工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

魯西化工信息安全解決方案

魯西化工信息安全解決方案

背景

魯西化工是典型的化工企業(yè),其化工產(chǎn)品生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發(fā),工藝生產(chǎn)自動(dòng)化、連續(xù)化、生產(chǎn)裝置大型化、工藝復(fù)雜等特點(diǎn),由于其各個(gè)生產(chǎn)環(huán)節(jié)不安全因素較多,一旦發(fā)生安全事故,具 有事故后果嚴(yán)重、危險(xiǎn)性和危害性比傳統(tǒng)制造行業(yè)更大的特點(diǎn)。

DCSPLC數(shù)字化控制已經(jīng)成為化工生產(chǎn)過程控制的主要手段,魯西化工自動(dòng)化程度較高,大量使用浙江中控、和利時(shí)等 DCS、PLC 控制系統(tǒng),能夠極大地提高生產(chǎn)效率,但是過程控制系統(tǒng)整呈開放的趨勢(shì),隨著“兩化”的深度融合,工控系統(tǒng)面臨的安全形勢(shì)越來越嚴(yán)峻。

現(xiàn)狀

整個(gè)魯西集團(tuán)園區(qū)納入信息化的裝置共23個(gè),裝置名稱及其產(chǎn)品、功能如下:

動(dòng)力一、動(dòng)力二裝置為全園區(qū)各裝置提供水、電、氣為主的公共資源和能源,為園區(qū)重點(diǎn)裝置。

煤化一、煤化二裝置為園區(qū)各工企業(yè)提供主要化工生產(chǎn)原料,包括一氧化碳、甲醇、液氨等。為園區(qū)重點(diǎn)裝置。

園區(qū)西區(qū)裝置有氟化工、甲烷氯化物、氯化鈣、西區(qū)灌裝站、氯磺酸、西區(qū)污水處理、有機(jī)硅、離子膜。以上裝置大部分涉及重大危險(xiǎn)物質(zhì),包括氯氣、液 氨、一氧化碳等園區(qū)中區(qū)裝置有氯化芐、三聚氰胺、苯甲醇等裝置,生產(chǎn)氯氣及其下游產(chǎn)品,其中煤一和動(dòng)力一裝置在此區(qū)域中。

園區(qū)東區(qū)裝置包括甲酸、丁辛醇、已內(nèi)酰胺等,均涉及氫氣、一氧化碳等危險(xiǎn)氣體。其中煤二及動(dòng)力二裝置在此區(qū)域中。

另外西區(qū)和東區(qū)各有一個(gè)灌裝區(qū)域,為外來危險(xiǎn)品車輛進(jìn)行化工產(chǎn)品和原料的裝卸。

網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

圖一 網(wǎng)絡(luò)拓?fù)?/p>

企業(yè)生產(chǎn)網(wǎng)控制系統(tǒng)數(shù)據(jù)通過OPC接口,由寶信通訊網(wǎng)關(guān)進(jìn)行數(shù)據(jù)采集轉(zhuǎn)發(fā)到實(shí)時(shí)數(shù)據(jù)庫PI1,再通過單向網(wǎng)閘將PI1數(shù)據(jù)導(dǎo)入至實(shí)時(shí)數(shù)據(jù)庫PI2,實(shí)現(xiàn)PI1與PI2的同步,并進(jìn)行了生產(chǎn)網(wǎng)與外網(wǎng)的隔離。其中遠(yuǎn)程監(jiān)測(cè)終端通過3G無線網(wǎng)絡(luò)經(jīng)過PC機(jī)轉(zhuǎn)發(fā)給通訊網(wǎng)關(guān)進(jìn)入PI1數(shù)據(jù)庫。

需求分析

隨著企業(yè)應(yīng)用系統(tǒng)的增加以及信息化建設(shè)的不斷推進(jìn),MES系統(tǒng)的實(shí)施,生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計(jì)劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢(shì)也是一種必需,但辦公網(wǎng)及外網(wǎng)的應(yīng)用復(fù)雜,多樣性強(qiáng)。感染病毒及惡意程序的機(jī)率大,生產(chǎn)網(wǎng)的開放,勢(shì)必對(duì) PI 數(shù)據(jù)庫的數(shù)據(jù)完整性、保密性、安全性形成挑戰(zhàn),對(duì)DCS、PLC控制系統(tǒng)形成嚴(yán)重的安全威脅,如果系統(tǒng)受到攻擊或感染病毒后,使得DCS或PLC控制發(fā)生故障,壓力、溫度、流量、液位、計(jì)量等指示失效,檢測(cè)系統(tǒng)連鎖報(bào)警失效,或各類儀表電磁閥制動(dòng)空氣及電源無供給后,一旦重大危險(xiǎn)源處于失控狀態(tài),后果不堪設(shè)想,將危急現(xiàn)場操作人員甚至工廠附近人群的生命安全。

所以對(duì)控制系統(tǒng)及生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)是當(dāng)下要優(yōu)先考慮和解決的問題。

