1.1.1
方案概述
本方案针对现有信息系统的安全管理中心、计算环境安全、区域边界安全和通信网络安全进行合规的总体框架设计。建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障框架体系,并通过安全监测预警、安全主动防御、及时安全响应、有效安全恢复的技术手段,将信息系统构建成具备主动防御、多级防护、纵深防控、整体保护能力的安全、可靠信息系统。
1.
方案背景
钢铁企业主要生产工艺流程有:焦化、炼铁、炼焦制气、炼钢、钢轧、冷轧薄、动力等;每个工业流程均是由以
PLC+
工业
PC+
工业通讯网络构成的自动化控制系统。
PLC
系统由
PLC
控制柜、通讯柜、端子柜组成。现场来的电缆先接入端子柜
,
再由端子柜接至
PLC
,
PLC
与上位机通过工业交换机进行数据交换。不同
PLC
系统与其它
PLC
系统有关的连锁信号通过网络通讯完成数据交换。钢铁厂工业以太网一般采用环网结构,为实时控制网,负责控制器、操作站和工程师站之间过程控制数据实时通讯,网络上所有操作站、数采机和
PLC
都采用以太网接口,网络中远距离传输介质为光缆,本地传输介质为网线(如
PLC
与操作站之间)。生产监控主机利用双网卡结构与管理网互联。钢铁企业的工业控制系统具有多个生产工艺流程混合、控制网络组网复杂,多种通信方式并存、生产控制系统品牌多、新老系统并存,多种高级应用分而自治,使得可以被黑客利用的漏洞大量存在。可见,对于这样的系统网络,不能采用单一的防护策略,需要根据实际情况,从不同角度和层次应用多种策略进行综合防护。
随着工业互联网和钢铁行业信息化的推进以及
MES
、
EMS
、
APS
等系统的逐步推广应用,原本相互独立的
DCS
、
PLC
、电仪系统、
SCADA
等控制子系统需要通过网络与信息系统连接在一起。这些控制子系统负责完成对高炉控制系统、转炉控制系统、燃烧控制系统、炼钢智能控制系统、轧薄带智能控制系统、高精度板厚控制系统的采集、存储、输送等控制任务,一旦受到恶性攻击、病毒感染,就会导致钢铁生产受到严重影响,甚至造成人员伤亡等严重后果。在钢铁行业统一管理集中监控的大趋势下,工业控制系统网络的集成度越来越高,与其他信息网络的互联程度也随之提高。与此同时,未经隔离的网络与主机、误操作、恶意操作、未授权的接入与操作、未授权的程序安装、系统资源滥用与误用、外部接口滥用(
usb
口及其他扩展接口)以及新型攻击(
APT
)也对工业控制系统安全带来极大的威胁。如果工业控制系统不加强主动防护、监测审计、集中监管和预警响应等安全措施的建设,将在系统中留下大量的安全盲点与灰色地带,给各类外部威胁留下可乘之机,不但无法对安全事件做到及时响应处置,还非常容易对生产业务产生严重的影响。
2.
方案简介
目前钢铁企业工控系统各个系统之间互联互通密切,随着网络化的逐渐深入,新的场景也带来了新的风险,钢铁企业目前面临不同的生产区域之间为了连接的便利性未做有效的区域划分、工业控制通信协议在设计时通常只强调通信的实时性及可用性对安全性普遍考虑不足、工控上位机大多数处于“裸奔”状态、软件开发阶段缺少安全设计软件存在大量的安全漏洞、员工安全意识淡薄等等一系列安全问题。
依据《网络安全法》、“等保
2.0
”等现行法规、规范和标准的要求,在安全分区、网络专用、横向隔离、纵向加密、分级综合防护的基础上,通过工控网络“智能白名单”形式,对钢铁厂生产控制大区系统进行自主可控、安全可靠的工控安全整体防护。利用“
AI
基因,威胁免疫”安全防护技术构建钢铁厂网络信息安全综合防护架构;完善钢铁厂生产控制大区工控网络信息安全防护体系,符合工控等保
2.0
第三级安全防护要求。
3.
