魯西化工信息安全解決方案
背景
魯西化工是典型的化工企業(yè),其化工產(chǎn)品生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發(fā),工藝生產(chǎn)自動化、連續(xù)化、生產(chǎn)裝置大型化、工藝復(fù)雜等特點(diǎn),由于其各個生產(chǎn)環(huán)節(jié)不安全因素較多,一旦發(fā)生安全事故,具 有事故后果嚴(yán)重、危險性和危害性比傳統(tǒng)制造行業(yè)更大的特點(diǎn)。
DCS和PLC數(shù)字化控制已經(jīng)成為化工生產(chǎn)過程控制的主要手段,魯西化工自動化程度較高,大量使用浙江中控、和利時等 DCS、PLC 控制系統(tǒng),能夠極大地提高生產(chǎn)效率,但是過程控制系統(tǒng)整呈開放的趨勢,隨著“兩化”的深度融合,工控系統(tǒng)面臨的安全形勢越來越嚴(yán)峻。
現(xiàn)狀
整個魯西集團(tuán)園區(qū)納入信息化的裝置共23個,裝置名稱及其產(chǎn)品、功能如下:
動力一、動力二裝置為全園區(qū)各裝置提供水、電、氣為主的公共資源和能源,為園區(qū)重點(diǎn)裝置。
煤化一、煤化二裝置為園區(qū)各工企業(yè)提供主要化工生產(chǎn)原料,包括一氧化碳、甲醇、液氨等。為園區(qū)重點(diǎn)裝置。
園區(qū)西區(qū)裝置有氟化工、甲烷氯化物、氯化鈣、西區(qū)灌裝站、氯磺酸、西區(qū)污水處理、有機(jī)硅、離子膜。以上裝置大部分涉及重大危險物質(zhì),包括氯氣、液 氨、一氧化碳等園區(qū)中區(qū)裝置有氯化芐、三聚氰胺、苯甲醇等裝置,生產(chǎn)氯氣及其下游產(chǎn)品,其中煤一和動力一裝置在此區(qū)域中。
園區(qū)東區(qū)裝置包括甲酸、丁辛醇、已內(nèi)酰胺等,均涉及氫氣、一氧化碳等危險氣體。其中煤二及動力二裝置在此區(qū)域中。
另外西區(qū)和東區(qū)各有一個灌裝區(qū)域,為外來危險品車輛進(jìn)行化工產(chǎn)品和原料的裝卸。
網(wǎng)絡(luò)拓?fù)淙缦拢?/p>
圖一 網(wǎng)絡(luò)拓?fù)?/p>
企業(yè)生產(chǎn)網(wǎng)控制系統(tǒng)數(shù)據(jù)通過OPC接口,由寶信通訊網(wǎng)關(guān)進(jìn)行數(shù)據(jù)采集轉(zhuǎn)發(fā)到實(shí)時數(shù)據(jù)庫PI1,再通過單向網(wǎng)閘將PI1數(shù)據(jù)導(dǎo)入至實(shí)時數(shù)據(jù)庫PI2,實(shí)現(xiàn)PI1與PI2的同步,并進(jìn)行了生產(chǎn)網(wǎng)與外網(wǎng)的隔離。其中遠(yuǎn)程監(jiān)測終端通過3G無線網(wǎng)絡(luò)經(jīng)過PC機(jī)轉(zhuǎn)發(fā)給通訊網(wǎng)關(guān)進(jìn)入PI1數(shù)據(jù)庫。
需求分析
隨著企業(yè)應(yīng)用系統(tǒng)的增加以及信息化建設(shè)的不斷推進(jìn),MES系統(tǒng)的實(shí)施,生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢也是一種必需,但辦公網(wǎng)及外網(wǎng)的應(yīng)用復(fù)雜,多樣性強(qiáng)。感染病毒及惡意程序的機(jī)率大,生產(chǎn)網(wǎng)的開放,勢必對 PI 數(shù)據(jù)庫的數(shù)據(jù)完整性、保密性、安全性形成挑戰(zhàn),對DCS、PLC控制系統(tǒng)形成嚴(yán)重的安全威脅,如果系統(tǒng)受到攻擊或感染病毒后,使得DCS或PLC控制發(fā)生故障,壓力、溫度、流量、液位、計量等指示失效,檢測系統(tǒng)連鎖報警失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態(tài),后果不堪設(shè)想,將危急現(xiàn)場操作人員甚至工廠附近人群的生命安全。
所以對控制系統(tǒng)及生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)是當(dāng)下要優(yōu)先考慮和解決的問題。
風(fēng)險分析
1、操作系統(tǒng)安全漏洞:企業(yè)的工程師站/操作站/HMI/Server基本都是Windows平臺的,Windows所采用的存儲數(shù)據(jù)庫和加密過程導(dǎo)致了一系列安全漏,例如,Windows把用戶信息和加密口令保存于NTRegistry中的SAM文件中,即安全帳戶管理 (Security Accounts Management) 數(shù)據(jù)庫。加密口令分兩個步驟完成。首先,采用RSA MD4 系統(tǒng)對口令進(jìn)行加密。第二步則是令人迷惑的缺乏 復(fù)雜度的過程,不添加任何“調(diào)料”,比如加密口令時考慮時間的因素。結(jié)果, Windows口令比UNIX口令更加脆弱,更容易受到一本簡單字典的攻擊。黑客可以利用這些漏洞來破譯一個或多個 Administrator帳戶的口令,進(jìn)而對主機(jī)進(jìn)行破壞活動。
