某水庫(kù)自動(dòng)化系統(tǒng)信息安全體系建設(shè)實(shí)踐
引言:面對(duì)越來(lái)越嚴(yán)峻的信息安全形勢(shì),我國(guó)高度重視工業(yè)控制系統(tǒng)信息安全工作。隨著2017年《國(guó)家網(wǎng)絡(luò)安全法》頒布和2021年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》實(shí)施,其中明確提出“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”要在等級(jí)保護(hù)制度基礎(chǔ)上,實(shí)行重點(diǎn)防護(hù),而關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)定了水利等重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等,說(shuō)明工業(yè)控制系統(tǒng)安全在關(guān)鍵信息基礎(chǔ)設(shè)施保障中的重要程度。
某水庫(kù)工控系統(tǒng)建設(shè)較早,現(xiàn)有網(wǎng)絡(luò)系統(tǒng)缺乏網(wǎng)絡(luò)安全防護(hù)能力,存在較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),不能滿(mǎn)足政策法規(guī)技術(shù)要求,本項(xiàng)目結(jié)合生產(chǎn)控制系統(tǒng)的安全現(xiàn)狀,幫助用戶(hù)建立縱深防御防護(hù)體系,完善管理制度,強(qiáng)化網(wǎng)絡(luò)安全技術(shù)保障能力,提高用戶(hù)網(wǎng)絡(luò)安全綜合防護(hù)能力,確保水庫(kù)工控網(wǎng)絡(luò)系統(tǒng)能安全穩(wěn)定運(yùn)行。
項(xiàng)目概況
1. 項(xiàng)目背景
(1)城市運(yùn)營(yíng)保障責(zé)任重大
某水庫(kù)是我國(guó)目前(2012年)最大的江心水庫(kù),設(shè)計(jì)有效庫(kù)容為4.35億立方米。日供水規(guī)模719萬(wàn)立方米,占全市原水供應(yīng)總規(guī)模的50%以上,是重要的飲用水源地之一,承擔(dān)著全市過(guò)半人口用水。
(2)工控整體安全形勢(shì)不容樂(lè)觀(guān)
工業(yè)控制系統(tǒng)越來(lái)越多地采用信息技術(shù)和通信技術(shù),水庫(kù)工控系統(tǒng)建設(shè)較早,前期工控系統(tǒng)整體網(wǎng)絡(luò)設(shè)計(jì)只考慮了數(shù)據(jù)傳輸?shù)姆€(wěn)定性和可靠性,未充分考慮安全防護(hù)能力;隨著工業(yè)化和信息化的深度融合,,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、網(wǎng)絡(luò)攻擊等安全威脅也正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的安全風(fēng)險(xiǎn)。例如,2015年,河北省某污水處理廠(chǎng)PLC設(shè)備存在繞過(guò)權(quán)限修改寄存器值的漏洞,導(dǎo)致鼓風(fēng)機(jī)設(shè)備不受操作員站控制,自行頻繁啟停,造成鼓風(fēng)機(jī)全部燒毀;2016年,河北省石家莊市某地表水廠(chǎng)受到惡意攻擊,設(shè)置送水泵以最大頻率運(yùn)行,與此同時(shí)強(qiáng)制關(guān)閉泵后閥門(mén),導(dǎo)致送水管道崩裂。
(3)國(guó)家法律政策驅(qū)動(dòng)
面對(duì)越來(lái)越嚴(yán)峻的信息安全形勢(shì),我國(guó)高度重視工業(yè)控制系統(tǒng)信息安全工作。 2016年10月17日,工信部信軟〔2016〕338號(hào)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》正式頒布,指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪(fǎng)問(wèn)安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任十一個(gè)方面做好工控安全防護(hù)工作,切實(shí)提升工業(yè)控制系統(tǒng)信息安全防護(hù)水平,保障工業(yè)控制系統(tǒng)安全。