風(fēng)險(xiǎn)分析

1、操作系統(tǒng)安全漏洞:企業(yè)的工程師站/操作站/HMI/Server基本都是Windows平臺(tái)的,Windows所采用的存儲(chǔ)數(shù)據(jù)庫和加密過程導(dǎo)致了一系列安全漏,例如,Windows把用戶信息和加密口令保存于NTRegistry中的SAM文件中,即安全帳戶管理 (Security Accounts Management) 數(shù)據(jù)庫。加密口令分兩個(gè)步驟完成。首先,采用RSA  MD4  系統(tǒng)對(duì)口令進(jìn)行加密。第二步則是令人迷惑的缺乏 復(fù)雜度的過程,不添加任何“調(diào)料”,比如加密口令時(shí)考慮時(shí)間的因素。結(jié)果, Windows口令比UNIX口令更加脆弱,更容易受到一本簡單字典的攻擊。黑客可以利用這些漏洞來破譯一個(gè)或多個(gè) Administrator帳戶的口令,進(jìn)而對(duì)主機(jī)進(jìn)行破壞活動(dòng)。

另外由于工業(yè)控制系統(tǒng)的特殊性,為了保證過程控制系統(tǒng)的相對(duì)獨(dú)立性,以及考慮到系統(tǒng)的穩(wěn)定運(yùn)行,現(xiàn)場工程師未對(duì)Windows平臺(tái)安裝任何補(bǔ)丁,導(dǎo)致的問題是,不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。

2、網(wǎng)絡(luò)協(xié)議安全漏洞:本案中TCP/IP以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設(shè)備越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,給工業(yè)安全帶來了安全漏洞威脅,具體表現(xiàn)為:

1)TCP/IP協(xié)議鏈路層的安全漏洞

本案以太網(wǎng)中,信道是共享的,任何主機(jī)發(fā)送的每一個(gè)以太網(wǎng)幀都會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口,不法人員稍做設(shè)置或修改,就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。從而對(duì)控制網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)的竊取。

2)TCP/IP協(xié)議網(wǎng)絡(luò)層安全漏洞

網(wǎng)絡(luò)中控制系統(tǒng)、設(shè)備及Server都對(duì)ICMP echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一旦敵意主機(jī)同時(shí)運(yùn)行很多個(gè)ping命令向一個(gè)系統(tǒng)或服務(wù)器發(fā)送超過其處理能力的ICMP echo請(qǐng)求時(shí),就可以淹沒該DCS系統(tǒng)及服務(wù)器使其拒絕其他的服務(wù)。導(dǎo)致生產(chǎn)失控或停車,另外,ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進(jìn)行方便的攻擊,如收集目標(biāo)上的信息并進(jìn)行秘密通信等。

3)OPC  Classic協(xié)議安全問題

現(xiàn)場采集傳輸均采用OPC協(xié)議采集控制層數(shù)據(jù),而OPC Classic協(xié)議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊,并且OPC通訊采用不固定的端口號(hào),導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。

4)無線網(wǎng)絡(luò)的安全問題拓?fù)淇梢姡h(yuǎn)程監(jiān)測(cè)終端通過3G無線網(wǎng)絡(luò)進(jìn)入生產(chǎn)網(wǎng),其間沒有任何安全防護(hù)手段,不法人員可以通過該條路徑進(jìn)入企業(yè)內(nèi)網(wǎng)控制PC,繼而對(duì)數(shù)據(jù)進(jìn)行非法篡改,和對(duì)傳輸惡意控制指令,勢(shì)必對(duì)控制系統(tǒng)造成嚴(yán)重威脅。

3、DCS和PLC控制系統(tǒng)缺乏對(duì)程序行為的審計(jì)能力 惡意程序行為是對(duì)工控系統(tǒng)產(chǎn)生安全威脅最為主要的原因之一,在工控系統(tǒng)端點(diǎn)主機(jī)上程序行為是否正常,需要對(duì)其所有的行為數(shù)據(jù)進(jìn)行深度感知、聚集和細(xì)粒度的處理和審計(jì)。操作管理人員的技術(shù)水平和安全意識(shí)差別較大,容易發(fā)生越權(quán)訪問、違規(guī)操作,給生產(chǎn)系統(tǒng)埋下極大的安全隱患。實(shí)事上,DCS和PLC系統(tǒng)相對(duì)封閉的環(huán)境,也使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操 作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。例如:缺乏基于分組的 HIS 安全策略。在用戶安全策略的定義界面下,首先要考慮進(jìn)行分組的設(shè)置,分組后再設(shè)置 不同級(jí)別的用戶從屬于各自的用戶組,從而依據(jù)各自裝置的控制站作為操作和監(jiān)視的范圍。

因此,對(duì)生產(chǎn)網(wǎng)絡(luò)的訪問行為真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計(jì)是非常必要的。

4、缺乏工控系統(tǒng)的安全威脅預(yù)警能力魯西化工的主要產(chǎn)品在生產(chǎn)過程中全部由DCS和PLC控制,系統(tǒng)的重要性和實(shí)時(shí)要求及時(shí)掌握系統(tǒng)的信息安全情況,目前缺乏對(duì)整個(gè)系統(tǒng)的安全威脅預(yù)警能力,缺乏應(yīng)急處置安全事件的數(shù)據(jù)支撐。

