工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

典型SCADA系統(tǒng)安全防護(hù)案例分享

典型SCADA系統(tǒng)安全防護(hù)案例分享

一、前言

工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天等工業(yè)領(lǐng)域。目前,大量的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化操作。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。

隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合,越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。由于工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和IT設(shè)施,以及與企業(yè)信息管理系統(tǒng)的集成,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統(tǒng)擴(kuò)散。

二、項(xiàng)目背景

國內(nèi)某知名油田分公司下屬采氣廠所轄探區(qū)范圍廣闊,天然氣探明儲量具有舉足輕重的戰(zhàn)略地位,是油田最具開發(fā)潛力的區(qū)塊之一。該采氣廠同時(shí)負(fù)責(zé)多個(gè)氣田及其他探區(qū)的開發(fā)建設(shè)和管理,承擔(dān)著部分氣量轉(zhuǎn)輸以及向華北地區(qū)及周邊城市供氣的艱巨任務(wù)。

采氣廠在2015年8月和2016年5月,先后發(fā)生兩次異常停機(jī)事件,事件影響惡劣并直接造成了巨大的經(jīng)濟(jì)損失,然而事故原因無法查證。事件引起公司管理層對工業(yè)控制系統(tǒng)安全的高度重視,并將工控系統(tǒng)安全防護(hù)提升到戰(zhàn)略層面。

三、需求分析

從接到客戶需求的那一刻起,北京威努特技術(shù)有限公司(以下簡稱威努特)以實(shí)時(shí)高效為前提、安全可靠為目標(biāo)、主動(dòng)防御為手段,力求為該采氣廠工控系統(tǒng)的安全防護(hù)量身打造精準(zhǔn)的解決方案。

工控系統(tǒng)安全防護(hù)區(qū)別于信息系統(tǒng)安全防護(hù)的一個(gè)重要特征就是:防護(hù)的方案一定是基于對客戶生產(chǎn)工藝流程的了解。從大的方面講,工控安全是生產(chǎn)安全的一部分,所有安全防護(hù)的目標(biāo)就是保證生產(chǎn)的安全穩(wěn)定運(yùn)行,因此工控系統(tǒng)的實(shí)地調(diào)研和風(fēng)險(xiǎn)評估是一個(gè)非常重要的環(huán)節(jié),通過該環(huán)節(jié),才可以真正讓安全需求落地。

經(jīng)過調(diào)研和評估,威努特總結(jié)出如下幾個(gè)關(guān)鍵的安全薄弱環(huán)節(jié):

?管理網(wǎng)與外網(wǎng)連接,生產(chǎn)網(wǎng)與管理網(wǎng)互通,生產(chǎn)網(wǎng)與管理網(wǎng)邊界存在重大安全隱患。

?作為數(shù)據(jù)采集及存儲的關(guān)鍵部分,OPC 服務(wù)器存在諸多安全隱患。

?工業(yè)控制相關(guān)的應(yīng)用系統(tǒng)普遍存在弱口令問題,這也反映出安全意識的不足。

?工控主機(jī)中會存儲一些重要的文件,但是文件一般未加密,容易造成核心數(shù)據(jù)丟失,同時(shí)病毒感染的現(xiàn)象普遍。

?便攜式工程師站、操作員站防護(hù)手段不足,會成為病毒、木馬入侵的跳板。

四、方案設(shè)計(jì)

網(wǎng)絡(luò)安全從來都不是孤立的,我們在強(qiáng)調(diào)技防的同時(shí),也要重視從管理入手去杜絕安全隱患,因此整個(gè)安全方案第一步就是幫助客戶建立起一套有針對性的工控安全管理體系。

依托對工業(yè)網(wǎng)絡(luò)和工業(yè)協(xié)議的深度認(rèn)知和深入研究,威努特公司在工控安全領(lǐng)域積累了深厚的技術(shù)基礎(chǔ),結(jié)合該采氣廠的現(xiàn)狀及特點(diǎn),威努特設(shè)計(jì)了涵蓋工控系統(tǒng)邊界防護(hù)、區(qū)域防護(hù)和主機(jī)防護(hù)的縱深防御解決方案,部署了包括威努特工業(yè)防火墻、工控主機(jī)衛(wèi)士(主機(jī)安全加固)以及統(tǒng)一安全管理平臺等在內(nèi)的一系列自主研發(fā)的安全防護(hù)產(chǎn)品。