方案目标
建立自动化生产系统的安全加固与主动预警的安全防护体系,从网络层、主机层、系统层、应用层和管理制度等多方面进行主动式威胁管理,提高工业控制系统整体安全防护等级,保证钢铁企业工业控制系统的稳定有序运行。
(
1
)建设工控网络边界安全防护及终端计算环境安全防护
通过技术手段对在工控网络边界部署安全产品,以钢铁生产工艺流程为单位,对安全生产网络进行安全域的划分,坚持“横向分区、纵向分层”的原则构建可信工控系统,防护网络攻击与威胁,保证工业生产系统安全,打造工控安全计算白环境;部署统一运维平台进行工控网络安全工作高效可靠管理,初步建立工控网络安全管理体系,即利用技术手段和管理手段保证企业安全生产。
(
2
)建设完善的安全审计措施和未知威胁检测,完善纵深防御体系
通过旁路监听与智能分析技术,对系统的控制、采集请求、网络行为进行详细的审计,对攻击及时预警。建立事前攻击的提前发现和预防,事中攻击的主动检测、主动防御,事后及时溯源,做到应急响应。同时构建清晰的资产互访拓扑;对攻击场景进行还原,对每个攻击阶段进行回溯分析,通过丰富的可视化技术进行多维呈现。
(
3
)建设网络安全监测预警与信息通报平台
建立针对钢铁行业各工艺段工业互联网安全监测预警、信息通报、应急处置手段,提高威胁信息的共享,对监测发现的安全风险隐患及时通报相关企业;实现工业设备资产感知、工业漏洞感知、工业配置感知、工业协议识别和分析、工业连接和网络行为感知、工业僵木蠕检测、工业攻击链的监测和分析等安全态感知功能,实时识别和预警工业控制网络和工业互联网络的安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。
1.1.2
方案实施概况
鉴于当前钢铁行业工控系统安全现状,若要同层级不同区域的纵深防护,需要对工业网络内部通信的各种数据采集协议和控制协议进行深度解析,对工控网络进行区域划分与隔离,对工控主机进行安全加固,对工控网络进行全网安全审计和威胁感知。
1.
方案总体架构和主要内容
(
1
)方案总体架构
工控系统安全建设遵循“一个中心,三重防护”的建设原则,在钢铁厂集团数据中心建设工控安全管理平台、工控安全态势平台及工控系统数据灾备中心。
该厂均在内部建设独立的工控安全管理平台和工控安全态势感知平台,本部生产基地为数据分析中心,各基地平台将数据上传至本部生产基地工控安全管理平台和工控安全态势感知平台进行审计分析、数据综合分析与展示。
数据灾备中心将各厂区重要业务系统的数据集中汇总收集,集中灾备,避免意外造成的数据丢失。
在集团下各分厂搭建纵深的三重防护体系,以安全服务的形式梳理通信网络,理清网络边界,在网络边界构建访问控制体系,阻断非正常的边界访问,搭建分支管理中心,对计算环境进行综合监管与安全审计,对终端设备进行安全运维,对终端系统进行白名单准入管控。
拓扑架构如图
4-1
所示:
图4-1 拓扑架构
在部署防护措施的时候,首先做好网络隔离安全,明确网络边界,基于数字证书等措施进行身份认证和授权管理,基于零信任措施严格执行细粒度的访问控制;
其次在生产控制网部署工业监测审计设备记录应用和设备情况,学习通信和数据的特点,结合主机白名单软件建立工控网络安全“白环境”。
再次采用堡垒机应对工控网络系统管理员特权以及非法操作等突出安全问题;
然后采取综合审计措施,对网络安全事件进行发现和追溯管理;
最后基于安全服务,对生产厂全网进行安全加固,逐一终端检查本地安全服务及本地安全策略,排查弱口令,雷同口令,非法外设等,并利用备份机制和并行机制,结合应急响应预案建立快速响应能力。
(
2
)方案主要内容
Ø
安全域划分
厂内各机组按分厂(分线)统一安全监控。按具体情况:
其一,
L2
网络能够连接成一个网络的情况,可以在
L2
机房(或主电室)配置核心交换机统一与生产网汇聚交换机连通,分期分阶段将网络汇聚到厂内
L2