另外由于工業(yè)控制系統(tǒng)的特殊性,為了保證過程控制系統(tǒng)的相對獨(dú)立性,以及考慮到系統(tǒng)的穩(wěn)定運(yùn)行,現(xiàn)場工程師未對Windows平臺安裝任何補(bǔ)丁,導(dǎo)致的問題是,不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
2、網(wǎng)絡(luò)協(xié)議安全漏洞:本案中TCP/IP以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設(shè)備越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,給工業(yè)安全帶來了安全漏洞威脅,具體表現(xiàn)為:
1)TCP/IP協(xié)議鏈路層的安全漏洞
本案以太網(wǎng)中,信道是共享的,任何主機(jī)發(fā)送的每一個以太網(wǎng)幀都會到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口,不法人員稍做設(shè)置或修改,就可以使一個以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。從而對控制網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)的竊取。
2)TCP/IP協(xié)議網(wǎng)絡(luò)層安全漏洞
網(wǎng)絡(luò)中控制系統(tǒng)、設(shè)備及Server都對ICMP echo請求進(jìn)行響應(yīng)。所以如果一旦敵意主機(jī)同時運(yùn)行很多個ping命令向一個系統(tǒng)或服務(wù)器發(fā)送超過其處理能力的ICMP echo請求時,就可以淹沒該DCS系統(tǒng)及服務(wù)器使其拒絕其他的服務(wù)。導(dǎo)致生產(chǎn)失控或停車,另外,ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進(jìn)行方便的攻擊,如收集目標(biāo)上的信息并進(jìn)行秘密通信等。
3)OPC Classic協(xié)議安全問題
現(xiàn)場采集傳輸均采用OPC協(xié)議采集控制層數(shù)據(jù),而OPC Classic協(xié)議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。
4)無線網(wǎng)絡(luò)的安全問題拓?fù)淇梢?,遠(yuǎn)程監(jiān)測終端通過3G無線網(wǎng)絡(luò)進(jìn)入生產(chǎn)網(wǎng),其間沒有任何安全防護(hù)手段,不法人員可以通過該條路徑進(jìn)入企業(yè)內(nèi)網(wǎng)控制PC,繼而對數(shù)據(jù)進(jìn)行非法篡改,和對傳輸惡意控制指令,勢必對控制系統(tǒng)造成嚴(yán)重威脅。
3、DCS和PLC控制系統(tǒng)缺乏對程序行為的審計能力 惡意程序行為是對工控系統(tǒng)產(chǎn)生安全威脅最為主要的原因之一,在工控系統(tǒng)端點(diǎn)主機(jī)上程序行為是否正常,需要對其所有的行為數(shù)據(jù)進(jìn)行深度感知、聚集和細(xì)粒度的處理和審計。操作管理人員的技術(shù)水平和安全意識差別較大,容易發(fā)生越權(quán)訪問、違規(guī)操作,給生產(chǎn)系統(tǒng)埋下極大的安全隱患。實(shí)事上,DCS和PLC系統(tǒng)相對封閉的環(huán)境,也使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操 作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險。例如:缺乏基于分組的 HIS 安全策略。在用戶安全策略的定義界面下,首先要考慮進(jìn)行分組的設(shè)置,分組后再設(shè)置 不同級別的用戶從屬于各自的用戶組,從而依據(jù)各自裝置的控制站作為操作和監(jiān)視的范圍。
因此,對生產(chǎn)網(wǎng)絡(luò)的訪問行為真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計是非常必要的。
4、缺乏工控系統(tǒng)的安全威脅預(yù)警能力魯西化工的主要產(chǎn)品在生產(chǎn)過程中全部由DCS和PLC控制,系統(tǒng)的重要性和實(shí)時要求及時掌握系統(tǒng)的信息安全情況,目前缺乏對整個系統(tǒng)的安全威脅預(yù)警能力,缺乏應(yīng)急處置安全事件的數(shù)據(jù)支撐。
5、面對高級持續(xù)性威脅(APT)攻擊,缺乏有效的應(yīng)對措施 高級持續(xù)性威脅(APT)正在通過一切方式,繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等),并更長時間地潛伏在系統(tǒng)中,讓傳統(tǒng)防御體系難以偵測。同時,還會采用智能手機(jī)、平板電腦和USB等移動設(shè)備為目標(biāo)和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。前述以超級工廠病毒(W32.Stuxnet)為代表的針對工業(yè)控制系統(tǒng)的攻擊事件變呈現(xiàn)了這些攻擊技術(shù)特征。
