工业控制系统的网络安全保护设计方案.docx
《工业控制系统的网络安全保护设计方案.docx》由会员分享,可在线阅读,更多相关《工业控制系统的网络安全保护设计方案.docx(28页珍藏版)》请在冰豆网上搜索。
工业控制系统的网络安全保护设计方案
工业控制系统的网络安全保护设计方案
(工业互联网络安全)
一、背景概述
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。
一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。
2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。
与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。
因此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
目前使用分布式控制系统(DCS)和可编程逻辑控制器(PLC)等数字化方式已经成为化工行业生产过程控制的主要手段。
虽然其能够极大地提高生产效率,但是过程控制系统在近十年的发展中所呈现出的整体开放趋势,尤其是在西方发达国家对国内工业控制核心技术垄断环境下,以伊“震网病毒”造成的巨大破坏为例,工控系统面临的信息安全形势愈发严峻。
工业控制系统有许多区别于传统IT系统的特点,包括不同的风险和优先级别,其中包括对人类健康和生命安全的重大风险,对环境的严重破坏。
这将影响工业控制系统采用何种安全控制措施,制定和部署工控系统安全策略必须符合其本身技术和环境的具体要求与特点。
文章基于化工行业工业控制系统信息安全防护的实际需求出发,参照信息安全等级保护的思想,以化工生产装置的安全、稳定、可靠运行为核心,综合运用边界防护、访问控制、主机安全等技术手段,有效整合不同层面的安全技术,为工控系统信息安全技术防护体系设计和建设标准的制定提供理论参考。
所提出的针对工业控制系统有效的信息安全防护策略和标准在很多行业均具有极大的推广价值,相关模式具有极强的可复制性,能够产生显著的经济和社会价值。
工业控制系统信息安全事关经济发展、社会稳定和国家安全。
提升工业企业工业控制系统信息安全(以下简称工控安全)防护水平,保障工业控制系统安全,对国家乃至社会的发展具有重要意义。
二、工控信息安全需求
2.1工业控制系统和传统IT系统差异化分析
对比项
工业控制系统ICS
传统IT系统
体系结构
主要由传感器、PLC、RTU、DCS、SCADA等设备及系统组成
通过互联网协议组成的计算机网络
操作系统
广泛使用嵌入式系统Vxworks、uClinux、winCE等,并根据功能及
需求进行裁剪与定制
通用操作系统如windows、linux
、UNIX等,功能强大
数据交换协议
专用的通信协议或规约(OPC、ModbusTCP、DNP3等),一般直接使用或作为TCP/IP的应用层
TCP/IP协议栈
系统实时性
实时性要求高,不能停机或重启
实时性要求不高,允许传输延迟,可停机或重启
系统升级
兼容性差、软硬件升级困难
兼容性好、软件升级频繁
设计初衷
可用性
机密性
传统网络安全技术不适合应用到工业控制系统
传统it系统安全:
机密性>完整性>可用性
工控系统安全:
可用性>完整性>机密性
设备应用的基础
方式
传统IT网络
工控系统网络
防火墙
基于Tcp\ip协议
专用协议格式
入侵防御检测
允许存在误报率
不允许存在误报率
漏洞扫描
实施的补丁修复
修复困难
2.2工业控制系统所面临风险分析
1、工业控制系统与管理系统互联互通带来的风险。
只要是使用开放的以太网、基于微软Windows操作系统的数据采集与监控(SCADA)系统、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)基于控制系统的高级应用等,都有发生信息安全问题的风险。
2、工业控制系统遭遇病毒攻击的风险。
以电力行业发电厂的工控系统为例,虽然发电厂的生产控制大区和信息管理大区之间安装物理隔离装置,二次系统网络与办公系统网络进行隔离,但是病毒的传播方式是多途径的。
例如:
病毒可以通过工作人员的移动介质或远程控制通道传入到生产控制大区进而破坏DCS系统或经济调度系统等重要的电力二次应用系统,而对于安全性要求较高的电厂而言,如果没有行之有效的防病毒系统,让DCS系统遭遇病毒攻击是绝对不能容忍的。
3、数据和通信传输协议存在的安全风险。
广泛应用于工控系统中的通信传输标准如:
IEC60870-5标准(其中用于串行链路IEC60870-5-101,对应于我国电力行业标准DL/T634.5101和网络IEC60870-5-104,对应于我国电力行业标准DL/T634.5104)应用于SCADA系统与RTU之间的数据通信;IEC60870-6(对应于我国的国家标准GB/T18700也称为TASE.2或ICCP)用于控制中心之间的通信,并经常应用于控制中心内SCADA系统和其他工程系统之间的通信;IEC61850(对应于我国的工业标准DL/T860)用于电力系统继电保护、变电站自动化、配电自动化、电能质量、分布式能源、变电站对控制中心的通信。
这些标准都是在信息安全成为该行业的主要问题之前制定的,所以原先标准中根本不包括任何安全措施[1],通信数据和信息存在被窃听和窜改、甚至破坏系统运行的风险。
4、管控体系不健全导致的安全风险。