机房(或主电室)核心交换机。各机组网络用工业防火墙进行隔离,可以根据需要进行连通(或不连通);
其二,
L2
系统无法进行统一接入的情况,
L2
通讯服务器就近接入到生产网的接入交换机,中间用工业防火墙进行隔离。
内部安全域划分上,首先,基于三层交换机,按
IP
地址为生产网划分
VLAN
,并设置子网地址。采用
VLAN
提供的安全机制,可以限制特定用户的访问,甚至锁定网络成员的
MAC
地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。如无法划分
VLAN
,可以在工业防火墙启用
NAT
功能;其次,配置交换机的(
ACL
)访问控制策略,通过包过滤技术禁止外部非法用户对内部的访问。同时建议关闭或限制使用交换机、路由器等网络设备的不必要功能、端口、协议和服务。
管理网与工控网边界:
在管理网与工控网之间均采用工业网闸进行网络隔离。能够阻止不必要的流量进入工控网。仅定义必要的工控应用服务器与管理网的业务服务器允许通信,其他通信都被禁止。最大限度的阻止从管理网络向工控网络入侵行为的传播,同时保证必要的业务系统间的数据共享。满足等保
2.0
“安全网络通信”中:保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信的合规要求。
各生产子网的边界:
在网络之间采用工业防火墙进行隔离。阻止生产子网以外的数据包或恶意程序进入生产子网,限制子网内的允许跨网通信的主机数量,除非必要,否则将禁止子网间的通信。同时防止一个子网感染病毒后向其他子网或上层安全域传播的可能。工业防火墙具有工控网络通信协议的深度内容检查功能,能够及时发现功能码错误或指令攻击行为,提供阻断或报警功能。
安全管理中心边界:
安全管理中心因为必须在网络上与被管理设备间路由可达,防火墙应设置端到端的、基于端口的严格访问控制规则,阻止对安全管理中心的非授权访问行为,阻止来自任意网络对安全管理域的不必要流量,保障管理中心自身安全。
未知边界管理:
由于工控网络的物理边界范围太大,给管理带来非常大的难度,随身
WIFI
设备、无线路由私接、手机热点等都随时可能破坏网络边界的完整性,使得用户在网络边界上的努力和投入化为乌有。在网络核心处部署边界完整性检查产品,快速网络检测、定位与阻断控制破坏网络边界行为,保护边界安全。
Ø
纵深安全防御
基于边界访问控制、边界入侵防御等构建纵深安全防御体系。入侵防御是工业控制系统安全防护的重要技术措施。在工业防火墙选择工业入侵防御模块,可以实时监控关键业务系统的关键路径信息,实现安全事件的可发现、可追踪、可审计和阻断。
工业入侵防御系统采用协议分析、模式匹配、异常检测等技术,实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。满足等保
2.0
“安全网络通信”中:在关键网络节点处检测、防止或限制从外部(或内部)发起的网络攻击行为的合规要求。
Ø
网络安全预警
通过在网络关键节点处对数据流量做镜像采集,并交由中心节点的分析平台做数据分析的方式进行安全分析与威胁预警。采用“
AI
基因,威胁免疫”的防护理念,运用人工智能技术实现对安全威胁的主动防御,能够在攻击产生破坏行为之前及时被发现并响应,避免发生更大的经济损失与社会影响。
通过新一代高性能分布式大数据平台,搭载大数据
AI
分析引擎,采用无监督学习算法,以产线内资产为核心构建
AI
模型,全面检测高级威胁和未知威胁。
通过聚焦于资产发现和未知威胁检测两大客户痛点,通过高效处理海量数据,自动发现内网资产,构建清晰的资产互访拓扑;通过全流量
AI
未知威胁检测,结合全球威胁情报进行威胁溯源;通过精准攻击场景还原,采用攻击链对每个攻击阶段进行回溯分析,并留存攻击取证报文;结合
AI
检测、规则检测进行关联分析,自动评估风险资产,通过丰富的可视化技术进行多维呈现。
2.
