在的各類入侵風險、網絡病毒、非法訪問等行為并進行審計與阻斷,保障生產網絡的可用性與安全性,實現安全區域邊界的建設要求。
(3)安全計算環境安全需求
依靠掃描工具與人工方式對應用系統進行安全檢查,對發現的漏洞、開放的服務與端口以及存在的權限與弱口令、非安全的遠程鏈接等脆弱性問題進行研判,對于可修復的漏洞、默認開放的服務與端口,以及默認的權限及用戶弱口令問題進行集中式加固處理,提升應用系統的抗攻擊能力。側重對生產控制大區內各系統工程師站、操作員站、歷史站、接口站、服務器等實施定期巡檢式的安全掃描,發現主機系統存的各種漏洞與脆弱性,并進行針對性的安全加固研究,同時,對主機系統安裝必要的工控主機專用安全管控與防護產品,實現主機系統的防病毒、防第三方軟件非授權安裝與使用,以及主機外部接口的安全管控,尤其對USB口的安全管控與操作行為審計,綜合提升主機系統的抗攻擊能力,保護分布廣泛的站控系統主機不被作為跳板入侵上級系統,確保安全計算環境防線穩定。
(4)安全管理中心安全需求
在調度中心SCADA系統中建立安全管理域,部署工控信息安全監管與分析平臺,并且在現有的網絡安全管理制度基礎上不斷完善,明確網絡安全管理機構、崗位、人員,完善安全建設管理及運維管理流程,建立安全教育與培訓、安全保密、應急響應機制,使安全管理成體系,安全管理常態化,管理與技防相結合,構建企業的綜合網絡安全防護體系,為企業安全生產保駕護航。
本方案以油氣管道工控系統應用為場景,構建了安全可控為目標,監控審計、威脅分析、入侵檢測、主機防護為特征的油氣管道企業工業控制系統新一代主動防御體系,提高了工控系統整體安全性。將為企業工業控制系統網絡安全防護體系建設開創行之有效的安全建設模式,提高管控一體化安全防護的能力。解決油氣管道企業工控系統在聯網運行中所面臨的網絡安全建設與運營過程的困擾,系統為企業提供包括安全服務、安全建設、安全運營在內的網絡安全全生命周期的解決方案。
2 項目實施
本方案針對油氣管道SCADA系統實際需求,通過設計建設一套穩定、先進、高效、可靠的工控安全監測防護體系,集中展現油氣管道SCADA系統的整體工控安全態勢,提升整體工控安全監管水平和防御能力,針對SCADA系統的特點、專業性、穩定性進行設計,結合天地和興多年工業控制系統與工控安全研究和經驗總結,以國家等級保護的“一個中心、三重防護”為整體防護思想,構建油氣管道SCADA系統網絡安全防護的技術體系,并完善安全管理體系,形成技術+管理的綜合安全防護體系,滿足實際安全防護需求,達到等保三級建設標準。網絡安全防護體系框架示意圖如圖1所示。
圖1 網絡安全防護體系框架示意圖
方案從實際出發,以油氣管道SCADA系統為等級保護對象,以控制中心系統為主體,結合站控系統、現場設備等邊緣應用分布廣泛的特點,從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心和安全管理要求等幾個維度來構建綜合安全防護體系。
工控安全防護系統部署拓撲示意圖如圖2所示。
圖2 工控安全防護系統部署拓撲示意圖
(1)安全通信網絡建設
對油氣管道工控網絡進行優化,劃分安全域,并對油氣管道工控網絡與辦公網互聯的網絡邊界部署工控防火墻進行邊界隔離與安全防護,保障油氣管道工控網絡免受來自上層辦公網及互聯網的入侵攻擊風險。
工控防火墻系統屬于工業級安全防護設備,可支持30多種工控協議識別與深度解析,包括:Modbus TCP、OPC、DNP3.0、PROFINET、S7、IEC 61850和IEC 60870-5-104等,具有基于工控行為構建白名單訪問控制策略,實現細粒度的安全防護。
(2)安全區域邊界建設
在油氣管道工控網絡中劃分不同的安全域,按照安全域的安全權重,有針對地進行安全域的隔離與訪問控制、安全審計、入侵檢測等必要的安全防護措施,保護各安全域的運行安全,本方案中主要是在調控中心SCADA系統網絡中部署工控安全審計系統、入侵檢測系統,以及在各個站控系統的生產數據匯聚到調度中心的網絡入口處部署工控防火墻。
· 工控防火墻
在油氣管道工控網絡中的本地站控出口處、調控中心入口處等邊界串行部署工控防火墻系統,實現各安全域邊界隔離與訪問控制。不僅可支持基于網絡五元組的訪問控制,還支持基于工控行為的安全控制與防護,保護各安全域系統的安全運行。
