一、案例背景
1、行业背景
根据ICS-CERT的统计显示,从2009年至2017年,工业控制领域的信息安全事件逐年增多,并且攻击的方式呈现出多样化、复杂化的特点。中国已经成为遭受网络攻击的最大受害国之一,自2009年以来,网络攻击已经增长了十几倍,其中30%是针对关键基础设施。随着通用协议、通用硬件、通用软件在工业控制系统中的应用,这种网络攻击的态势有愈演愈烈的趋势。
针对工业控制系统的攻击主要是威胁其物理安全、功能安全和系统信息安全,以达到直接破坏控制器或通信设备、篡改工业参数指令、入侵系统破坏生产设备和生产工艺、获取商业信息等目的。
对工业控制的系统破坏主要来自于对工控系统的非法入侵,目前此类事件已频繁发生在电力、水利、交通、核能、制造业、市政等领域,给相关企业造成重大的经济损失,甚至威胁国家的战略安全。
2000年,黑客在加斯普罗姆(Gazprom)公司(俄罗斯国营天然气工业股份公司)内部人员的帮助下突破了该公司的安全防护网络,通过木马程序修改了底层控制指令,致使该公司的天然气流量输出一度控制在外部用户手中,对企业和国家造成了巨大的经济损失。
2000年3月,澳大利亚昆士兰新建的Maroochy污水处理厂出现故障,无线连接信号丢失,污水泵工作异常。原因是控制系统被一位前工程师通过一台手提电脑和一个无线发射器侵入,控制了150个污水泵站。该事件前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
2003年,美国俄亥俄州的戴维斯-贝斯(Davis Besse)核电站进行维修时,由于施工商自行搭接对外连接线路以方便工程师在厂外进行维护工作,结果当私人电脑接入核电站网络时,将电脑上携带的SQL Server蠕虫病毒传入核电站网络,致使核电站的控制网络全面瘫痪,系统停机将近5小时。
2007年,攻击者入侵加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制萨克拉门托河河水调度的控制计算机系统。
2010年6月,德国安全专家发现可攻击工业控制系统的Suxnet病毒,截止9月底,该病毒感染了全球超过45000个网络,其中伊朗最为严重。
2011年大庆石化炼油厂某装置控制系统感染Conficker病毒,都造成SCADA系统服务器与控制器通讯不同程度的中断。
2、政策依据
(1)工信部2011年下发451号文件《关于加强工业控制系统信息安全管理的通知》,明确规定加强重点领域工控信息系统安全管理措施
(2)《中华人民共和国网络安全法》
(3)《信息安全技术 网络安全等级保护基本要求》
(4)《工业控制系统信息安全防护指南》
3、客户简介
XXX燃气集团股份有限公司是国有控股上市企业,集团所属场站分散,物理位置跨度大,自动化集成程度较高。该公司现有输气管网约1万多公里,储、输、配气站150余座,年供气量19亿立方米。
图1 燃气现场示意图
二、核心问题分析
1、安全风险分析
(1)集团公司下属各门站、储配站、输配站以及调度中心内部未进行安全隔离,存在各站之间随意互访并引起病毒感染与扩散、生产中断等风险,需要采取安全隔离措施和防病毒措施;
(2)对于工控网络内部可能存在的非法操作、误操作和恶意行为,缺乏审计手段,需要采取有效的安全审计措施,便于事件追踪溯源;
(3)工程师站和操作员站等多采用老旧Windows系统,存在大量漏洞,同时USB等外部接口缺乏有效管理措施,依赖U盘拷贝数据,导致病毒、恶意代码传播时有发生。需要采取有效的主机安全及外设安全防护措施,阻止恶意代码传播,保证生产稳定有序进行。
(4)依据《工业控制系统信息安全防护指南》的相关规定,该工控现场在安全软件选择与管理、配置和补丁管理、边界安全防护、身份认证、远程安全访问、安全监测和应急预案演练等方面都存在不足。
2、实施特点分析
现场实施需要在以生产运行安全规范为基础,不影响生产业务正常运行的前提下进行,完善燃气生产控制及其信息安全体系框架,形成成熟的、自主可控的SCADA工业系统安全防御建设方案,具体特点如下:
(1)现场主机普遍感染顽固病毒,需要在保证不破坏主机SCADA系统软件授权的前提下进行彻底的杀毒工作;
(2)需克服实施现场场站物理位置较为分散的困难;
(3)安全防护产品设计需要基于工业现场的特点:
a 专用通信协议或规约:专用通信协议或规约(Modbus、CIP等)直接使用或作为TCP/IP协议的应用层使用;
b 升级困难:专有系统兼容性差、软硬件升级较困难,一般很少进行系统升级,如需升级可能需要整个系统升级换代;
c 系统故障响应:不可预料的中断可能导致场站燃气压力异常,直接影响居民供气,造成直接经济损失或灾难,故障必须紧急响应处理;
d 集中监控运维:生产现场物理位置分部分散,各场站距离较远,集中监控及运维管理尤为重要。
(4)现场工业防火墙接入、配置等操作所在的网络大部分是在线运行状态,需保证对业务无影响;
(5)场站大多使用非标准机柜,且机柜空闲空间较少,设备实施上架时需要克服机柜部署的难度。
