案例名称:某石化企业生产控制系统安全防护项目
申报单位:北京神州绿盟科技有限公司
一、案例概述
本项目应用工业协议智能识别、辅助规则生成、工业协议深度DPI、工业脆弱性管理等先进的工业安全防护技术,在保证生产运行的情况下,逐步改造实施,使某石化企业工控系统逐步实现安全技术能力、安全管理能力的全面提升,达到管、控、防一体化的目标。在具体的防护过程中我们引入了PDCA的防护思路,为企业构建了一整套工业安全防护体系。
二、需求分析
(一)需要加强DCS装置边界入侵防御能力。实现对病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、异常流量等恶性攻击行为进行准确高效的检测防御。
(二)补齐网络边界安全准入控制能力。对工业控制网络的通信服务器(TS)进行严格身份访问控制。
(三)明确网络边界。按照业务范围、区域等维度,划分网络区域,确保不同区域间的访问控制有效性。
(四)缺少脆弱性管理手段。目前大多数工业控制系统的工程师站/操作站的操作系统都Windows ,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统运行后不会主动为Windows 平台安装任何补丁,但是不安装补丁系统就存在被攻击的风险,从而埋下安全隐患。
(五)建立一套工业安全运营体系。对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理;对保护对象进行统一监视和控制,当安全事件发生时及时对威胁源进行阻断和干预。
三、建设内容
按照工信部《工业互联网企业网络安全分类分级防护系列规范》以及依据GB/T 22239-2019:《信息安全技术 网络安全等级保护基本要求》等文件,根据不足,具体增加安全防护措施。措施增加后的网络拓扑图如下图。
图 工业安全防护框架
(一)分区分域,边界隔离
1.纵向隔离。将绿盟工业安全隔离装置冗余部署在生产网和管理网之间,实现OT网络与IT网络安全隔离作用。工业网络隔离技术在物理层采用了两个独立高性能嵌入式主机,双主机之间采用基于总线通信的隔离卡,以实现两个安全区之间的非网络方式的数据交换;数据链路层和应用层采用私有通信协议,数据流全部进行 128 位加密处理,在保证安全隔离的前提下,实现数据的高速交换。通过物理硬件和软件逻辑的共同作用,彻底截断了穿透性的 TCP 连接,同时实现对工业协议数据的定向采集和转发,达到数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保控制网络不受攻击和入侵。
2.横向隔离。工控防火墙实现DCS生产控制系统之间的横向安全隔离,其最重要的特点之一是针对工业通讯协议进行深度过滤,不但可以针对工业网络协议进行基本的访问控制,还可以针对工业网络协议的内容和数据进行细致的合规性检查。
(二)OT网络安全审计和入侵防护
基于对石化业务场景工业控制系统的理解和工业协议的深度解码,结合工业控制系统操作过程中相关的规程要求,感知工业控制系统中潜在的异常操作行为。通过对网络数据的采集、识别、分析,动态监测网络流量、通信内容和网络行为,发现和捕获各种敏感信息、违规行为,实时告警响应,全面记录网络中的各种会话和事件,实现对工业网络信息安全的评估及安全事件的全程跟踪定位。
对PLC等控制设备的拒绝服务攻击漏洞、缓冲区溢出攻击漏洞等典型工控漏洞的攻击行为进行有效识别,并产生告警信息。绿盟工控入侵检测系统提供基于流的应用识别技术,可准确识别非标准端口应用、以及HTTP协议隧道中Web2.0应用,发现隐藏在应用中的攻击行为。
(三)工业日志审计
在安全领域,日志可以反应出很多的安全攻击行为。一个完整的信息系统里面,日志系统可以记录下系统所产生的所有行为,并按照某种规范表达出来。可以使用日志系统所记录的信息帮助系统进行排错,进而优化系统性能,或根据这些信息调整系统行为。
(四)脆弱性管理手段
在部分工业控制系统环境中,由于系统使用者和系统管理者很有可能分属两个部门,所以没有相关人员对工业控制系统进行过资产梳理等操作,并且由于工控设备大多数部署在工控现场,可能位于不同机柜甚至位于不同地区,在进行工业控制系统资产梳理和拓扑编制的过程中存在较多困难。针对此种情况,通过安全评估服务,提升资产发现能力。
对于攻击者来说,IT系统的方方面面都存在脆弱性,这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题,以及违反最小化原则开放的不必要的账号、服务、端口等。通过安全评估服务能够全方位检测IT系统存在的脆弱性,发现信息系统和应用系统存在的安全漏洞、安全配置问题,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。通过安全评估服务,有效避免了因漏洞扫描设备使用配置不当,导致对业务系统的影响。
(五)工业网络安全预警
绿盟工业网络安全监测预警平台可以对工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备进行集中化性能状态监控、安全事件集中展示、安全风险评估、工控分区分域健康等级评估,以及依赖于工控知识库的安全响应与处置。
(六)建立安全运营管理体系
在管控中心CCR新增安全管理区,部署日志审计实现DCS控制系统内资产日志的统一收集管理,满足6个月存储要求,同时将采集的信息同步至办公网的安全管理平台,实现平台的统一告警展示;同时部署工控主机白名单,实现对主机的统一进程、文件权限管控,提升主机防御能力;部署工控安全审计系统,对工控中心内部主机的操作行为进行异常行为审计和告警;安全设备的管理地址单独组网,通过安全运维管理区的交换机进行管理线连接,通过管理区的边界防火墙实现运维的访问控制;部署工业预警平台,实现对所有安全设备的统一管理,形成威胁全局视角,以及完善协同联防体系。
四、应用效果
通过关联分析、深度学习等大数据分析方法,为用户提供风险评估量化与排名、事件关联分析、深度威胁挖掘、设备状态管理等态势感知功能。同时还能够通过全网主动探测的方法,对工业互联网设施的存活、状态、脆弱性、安全性进行检测,实时向运维人员动态反馈各工业设施安全状况,依据安全态势发展趋势为用户提供安全策略和建议。形成对包括工业勒索在内的工业网络攻击行为的事前、事中、事后形成的闭环处理方案。通过该项目建设,在满足客户合规需求的前提下,将客户工业网络安全管理水平提高50%,工业安全风险事件的处置及时率提高70%。
五、案例亮点和创新点
通过建设资产管理、告警管理、运维管理、统计报表等模块,实现“流程化、子平台化”的安全运行监控的框架结构。应用石化场景下的智能行为感知技术,对系统中的运行行为进行实时感知,基于安全规则库与异常行为融合的安全分析技术,提升攻击行为与异常行为之间的安全分析能力。应用通信行为特征的安全被动式资产识别能力,可实现感知控制系统的资产属性及发现与关联漏洞库对应的安全漏洞。