5、面對(duì)高級(jí)持續(xù)性威脅(APT)攻擊,缺乏有效的應(yīng)對(duì)措施 高級(jí)持續(xù)性威脅(APT)正在通過一切方式,繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等),并更長時(shí)間地潛伏在系統(tǒng)中,讓傳統(tǒng)防御體系難以偵測(cè)。同時(shí),還會(huì)采用智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。前述以超級(jí)工廠病毒(W32.Stuxnet)為代表的針對(duì)工業(yè)控制系統(tǒng)的攻擊事件變呈現(xiàn)了這些攻擊技術(shù)特征。

但是針對(duì)這種APT攻擊,現(xiàn)有的安全防護(hù)手段均顯得有些無力。這也許需要整合各種安全技術(shù),通過形成完善的安全防御體系(防御手段的組織化、體系化)才可能有效,然而DCS和PLC系統(tǒng)對(duì)安全技術(shù)及管理的嚴(yán)重不足的現(xiàn)實(shí),使其在面臨持續(xù)攻擊時(shí)將會(huì)遭到不可估量的安全損失。

方案設(shè)計(jì)

根據(jù)魯西化工的控制系統(tǒng)及信息化生產(chǎn)運(yùn)行管理流程,結(jié)合 GB/17859、 GB/T25070 基本要求,按照等保三級(jí)相關(guān)相求,構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系,通過強(qiáng)化分區(qū)、隔離防護(hù)、協(xié)議管 控、入侵防御及安全審計(jì)等技術(shù)手段構(gòu)建縱深安全防御體系,確保生產(chǎn)現(xiàn)場DCS、 PLC等控制設(shè)備的本質(zhì)安全。具體如下:

● 遵循國家、地方、行業(yè)相關(guān)法規(guī)和標(biāo)準(zhǔn);

● 貫徹等級(jí)保護(hù)和分域保護(hù)的原則;

● 管理與技術(shù)并重,互為支撐,互為補(bǔ)充,相互協(xié)同,形成有效的綜合防范體系;

● 充分依托已有的信息安全基礎(chǔ)設(shè)施,加快、加強(qiáng)信息安全保障體系建設(shè)。

● 第三級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。

● 在技術(shù)策略方面,第三級(jí)要求按照確定的安全策略,實(shí)施強(qiáng)制性的安全保護(hù),使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞,保證較高安全的系統(tǒng)服務(wù)。這些安全技術(shù)主要包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層的以下內(nèi)容:

○ 對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)的設(shè)備、環(huán)境和介質(zhì)采用較嚴(yán)格的防護(hù)措施,確保其為信息系統(tǒng)的安全運(yùn)行提供硬件支持,防止由于硬件原因造成信 息的泄露和破壞;

○ 通過對(duì)局域計(jì)算環(huán)境內(nèi)各組成部分采用網(wǎng)絡(luò)安全監(jiān)控、安全審計(jì)、 數(shù)據(jù)、設(shè)備及系統(tǒng)的備份與恢復(fù)、集中統(tǒng)一的病毒監(jiān)控體系、兩種級(jí)要求的操作系統(tǒng)和數(shù)據(jù)庫、較高強(qiáng)度密碼支持的存儲(chǔ)和傳輸數(shù)據(jù) 的加密保護(hù)、客體重用等安全機(jī)制,實(shí)現(xiàn)對(duì)局域計(jì)算環(huán)境內(nèi)的信息 安全保護(hù)和系統(tǒng)安全運(yùn)行的支持;

○ 采用分區(qū)域保護(hù)和邊界防護(hù)(如應(yīng)用級(jí)防火墻、網(wǎng)絡(luò)隔離部件、信息過濾和邊界完整性檢查等),在不同區(qū)域邊界統(tǒng)一制定邊界訪問控制策略,實(shí)現(xiàn)不同安全等級(jí)區(qū)域之間安全互操作的較嚴(yán)格控制;

○ 按照系統(tǒng)化的要求和層次化結(jié)構(gòu)的方法設(shè)計(jì)和實(shí)現(xiàn)安全子系統(tǒng),增 強(qiáng)各層面的安全防護(hù)能力,通過安全管理中心,在統(tǒng)一安全策略下 對(duì)系統(tǒng)安全事件集中審計(jì)、集中監(jiān)控和數(shù)據(jù)分析,并做出響應(yīng)和處 理,從而構(gòu)建較為全面的動(dòng)態(tài)安全體系。

● 在管理策略方面,第三級(jí)要求實(shí)施體系的安全管理。應(yīng)建立完整的信息系統(tǒng)安全管理體系,對(duì)安全管理過程進(jìn)行規(guī)范化的定義。根據(jù)實(shí)際安全需求,成立安全管理機(jī)構(gòu),配備專職的安全管理人員,落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。