但是針對這種APT攻擊,現(xiàn)有的安全防護(hù)手段均顯得有些無力。這也許需要整合各種安全技術(shù),通過形成完善的安全防御體系(防御手段的組織化、體系化)才可能有效,然而DCS和PLC系統(tǒng)對安全技術(shù)及管理的嚴(yán)重不足的現(xiàn)實(shí),使其在面臨持續(xù)攻擊時將會遭到不可估量的安全損失。
方案設(shè)計
根據(jù)魯西化工的控制系統(tǒng)及信息化生產(chǎn)運(yùn)行管理流程,結(jié)合 GB/17859、 GB/T25070 基本要求,按照等保三級相關(guān)相求,構(gòu)建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系,通過強(qiáng)化分區(qū)、隔離防護(hù)、協(xié)議管 控、入侵防御及安全審計等技術(shù)手段構(gòu)建縱深安全防御體系,確保生產(chǎn)現(xiàn)場DCS、 PLC等控制設(shè)備的本質(zhì)安全。具體如下:
● 遵循國家、地方、行業(yè)相關(guān)法規(guī)和標(biāo)準(zhǔn);
● 貫徹等級保護(hù)和分域保護(hù)的原則;
● 管理與技術(shù)并重,互為支撐,互為補(bǔ)充,相互協(xié)同,形成有效的綜合防范體系;
● 充分依托已有的信息安全基礎(chǔ)設(shè)施,加快、加強(qiáng)信息安全保障體系建設(shè)。
● 第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。
● 在技術(shù)策略方面,第三級要求按照確定的安全策略,實(shí)施強(qiáng)制性的安全保護(hù),使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞,保證較高安全的系統(tǒng)服務(wù)。這些安全技術(shù)主要包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層的以下內(nèi)容:
○ 對計算機(jī)、網(wǎng)絡(luò)的設(shè)備、環(huán)境和介質(zhì)采用較嚴(yán)格的防護(hù)措施,確保其為信息系統(tǒng)的安全運(yùn)行提供硬件支持,防止由于硬件原因造成信 息的泄露和破壞;
○ 通過對局域計算環(huán)境內(nèi)各組成部分采用網(wǎng)絡(luò)安全監(jiān)控、安全審計、 數(shù)據(jù)、設(shè)備及系統(tǒng)的備份與恢復(fù)、集中統(tǒng)一的病毒監(jiān)控體系、兩種級要求的操作系統(tǒng)和數(shù)據(jù)庫、較高強(qiáng)度密碼支持的存儲和傳輸數(shù)據(jù) 的加密保護(hù)、客體重用等安全機(jī)制,實(shí)現(xiàn)對局域計算環(huán)境內(nèi)的信息 安全保護(hù)和系統(tǒng)安全運(yùn)行的支持;
○ 采用分區(qū)域保護(hù)和邊界防護(hù)(如應(yīng)用級防火墻、網(wǎng)絡(luò)隔離部件、信息過濾和邊界完整性檢查等),在不同區(qū)域邊界統(tǒng)一制定邊界訪問控制策略,實(shí)現(xiàn)不同安全等級區(qū)域之間安全互操作的較嚴(yán)格控制;
○ 按照系統(tǒng)化的要求和層次化結(jié)構(gòu)的方法設(shè)計和實(shí)現(xiàn)安全子系統(tǒng),增 強(qiáng)各層面的安全防護(hù)能力,通過安全管理中心,在統(tǒng)一安全策略下 對系統(tǒng)安全事件集中審計、集中監(jiān)控和數(shù)據(jù)分析,并做出響應(yīng)和處 理,從而構(gòu)建較為全面的動態(tài)安全體系。
● 在管理策略方面,第三級要求實(shí)施體系的安全管理。應(yīng)建立完整的信息系統(tǒng)安全管理體系,對安全管理過程進(jìn)行規(guī)范化的定義。根據(jù)實(shí)際安全需求,成立安全管理機(jī)構(gòu),配備專職的安全管理人員,落實(shí)各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。
1、具體安全策略
按照層層防護(hù)的思想,信息系統(tǒng)由具有相同或不同等級的子系統(tǒng)構(gòu)成,各子系統(tǒng)均需要實(shí)現(xiàn)安全域內(nèi)部安全、安全域邊界安全及安全域互聯(lián)安全。邊界保護(hù)的目的是對邊界內(nèi)的局域計算環(huán)境和獨(dú)立用戶/用戶群的計算機(jī)環(huán)境進(jìn)行保護(hù),防止非法的用戶連接和數(shù)據(jù)傳輸。 安全域內(nèi)部安全是指局域計算環(huán)境自身安全和網(wǎng)絡(luò)連接設(shè)備自身安全。安全域互聯(lián)安全是指在不同等級的系統(tǒng)之間互聯(lián)時,應(yīng)采取的保護(hù)原則和保護(hù)策略。
2、安全域內(nèi)部策略
為滿足威脅需求的基本防護(hù)要求應(yīng)實(shí)現(xiàn)以下安全域內(nèi)部的安全目標(biāo):
網(wǎng)絡(luò)層策略