方案邏輯拓?fù)淙缦拢?/p>

五、項(xiàng)目實(shí)施

確定方案后,技術(shù)服務(wù)團(tuán)隊(duì)首先對感染病毒的主機(jī)進(jìn)行病毒清理工作。不同于辦公主機(jī)的殺毒,工控主機(jī)的病毒清理需要慎之又慎,在最大化降低對生產(chǎn)控制影響的同時(shí),還要考慮到病毒清理可能對應(yīng)用軟件的破壞,因此需要先備份,后殺毒。在備份主機(jī)上確認(rèn)殺毒方案對當(dāng)前系統(tǒng)沒有影響的情況下,才真正在目標(biāo)主機(jī)上開展相關(guān)病毒清理工作,病毒清理干凈后,部署主機(jī)衛(wèi)士進(jìn)行最終的加固。

在不同的作業(yè)區(qū)與管理網(wǎng)的邊界部署工業(yè)防火墻,在做好有效的訪問控制的同時(shí),通過工業(yè)協(xié)議的深度解析和指令級控制,有效阻斷來在生產(chǎn)網(wǎng)之外的對工控系統(tǒng)的攻擊行為。要做好工控協(xié)議的深度解析和指令級控制,首先要建立完整的業(yè)務(wù)模型,這一方面要借助工業(yè)防火墻的工業(yè)協(xié)議智能學(xué)習(xí)功能,同時(shí)也要結(jié)合人工的分析和調(diào)整,真正實(shí)現(xiàn)該阻斷的絕不放過,該通過的絕不阻斷。作為現(xiàn)場的服務(wù)工程師,仔細(xì)的觀察數(shù)據(jù)的流量、分析業(yè)務(wù)的邏輯并確認(rèn)業(yè)務(wù)模型的準(zhǔn)確性是一個(gè)關(guān)鍵的環(huán)節(jié)。

六、防護(hù)效果

方案的落地給該客戶帶來的價(jià)值是明顯的,不管是工業(yè)防火墻還是工控主機(jī)衛(wèi)士,實(shí)實(shí)在在的起到了應(yīng)有的防護(hù)作用,通過幾張現(xiàn)場的截圖,更清楚的展現(xiàn)給讀者。

?工控主機(jī)衛(wèi)士有效阻止非法程序運(yùn)行,如圖所示:

?工控主機(jī)衛(wèi)士對移動(dòng)存儲設(shè)備精準(zhǔn)管控,如圖所示:

?工業(yè)防火墻成功阻斷外網(wǎng)甚至是境外IP的非法訪問,如圖所示:

七、總結(jié)

從總體上看,我國工業(yè)控制系統(tǒng)信息安全防護(hù)體系建設(shè)滯后于系統(tǒng)本身的建設(shè),還處于初級階段。工業(yè)控制系統(tǒng)種類繁多、協(xié)議復(fù)雜,那么工控安全就不能搞一刀切,傳統(tǒng)的安全防護(hù)思路要繼承,但更要因地制宜、量體裁衣。工控安全是一個(gè)更專業(yè)、更細(xì)化的安全分支,需要每一個(gè)從業(yè)者不斷開拓創(chuàng)新,從而為國家的網(wǎng)絡(luò)空間安全戰(zhàn)略貢獻(xiàn)力量。

投訴建議

提交

查看更多評論
其他資訊

查看更多

工業(yè)控制系統(tǒng)滲透測試淺析

未雨綢繆,工控安全培訓(xùn)正當(dāng)時(shí)

你的車安全嗎-車聯(lián)網(wǎng)工控系統(tǒng)安全隱患排查

第三屆工業(yè)控制系統(tǒng)安全研討會在京勝利召開

從“拒絕服務(wù)”到“安全穩(wěn)定”