2017年6月1日起《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行,其中明確提出“基礎(chǔ)設(shè)施的運(yùn)行安全”,要在等級(jí)保護(hù)的基礎(chǔ)上實(shí)行重點(diǎn)防護(hù)。2021年9月1日起《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式實(shí)施,明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施包括水利等重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
由于我國(guó)工業(yè)控制系統(tǒng)起步較晚,信息安全保障能力方面存在較大不足。面對(duì)復(fù)雜的工控安全形勢(shì),我國(guó)加強(qiáng)工業(yè)控制系統(tǒng)信息安全的保障工作迫在眉捷。
2. 項(xiàng)目簡(jiǎn)介
某水庫(kù)整體工控系統(tǒng)涉及取水泵閘、下游水閘、輸水泵站、輸水閘井及控制中心等幾個(gè)子系統(tǒng),且由于水庫(kù)工控系統(tǒng)建設(shè)較早,前期工控系統(tǒng)整體網(wǎng)絡(luò)設(shè)計(jì)只考慮了數(shù)據(jù)傳輸?shù)姆€(wěn)定性和可靠性,但工控網(wǎng)缺乏安全防護(hù)能力,一旦網(wǎng)絡(luò)內(nèi)某個(gè)子系統(tǒng)遭受攻擊,很容易影響整個(gè)工控系統(tǒng)的正常運(yùn)行,將會(huì)給自身以及城市的安全運(yùn)營(yíng)帶來(lái)嚴(yán)重的影響。
同時(shí),該水庫(kù)現(xiàn)有工控系統(tǒng)不滿(mǎn)足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》相關(guān)技術(shù)要求,需要對(duì)其整改建設(shè),并通過(guò)三級(jí)等保測(cè)評(píng)。
3. 項(xiàng)目目標(biāo)
通過(guò)對(duì)某水庫(kù)進(jìn)行調(diào)研和分析,并結(jié)合現(xiàn)有系統(tǒng)安全現(xiàn)狀,存在的安全風(fēng)險(xiǎn)以及面臨威脅,按照國(guó)家、行業(yè)相關(guān)標(biāo)準(zhǔn),使之符合網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0要求,設(shè)計(jì)出基于工業(yè)控制系統(tǒng)白環(huán)境理念的縱深防御安全防護(hù)方案,建立起完善的技術(shù)防護(hù)體系,并在此基礎(chǔ)上構(gòu)建合規(guī)的管理制度體系,從而提高整某水庫(kù)的整體綜合防護(hù)能力。此次建設(shè)目標(biāo)具體如下:
(1)以改造某水庫(kù)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)為基礎(chǔ),幫助用戶(hù)建設(shè)縱深防護(hù)防御體系,提高用戶(hù)生產(chǎn)網(wǎng)安全防護(hù)能力,避免用戶(hù)生產(chǎn)網(wǎng)遭受到網(wǎng)絡(luò)入侵等攻擊行為而給用戶(hù)造成巨大經(jīng)濟(jì)損失。
(2)結(jié)合用戶(hù)現(xiàn)有管理制度,以GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為基準(zhǔn);協(xié)助用戶(hù)建立完善的管理制度流程,從而完善用戶(hù)網(wǎng)絡(luò)方面管理制度。
(3)開(kāi)展合規(guī)分析工作,整合工信部的《工業(yè)控制系統(tǒng)信息安全應(yīng)用指南》(GB/T 32919-2016)、GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》進(jìn)行合規(guī)分析,通過(guò)后期培訓(xùn)和材料預(yù)準(zhǔn)備,使得用戶(hù)能夠在今后的貫標(biāo)檢查過(guò)程中,順利達(dá)標(biāo)。
二、項(xiàng)目實(shí)施概況
依據(jù)目前某水庫(kù)生產(chǎn)網(wǎng)絡(luò)的安全現(xiàn)狀,為滿(mǎn)足安全防護(hù)效果能夠滿(mǎn)足國(guó)家政策法規(guī)及各級(jí)主管單位的相關(guān)要求,具體安全需求如下:
主機(jī)安全加固技術(shù)需求
現(xiàn)場(chǎng)根據(jù)調(diào)研,工控機(jī)操作系統(tǒng)以Windows server 2012、Win7操作系統(tǒng)為主,現(xiàn)場(chǎng)工控主機(jī)無(wú)任何惡意代碼防范措施,USB外設(shè)管控未做任何管控措施,現(xiàn)場(chǎng)存在移動(dòng)介質(zhì)內(nèi)外網(wǎng)濫用等安全問(wèn)題,極容易遭受U盤(pán)擺渡攻擊,從而造成生產(chǎn)業(yè)務(wù)的中斷。
內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界防護(hù)需求
目前外部邊界生產(chǎn)管理層和上級(jí)企業(yè)資源層之間缺乏外網(wǎng)的邊界隔離技術(shù)措施,無(wú)法對(duì)經(jīng)過(guò)的數(shù)據(jù)流量進(jìn)行過(guò)濾,由一些非法人員可以從上級(jí)部門(mén)側(cè)入侵到工控網(wǎng),存在一定的安全隱患。
內(nèi)網(wǎng)生產(chǎn)管理層與過(guò)程控制層之間缺乏有效的防護(hù)措施,容易發(fā)生針對(duì)生產(chǎn)控制網(wǎng)絡(luò)內(nèi)的邏輯控制器(PLC)的非法訪(fǎng)問(wèn)及攻擊行為。
入侵檢測(cè)防范及網(wǎng)絡(luò)審計(jì)技術(shù)需求
現(xiàn)有工控網(wǎng)絡(luò)內(nèi)缺少入侵檢測(cè)及網(wǎng)絡(luò)檢測(cè)審計(jì)措施,無(wú)法及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)的一些惡意流量攻擊,一旦出現(xiàn)內(nèi)網(wǎng)的惡意網(wǎng)絡(luò)攻擊事件,無(wú)法進(jìn)行發(fā)現(xiàn)和回溯。
日志統(tǒng)一存儲(chǔ)需求
工控網(wǎng)缺乏日志集中存儲(chǔ)技術(shù)措施,無(wú)法對(duì)網(wǎng)絡(luò)內(nèi)服務(wù)器日志、操作員日志、交換機(jī)日志、安全設(shè)備日志等進(jìn)行統(tǒng)一的收集存儲(chǔ),在不滿(mǎn)足網(wǎng)絡(luò)安全法和等級(jí)保護(hù)制度要求的同時(shí),也無(wú)法對(duì)工控網(wǎng)的網(wǎng)絡(luò)運(yùn)維日志進(jìn)行有效的大數(shù)據(jù)分析。
集中管控技術(shù)需求
現(xiàn)有工控網(wǎng)缺乏統(tǒng)一管理技術(shù)手段,在后續(xù)安全運(yùn)維時(shí),會(huì)消耗較多的運(yùn)維時(shí)間,同時(shí)缺乏對(duì)第三方運(yùn)維審計(jì)管控,存在較大安全隱患。
系統(tǒng)漏洞管理需求
工控網(wǎng)目前缺乏有效的系統(tǒng)漏洞及時(shí)發(fā)現(xiàn)技術(shù),一旦系統(tǒng)廠(chǎng)商發(fā)布高危漏洞,用戶(hù)沒(méi)有及時(shí)發(fā)現(xiàn)或更新,那么黑客人員很容易利用漏洞對(duì)工控網(wǎng)的主機(jī)或PLC發(fā)起攻擊,一旦攻擊成功,那么用戶(hù)會(huì)面臨較大的經(jīng)濟(jì)損失和企業(yè)影響。
1.方案整體概述
(1)方案整體設(shè)計(jì)
某水庫(kù)生產(chǎn)控制系統(tǒng)安全建設(shè)依據(jù)“安全分區(qū)、縱深防護(hù)、統(tǒng)一監(jiān)控”的原則進(jìn)行建設(shè)。
“安全分區(qū)”:根據(jù)生產(chǎn)過(guò)程,將生產(chǎn)相關(guān)配套工業(yè)控制系統(tǒng)按照板塊進(jìn)行安全分區(qū)。板塊內(nèi)部再根據(jù)不同控制系統(tǒng)進(jìn)行安全分域。根據(jù)劃分的安全區(qū)、安全域制定區(qū)間、域間防護(hù)措施。
“縱深防護(hù)”:結(jié)合安全區(qū)、安全域劃分結(jié)果,在制定區(qū)、域邊界防護(hù)措施的同時(shí),也要在安全區(qū)、安全域內(nèi)部部署異常行為、惡意代碼的檢測(cè)和防護(hù)措施。