目前工业控制系统使用单位普遍没有针对移动存储介质的管理规定,或者规定制定力度不够,缺乏必要的监管手段,这始终是工业控制系统安全的一个重要威胁。
特别是在物理隔离的工业控制系统中,移动存储介质成为计算机病毒传播的主要途径,2010年伊朗爆发的“震网”病毒以及随后的“火焰”病毒,就是利用移动存储介质进行传播的。
2.3工控系统安全具体需求分析
根据对工业控制系统的风险分析,我们发现工业控制系统的信息安全需求主要在以下方面:
●防御来自外部的威胁,阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失,提高办公网网络的整体抗攻击能力;
●要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。
如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范;
●实现对运维操作的集中管理、访问控制、单点登录以及操作审计的能力;以及需要建立良好的管理和责任划分体系以保证人员使用移动存储介质不会对工控系统造成威胁。
●实现即使文件被勒索软件感染和加密,也可通过备份恢复回来,不会造成数据丢失。
三、工控系统信息安全防护设计
3.1工控系统信息安全防护体系设计目标
工业控制系统信息安全防护体系建设的最终目标应在遵循《GB17859-1999计算机信息系统安全保护等级划分准则》规定的等级划分准则前提条件下符合国家标准《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》及《信息系统安全等级保护基本要求》及其他相关规定。
实现工控系统安全技术防护能力、安全管理能力、安全运维能力,切实保障工控系统信息安全,为工业控制系统的安全稳定运行保驾护航。
3.2工控系统信息安全防护体系设计原则
工业控制系统信息安全防护体系设计应依据《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》、《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》等国家标准,相关行业标准,如《二次系统安全防护规定》、《信息系统安全等级保护基本要求》、《二次系统安全防护总体方案》等为指导思想,构建集技术、管理和服务于一体的全面的安全防护体系。
并遵循如下设计原则:
基于安全需求原则、先进成熟技术原则、分级保护原则、纵深防御原则、动态调整原则。
四、基于工控系统的等保测评
网络安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
4.1等保2.0标准体系
●GA/T1389—2017《信息安全技术网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的信息系统、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。
●GA/T1390.2—2017《信息安全技术网络安全等级保护基本要求第2部分:
云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
●GA/T1390.3—2017《信息安全技术网络安全等级保护基本要求第3部分:
移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
●GA/T1390.5—2017《信息安全技术网络安全等级保护基本要求第5部分:
工业控制系统安全扩展要求》
分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。
并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。
4.2工控系统等级保护测评
总体原则、技术要求和管理要求是工业控制系统等级保护的三类说明,其中工业控制系统整体提出的安全域保护原则是总体原则;技术要求针对工业控制系统的软件、硬件、网络协议等安全性、通信协议等要素;管理要求针对工业控制系统的人员管理、运维管理、制度管理等要素,但工业控制系统的防护措施也需保证对系统的正常运行不产生危害,并得。
(4)通信传输安全:
在工业控制系统内使用指令交换数据时,是否采用加密认证手段实现数据加密传输;对需要无线通信传输的设备,是否对XX的无线设备进行拦截并报警。
(5)接口安全:
是否关闭或拆除控制设备上的USB接口、串行口、光驱等,是否采取有效措施保证对外接口的安全。
(6)系统补丁和风险安全:
更新系统补丁、恶意代码库、白名单库前,是否在测试环境中通过测试,并保证系统的可用性,应有安全人员负责并保存更新记录。
(7)安全事件处置:
工业控制系统大多应用于化工、石油、医药等领域,应考虑是否建立工业控制系统联合防护及应急机制,是否定期对应急机制进行演练,是否对安全事件进行总结、教育和培训等。
五、工控系统安全解决方案
5.1工控系统安全架构设计
拓扑说明
该拓扑图是工业控制系统的整体架构图,根据此图我们根据各公司或企业的实际需要进行安全防护。
5.2工控系统信息安全三大防护体系
安全风险评估确定安全破坏可以导致的危害程度,并且对于实施和维护安全应对措施的成本,对经济的、安全的和社会的危害进行分析。
通过对工控系统安全风险的分析,得出系统的防护需求,根据防护需求的不同制定系统的安全策略及解决方案,以此选择适当的防护措施,进而降低安全风险。
安全评估的方法有工具扫描、基于经验的人工评估、模拟黑客攻击的白客渗透测试等。