1、具體安全策略

按照層層防護(hù)的思想,信息系統(tǒng)由具有相同或不同等級(jí)的子系統(tǒng)構(gòu)成,各子系統(tǒng)均需要實(shí)現(xiàn)安全域內(nèi)部安全、安全域邊界安全及安全域互聯(lián)安全。邊界保護(hù)的目的是對(duì)邊界內(nèi)的局域計(jì)算環(huán)境和獨(dú)立用戶/用戶群的計(jì)算機(jī)環(huán)境進(jìn)行保護(hù),防止非法的用戶連接和數(shù)據(jù)傳輸。 安全域內(nèi)部安全是指局域計(jì)算環(huán)境自身安全和網(wǎng)絡(luò)連接設(shè)備自身安全。安全域互聯(lián)安全是指在不同等級(jí)的系統(tǒng)之間互聯(lián)時(shí),應(yīng)采取的保護(hù)原則和保護(hù)策略。

2、安全域內(nèi)部策略

為滿足威脅需求的基本防護(hù)要求應(yīng)實(shí)現(xiàn)以下安全域內(nèi)部的安全目標(biāo):

網(wǎng)絡(luò)層策略

b1、通過合理的結(jié)構(gòu)設(shè)計(jì)和網(wǎng)段劃分手段實(shí)現(xiàn)合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源及路由選擇和控制;

b2、通過網(wǎng)絡(luò)訪問控制手段實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問的嚴(yán)格控制及數(shù)據(jù)、文件或其他資源的訪問的嚴(yán)格控制;

b3、通過網(wǎng)絡(luò)安全審計(jì)手段實(shí)現(xiàn)記錄用戶操作行為和分析記錄;以及對(duì)資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng);

b4、通過邊界完整性檢查手段實(shí)現(xiàn)檢測(cè)非法接入設(shè)備及檢測(cè)網(wǎng)絡(luò)邊界完整性;并能切斷非法連接;

b5、通過網(wǎng)絡(luò)入侵防范手段實(shí)現(xiàn)檢測(cè)、集中分析、響應(yīng)、阻止對(duì)網(wǎng)絡(luò)和所有主機(jī)的各種攻擊;

b6、通過惡意代碼防范手段實(shí)現(xiàn)發(fā)現(xiàn)并修補(bǔ)已知漏洞;對(duì)惡意代碼的檢測(cè)、集中分析、阻止和清除及防止惡意代碼在網(wǎng)絡(luò)中的擴(kuò)散;對(duì)惡意代 碼庫和搜索引擎及時(shí)更新并防止未授權(quán)下載、拷貝軟件或者文件;

B7、通過網(wǎng)絡(luò)設(shè)備防護(hù)手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的嚴(yán)格訪問控制及對(duì)用戶進(jìn)行唯一標(biāo)識(shí);同時(shí)對(duì)同一個(gè)用戶產(chǎn)生多重鑒別信息,其中一個(gè)是不可偽造的鑒別信息并進(jìn)行多重鑒別;另外對(duì)硬件設(shè)備進(jìn)行唯一標(biāo)識(shí)和合法身份確定;并在持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接。

系統(tǒng)層策略

c1、通過身份鑒別手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格的限制;并對(duì)用戶進(jìn)行唯一標(biāo)識(shí)及同一用戶產(chǎn)生多重鑒別信息,其中一個(gè)不可偽造的鑒別信息并進(jìn)行多重鑒別;對(duì)硬件設(shè)備進(jìn)行唯一標(biāo)識(shí)及合法身份確 定并實(shí)現(xiàn)在持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連連接;

c2、通過自主訪問控制手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制并對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制;

c3、通過強(qiáng)制訪問控制手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制并對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制及對(duì)敏感信息及其流向進(jìn)行標(biāo)識(shí);

c4、通過安全審計(jì)手段實(shí)現(xiàn)記錄用戶操作行為和分析記錄結(jié)果并對(duì)安全機(jī)制失效進(jìn)行自動(dòng)監(jiān)測(cè)和報(bào)警及對(duì)資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng);

c5、通過系統(tǒng)保護(hù)手段實(shí)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件的容錯(cuò)及自動(dòng)保護(hù)當(dāng)前工作狀態(tài);

c6、通過剩余信息保護(hù)手段實(shí)現(xiàn)對(duì)存儲(chǔ)介質(zhì)中的殘余信息的刪除;應(yīng)、阻止對(duì)網(wǎng)絡(luò)和所有主機(jī)的各種攻擊并重要數(shù)據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò);

c8、通過惡意代碼防范手段實(shí)現(xiàn)對(duì)已知漏洞的檢測(cè)和修補(bǔ)并防止惡意代碼在網(wǎng)絡(luò)中的擴(kuò)散及對(duì)惡意代碼庫和搜索引擎及時(shí)更新;防止未授權(quán)下在、拷貝軟件或者文件;

c9、通過系統(tǒng)資源控制手段實(shí)現(xiàn)合理使用和控制系統(tǒng)資源及按優(yōu)先級(jí)自動(dòng)分配系統(tǒng)資源并能在持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接;