“統(tǒng)一監(jiān)控”:針對(duì)各安全區(qū)、安全域的防護(hù)措施、監(jiān)測(cè)及審計(jì)措施建立統(tǒng)一的、分級(jí)的監(jiān)控系統(tǒng),統(tǒng)一監(jiān)控業(yè)務(wù)板塊的工業(yè)控制系統(tǒng)的安全狀況。將各業(yè)務(wù)板塊的工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行集中的展示,以風(fēng)險(xiǎn)等級(jí)的方式給出不同工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別,全面了解并掌握系統(tǒng)動(dòng)態(tài)。
圖1 某水庫(kù)網(wǎng)絡(luò)拓?fù)鋱D
(2)邊界安全防護(hù)安全設(shè)計(jì)
在生產(chǎn)管理層到企業(yè)資源層之間部署工業(yè)網(wǎng)閘,通過(guò)工業(yè)網(wǎng)閘實(shí)現(xiàn)生產(chǎn)管理層和企業(yè)資源層的物理隔離,工業(yè)網(wǎng)閘分別由內(nèi)、外網(wǎng)處理單元與數(shù)據(jù)交換單元(專(zhuān)用隔離芯片)三部分組成。內(nèi)、外網(wǎng)處理單元是一臺(tái)專(zhuān)有的網(wǎng)絡(luò)安全計(jì)算機(jī)設(shè)備,分別連接于內(nèi)外網(wǎng)絡(luò)。內(nèi)、外網(wǎng)處理單元之間通過(guò)專(zhuān)用的隔離芯片進(jìn)行數(shù)據(jù)的擺渡傳輸,其過(guò)程類(lèi)似U盤(pán)拷貝。當(dāng)專(zhuān)用隔離芯片與內(nèi)網(wǎng)聯(lián)通時(shí)與外網(wǎng)電路是斷開(kāi)的,當(dāng)隔離部件與外網(wǎng)聯(lián)通時(shí),與內(nèi)網(wǎng)是斷開(kāi)的,在確保網(wǎng)絡(luò)隔離的前提下實(shí)現(xiàn)適度的數(shù)據(jù)交換,因此能夠最大程度的保證某水庫(kù)生產(chǎn)網(wǎng)的外網(wǎng)邊界與企業(yè)資源層相互訪(fǎng)問(wèn)通信安全。
在工程師站和PLC之間串聯(lián)部署工業(yè)防火墻實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)工業(yè)控制指令的檢測(cè)和管控,通過(guò)工業(yè)防火墻對(duì)工業(yè)協(xié)議深度解析,保護(hù)PLC免遭工業(yè)病毒的惡意攻擊,目前某水庫(kù)生產(chǎn)網(wǎng)系統(tǒng)工業(yè)協(xié)議采用的是CIP、S7等工業(yè)協(xié)議,工業(yè)防火墻能夠?qū)ΜF(xiàn)場(chǎng)應(yīng)用層CIP、S7等工業(yè)協(xié)議進(jìn)行深度解析,發(fā)現(xiàn)上位機(jī)對(duì)PLC下發(fā)的指令不符合白名單的安全測(cè)量時(shí),防火墻及時(shí)的對(duì)數(shù)據(jù)進(jìn)行攔截并告警,從而及時(shí)有效的避免中間人和一些不法人員的入侵攻擊行為。
(3)網(wǎng)絡(luò)安全審計(jì)安全設(shè)計(jì)
在某水庫(kù)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)中通過(guò)交換機(jī)的端口鏡像功能旁路部署安裝工控安全監(jiān)測(cè)與審計(jì)系統(tǒng),對(duì)工控網(wǎng)絡(luò)中的控制系統(tǒng)進(jìn)行審計(jì),以保證觸發(fā)審計(jì)系統(tǒng)的事件存儲(chǔ)在審計(jì)系統(tǒng)內(nèi),能夠根據(jù)存儲(chǔ)的記錄和操作者的權(quán)限進(jìn)行查詢(xún)、統(tǒng)計(jì)、管理、維護(hù)等操作,能夠在必要時(shí)從記錄中抽取所需要的資料。工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)的部署為控制系統(tǒng)網(wǎng)絡(luò)提供事前監(jiān)控、事中記錄、事后審計(jì)。
工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)能夠解決以下問(wèn)題:
基于正常通信模型,對(duì)工控指令攻擊、控制參數(shù)的篡改、病毒和蠕蟲(chóng)等惡意代碼攻擊行為等進(jìn)行實(shí)時(shí)監(jiān)測(cè)和告警。
實(shí)時(shí)監(jiān)測(cè)設(shè)備流量,當(dāng)發(fā)現(xiàn)其在一段時(shí)間內(nèi)沒(méi)有收發(fā)流量,則進(jìn)行實(shí)時(shí)報(bào)警。