网络、平台或安全互联架构
(
1
)网络互联架构
钢铁行业是我国基础性产业,是国民经济的支柱产业之一。相当长的一段时间钢铁企业的工业控制系统一直处于“信息孤岛”状态。近年来,随着互联网
+
、物联网和智能制造技术的发展,钢铁行业积极推进信息化建设,显著提升了钢铁行业的生产能力和管理水平。钢铁行业工控系统不断优化升级,这一发展过程中,工业控制系统的网络安全面临着重大挑战。在全球信息化飞速发展的新形势下,如何确保钢铁行业工控系统的信息安全,一直备受重视。
钢铁冶炼是将铁矿石经过一些列工序冶炼成钢并轧制成钢材的过程。为了支撑这一过程,钢厂的工业生产流程还包括了石灰白灰制造,发电,煤的焦化提纯,空气压缩,制氧等一系列能源、辅料以及高价值副产品的生产,工业流程主体如图
4-2
所示:
图4-2 工业流程主体
(
2
)安全风险
Ø
生产控制大区内部工控系统边界缺乏有效的防护手段
各生产线之间的网络边界未部署针对工业环境的安全产品,某个域中感染病毒或者受到攻击后,威胁有可能蔓延到整个工控网络。
Ø
生产监控工业主机及服务器中存在安全隐患
工业控制系统中的主机、工控机未安装专门的工控防护软件,工业主机使用了相对主流的
windows
操作系统,为了保证系统的稳定性和兼容性往往难以进行必要的安全性补丁更新,在当前的工控网络架构下,其暴露程度也相对较高,存在被植入病毒和各类间谍软件的风险。
根据对工控系统存在的安全风险,得出工控安全建设需求,要以满足未来的等级保护
2.0
工业控制系统安全扩展要求为前提,通过建立多层次的纵深安全防护机制,防止攻击对工控系统造成不良影响,具体建设需求如下:
网络攻击防护:根据该钢铁厂的环网特点,采用适当的网络攻击预警、发现及防护机制,防止网络入侵,恶意软件扩散等情况的出现。
主机安全防护:针对工业主机的特点,采用适当的方案防止恶意软件在工业主机上启动运行。
Ø
生产控制系统网络内部缺乏完整性管控手段和运维审计措施
在日常的生产运营和维护中,需要第三方运维单位进行设备巡检和检修,为了工作的便捷性,经常将办公用的笔记本及便携设备等接入到生产网络中,由于缺少网络准入技术及安全审计技术,不能对私自接入的设备进行管控,给生产系统带来了很大的安全隐患。在疫情影响下,运维人员还有可能通过远程桌面方式进行运维,缺乏完善的运维审计机制,对运维人员的操作过程没有记录。
3.
具体应用场景和安全应用模式
(
1
)钢铁行业云数据中心安全防护建设
随着互联网的重心逐步向移动互联网转移,各种新技术新业务上线运营,带来海量数据的爆炸式增长,关于客户的隐私数据也日益增加。因此,需要构建整体全面的云计算安全体系,对内实现安全管理,对外实现安全运营。
在虚拟机资源池环境中,物理服务器内部存在多个虚拟机,每个虚拟机都承载不同业务系统;同时,同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟网络层直接通信,不再通过外部的物理防火墙,使得原有的物理安全边界在虚拟化环境下发生改变,因此,原有的安全防护机制无法有效应对虚拟化环境的场景,给云数据中心用户业务上云带来了极大的阻碍。该场景拓扑示意图如图
4-3
:
