2017年5月12日,勒索病毒全球爆发并迅速蔓延至我国,给我国计算机系统带来了巨大的危害,不仅传统网络遭受到了攻击,工控网络也成了重灾区。某石油销售公司(以下简称销售公司)也成为众多“受害者”之一。在勒索病毒爆发当天,该销售公司下辖油库中,多个油库的服务器、工程师站、操作员站感染该病毒,多台工业主机在工作时弹出勒索病毒的界面。此次事件导致多个油库生产作业被迫停止,无法正常付油,一度造成国内数十个加油站的供油不足,对社会秩序造成了严重的影响。
为了避免再次发生病毒感染事件,该销售公司邀请国内工控安全领军企业威努特,对其油库工控系统安全现状进行现场调研、评估及改造。威努特对该销售公司下辖油库工控系统的网络布线情况、设备资产信息、工业主机病毒感染情况、油库业务流程等进行了详细的调研,并结合每个油库的具体情况及安全需求,制定出了相应的网络安全防护方案,进行了安全防护改造。
一、发现问题
油库工控网络WINCC服务器、TAS服务器、排队主机、门禁主机等工业主机需要与办公网的油管服务器进行数据交互,增加了来自外部网络入侵风险。
经过详细调研后,发现各油库工控网络均存在以下安全隐患:
1. 办公网、生产网及视频网未进行分离;
2. 油库无任何网络安全的硬件设备或软件产品进行网络安全防护;
3. 部分服务器与上位机存在病毒;
4. U盘滥用;
5. 油库缺乏专职的网络安全管理人员,目前各油库网络管理员职位为其他岗位人员兼职,并且普遍存在网络安全意识薄弱的问题;
6. 网络设备连接混乱;
7. 网络地址规划混乱;
8. 网线老化,水晶头制作不合格,接触不良。
二、改造方案
威努特根据油库意见,针对各油库的不同情况分别制定了相应的实施方案。方案实施前与油库工控系统厂商进行确认,充分保证了方案的可行性与可靠性,并制定了应急方案,保证了油库网络安全改造过程的高效、可靠。
网络安全改造前:
网络安全改造后:
具体措施:
1)办公网、生产网、视频网数据分离
在办公网与生产网之间部署安全隔离与信息交换系统,视频网与生产网之间部署防火墙。威努特安全隔离与信息交换系统(双向网闸)是实现工业网络环境中不同安全级别网络之间数据安全交换的隔离系统。该系统由内、外网处理单元和安全数据交换单元组成,通过配置符合企业自身业务需要的安全策略,在保证内外网隔离的前提下,实现高效的数据安全交换。油库工控系统中的WINCC服务器、TAS服务器、排队主机、门禁主机等需要访问办公网中的油管服务器,从油管服务器获取订单信息,将双向网闸部署在油库办公网与生产网之间,实现办公网与生产网安全隔离。在视频网与生产网之间部署威努特工业防火墙,防止恶意流量从视频网进入生产网。
2)生产网内部不同层级间安全防护
在过程监控层与生产控制层之间部署工业防火墙。威努特工业防火墙通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信任的消息在网络上传输,为工控网络内部区域之间的连接提供安全保障。油库工控网中过程监控层的服务器需要访问生产控制层PLC,因此在油库工控网络改造中,将威努特工业防火墙部署在生产网内部过程监控层与生产控制层之间,允许正常的业务数据通过,阻断非正常的指令,实现生产网内部不同层级之间的安全防护。
3)恶意流量实时检测与告警
在生产控制层核心交换机旁路部署工控安全监测与审计系统。工控安全监测与审计系统是威努特研发的专门针对工业控制网络的信息安全监测与审计系统,支持对多种工控协议(OPC、Siemens S7、Modbus、IEC104、Profinet、DNP3 等)的深度解析(DPI),实时发现针对PLC、DCS等重要工业控制系统的攻击和破坏行为,以及病毒、木马等恶意软件的扩散和传播行为,为工控网络安全事件调查提供依据。
4)防止恶意代码感染工业主机
在生产网工业主机(服务器、工程师站、操作员)部署工控主机卫士。威努特工控主机卫士是国内首款针对服务器、工程师站、操作员站等工业主机进行安全防护的软件产品。产品采用轻量级软件“白名单”机制,只允许受信任的程序运行,同时对主机进行加固,有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。在勒索病毒肆虐期间,油库办公网内的主机染该病毒,经办公网进入生产网,导致多个油库的工程师站、操作员站及服务器故障,油库生产业务无法正常开展,工控主机卫士的安装能有效防止恶意代码感染工业主机,确保油库生产网中的主机可以持续正常运行。
5)配备专用的安全U盘
为避免U盘滥用带来的网络安全隐患,威努特开发了配套主机卫士使用的安全U盘。本项目为每个油库配备必要的安全U盘,可有效避免病毒、木马等恶意代码通过普通U盘在工业主机间相互感染和扩散,保障油库工业主机间数据交换安全。
6)提高事件响应效率
在生产网部署统一安全管理平台。威努特统一安全管理平台是对工业网络中的安全产品进行统一管理的设备。可以对工业防火墙、工控安全监测与审计系统及工控主机卫士进行统一管理与维护,全面监控、实时告警、流量分析等,可以降低运维成本,提高事件响应效率。
7)工控网络安全培训
各油库负责网络管理的人员网络安全意识比较薄弱,多个油库存在服务器弱口令、系统补丁不能及时更新、U盘滥用等情况。针对上述问题,在油库网络安全改造项目完成以后,威努特工程师对该销售公司下辖油库负责网络安全管理的人员进行了统一培训,培训的主要内容包括网络安全意识培养、工控网络安全产品(双向网闸、工业防火墙、工控安全监测与审计系统、工控主机卫士及统一安全管理平台)配置使用与日常维护、工控网络安全基础知识等内容,提高了油库网络安全管理人员的安全意识及网络安全防护能力。
三、实施效果
1. 将油库办公网、生产网、视频网进行三网分离,并部署必要安全防护设备,最大程度保证了生产网的安全性;
2. 在生产网内部不同层级(过程监控层与生产控制层)之间进行安全防护,防止了恶意流量在生产网内部进行流动;
3. 在生产网内部部署了监测审计设备,对生产网的流量进行实时监控;
4. 工业主机上安装工控主机卫士,并配备安全U盘,保护工业主机不受恶意代码感染。
四、难点分析
油库工控网安全防护的技术难点在于不同厂商设计的油库工控系统的业务流程存在差异。要进行网络安全防护,必须清楚各个系统的业务流程,明确生产作业过程中的数据交互情况,进而才能制定出针对不同的油库业务系统的防护方案。
五、总结
油库工控网络安全改造完成后,该销售公司邀请国家工信部工程师对油库的工控网络安全进行了安全评估和渗透测试,均达到了油库工控网安全防护的预期效果。该销售公司的领导对油库工控网防护工作给予了高度的评价和充分的肯定。为了感谢威努特在此次网络安全改造项目中做出的突出贡献,该销售公司致信感谢威努特。