實(shí)現(xiàn)對(duì)工控協(xié)議報(bào)文不符合其規(guī)約規(guī)定的格式進(jìn)行檢測(cè)并告警。
對(duì)工程師站組態(tài)變更、操控指令變更、PLC下裝、負(fù)載變更等操作行為進(jìn)行記錄和存儲(chǔ),便于安全事件的事后審計(jì)。
對(duì)各類(lèi)安全日志進(jìn)行記錄和存儲(chǔ),便于安全事件的調(diào)查取證。
(4)網(wǎng)絡(luò)入侵防范安全設(shè)計(jì)
目前某水庫(kù)工控網(wǎng)絡(luò)內(nèi)部缺乏對(duì)異常的攻擊檢測(cè)措施,無(wú)法通過(guò)技術(shù)手段來(lái)實(shí)現(xiàn)基于攻擊檢測(cè)告警,因此在控制網(wǎng)管理層核心交換機(jī)上部署入侵檢測(cè)設(shè)備對(duì)工控網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)。同時(shí)入侵檢測(cè)也是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
(5)主機(jī)安全加固安全設(shè)計(jì)
根據(jù)某水庫(kù)生產(chǎn)系統(tǒng)現(xiàn)狀,操作員站等主機(jī)使用的是微軟的Windows 7等操作系統(tǒng),且現(xiàn)場(chǎng)操作系統(tǒng)未做過(guò)任何的系統(tǒng)補(bǔ)丁更新,同時(shí)這些現(xiàn)場(chǎng)主機(jī)需要經(jīng)常采用U盤(pán)進(jìn)行數(shù)據(jù)拷貝,很容易將外網(wǎng)病毒木馬帶入工作系統(tǒng)終端上,然后通過(guò)終端散播到網(wǎng)絡(luò)的各個(gè)區(qū)域,最終致使整體生產(chǎn)網(wǎng)絡(luò)癱瘓。
此次在某水庫(kù)服務(wù)器和主機(jī)上部署工控主機(jī)衛(wèi)士軟件,保護(hù)這些設(shè)備的主機(jī)安全。工控主機(jī)衛(wèi)士采用“白名單”管理技術(shù),通過(guò)對(duì)數(shù)據(jù)采集和分析,其內(nèi)置智能學(xué)習(xí)模塊會(huì)自動(dòng)生成工業(yè)控制軟件正常行為的白名單,與現(xiàn)網(wǎng)中的實(shí)時(shí)傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶(hù)節(jié)點(diǎn)的行為不符合白名單中的行為特征,其主機(jī)安全防護(hù)系統(tǒng)將會(huì)對(duì)此行為進(jìn)行阻斷或告警,以此避免主機(jī)網(wǎng)絡(luò)受到未知漏洞威脅,同時(shí)還可以有效的阻止操作人員異常操作帶來(lái)的危害。
2. 安全集中管理中心建設(shè)
(1)安全集中管理中心建設(shè)總體設(shè)計(jì)
在生產(chǎn)管理層核心交換機(jī)上搭建一套安全集中管理中心,通過(guò)安全集中管理中心對(duì)生產(chǎn)網(wǎng)的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全軟件進(jìn)行集中管理和日志集中存儲(chǔ)分析,并通過(guò)安全集中管理中心的漏洞掃描設(shè)備定期的對(duì)生產(chǎn)控制系統(tǒng)的服務(wù)器和主機(jī)進(jìn)行漏洞掃描,及時(shí)發(fā)現(xiàn)工控系統(tǒng)內(nèi)部的系統(tǒng)漏洞并進(jìn)行修復(fù)。
圖2 安全集中管理中心建設(shè)拓?fù)鋱D
(2)日志審計(jì)集中存儲(chǔ)設(shè)計(jì)
目前某水庫(kù)生產(chǎn)網(wǎng)沒(méi)有統(tǒng)一的日志存儲(chǔ)服務(wù)器,無(wú)法生產(chǎn)網(wǎng)安全設(shè)備、服務(wù)器、交換機(jī)、操作員站等日志進(jìn)行統(tǒng)一存儲(chǔ),同時(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的出臺(tái)及信息系統(tǒng)安全等級(jí)保護(hù)的要求,明確要求對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和二級(jí)以上的信息系統(tǒng)必須對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用進(jìn)行安全審計(jì)。
