一、前言
工业控制系统已广泛应用于电力、轨道交通、石油化工、航空航天等工业领域。目前,大量的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化操作。工业控制系统已经成为国家关键基础设施的重要组成部分。
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。由于工业控制系统广泛采用通用网络设备和IT设施,以及与企业信息管理系统的集成,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。
二、项目背景
国内某知名油田分公司下属采气厂所辖探区范围广阔,天然气探明储量具有举足轻重的战略地位,是油田最具开发潜力的区块之一。该采气厂同时负责多个气田及其他探区的开发建设和管理,承担着部分气量转输以及向华北地区及周边城市供气的艰巨任务。
采气厂在2015年8月和2016年5月,先后发生两次异常停机事件www.cechina.cn,事件影响恶劣并直接造成了巨大的经济损失,然而事故原因无法查证。事件引起公司管理层对工业控制系统安全的高度重视,并将工控系统安全防护提升到战略层面。
三、需求分析
从接到客户需求的那一刻起控制工程网版权所有,北京威努特技术有限公司(以下简称威努特)以实时高效为前提、安全可靠为目标、主动防御为手段,力求为该采气厂工控系统的安全防护量身打造精准的解决方案。
工控系统安全防护区别于信息系统安全防护的一个重要特征就是:防护的方案一定是基于对客户生产工艺流程的了解。从大的方面讲,工控安全是生产安全的一部分,所有安全防护的目标就是保证生产的安全稳定运行控制工程网版权所有,因此工控系统的实地调研和风险评估是一个非常重要的环节,通过该环节,才可以真正让安全需求落地。
经过调研和评估,威努特总结出如下几个关键的安全薄弱环节:
●管理网与外网连接,生产网与管理网互通,生产网与管理网边界存在重大安全隐患。
●作为数据采集及存储的关键部分,OPC 服务器存在诸多安全隐患。
●工业控制相关的应用系统普遍存在弱口令问题,这也反映出安全意识的不足。
●工控主机中会存储一些重要的文件,但是文件一般未加密,容易造成核心数据丢失,同时病毒感染的现象普遍。
●便携式工程师站、操作员站防护手段不足,会成为病毒、木马入侵的跳板。
四、方案设计
网络安全从来都不是孤立的,我们在强调技防的同时,也要重视从管理入手去杜绝安全隐患,因此整个安全方案第一步就是帮助客户建立起一套有针对性的工控安全管理体系。
依托对工业网络和工业协议的深度认知和深入研究,威努特公司在工控安全领域积累了深厚的技术基础,结合该采气厂的现状及特点,威努特设计了涵盖工控系统边界防护、区域防护和主机防护的纵深防御解决方案,部署了包括威努特工业防火墙、工控主机卫士(主机安全加固)以及统一安全管理平台等在内的一系列自主研发的安全防护产品。
方案逻辑拓扑如下:
五、项目实施
确定方案后,技术服务团队首先对感染病毒的主机进行病毒清理工作。不同于办公主机的杀毒,工控主机的病毒清理需要慎之又慎,在最大化降低对生产控制影响的同时,还要考虑到病毒清理可能对应用软件的破坏,因此需要先备份,后杀毒。在备份主机上确认杀毒方案对当前系统没有影响的情况下,才真正在目标主机上开展相关病毒清理工作,病毒清理干净后,部署主机卫士进行最终的加固。
在不同的作业区与管理网的边界部署工业防火墙,在做好有效的访问控制的同时,通过工业协议的深度解析和指令级控制,有效阻断来在生产网之外的对工控系统的攻击行为。要做好工控协议的深度解析和指令级控制,首先要建立完整的业务模型,这一方面要借助工业防火墙的工业协议智能学习功能,同时也要结合人工的分析和调整,真正实现该阻断的绝不放过,该通过的绝不阻断。作为现场的服务工程师,仔细的观察数据的流量、分析业务的逻辑并确认业务模型的准确性是一个关键的环节。
六、防护效果
方案的落地给该客户带来的价值是明显的,不管是工业防火墙还是工控主机卫士,实实在在的起到了应有的防护作用,通过几张现场的截图,更清楚的展现给读者。
●工控主机卫士有效阻止非法程序运行www.cechina.cn,如图所示:
●工控主机卫士对移动存储设备精准管控,如图所示:
●工业防火墙成功阻断外网甚至是境外IP的非法访问,如图所示:
七、总结
从总体上看,我国工业控制系统信息安全防护体系建设滞后于系统本身的建设,还处于初级阶段。工业控制系统种类繁多、协议复杂CONTROL ENGINEERING China版权所有,那么工控安全就不能搞一刀切,传统的安全防护思路要继承,但更要因地制宜、量体裁衣。工控安全是一个更专业、更细化的安全分支,需要每一个从业者不断开拓创新,从而为国家的网络空间安全战略贡献力量。