安全评估是信息安全生命周期中的一个重要环节。
安全风险评估体系应覆盖工控系统的网络、主机及安全设施等。
网络安全评估是对工控系统的通信网络和网络拓扑、带宽、通信协议、核心路由、交换设备、网络边界、安全策略等的安全漏洞、安全威胁及潜在影响进行分析,以提出合理的安全建议。
主机安全评估是对工控系统的主机系统包括操作系统、数据库系统、中间件系统以及基本的应用服务配置管理等的风险评估。
安全设施评估主要包括防火墙、防病毒系统、入侵检测系统IDS、工控系统专用安全隔离装置、IP加密认证装置及其它安全管理系统,主要对这些系统的安全策略配置和管理进行评估。
安全技术体系设计的核心思想是:
构建集安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力于一体的安全技术保障体系,切实保障工控系统信息安全。
安全技术体系由物理安全、网络安全、主机安全、应用安全、数据安全等环节构成。
1)物理安全防护:
包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
具体措施为工控系统的机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录人员的进出情况;对机房设置监控报警系统;机房建筑设置避雷装置,建立备用供电系统等。
2)网络安全防护:
包括网络结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
主要措施为:
保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;在业务终端与业务服务器之间进行路由控建立安全的访问路径;按照对业务服务的重要次序来指定带宽分配优先级别,优先保障重要业务服务的带宽。
在网络边界部署访问控制设备,启用访问控制功能;访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;禁止以VPN方式接入网络。
对非授权设备或内部网络用户私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;采用网络准入、终端控制、身份认证、可信计算等技术手段,维护网络边界完整性。
在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,在发生严重入侵事件时应提供报警等。
3)主机安全防护:
包括主机安全、身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
具体措施为对登录操作系统和数据库系统的用户进行身份标识和鉴别;当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听;审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;系统不支持该要求的,采用第三方安全审计产品实现审计要求;保护审计记录,避免受到未预期的删除、修改或覆盖等;应保护审计进程,避免受到未预期的中断。
能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
在本机安装防恶意代码软件或独立部署恶意代码防护设备,并及时更新防恶意代码软件版本和恶意代码库,更新前应进行安全性和兼容性测试。
通过设定终端接入方式、网络地址范围等条件限制终端登录;根据安全策略设置登录终端的操作超时锁定。
4)应用安全防护:
包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
具体措施为:
提供专用的登录控制模块对登录用户进行身份标识和鉴别;启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
提供覆盖每个用户的安全审计功能,对应用系统的用户登录、用户退出、增加用户、修改用户权限等重要安全事件进行审计。
5)数据安全防护:
包括数据完整性、数据保密性、备份和恢复。
具体措施为:
能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性;提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等部分组成。
工控系统安全管理体系是一个不断完善、不断改进的过程,随着外部情况及内部条件的改变,需要对管理体系的内容及范围做相应的调整,以适应变化。
最终达到管理体系为工控系统安全的成功实施起到保驾护航的作用。
1)安全管理制度:
建立工控系统系统安全管理制度,制定工控系统信息安全工作的总体方针和安全策略,明确安全工作的总体目标、范围、原则和安全框架等,并将工控系统安全防护及其信息报送纳入日常安全生产管理体系,负责所辖范围内工控系统及数据网络的安全管理;对安全管理活动中各类管理内容建立安全管理制度;对安全管理人员或操作人员执行的重要管理操作建立操作规程;形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
2)安全管理机构:
明确由主管安全生产的领导作为工控系统安全防护的主要责任人,成立指导和管理信息安全工作的委员会;设立信息安全管理工作的职能部门;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3)人员安全管理:
严格规范人员录用过程,对被录用人员的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议;定期对各个岗位的人员进行安全意识教育、岗位技能培训和相关安全技术培训及安全认知的考核;对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
4)系统建设管理:
根据系统的安全保护等级选择基本安全措施,并依据工控系统安全防护要求和风险分析的结果补充和调整安全措施;指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、
安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;组织相关部门和有关安全技术专家进行论证和审定,并经过电力监管机构、上级信息安全主管部门和相应电力调度机构的审核。
5)系统运维管理:
包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,各环节应符合国家及行业标准的要求。
5.3工控系统安全产品体系
5.3.1工控系统安全防范产品
5.3.1.1工控防火墙
工业防火墙分为边界型和区域型。
基于MIPS架构+深度定制Linux平台,通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上传输。
为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。
广泛应用在电力、石油、石化、轨交、市政、烟草及先进制造等多领域。
方案建议在平台网络边界再增加一台天融信防火墙,两台设备启用双机热备功能(HA)。
Ø客户价值
满足工控行业的合规性要求
防范外部恶意攻击
杜绝内部安全隐患
对工业网络实施安全域划分、逻辑隔离和访问控制,满足行业政策法规及技术要求。
避免生产监控网被攻击,造成操作指令被篡改或下发失败,导致重大安全生产事故、人员伤亡和社会影响。
有效检测工控网络中的异常操作行为并加以阻止,避免异常停车事故。
Ø主要功能
工控协议深度解析
正常通信行为建模
攻击防护
支持对OPC、SiemensS7、Modbus、IEC104、Profinet、DNP3等数十种工控协议报文进行深度解析。
基于工控协议通信记录,智能学习通信关系、操作功能码和参数等,对正常通信行为建模。
支持对工控指令攻击、控制参数的篡改、病毒和蠕虫等恶意代码攻击、各类DoS(SYNFlood、PingFlood、UDPFlood、PingofDeath、LAND等)攻击的防护。
网络访问控制
工作模式
日志告警上报
采用会话状态检测、包过滤机制进行深度访问控制,阻止各类非授权访问行为。
支持学习模式、告警模式、防护模式三种工作模式。
支持设备运行日志、告警日志等上传至统一安全管理平台,进行统一的安全事件分析和管理。
Ø产品优势
∙实时精准的协议指令级控制
搭载自主研发的数据包深度解析引擎,对工控协议(OPC、Modbus、IEC60870-5-104、IEC61850MMS、DNP3等)各类数据包进行快速有针对性的捕获与深度解析,做到实时和精准的指令级识别,为解决工控网络安全问题提供技术保障。
∙工业级通信性能
采用高性能MIPS多核处理器,运用白名单规则匹配算法,在开启深度报文检测(DPI)的情况下可实现30000PPS的吞吐量。
时延小于100us,是业界同类产品的1/10,有效保障通信的实时性。
∙工业级高可靠性
产品采用高可靠性的工业级设计:
无风扇全封闭设计、双冗余电源、硬件故障自动Bypass、优秀的温湿度适应性(温度:
-40~85℃,湿度:
5%~95%无凝结),符合IP40防护等级要求。
∙开放的平台接口
提供SDK,开放的平台接口可以方便客户自行扩展支持私有协议,以及做定制化的二次开发。
Ø部署位置拓扑
5.3.1.2工控安全隔离与信息交换系统
安全隔离与信息交换系统(WISGAP)是实现工业网络环境中不同安全级别网络之间数据安全交换的隔离系统,该产品采用多机系统架构,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换;威努特自主设计开发的安全隔离与信息交换系统集文件交换、数据库访问和同步、视频交换、组播代理、访问交换、工业控制等功能模块于一体,保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
Ø客户价值
满足政策法规有关安全隔离的相关技术要求
提高不同安全级别间的数据传输效率
提高不同安全级别间的数据安全性
在保证安全隔离的前提下,实现数据的安全交换,满足国家及行业对于安全隔离的相关政策法规要求。
在保证安全的情况下,将原本通过人工方式(光盘、公文交换等)进行数据交换的方式转变为自动“摆渡”,提高数据交换效率。
弥补防火墙等逻辑隔离产品的安全性差的缺陷,采用物理隔离的方式,实现正常业务数据的安全交互。
Ø主要功能
数据交换
安全控制
安全审计
支持工业控制代理、WEB代理、文件交换、邮件交换、数据库交换等多种信息交换类型,以“摆渡”方式进行安全数据交换。
支持访问控制、入侵检测、防病毒、内容过滤、日志审计、身份鉴别等多种安全防护措施,保证数据交换过程安全。
可审计设备的各类操作,并支持通过SNMP、syslog等将日志文件发送到远程日志服务器。
Ø产品优势
∙高安全性隔离
采用“内外网双主机+专有安全数据交换模块”架构以及专用安