綜上所述,用戶(hù)需要一個(gè)全面的、面向網(wǎng)絡(luò)資源的、集中的安全日志審計(jì)平臺(tái)及其系統(tǒng),這個(gè)系統(tǒng)能夠收集來(lái)自客戶(hù)網(wǎng)絡(luò)資源中各種設(shè)備和應(yīng)用的安全日志,并進(jìn)行存儲(chǔ)、監(jiān)控、審計(jì)、分析、報(bào)警、響應(yīng)和報(bào)告。
此次在生產(chǎn)網(wǎng)內(nèi)部安全集中管理中心部署一臺(tái)日志審計(jì)與分析系統(tǒng)實(shí)現(xiàn)對(duì)安全設(shè)備及網(wǎng)絡(luò)設(shè)備的日志存儲(chǔ),以便滿(mǎn)足相關(guān)法律法規(guī)的政策要求。
(3)安全運(yùn)維審計(jì)設(shè)計(jì)
目前某水庫(kù)網(wǎng)絡(luò)當(dāng)中缺乏安全運(yùn)維管控,用戶(hù)無(wú)法對(duì)生產(chǎn)網(wǎng)的運(yùn)維進(jìn)行詳細(xì)技術(shù)管控,因此此次在生產(chǎn)網(wǎng)當(dāng)中部署一臺(tái)安全運(yùn)維堡壘機(jī),對(duì)生產(chǎn)網(wǎng)的后期運(yùn)維進(jìn)行統(tǒng)一管理,通過(guò)堡壘機(jī)對(duì)不同對(duì)象的運(yùn)維人員下發(fā)不同的管理權(quán)限,并對(duì)管理權(quán)限進(jìn)行劃分,其次通過(guò)運(yùn)維堡壘機(jī)能夠追溯運(yùn)維人員在運(yùn)維過(guò)程中做的運(yùn)維操作,以便在發(fā)生安全事件時(shí),能夠通過(guò)運(yùn)維堡壘機(jī)進(jìn)行事件追溯。
(4)工控漏洞掃描安全設(shè)計(jì)
此次在生產(chǎn)當(dāng)中部署一臺(tái)漏洞掃描設(shè)備,它可以幫助用戶(hù)管理人員隨時(shí)掌握當(dāng)前系統(tǒng)中漏洞情況,通過(guò)掃描生產(chǎn)網(wǎng)當(dāng)中的網(wǎng)絡(luò)及工控設(shè)備從而評(píng)估你的網(wǎng)絡(luò)的安全級(jí)別,并生成評(píng)估報(bào)告,提供相應(yīng)的整改措施。
(5)統(tǒng)一集中管理平臺(tái)安全設(shè)計(jì)
在生產(chǎn)網(wǎng)網(wǎng)設(shè)置安全管理區(qū)域,在生產(chǎn)網(wǎng)的核心交換機(jī)旁路部署統(tǒng)一安全管理平臺(tái),方便管理人員的日常管理與維護(hù)
3. 具體應(yīng)用場(chǎng)景和應(yīng)用模式
通過(guò)在某水庫(kù)的控制中心搭建一套完善的安全集中管理中心實(shí)現(xiàn)對(duì)取水泵站、下游水閘、輸水泵閘、輸水閘井的網(wǎng)絡(luò)會(huì)話(huà)日志、設(shè)備運(yùn)行日志及設(shè)備的告警日志進(jìn)行集中收集并分析,實(shí)時(shí)掌握各個(gè)子系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì),一旦某個(gè)子系統(tǒng)網(wǎng)絡(luò)出現(xiàn)異常情況,配合安全集中管理中心的統(tǒng)一安全管理平臺(tái)對(duì)安全設(shè)備的策略進(jìn)行動(dòng)態(tài)化的調(diào)整,達(dá)到對(duì)某水庫(kù)工控系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和精準(zhǔn)防護(hù)。
4. 安全及可靠性
在許多情況下,設(shè)備的不可靠會(huì)導(dǎo)致系統(tǒng)的不安全。當(dāng)設(shè)備發(fā)生故障時(shí),不僅會(huì)影響用戶(hù)的正常業(yè)務(wù)運(yùn)行,而且可能會(huì)因設(shè)備出現(xiàn)故障而導(dǎo)致安全防護(hù)體系失效,從而使系統(tǒng)受到網(wǎng)絡(luò)攻擊,因此此次項(xiàng)目在方案設(shè)計(jì)時(shí)從技術(shù)層面和管理層面入手,來(lái)整體提高設(shè)備的安全性和可靠性,具體如下:
基于技術(shù)層面:首先從技術(shù)層面入手,此次需要串聯(lián)在系統(tǒng)中的設(shè)備分別是工業(yè)防火墻和工控網(wǎng)閘,其它設(shè)備因旁路部署,即使出現(xiàn)故障也不會(huì)影響現(xiàn)有的業(yè)務(wù)正常運(yùn)行,方案的可靠性和安全性只涉及到串聯(lián)的安全設(shè)備。工業(yè)防火墻是串聯(lián)生產(chǎn)管理層和過(guò)程控制層之間,一旦防火墻出現(xiàn)故障會(huì)導(dǎo)致水庫(kù)整個(gè)工控系統(tǒng)業(yè)務(wù)癱瘓,因此本次采用工控專(zhuān)用防火墻來(lái)實(shí)現(xiàn)管理層和控制層之間的安全防護(hù),工控專(zhuān)用防火墻業(yè)務(wù)接口具備Bypass功能;工業(yè)防火墻通過(guò)接口的Bypass功能保護(hù)網(wǎng)絡(luò)間的應(yīng)急通訊。保證物理硬件在出現(xiàn)問(wèn)題時(shí)工控網(wǎng)絡(luò)的正常通訊。
在生產(chǎn)管理層和企業(yè)管理層之間部署工業(yè)網(wǎng)閘實(shí)現(xiàn)某水庫(kù)和原水公司之間的邊界防護(hù),目前某水庫(kù)只需要把本地的生產(chǎn)數(shù)據(jù)通過(guò)網(wǎng)閘上傳到原水公司即可,現(xiàn)場(chǎng)的水泵控制還是由生產(chǎn)管理層實(shí)現(xiàn),因此對(duì)現(xiàn)場(chǎng)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性要求不高,同時(shí)某水庫(kù)本地有一臺(tái)數(shù)據(jù)服務(wù)器來(lái)實(shí)時(shí)的存儲(chǔ)生產(chǎn)數(shù)據(jù),由數(shù)據(jù)服務(wù)器把數(shù)據(jù)同步給上級(jí)原水公司,一旦網(wǎng)閘設(shè)備出現(xiàn)故障,導(dǎo)致某水庫(kù)和原水公司鏈路中斷,數(shù)據(jù)服務(wù)器會(huì)進(jìn)行本地緩存,當(dāng)后續(xù)鏈路恢復(fù)通信時(shí),數(shù)據(jù)服務(wù)器會(huì)把本地緩存的數(shù)據(jù)同時(shí)上傳到原水公司,從而提高數(shù)據(jù)傳輸?shù)目煽啃浴?/span>
基于管理制度:“三分技術(shù),七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言,因此現(xiàn)場(chǎng)網(wǎng)絡(luò)是否能夠安全穩(wěn)定的運(yùn)行還需要結(jié)合安全管理制度,此次在項(xiàng)目完成建設(shè)后,協(xié)助用戶(hù)制定完善的安全運(yùn)維管理制度和安全巡檢管理制度,每天由現(xiàn)場(chǎng)工作人員登錄到各個(gè)設(shè)備上查看設(shè)備的運(yùn)行日志和告警日志,并生成巡檢報(bào)告,一旦發(fā)現(xiàn)設(shè)備出現(xiàn)故障,及時(shí)的啟動(dòng)應(yīng)急預(yù)案,恢復(fù)網(wǎng)絡(luò),提高設(shè)備系統(tǒng)的可靠性。
5. 其他亮點(diǎn)
(1)本方案以主動(dòng)防護(hù)為核心,白名單防護(hù)技術(shù)為基礎(chǔ),幫助用戶(hù)建立縱深防御防護(hù)體系,提高用戶(hù)網(wǎng)絡(luò)安全防護(hù)能力,確保水庫(kù)工控網(wǎng)絡(luò)系統(tǒng)能安全穩(wěn)定運(yùn)行;
(2)根據(jù)客戶(hù)現(xiàn)場(chǎng)管理組織架構(gòu),幫助客戶(hù)完善管理制度,提高企業(yè)網(wǎng)絡(luò)運(yùn)行的標(biāo)準(zhǔn)化和規(guī)范化,從而協(xié)助用戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維管理“一切按照制度辦事”的目標(biāo);
(3)順利通過(guò)三級(jí)等級(jí)保護(hù)測(cè)評(píng),為后續(xù)水務(wù)集團(tuán)構(gòu)建集團(tuán)級(jí)態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警平臺(tái)奠定堅(jiān)實(shí)的基礎(chǔ)。
三、下一步實(shí)施計(jì)劃