應(yīng)用層策略

d1、通過采取身份鑒別措施,來實(shí)現(xiàn)有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制,對(duì)用戶進(jìn)行唯一標(biāo)識(shí),對(duì)同一個(gè)用戶產(chǎn)生多重鑒別信息進(jìn)行多重鑒別,對(duì)持續(xù)性非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的目標(biāo);

d2、通過采取相應(yīng)的訪問控制措施,來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制,對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制,對(duì)敏感 信息進(jìn)行標(biāo)識(shí)的目標(biāo);

d3、通過安全審計(jì)措施,來實(shí)現(xiàn)記錄用戶操作行為和分析記錄結(jié)果,對(duì)資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng)的目標(biāo);

d4、通過對(duì)剩余信息采取相應(yīng)的保護(hù)措施,來實(shí)現(xiàn)對(duì)存儲(chǔ)介質(zhì)中的殘余信息進(jìn)行刪除的目標(biāo);

d5、通過采取相應(yīng)的措施來確保通信的完整性,來實(shí)現(xiàn)對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)和糾錯(cuò),對(duì)通信數(shù)據(jù)進(jìn)行完整性檢測(cè)和糾錯(cuò),重要數(shù) 據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò)的目標(biāo);

d6、通過采取相應(yīng)的措施來確保通信的保密性,來實(shí)現(xiàn)對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù),防止加密數(shù)據(jù)被破解的目標(biāo);

d7、通過采取相應(yīng)的抗抵賴性措施,來實(shí)現(xiàn)信息源發(fā)的鑒別,基于密碼技術(shù)的抗抵賴的目標(biāo);

d8、通過采取相應(yīng)的軟件容錯(cuò)措施,來實(shí)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件容錯(cuò),軟件故障分析,自動(dòng)保護(hù)當(dāng)前工作狀態(tài)的,對(duì)用戶的誤操作行為進(jìn)行檢測(cè)、報(bào)警和恢復(fù)的目標(biāo);

d9、通過采取相應(yīng)的資源控制措施,來實(shí)現(xiàn)合理使用和控制系統(tǒng)資源,按優(yōu)先級(jí)自動(dòng)分配系統(tǒng)資源,限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用,合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源,持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的目標(biāo);

d10、通過相應(yīng)的措施來控制軟件代碼的安全,來實(shí)現(xiàn)對(duì)軟件缺陷進(jìn)行檢查的目標(biāo)。

數(shù)據(jù)層策略

e1、通過采取相應(yīng)數(shù)據(jù)完整性措施,來實(shí)現(xiàn)對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)和糾錯(cuò),重要數(shù)據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò)的目標(biāo);

e2、通過采取數(shù)據(jù)保密性措施,來實(shí)現(xiàn)保證鑒別數(shù)據(jù)傳輸和存儲(chǔ)保密性,對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù),防止加密數(shù)據(jù)被破解的目標(biāo);

e3、通過采取數(shù)據(jù)備份和恢復(fù)措施, 來實(shí)現(xiàn)對(duì)抗中等強(qiáng)度地震、臺(tái)風(fēng)等自然災(zāi)難造成破壞,防止雷擊事件導(dǎo)致大面積設(shè)備被破壞,及時(shí)恢復(fù)正 常通信,對(duì)用戶的誤操作行為進(jìn)行檢測(cè)、報(bào)警和恢復(fù),使重要通信線路及時(shí)恢復(fù),及時(shí)恢復(fù)重要數(shù)據(jù),保證重要業(yè)務(wù)系統(tǒng)及時(shí)恢復(fù)運(yùn)行的目標(biāo)。

3、安全域邊界策略 為滿足威脅需求的基本防護(hù)要求應(yīng)實(shí)現(xiàn)以下安全域邊界的安全目標(biāo):

● 通過網(wǎng)絡(luò)訪問控制手段實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問的嚴(yán)格控制;

● 數(shù)據(jù)、文件或其他資源的訪問的嚴(yán)格控制;

● 通過邊界完整性檢查手段實(shí)現(xiàn)檢測(cè)非法接入設(shè)備;

● 檢測(cè)網(wǎng)絡(luò)邊界完整性;

● 切斷非法連接。

4、安全域互聯(lián)策略 不同安全等級(jí)的安全域之間可以根據(jù)業(yè)務(wù)需要進(jìn)行互聯(lián)?;ヂ?lián)問題的本質(zhì)就是互聯(lián)系統(tǒng)間的邊界安全問題。不同安全等級(jí)互聯(lián),要根據(jù)系統(tǒng)業(yè)務(wù)和安全需求, 制定相應(yīng)的多級(jí)安全策略,主要包括訪問控制策略和數(shù)據(jù)交換策略等,采取相應(yīng) 的邊界保護(hù)、訪問控制等安全措施,防止高等級(jí)系統(tǒng)的安全受低等級(jí)系統(tǒng)的影響。

不同安全等級(jí)的安全域互聯(lián)主要有以下幾種情況:

● 位于同一業(yè)務(wù)單位域內(nèi)共享網(wǎng)絡(luò)平臺(tái)的系統(tǒng)互聯(lián);

● 位于同一業(yè)務(wù)單位域內(nèi)不同安全等級(jí)網(wǎng)絡(luò)平臺(tái)的系統(tǒng)互聯(lián);