b1、通過合理的結(jié)構(gòu)設(shè)計和網(wǎng)段劃分手段實(shí)現(xiàn)合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源及路由選擇和控制;
b2、通過網(wǎng)絡(luò)訪問控制手段實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問的嚴(yán)格控制及數(shù)據(jù)、文件或其他資源的訪問的嚴(yán)格控制;
b3、通過網(wǎng)絡(luò)安全審計手段實(shí)現(xiàn)記錄用戶操作行為和分析記錄;以及對資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng);
b4、通過邊界完整性檢查手段實(shí)現(xiàn)檢測非法接入設(shè)備及檢測網(wǎng)絡(luò)邊界完整性;并能切斷非法連接;
b5、通過網(wǎng)絡(luò)入侵防范手段實(shí)現(xiàn)檢測、集中分析、響應(yīng)、阻止對網(wǎng)絡(luò)和所有主機(jī)的各種攻擊;
b6、通過惡意代碼防范手段實(shí)現(xiàn)發(fā)現(xiàn)并修補(bǔ)已知漏洞;對惡意代碼的檢測、集中分析、阻止和清除及防止惡意代碼在網(wǎng)絡(luò)中的擴(kuò)散;對惡意代 碼庫和搜索引擎及時更新并防止未授權(quán)下載、拷貝軟件或者文件;
B7、通過網(wǎng)絡(luò)設(shè)備防護(hù)手段實(shí)現(xiàn)對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的嚴(yán)格訪問控制及對用戶進(jìn)行唯一標(biāo)識;同時對同一個用戶產(chǎn)生多重鑒別信息,其中一個是不可偽造的鑒別信息并進(jìn)行多重鑒別;另外對硬件設(shè)備進(jìn)行唯一標(biāo)識和合法身份確定;并在持續(xù)非活動狀態(tài)一段時間后自動切斷連接。
系統(tǒng)層策略
c1、通過身份鑒別手段實(shí)現(xiàn)對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格的限制;并對用戶進(jìn)行唯一標(biāo)識及同一用戶產(chǎn)生多重鑒別信息,其中一個不可偽造的鑒別信息并進(jìn)行多重鑒別;對硬件設(shè)備進(jìn)行唯一標(biāo)識及合法身份確 定并實(shí)現(xiàn)在持續(xù)非活動狀態(tài)一段時間后自動切斷連連接;
c2、通過自主訪問控制手段實(shí)現(xiàn)對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制并對數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制;
c3、通過強(qiáng)制訪問控制手段實(shí)現(xiàn)對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制并對數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制及對敏感信息及其流向進(jìn)行標(biāo)識;
c4、通過安全審計手段實(shí)現(xiàn)記錄用戶操作行為和分析記錄結(jié)果并對安全機(jī)制失效進(jìn)行自動監(jiān)測和報警及對資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng);
c5、通過系統(tǒng)保護(hù)手段實(shí)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件的容錯及自動保護(hù)當(dāng)前工作狀態(tài);
c6、通過剩余信息保護(hù)手段實(shí)現(xiàn)對存儲介質(zhì)中的殘余信息的刪除;應(yīng)、阻止對網(wǎng)絡(luò)和所有主機(jī)的各種攻擊并重要數(shù)據(jù)和程序進(jìn)行完整性檢測和糾錯;
c8、通過惡意代碼防范手段實(shí)現(xiàn)對已知漏洞的檢測和修補(bǔ)并防止惡意代碼在網(wǎng)絡(luò)中的擴(kuò)散及對惡意代碼庫和搜索引擎及時更新;防止未授權(quán)下在、拷貝軟件或者文件;
c9、通過系統(tǒng)資源控制手段實(shí)現(xiàn)合理使用和控制系統(tǒng)資源及按優(yōu)先級自動分配系統(tǒng)資源并能在持續(xù)非活動狀態(tài)一段時間后自動切斷連接;
應(yīng)用層策略
d1、通過采取身份鑒別措施,來實(shí)現(xiàn)有對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制,對用戶進(jìn)行唯一標(biāo)識,對同一個用戶產(chǎn)生多重鑒別信息進(jìn)行多重鑒別,對持續(xù)性非活動狀態(tài)一段時間后自動切斷連接的目標(biāo);
d2、通過采取相應(yīng)的訪問控制措施,來實(shí)現(xiàn)對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制,對數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制,對敏感 信息進(jìn)行標(biāo)識的目標(biāo);
d3、通過安全審計措施,來實(shí)現(xiàn)記錄用戶操作行為和分析記錄結(jié)果,對資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng)的目標(biāo);
d4、通過對剩余信息采取相應(yīng)的保護(hù)措施,來實(shí)現(xiàn)對存儲介質(zhì)中的殘余信息進(jìn)行刪除的目標(biāo);
d5、通過采取相應(yīng)的措施來確保通信的完整性,來實(shí)現(xiàn)對傳輸和存儲數(shù)據(jù)進(jìn)行完整性檢測和糾錯,對通信數(shù)據(jù)進(jìn)行完整性檢測和糾錯,重要數(shù) 據(jù)和程序進(jìn)行完整性檢測和糾錯的目標(biāo);
d6、通過采取相應(yīng)的措施來確保通信的保密性,來實(shí)現(xiàn)對傳輸和存儲中的信息進(jìn)行保密性保護(hù),防止加密數(shù)據(jù)被破解的目標(biāo);
d7、通過采取相應(yīng)的抗抵賴性措施,來實(shí)現(xiàn)信息源發(fā)的鑒別,基于密碼技術(shù)的抗抵賴的目標(biāo);
d8、通過采取相應(yīng)的軟件容錯措施,來實(shí)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件容錯,軟件故障分析,自動保護(hù)當(dāng)前工作狀態(tài)的,對用戶的誤操作行為進(jìn)行檢測、報警和恢復(fù)的目標(biāo);
d9、通過采取相應(yīng)的資源控制措施,來實(shí)現(xiàn)合理使用和控制系統(tǒng)資源,按優(yōu)先級自動分配系統(tǒng)資源,限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用,合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源,持續(xù)非活動狀態(tài)一段時間后自動切斷連接的目標(biāo);
d10、通過相應(yīng)的措施來控制軟件代碼的安全,來實(shí)現(xiàn)對軟件缺陷進(jìn)行檢查的目標(biāo)。
數(shù)據(jù)層策略
e1、通過采取相應(yīng)數(shù)據(jù)完整性措施,來實(shí)現(xiàn)對傳輸和存儲數(shù)據(jù)進(jìn)行完整性檢測和糾錯,重要數(shù)據(jù)和程序進(jìn)行完整性檢測和糾錯的目標(biāo);
e2、通過采取數(shù)據(jù)保密性措施,來實(shí)現(xiàn)保證鑒別數(shù)據(jù)傳輸和存儲保密性,對傳輸和存儲中的信息進(jìn)行保密性保護(hù),防止加密數(shù)據(jù)被破解的目標(biāo);
e3、通過采取數(shù)據(jù)備份和恢復(fù)措施, 來實(shí)現(xiàn)對抗中等強(qiáng)度地震、臺風(fēng)等自然災(zāi)難造成破壞,防止雷擊事件導(dǎo)致大面積設(shè)備被破壞,及時恢復(fù)正 常通信,對用戶的誤操作行為進(jìn)行檢測、報警和恢復(fù),使重要通信線路及時恢復(fù),及時恢復(fù)重要數(shù)據(jù),保證重要業(yè)務(wù)系統(tǒng)及時恢復(fù)運(yùn)行的目標(biāo)。
3、安全域邊界策略 為滿足威脅需求的基本防護(hù)要求應(yīng)實(shí)現(xiàn)以下安全域邊界的安全目標(biāo):
● 通過網(wǎng)絡(luò)訪問控制手段實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問的嚴(yán)格控制;
● 數(shù)據(jù)、文件或其他資源的訪問的嚴(yán)格控制;
● 通過邊界完整性檢查手段實(shí)現(xiàn)檢測非法接入設(shè)備;
● 檢測網(wǎng)絡(luò)邊界完整性;
● 切斷非法連接。
4、安全域互聯(lián)策略 不同安全等級的安全域之間可以根據(jù)業(yè)務(wù)需要進(jìn)行互聯(lián)。互聯(lián)問題的本質(zhì)就是互聯(lián)系統(tǒng)間的邊界安全問題。不同安全等級互聯(lián),要根據(jù)系統(tǒng)業(yè)務(wù)和安全需求, 制定相應(yīng)的多級安全策略,主要包括訪問控制策略和數(shù)據(jù)交換策略等,采取相應(yīng) 的邊界保護(hù)、訪問控制等安全措施,防止高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。
不同安全等級的安全域互聯(lián)主要有以下幾種情況:
● 位于同一業(yè)務(wù)單位域內(nèi)共享網(wǎng)絡(luò)平臺的系統(tǒng)互聯(lián);
● 位于同一業(yè)務(wù)單位域內(nèi)不同安全等級網(wǎng)絡(luò)平臺的系統(tǒng)互聯(lián);
● 位于不同業(yè)務(wù)單位域內(nèi)的系統(tǒng)互聯(lián)。
方案內(nèi)容
參照ANSI/ISA-99、GB/17859、GB/T25070等相關(guān)要求,將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。區(qū)域與區(qū)域之間利用安全產(chǎn)品進(jìn)行策略控制,確保每個區(qū)域的相互獨(dú)立性,實(shí)現(xiàn)風(fēng)險的最小化和可控。從以下方面進(jìn)行設(shè)計,如圖2所示:
圖二 安全部署圖
辦公網(wǎng)與管理網(wǎng)區(qū)域
由于辦公網(wǎng)直接與互聯(lián)網(wǎng)相連,且應(yīng)用復(fù)雜,人員眾多。存在被感染病毒或被惡意控制的高風(fēng)險,所以在辦公網(wǎng)與管理網(wǎng)之間部署一臺網(wǎng)絡(luò)病毒網(wǎng)關(guān),入侵防御(IPS)系統(tǒng)??梢蕴幚?HTTP、SMTP、POP3、FTP 和 IMAP 等多種協(xié)議,全面保護(hù)郵件、WEB 訪問以及文件傳輸過程中的安全。從而有效抵御來自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡(luò)病毒和風(fēng)險,確保內(nèi)網(wǎng)的安全。管理網(wǎng)絡(luò)的安全防護(hù)在管理核心區(qū)域需要實(shí)現(xiàn)全網(wǎng)數(shù)據(jù)流量審計和入侵檢測,計劃部署網(wǎng)絡(luò)安全
審計和入侵防御(IPS)系統(tǒng),實(shí)現(xiàn)整個區(qū)域數(shù)據(jù)流的審計和檢測。計劃在核心交換之間部署 1 臺網(wǎng)絡(luò)安全審計和 1 臺入侵防御系統(tǒng)。 通過網(wǎng)絡(luò)安全審計實(shí)現(xiàn)對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計的合規(guī)性管理系統(tǒng)。它通過對業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報, 用來幫助用戶事前規(guī)劃預(yù)防,事中實(shí)時監(jiān)視、違規(guī)行為響應(yīng),事后合規(guī)報告、事 故追蹤溯源,同時加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、 網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)營通過部署入侵防御系統(tǒng)實(shí)現(xiàn)對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出 攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網(wǎng)站掛馬、異常流量等惡 性攻擊行為有非常準(zhǔn)確高效的檢測防御效果,并通過簡單易懂的去技術(shù)化語言幫 助用戶分析威脅,對威脅進(jìn)行有效處理。
DCS 控制器安全防護(hù)
浙大中控、和利時DCS控制系統(tǒng)其操作站HIS和控制站FCS通過冗余的基于以太網(wǎng)通訊的控制總線連接,HIS實(shí)現(xiàn)監(jiān)控,操作功能,F(xiàn)CS則完成具體的控 制運(yùn)算,輸入/輸出及數(shù)據(jù)處理功能。由于以太網(wǎng)的開放性,在帶來通訊便捷的 同時也增加了安全風(fēng)險。
所以必須要在控制器入口端部署控制器防護(hù)設(shè)備,能夠識別針對控制器的操控服務(wù)指令(包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、讀服務(wù)、寫服務(wù)、 控制程序下載服務(wù)、操控指令服務(wù)等),并能夠根據(jù)安全策略要求對非法的服務(wù) 請求進(jìn)行報警和自動阻斷。如圖2所示,使用工業(yè)防火墻對控制器進(jìn)行安全防護(hù), 一方面通過對源、目的地址的控制,僅允許工程師站和操作員站可訪問控制器, 且對關(guān)鍵控制點(diǎn)的讀寫權(quán)限加以嚴(yán)格限制,保障了資源的可信與可控,另一方面, 通過對端口服務(wù)的控制,杜絕了一切有意或無意的攻擊,最后使用“白名單”機(jī) 制,僅允許ScnetII等專有協(xié)議通過,阻斷一切TCP及其它訪問,從而確保控制 器的安全。
無線遠(yuǎn)程監(jiān)測接入安全防護(hù)
如上圖所示,遠(yuǎn)程監(jiān)測終端通過3G無線網(wǎng)絡(luò)聯(lián)入企業(yè)內(nèi)網(wǎng),內(nèi)網(wǎng)PC通過NAT 映射到互聯(lián)網(wǎng)。由于3G設(shè)備IP地址的不確定因素,本PC開放UDP所有訪 問權(quán)限,導(dǎo)致外網(wǎng)不法人員通過掃描或嗅探技術(shù)捕獲PC信息,從而入侵到該P(yáng)C或內(nèi)網(wǎng),雖然PC與通訊網(wǎng)關(guān)采用串口通訊,但仍可通過對PC機(jī)的入侵破壞數(shù)據(jù) 的完整性,并且通過了解其串口通信方式,下置惡意指令和傳輸病毒。對PI數(shù)據(jù)庫及控制系統(tǒng)造成致命破壞。
所以如圖2所示,在無線接入PC機(jī)與控制網(wǎng)絡(luò)之間部署一臺工業(yè)防火墻,僅允許指定的設(shè)備、特定的工業(yè)數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)上傳到PI1服務(wù),阻斷一切無關(guān)的訪問、控制指令。