· 工控安全審計系統
在調控中心的核心交換機上旁路部署工控安全審計系統,對整個調度中心SCADA系統的應用服務器、主機管理系統等進行全面檢測,對通信數據進行合規性檢查,對異常行為、違規操作行為進行識別、審計告警,告警日志上傳給日志服務器、安全管理平臺系統進行集中存儲、分析與風險關聯展示,輔助安全運維人員進行處置。
工控安全審計系統支持對OPC、Ethernet/IP、Modbus/TCP、IEC 61850、IEC 60870-5-104、DNP3、PROFINET、S7、GOOSE和SV等30多種工控協議進行深度解析,通過還原操作行為,對有異常操作行為進行審計告警,輔助網關防護系統策略調整,實現油氣管道工控網絡的運行安全。
· 入侵檢測系統
在調控中心的核心交換機上旁路部署入侵檢測系統,通過交換機鏡像功能,把網絡出入口、重要安全域的通信數據送給入侵檢測系統進行實時檢測,用于識別監控網絡中可能存在的各種已知攻擊行為,并進行審計告警,告警日志上傳給日志服務器、安全管理平臺進行風險分析與可視化。
入侵檢測系統內置檢測引擎與全面的攻擊特征庫,能夠實時對網絡中存在的設備攻擊、安全掃描、網絡病毒、欺騙劫持、窮舉探測、間諜軟件等入侵事件進行識別與審計告警,入侵檢測系統側重對已知威脅的檢測能力,實時發現網絡中存在威脅事件并及時產生告警,同時入侵檢測系統可階段性進行威脅統計,并可形成安全報告,支持報告輸出。
(3)安全計算環境的建設
在油氣管道工控網絡中的安全計算環境是指人機交互界面上的各主機系統,包括各種相關的應用服務器(如SCADA歷史服務器、OPC服務器等)、操作員站、工程師站和歷史站等,主機系統要通過檢查工具對其安全漏洞與脆弱性進行發現和管理,對可修復的漏洞進行可行性驗證與修復,關閉不需要的默認賬號、服務,進行主機系統必要的安全加固,提升主機系統抗攻擊能力。本次設計將考慮部署主機安全防護系統來對主機系統進行必要的安全防護。
白名單的主動防御機制可占用更小的系統計算資源,實現最大的防護效能。可有效地實現主機防病毒、防第三方軟件的非授權安裝與使用,主機系統外接口的管控,USB外接存儲設備的認證管控、防病毒與操作行為審計,為主機系統安全運行提供必要的安全保障。
本方案使用的主機安全防護系統,是工控主機系統專用的安全防護系統,系統運用白名單為主,灰名單、黑名單為輔的創新技術方式,監控主機的進程狀態、網絡端口狀態、USB端口狀態,嚴格對主機進行應用進程管控、外接端口管控、USB設備認證與使用管理,以及操作行為管理,強化工控主機的安全管理,提升主機系統抗攻擊能力。
(4)安全管理中心建設
在油氣管道工控系統網絡中組建安全管理域,在此區域內建設安全管理中心,部署油氣管道工控系統網絡的安全集中管控的技術措施,包括賬號管理及運維審計系統和工控信息安全監管與分析平臺系統等集中安全管理平臺系統,實現安全風險管理、關聯分析、安全可視化與聯動處置的能力建設。基于企業集團總部的全網安全管理需求,面對一定生產規模的企業以及對生產網安全管理要求高的企業,把相關的日志等信息上傳給工控網絡安全態勢感知平臺系統,實現全網安全風險的級聯式、風險動態可視化與預警聯動處置。
· 賬號管理及運維審計系統
賬號管理及運維審計系統(堡壘機)部署在安全管理域內,通過代理模式部署,作為系統運維的統一入口,實現系統運維權限統一認證管理以及操作行為審計。
賬號管理及運維審計系統是針對系統運維人員賬戶混亂、運維訪問目標系統資源的權限不可管、運維行為不可控、無安全審計措施等實際問題而開發的安全專用系統,通過運維人員賬戶集中管理、登錄集中認證授權、操作全程審計等技手段,實現目標系統運維可管、可控、可審計,對運維行為進行監管,做到事中告警與事后行為追溯。賬號管理及運維審計系統可提供便攜式產品形態,方便在不同場景下使用,規范企業運維人員對油氣管道工控網絡中各系統的運維操作。
· 工控信息安全監管與分析平臺系統
在油氣管道工控系統網絡中的安全管理域內部署工控信息安全監管與分析平臺系統(工控安全管理平臺),實現全網安全系統的狀態監控,安全風險的集中收集、存儲、關聯分析與可視化、安全風險集中處置等集中安全管理功能。