在原水公司完成多個(gè)廠(chǎng)區(qū)的工控安全建設(shè)后,后續(xù)由水務(wù)公司牽頭,定制研發(fā)水務(wù)集團(tuán)級(jí)態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警平臺(tái),首先由每個(gè)廠(chǎng)區(qū)統(tǒng)一安全管理平臺(tái)把安全設(shè)備的運(yùn)行狀態(tài),對(duì)安全事件、資產(chǎn)脆弱性、安全規(guī)則配置、設(shè)備可用性與安全相關(guān)的數(shù)據(jù)進(jìn)行統(tǒng)一采集、集中分析,發(fā)現(xiàn)事件或安全風(fēng)險(xiǎn)時(shí)可實(shí)時(shí)觸發(fā)告警。后續(xù)由統(tǒng)一安全管理平臺(tái)把相關(guān)的數(shù)據(jù)發(fā)送到集團(tuán)級(jí)態(tài)勢(shì)感知監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng),從而實(shí)現(xiàn)對(duì)整體水務(wù)工控系統(tǒng)安全設(shè)備的集中管控和展示。
圖3 安全集中管理中心建設(shè)拓?fù)鋱D
四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果
1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)
本次基于工業(yè)白環(huán)境理念的縱深防御安全防護(hù)建設(shè)項(xiàng)目涉及多處原創(chuàng)性、創(chuàng)新性技術(shù)應(yīng)用兩點(diǎn),總結(jié)歸納為如下:
(1)基于軟件服務(wù)器的進(jìn)程白名單更新技術(shù)
通過(guò)軟件服務(wù)器的進(jìn)程白名單更新技術(shù),在企業(yè)部署環(huán)境中只需要更新軟件服務(wù)器計(jì)算機(jī)上的進(jìn)程白名單列表便能使全網(wǎng)相同操作系統(tǒng)的電腦都能共享這一更新的白名單,從而不需再對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行重復(fù)操作,有效減少安全運(yùn)維工作量,更有益于積累全網(wǎng)軟件的白名單庫(kù)。
(2)一種基于工業(yè)網(wǎng)絡(luò)異常中斷的檢測(cè)方法
通過(guò)創(chuàng)新的采用技術(shù)檢測(cè)手段,以達(dá)到針對(duì)工業(yè)網(wǎng)絡(luò)中的異常網(wǎng)絡(luò)中斷情況進(jìn)行告警,及時(shí)提醒用戶(hù)進(jìn)行應(yīng)急管理。
(3)一種工控網(wǎng)絡(luò)文件強(qiáng)制訪(fǎng)問(wèn)控制策略配置的方法
采用針對(duì)工控網(wǎng)絡(luò)文件特別設(shè)計(jì)的強(qiáng)制訪(fǎng)問(wèn)控制技術(shù),以實(shí)現(xiàn)在特殊環(huán)境下具備針對(duì)相關(guān)文件的訪(fǎng)問(wèn)策略的控制和配置,以達(dá)到合規(guī)要求。
(4)一種工控協(xié)議解碼規(guī)則的表述及優(yōu)化解碼方法
用于在工業(yè)場(chǎng)景下針對(duì)不同的工控協(xié)議數(shù)據(jù)流進(jìn)行解碼和識(shí)別,該方法設(shè)計(jì)優(yōu)化了其解碼的方法,提高效率和準(zhǔn)確率。
2. 實(shí)施效果
(1)本方案以主動(dòng)防護(hù)為核心,白名單防護(hù)技術(shù)為基礎(chǔ),幫助用戶(hù)建立縱深防御防護(hù)體系,提高用戶(hù)網(wǎng)絡(luò)安全防護(hù)能力,確保水庫(kù)工控網(wǎng)絡(luò)系統(tǒng)能安全穩(wěn)定運(yùn)行;
(2)根據(jù)客戶(hù)現(xiàn)場(chǎng)管理組織架構(gòu),幫助客戶(hù)完善管理制度,提高企業(yè)網(wǎng)絡(luò)運(yùn)行的標(biāo)準(zhǔn)化和規(guī)范化,從而協(xié)助用戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維管理“一切按照制度辦事”的目標(biāo);
(3)順利通過(guò)三級(jí)等級(jí)保護(hù)測(cè)評(píng),為后續(xù)水務(wù)集團(tuán)構(gòu)建集團(tuán)級(jí)態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警平臺(tái)奠定堅(jiān)實(shí)的基礎(chǔ)。
AII微信公眾號(hào)
AII頭條號(hào)