工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)
我們企業(yè)控制網(wǎng)絡(luò)布署工業(yè)掃描系統(tǒng),針對對符合IEC61131-3標(biāo)準(zhǔn)的控制 系統(tǒng)上位機(jī)(SCADA/HMI)軟件、PLC、器嵌入式軟件以及各種主流現(xiàn)場總線離線 掃描。
與入侵檢測/防御系統(tǒng)等別動防御手段相比,漏洞掃描是一種主動的防范措施;可以有效避免黑客攻擊行為,放患于未然。通過對工業(yè)網(wǎng)絡(luò)的掃描,可以了解工業(yè)網(wǎng)絡(luò)安全配置的和運(yùn)行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡(luò)風(fēng) 險等級,進(jìn)而及時修復(fù)漏洞。
PKI/CA系統(tǒng) 由于魯西工藝流程、生產(chǎn)配方、生產(chǎn)裝置以及特種產(chǎn)品數(shù)據(jù)的敏感性,所以布署一套PKI/CA系統(tǒng),一方面通過數(shù)字證書來進(jìn)行相應(yīng)權(quán)限分配,實(shí)現(xiàn)對DCS、PLC 控制系統(tǒng)的分權(quán)管理及多因子驗(yàn)證,另一方面通過 PKI/CA系統(tǒng)對網(wǎng)絡(luò)上傳 的數(shù)據(jù)信息進(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,從而保證:信息除發(fā)送方和接收方外不被其它人竊??;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證 書來確認(rèn)接收方的身份;發(fā)送方對于自己的信息不能抵賴。在保障了數(shù)據(jù)的完整性與保密性的同時,也增加了防抵賴。
終端防病毒
由于終端應(yīng)用復(fù)雜,感染病毒的可能性較大,所以在終端 PC、工程師站、 操作員站上都進(jìn)行查殺毒軟件的安裝,前提必須是經(jīng)過驗(yàn)證后的殺毒軟件,要確保其對工控軟件的兼容性。
同時,也要及時地對殺毒軟件進(jìn)行病毒庫的升級,但不能影響工控系統(tǒng)的安全性。我們采取在企業(yè)管理網(wǎng)絡(luò)及控制網(wǎng)絡(luò)同時布署一臺病毒服務(wù)器,企業(yè)管理網(wǎng)絡(luò)服務(wù)器實(shí)時升級,經(jīng)過驗(yàn)證之后定時通過人工拷盤或單向?qū)氲娇刂凭W(wǎng)絡(luò)病毒服務(wù)器,以確??刂凭W(wǎng)絡(luò)病毒庫的更新。
網(wǎng)絡(luò)準(zhǔn)入
由于以太網(wǎng)的高效性與經(jīng)濟(jì)性,企業(yè)每個站點(diǎn)的 DCS、PLC 控制設(shè)備都采用以太網(wǎng)接口組成工業(yè)控制網(wǎng)絡(luò),隨著當(dāng)前智能設(shè)備和移動 PC 的廣泛應(yīng)用,隨時 有可能非法接入企業(yè)的控制網(wǎng)絡(luò),把惡意程序及病毒帶入到控制網(wǎng)絡(luò)從而對關(guān)鍵控制系統(tǒng)造成致命威脅,所以針對以上威脅,在企業(yè)控制及管理網(wǎng)絡(luò)布署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng):
● 防止非法的外來電腦、移動 PC 及智能終端接入控制網(wǎng)絡(luò),影響控制系統(tǒng)的安全;
● 防止內(nèi)部用戶私自接 HUB、無線 AP 等不安全行為;
● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網(wǎng)關(guān)、DHCP 強(qiáng)制、SNMP 強(qiáng)制以及透明網(wǎng)橋等多種入網(wǎng)強(qiáng)制認(rèn)證技術(shù);
通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),以實(shí)現(xiàn)控制網(wǎng)資源的保護(hù)和訪問控制,禁止非法計算機(jī)接入內(nèi)網(wǎng)。即只有經(jīng)過認(rèn)證的主機(jī)才可以訪問控制網(wǎng)絡(luò)資源,而當(dāng)可疑主機(jī)出現(xiàn)時,能夠系統(tǒng)記錄其 IP 地址、MAC 地址、計算機(jī)名等基本信息,并自動通過某種方式阻止此計算機(jī)訪問局域網(wǎng),切斷其網(wǎng)絡(luò)連接。如下圖所示:
準(zhǔn)入控制流程
可信計算
魯西化工關(guān)鍵設(shè)施的控制系統(tǒng)都是基于 windows 平臺研發(fā)的,所有工程師站及操作員站均使用 Windows XP 系統(tǒng),2014 年 4 月 8 日隨著微軟宣布徹底取消對 Windows XP 的所有技術(shù)支持,終端安全直接影響了魯西化工基礎(chǔ)實(shí)施的安全, 我們在網(wǎng)絡(luò)層面防護(hù)的同時,積極應(yīng)用國內(nèi)先進(jìn)的可信計算技術(shù)對用戶的身份認(rèn) 證、應(yīng)用程序的完整性和合法性認(rèn)證,從而確保工程師站、操作員站計算運(yùn)行環(huán) 境的安全。如圖所示:
可信計算平臺框架
安全管理平臺(SOC)
在企業(yè)管理網(wǎng)部署安全管理中心,如圖 2 所示,對生產(chǎn)控制網(wǎng)絡(luò)搜集所有安全信息,并通過對收集到各種安全事件進(jìn)行深層的分析,統(tǒng)計和關(guān)聯(lián),及時反映被管理資產(chǎn)的安全基線,定位安全風(fēng)險,對各類安全時間及時提供處理方法和建 議的安全解決方案。
功能如下:
● 面向業(yè)務(wù)的統(tǒng)一安全管理
系統(tǒng)內(nèi)置業(yè)務(wù)建模工具,用戶可以構(gòu)建業(yè)務(wù)拓?fù)?,反映業(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成,并自動構(gòu)建業(yè)務(wù)健康指標(biāo)體系,從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個維度計算業(yè)務(wù)的健康度,協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。
● 全面的日志采集
可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日志,例如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web Service 等等。
● 智能化安全事件關(guān)聯(lián)分析
借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎,系統(tǒng)能夠?qū)崟r不間斷地對所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)為分析師提供了三種事件關(guān)聯(lián)分析技術(shù), 分別是:基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析,并 提供了豐富的可視化安全事件分析視圖,充分提升分析效率。
● 全面的脆弱性管理
系統(tǒng)實(shí)現(xiàn)與天鏡漏掃系統(tǒng)的實(shí)時高效聯(lián)動,內(nèi)置配置核查功能,從技術(shù)和管理兩個維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。
● 主動化的預(yù)警管理
用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息,并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián),分析出可能受影響的資產(chǎn),提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警;預(yù)警類型包括安全 通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等;預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和 歸檔預(yù)警三個狀態(tài)。
總結(jié)
DCS/PLC 控制系統(tǒng)是化工生產(chǎn)過程最為關(guān)鍵的基礎(chǔ)設(shè)施,這些關(guān)鍵基礎(chǔ)設(shè)施中任何控制系統(tǒng)、工控網(wǎng)絡(luò)和數(shù)據(jù)庫服務(wù)器受到干擾或破壞后將對國民的健康、 安全、經(jīng)濟(jì)乃至對國家政府的正常運(yùn)作造成嚴(yán)重影響。事實(shí)上,目前化工行業(yè)很多 DCS/PLC 系統(tǒng)都非常脆弱,非常容易受到惡意攻擊。試想,如果 DCS 或 PLC 系統(tǒng)受到攻擊或感染病毒后發(fā)生故障,壓力、溫度、流量、液位、計量等指示失效, 檢測系統(tǒng)連鎖報警失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態(tài),有毒氣體發(fā)生泄露,后果不堪設(shè)想。它的影響可能是時間上的浪費(fèi),資源上的消耗,或者是對生態(tài)環(huán)境造成的極大污染,甚至是犧牲生命 的慘痛代價。
綜上所述,通過魯西化工生產(chǎn)控制系統(tǒng)及網(wǎng)絡(luò)安全防護(hù)工程的建設(shè),有助于為我國推進(jìn)關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)標(biāo)準(zhǔn)、規(guī)范、策略的形成與實(shí)施,促進(jìn)工業(yè)控制系統(tǒng)信息安全可控產(chǎn)品、技術(shù)的成熟,具有重大的經(jīng)濟(jì)及著的社會效益。
提交
新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案
WannaCry“永恒之藍(lán)“—力控華康護(hù)航工控安全之隔離篇
WannaCry勒索蠕蟲-力控華康護(hù)航工控安全
力控華康護(hù)航工業(yè)控制系統(tǒng)安全
力控華康中海油透平數(shù)據(jù)遠(yuǎn)傳項(xiàng)目