此平臺系統不僅可監控安全系統的運行狀態,還可以對安全系統進行安全策略配置與調整,總體實現網絡安全防護體系的防護效能。
工控信息安全監管與分析平臺系統是整個油氣管道工控系統網絡安全防護體系的大腦,是安全管理中心建設的核心平臺系統,是安全運維人員日常查看操作最多的系統平臺。
平臺系統具有強大安全管理功能,支持級聯部署,解決企業生產廠區分散的網絡安全集中管理的需求,實現安全風險統一管理、分析展示與聯動處置的管理能力。同時,本級平臺系統可以作為上級安全運營中心平臺系統的管理節點,形成覆蓋全網的安全運營能力。
(5)安全管理體系建設
· 安全管理制度
主要包括管理制度的制定和發布、評審和修訂。要求形成網絡安全管理制度體系,對管理制度的制定要求和發布過程進一步嚴格和規范,對安全制度的評審和修訂要求領導小組負責。
· 安全管理機構
主要包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查等。對于崗位設置,不僅要求設置網絡安全的職能部門,而且機構上層應有一定的領導小組全面負責機構的網絡安全全局工作。授權審批方面加強了授權流程控制以及階段性審查。溝通與合作方面加強了與外部組織的溝通和合作,并聘用安全顧問。同時對審核和檢查工作進一步規范。
· 安全管理人員
對人員安全的管理,主要涉及兩方面:對內部人員的安全管理和對外部人員的安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理等。增強對關鍵崗位人員的錄用、離崗和考核要求,對人員的培訓教育更具有針對性,外部人員訪問要求更具體。
· 安全建設管理
系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮,具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇等。對建設過程的各項活動都要求進行制度化規范,按照制度要求開展活動。對建設前的安全方案提出體系化要求,并加強了對其的論證工作。
· 安全運維管理
隨著工控行業信息化建設的不斷推進及信息技術的廣泛應用,隨之而來的網絡安全問題也愈發突出,以風險管控為主線,安全效益為導向,風險相關法律、法規和理論方法為依據,安全信息化、自動化技術為手段,建立起工控安全運維體系,前期安全建設工作將更行之有效。
3 案例亮點
(1)采用先進安全防護技術提升企業工控安全防護能力
本方案采用工業協議深度解析技術、智能學習技術、白名單主動防御技術和威脅管理無損技術,并結合公司自有的工業漏洞庫、設備指紋庫,通過制定有效的安全策略和安全集中分析管控手段,在保證穩定運行的前提下,對工控系統運行提供必要的網絡安全保障,為企業工控網絡安全保駕護航。
(2)完善組織OT內控體系,滿足合規需求
本方案在設計時,參照了國家等級保護相關規范要求,并按照企業當前的工控系統信息化建設程度來提出符合實際需求的解決方案,從OT應用控制、OT一般控制、OT審計等三個維度來打造合規的OT控制體系。
(3)工控安全產品性能達到國內領先水平
獨有的專利技術的全機柜一體化解決方案;松耦合的安全框架設計具有極好的設備兼容性;一體化安全產品管理機制。網絡接入支持IPv6、IPsecVPN、可視化監控、協議規定的自定義、接口聯動、熱備機制、Bypass、低延時等高可用性設計,真正做到了對工業網絡零影響。
(4)自主可控的安全產品
與同類別方案相比增加的相關設備所采集的信息更加全面,也更具合規性,能完全適應工控系統安全防護對穩定性與機密性的共同需求。方案中所有信息安全產品均為國產自主產品,可控性強,安全產品聯動安全性更高,并可提供定制化的功能開發,方便支撐不斷迭代升級。
(5)可信計算的融合技術
設備上加裝PCI可信控制卡,實現可信功能。主要包括基于可信根對設備的BootLoader、操作系統和應用程序等進行可信驗證;基于SM3對設備的BootLoader、操作系統和應用程序等進行可信驗證;對系統中斷、關鍵內存區域等執行資源進行可信驗證;對設備的網絡通信進行可信動態度量,監測異常通信行為;將可信驗證結果形成審計記錄并發送至安管平臺;安管平臺處理所有安全設備上報的可信狀態值,并呈現整個安全防護系統的可信狀況。
更多信息可以來這里獲取==>>電子技術應用-AET<<