● 位于不同業(yè)務(wù)單位域內(nèi)的系統(tǒng)互聯(lián)。

方案內(nèi)容

參照ANSI/ISA-99、GB/17859、GB/T25070等相關(guān)要求,將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。區(qū)域與區(qū)域之間利用安全產(chǎn)品進(jìn)行策略控制,確保每個(gè)區(qū)域的相互獨(dú)立性,實(shí)現(xiàn)風(fēng)險(xiǎn)的最小化和可控。從以下方面進(jìn)行設(shè)計(jì),如圖2所示:

圖二  安全部署圖

辦公網(wǎng)與管理網(wǎng)區(qū)域

由于辦公網(wǎng)直接與互聯(lián)網(wǎng)相連,且應(yīng)用復(fù)雜,人員眾多。存在被感染病毒或被惡意控制的高風(fēng)險(xiǎn),所以在辦公網(wǎng)與管理網(wǎng)之間部署一臺(tái)網(wǎng)絡(luò)病毒網(wǎng)關(guān),入侵防御(IPS)系統(tǒng)??梢蕴幚?HTTP、SMTP、POP3、FTP 和 IMAP 等多種協(xié)議,全面保護(hù)郵件、WEB 訪問以及文件傳輸過程中的安全。從而有效抵御來自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡(luò)病毒和風(fēng)險(xiǎn),確保內(nèi)網(wǎng)的安全。管理網(wǎng)絡(luò)的安全防護(hù)在管理核心區(qū)域需要實(shí)現(xiàn)全網(wǎng)數(shù)據(jù)流量審計(jì)和入侵檢測(cè),計(jì)劃部署網(wǎng)絡(luò)安全

審計(jì)和入侵防御(IPS)系統(tǒng),實(shí)現(xiàn)整個(gè)區(qū)域數(shù)據(jù)流的審計(jì)和檢測(cè)。計(jì)劃在核心交換之間部署 1 臺(tái)網(wǎng)絡(luò)安全審計(jì)和 1 臺(tái)入侵防御系統(tǒng)。 通過網(wǎng)絡(luò)安全審計(jì)實(shí)現(xiàn)對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過對(duì)業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報(bào), 用來幫助用戶事前規(guī)劃預(yù)防,事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng),事后合規(guī)報(bào)告、事 故追蹤溯源,同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、 網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)營通過部署入侵防御系統(tǒng)實(shí)現(xiàn)對(duì)于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出 攻擊、DDoS、掃描探測(cè)、欺騙劫持、SQL 注入、XSS、網(wǎng)站掛馬、異常流量等惡 性攻擊行為有非常準(zhǔn)確高效的檢測(cè)防御效果,并通過簡單易懂的去技術(shù)化語言幫 助用戶分析威脅,對(duì)威脅進(jìn)行有效處理。

DCS 控制器安全防護(hù)

浙大中控、和利時(shí)DCS控制系統(tǒng)其操作站HIS和控制站FCS通過冗余的基于以太網(wǎng)通訊的控制總線連接,HIS實(shí)現(xiàn)監(jiān)控,操作功能,F(xiàn)CS則完成具體的控 制運(yùn)算,輸入/輸出及數(shù)據(jù)處理功能。由于以太網(wǎng)的開放性,在帶來通訊便捷的 同時(shí)也增加了安全風(fēng)險(xiǎn)。

所以必須要在控制器入口端部署控制器防護(hù)設(shè)備,能夠識(shí)別針對(duì)控制器的操控服務(wù)指令(包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、讀服務(wù)、寫服務(wù)、 控制程序下載服務(wù)、操控指令服務(wù)等),并能夠根據(jù)安全策略要求對(duì)非法的服務(wù) 請(qǐng)求進(jìn)行報(bào)警和自動(dòng)阻斷。如圖2所示,使用工業(yè)防火墻對(duì)控制器進(jìn)行安全防護(hù), 一方面通過對(duì)源、目的地址的控制,僅允許工程師站和操作員站可訪問控制器, 且對(duì)關(guān)鍵控制點(diǎn)的讀寫權(quán)限加以嚴(yán)格限制,保障了資源的可信與可控,另一方面, 通過對(duì)端口服務(wù)的控制,杜絕了一切有意或無意的攻擊,最后使用“白名單”機(jī) 制,僅允許ScnetII等專有協(xié)議通過,阻斷一切TCP及其它訪問,從而確保控制 器的安全。

無線遠(yuǎn)程監(jiān)測(cè)接入安全防護(hù)

如上圖所示,遠(yuǎn)程監(jiān)測(cè)終端通過3G無線網(wǎng)絡(luò)聯(lián)入企業(yè)內(nèi)網(wǎng),內(nèi)網(wǎng)PC通過NAT 映射到互聯(lián)網(wǎng)。由于3G設(shè)備IP地址的不確定因素,本PC開放UDP所有訪 問權(quán)限,導(dǎo)致外網(wǎng)不法人員通過掃描或嗅探技術(shù)捕獲PC信息,從而入侵到該P(yáng)C或內(nèi)網(wǎng),雖然PC與通訊網(wǎng)關(guān)采用串口通訊,但仍可通過對(duì)PC機(jī)的入侵破壞數(shù)據(jù) 的完整性,并且通過了解其串口通信方式,下置惡意指令和傳輸病毒。對(duì)PI數(shù)據(jù)庫及控制系統(tǒng)造成致命破壞。