三、对策与措施
1、解决方案
经过对现场网络结构、主机设备、系统软件、安全设备等运行情况进行安全调研和分析,识别出系统资产和脆弱性,确认了燃气集团现场存在的安全隐患和安全防护缺失项,明确了采用自主可控的工控安全核心技术的技术路线。为加强燃气SCADA网络安全防护,构建的安全防护方案如下:
(1) 在调度中心和各场站之间部署工业防火墙,进行网络层级间的安全隔离和防护,提高门站、储配站、输配站等各站的安全防护能力;
(2) 将每个场站作为一个安全域,在各场站PLC/RTU等工控设备的网络出口位置部署工业防火墙,对外来访问进行严格控制,以实现重要工控装置的单体设备级安全防护。
(3) 在调度中心、各场站、门站的工程师站、操作员站及服务器上部署工控主机卫士,对各个区域的主机进行安全防护;
(4) 在调度中心部署统一安全管理平台,对工控网络中的安全产品进行集中管理、配置和维护,便于综合分析、及时定位问题。
图2 解决方案示意图
2、实施方案
基于现场情况,为保证快速安全的实施,威努特针对各安全产品采取适用于现场的实施方案。
(1)工业防火墙实施方案
a 工业防火墙为透明网桥方式接入;
b 安装部署前先到现场确认位置,非标准机柜需提前进行打孔或切割导轨,施工前准备好风险应急措施;
c 防火墙接入业务网前,提前进行策略基础配置,确保接入网络后所有数据流量可以正常通过;
d 在防火墙接入业务网后,前期开启学习模式,自学习网络中的工控协议;中期开启告警模式以验证工控协议白名单的有效性,并对白名单进行优化调整;最后验证策略无误后开启防护模式,实现网络防护。
e 防火墙实施过程中,除插拔网线的短暂时间,对整体网络的业务运行几乎无影响。
(2) 工控主机卫士实施方案
a 现场所有操作员站、工程师站、服务器均为主备热备架构,先在备机上实施,实施完成后将现场业务切换到备机,确认业务运转正常后再在主机上进行实施;
b 每台设备施工前先进行Ghost全盘备份,根据现场的实际情况对待安装主机进行病毒查杀,针对顽固病毒,提前做好拆卸硬盘脱机查杀的准备和应急处理预案;
c 优先选择尚未正式投产的场站设备进行杀毒和主机卫士实施。
图3 主机病毒查杀流程图
(3) 统一安全管理平台实施方案
a 统一安全管理平台为旁路部署模式,对现场的业务连续性和安全性不会产生影响。
3、运维方案
基于燃气业务的重要性及运维需求,以客户网络安全的总体框架为基础、以安全策略为指导,配备经验丰富的安全运维团队、借助专业的技术工具、依托成熟的服务管理体系,为客户提供完善的安全运维服务,帮助客户发现并处理日常安全问题、规范安全运维流程、促进安全管理制度落地。运维服务内容包括:安全培训、安全巡检、应急响应等。
(1) 安全培训面向管理和操作人员,培训前提供详细的培训材料,讲解工控系统目前面临的威胁态势、当前解决方案的特点、产品功能实现方式、安全策略配置、简单故障处理和应急操作等内容;
(2) 通过定期安全巡检,能够发现系统运行异常。安全巡检的目的在于发现和消除系统安全隐患,保障系统的正常平稳的运行,能更好地摸清系统运行环境情况。巡检采用人工访谈、现场检查、工具检查等方式对系统运行状况及告警情况进行检查,收集相关信息进行分析,并结合客户实际需求进行整改;
(3) 由于突发安全事件的不确定性,为提高快速处理突发事件的能力,缩短响应时间,保证燃气SCADA系统的安全、可靠运行,威努特提供完善的应急响应服务。应急响应能够向客户提供必须的资源来处理突发事件,从而减少可能造成的损失。
四、案例特色及应用价值
1、方案特点
通过 “应用软件白名单”、“工控协议白名单”等技术理念,以完全符合工业现场的自主可控的产品设计,为客户构筑 “白环境”整体防护体系,保护燃气SCADA系统设施的稳定运行,达到“只有可信任的设备,才能接入控制网络”、“只有可信任的消息,才能在网络上传输”、“只有可信任的软件,才允许被执行”的防护效果。
本项目在IEC62443标准所提出的纵深防御理念基础上,通过深入研究燃气SCADA系统的系统特点与安全需求,将纵深防御的理念引入到过程控制系统安全领域并工程化,帮助客户实现网络结构安全和深层防御能力。同时通过统一安全管理平台的部署,管理所有软硬件安全设备,实现信息安全的统计监控、集中管理,在最大限度内帮助客户提高运维效率、降低运维成本。
打破了传统“黑”的防护模式,打破工控安全信息孤岛,以更符合工业现场特性的防护手段,以“一个中心,三重防护”的防御体系,将传统的“被动防护”转化为“主动防御”。
2、应用价值
(1) 使用纵深防御思想,实现网络结构安全和深层防御能力,提高客户安全防护水平;
(2) 提升了现有操作系统的安全等级,有效的防止来自内部的误操作和来自外部的恶意操作,提高了主机安全性;
(3) 将工控网络中的安全设备和系统统一管理,提高了运维人员的工作效率,降低人力投入成本,使得企业的安全投入物有所值;
(4) 全面提升了燃气集团网络安全防护管理的合规性;
(5) 提升了燃气集团信息安全总体防护水平,保障企业更好的为客户服务。
微信二维码