所以如圖2所示,在無線接入PC機(jī)與控制網(wǎng)絡(luò)之間部署一臺(tái)工業(yè)防火墻,僅允許指定的設(shè)備、特定的工業(yè)數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)上傳到PI1服務(wù),阻斷一切無關(guān)的訪問、控制指令。

工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)

我們企業(yè)控制網(wǎng)絡(luò)布署工業(yè)掃描系統(tǒng),針對(duì)對(duì)符合IEC61131-3標(biāo)準(zhǔn)的控制 系統(tǒng)上位機(jī)(SCADA/HMI)軟件、PLC、器嵌入式軟件以及各種主流現(xiàn)場總線離線 掃描。

與入侵檢測(cè)/防御系統(tǒng)等別動(dòng)防御手段相比,漏洞掃描是一種主動(dòng)的防范措施;可以有效避免黑客攻擊行為,放患于未然。通過對(duì)工業(yè)網(wǎng)絡(luò)的掃描,可以了解工業(yè)網(wǎng)絡(luò)安全配置的和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng) 險(xiǎn)等級(jí),進(jìn)而及時(shí)修復(fù)漏洞。

PKI/CA系統(tǒng) 由于魯西工藝流程、生產(chǎn)配方、生產(chǎn)裝置以及特種產(chǎn)品數(shù)據(jù)的敏感性,所以布署一套PKI/CA系統(tǒng),一方面通過數(shù)字證書來進(jìn)行相應(yīng)權(quán)限分配,實(shí)現(xiàn)對(duì)DCS、PLC 控制系統(tǒng)的分權(quán)管理及多因子驗(yàn)證,另一方面通過 PKI/CA系統(tǒng)對(duì)網(wǎng)絡(luò)上傳 的數(shù)據(jù)信息進(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,從而保證:信息除發(fā)送方和接收方外不被其它人竊??;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證 書來確認(rèn)接收方的身份;發(fā)送方對(duì)于自己的信息不能抵賴。在保障了數(shù)據(jù)的完整性與保密性的同時(shí),也增加了防抵賴。

終端防病毒

由于終端應(yīng)用復(fù)雜,感染病毒的可能性較大,所以在終端 PC、工程師站、 操作員站上都進(jìn)行查殺毒軟件的安裝,前提必須是經(jīng)過驗(yàn)證后的殺毒軟件,要確保其對(duì)工控軟件的兼容性。

同時(shí),也要及時(shí)地對(duì)殺毒軟件進(jìn)行病毒庫的升級(jí),但不能影響工控系統(tǒng)的安全性。我們采取在企業(yè)管理網(wǎng)絡(luò)及控制網(wǎng)絡(luò)同時(shí)布署一臺(tái)病毒服務(wù)器,企業(yè)管理網(wǎng)絡(luò)服務(wù)器實(shí)時(shí)升級(jí),經(jīng)過驗(yàn)證之后定時(shí)通過人工拷盤或單向?qū)氲娇刂凭W(wǎng)絡(luò)病毒服務(wù)器,以確??刂凭W(wǎng)絡(luò)病毒庫的更新。

網(wǎng)絡(luò)準(zhǔn)入

由于以太網(wǎng)的高效性與經(jīng)濟(jì)性,企業(yè)每個(gè)站點(diǎn)的 DCS、PLC 控制設(shè)備都采用以太網(wǎng)接口組成工業(yè)控制網(wǎng)絡(luò),隨著當(dāng)前智能設(shè)備和移動(dòng) PC 的廣泛應(yīng)用,隨時(shí) 有可能非法接入企業(yè)的控制網(wǎng)絡(luò),把惡意程序及病毒帶入到控制網(wǎng)絡(luò)從而對(duì)關(guān)鍵控制系統(tǒng)造成致命威脅,所以針對(duì)以上威脅,在企業(yè)控制及管理網(wǎng)絡(luò)布署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng):

● 防止非法的外來電腦、移動(dòng) PC 及智能終端接入控制網(wǎng)絡(luò),影響控制系統(tǒng)的安全;

● 防止內(nèi)部用戶私自接 HUB、無線 AP 等不安全行為;

● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網(wǎng)關(guān)、DHCP 強(qiáng)制、SNMP 強(qiáng)制以及透明網(wǎng)橋等多種入網(wǎng)強(qiáng)制認(rèn)證技術(shù);

通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),以實(shí)現(xiàn)控制網(wǎng)資源的保護(hù)和訪問控制,禁止非法計(jì)算機(jī)接入內(nèi)網(wǎng)。即只有經(jīng)過認(rèn)證的主機(jī)才可以訪問控制網(wǎng)絡(luò)資源,而當(dāng)可疑主機(jī)出現(xiàn)時(shí),能夠系統(tǒng)記錄其 IP 地址、MAC 地址、計(jì)算機(jī)名等基本信息,并自動(dòng)通過某種方式阻止此計(jì)算機(jī)訪問局域網(wǎng),切斷其網(wǎng)絡(luò)連接。如下圖所示:

準(zhǔn)入控制流程

可信計(jì)算

魯西化工關(guān)鍵設(shè)施的控制系統(tǒng)都是基于 windows 平臺(tái)研發(fā)的,所有工程師站及操作員站均使用 Windows  XP 系統(tǒng),2014 年 4 月 8 日隨著微軟宣布徹底取消對(duì) Windows  XP 的所有技術(shù)支持,終端安全直接影響了魯西化工基礎(chǔ)實(shí)施的安全, 我們?cè)诰W(wǎng)絡(luò)層面防護(hù)的同時(shí),積極應(yīng)用國內(nèi)先進(jìn)的可信計(jì)算技術(shù)對(duì)用戶的身份認(rèn) 證、應(yīng)用程序的完整性和合法性認(rèn)證,從而確保工程師站、操作員站計(jì)算運(yùn)行環(huán) 境的安全。如圖所示:

可信計(jì)算平臺(tái)框架

安全管理平臺(tái)(SOC)

在企業(yè)管理網(wǎng)部署安全管理中心,如圖 2 所示,對(duì)生產(chǎn)控制網(wǎng)絡(luò)搜集所有安全信息,并通過對(duì)收集到各種安全事件進(jìn)行深層的分析,統(tǒng)計(jì)和關(guān)聯(lián),及時(shí)反映被管理資產(chǎn)的安全基線,定位安全風(fēng)險(xiǎn),對(duì)各類安全時(shí)間及時(shí)提供處理方法和建 議的安全解決方案。

功能如下:

● 面向業(yè)務(wù)的統(tǒng)一安全管理

系統(tǒng)內(nèi)置業(yè)務(wù)建模工具,用戶可以構(gòu)建業(yè)務(wù)拓?fù)洌从硺I(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成,并自動(dòng)構(gòu)建業(yè)務(wù)健康指標(biāo)體系,從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個(gè)維度計(jì)算業(yè)務(wù)的健康度,協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。

● 全面的日志采集

可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日志,例如 Syslog、SNMP Trap、FTP、OPSEC  LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web  Service 等等。

● 智能化安全事件關(guān)聯(lián)分析

借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎,系統(tǒng)能夠?qū)崟r(shí)不間斷地對(duì)所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)為分析師提供了三種事件關(guān)聯(lián)分析技術(shù), 分別是:基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析,并 提供了豐富的可視化安全事件分析視圖,充分提升分析效率。

● 全面的脆弱性管理

系統(tǒng)實(shí)現(xiàn)與天鏡漏掃系統(tǒng)的實(shí)時(shí)高效聯(lián)動(dòng),內(nèi)置配置核查功能,從技術(shù)和管理兩個(gè)維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。

● 主動(dòng)化的預(yù)警管理

用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息,并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián),分析出可能受影響的資產(chǎn),提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警;預(yù)警類型包括安全 通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等;預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和 歸檔預(yù)警三個(gè)狀態(tài)。

總結(jié)

DCS/PLC 控制系統(tǒng)是化工生產(chǎn)過程最為關(guān)鍵的基礎(chǔ)設(shè)施,這些關(guān)鍵基礎(chǔ)設(shè)施中任何控制系統(tǒng)、工控網(wǎng)絡(luò)和數(shù)據(jù)庫服務(wù)器受到干擾或破壞后將對(duì)國民的健康、 安全、經(jīng)濟(jì)乃至對(duì)國家政府的正常運(yùn)作造成嚴(yán)重影響。事實(shí)上,目前化工行業(yè)很多 DCS/PLC 系統(tǒng)都非常脆弱,非常容易受到惡意攻擊。試想,如果 DCS 或 PLC 系統(tǒng)受到攻擊或感染病毒后發(fā)生故障,壓力、溫度、流量、液位、計(jì)量等指示失效, 檢測(cè)系統(tǒng)連鎖報(bào)警失效,或各類儀表電磁閥制動(dòng)空氣及電源無供給后,一旦重大危險(xiǎn)源處于失控狀態(tài),有毒氣體發(fā)生泄露,后果不堪設(shè)想。它的影響可能是時(shí)間上的浪費(fèi),資源上的消耗,或者是對(duì)生態(tài)環(huán)境造成的極大污染,甚至是犧牲生命 的慘痛代價(jià)。

綜上所述,通過魯西化工生產(chǎn)控制系統(tǒng)及網(wǎng)絡(luò)安全防護(hù)工程的建設(shè),有助于為我國推進(jìn)關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)標(biāo)準(zhǔn)、規(guī)范、策略的形成與實(shí)施,促進(jìn)工業(yè)控制系統(tǒng)信息安全可控產(chǎn)品、技術(shù)的成熟,具有重大的經(jīng)濟(jì)及著的社會(huì)效益。

審核編輯(
何為
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案

WannaCry“永恒之藍(lán)“—力控華康護(hù)航工控安全之隔離篇

WannaCry勒索蠕蟲-力控華康護(hù)航工控安全

力控華康護(hù)航工業(yè)控制系統(tǒng)安全

力控華康中海油透平數(shù)據(jù)遠(yuǎn)傳項(xiàng)目