某石化企业工控安全防护
1目的
依据《国家信息安全技术指南》、《中华人民共和国计算机信息系统安全保护条例》、《关于进气工艺控制系统信息安全管理的通知》(工信部协[2011]451号)、《工业控制系统信息安全 第一部分:评估规范》、《工业控制系统信息安全 第二部分:验收规范》以及国外的《ANSI/ISA-99控制系统网络安全指引》,结合国内工业控制网络的特点,提出相应的工业控制网络信息安全的解决方案。
2工业控制网络安全概述
过去十年间,世界范围内的过程控制系统(DCS/PLC/PCS等)及SCADA系统广泛采用信息技术,Windows®、Ethernet™ 及TCP/IP、现场总线技术、OPC等技术的应用使工业设备接口越来越开放,减弱了控制系统及SCADA系统等与外界的隔离。但是,越来越多的案例表明,来自商业网络、因特网以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全。
2003年1月,Slammer蠕虫病毒入侵大量工厂网络,直到防火墙将其截获,人们依然认为系统是安全的。
2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒,虽然已安装了IT防火墙,病毒依然在几秒钟之内从一个車间感染到另一个車间,从而最终导致停工。
2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。
2010年10月,肆虐伊朗国内的Stuxnet(超级工厂病毒)已经造成伊朗布什尔核电站推迟发电,并对伊朗国内工业造成大面积影响。Stuxnet是一种蠕虫病毒,它利用此前未知的Windows操作系统漏洞感染计算机,该病毒可针对安装有西门子WINCC平台的控制系统和Step7程序进行攻击,病毒攻击时能够修改WINCC平台的数据库变量,可在Step7程序中插入代码以及功能块。因为这个病毒能够对控制系统发动攻击,故部分专家将Stuxnet定义为“超级工厂病毒”。Stuxnet是第一个针对工控系统展开攻击的计算机病毒,它对伊朗国内工业控制系统产生的影响极大。
微软于2014年4月8日起停止对Windows XP系统的补丁服务,XP的退役使得PC机的信息安全问题更加突出,在中国XP系统的市场占有率高达57.8%,在工控领域这一比例更高,如何应对工控系统日益严峻的信息安全问题,是工控行业从业人员共同关注的问题。
Dragonfly(蜻蜓)恶意软件——以工业领域为攻击目标的新型恶意软件,自2014年发现至今,仍潜伏于ICS系统中进行网络谍报的收集和关键数据信息的窃取,一旦发起攻击,将对能源行业造成不可预估的威胁。
所有上述的安全威胁案例,给我们控制系统网络安全带来新警示:
◆控制系统网络是可以被攻击的
越来越多的控制系统操作站平台是基于Windows平台,U盘,维修人员的笔记本接入,信息网络的病毒感染等都可以实现对控制网络的攻击;
◆控制系统网络需要有病毒及黑客入侵防护;
◆需要实施一个纵深防御策略来保证控制系统的稳定运行。
3工业控制网络存在的安全隐患
工业控制网络大致有三种模式。一种为控制层(控制器、操作站、工程师站)、数据采集层和管理层的三层结构;一种为控制层(控制器、操作站、工程师站)和管理层的二层结构;还有一种为四层结构。本厂采用的是三层结构,示例如下:
目前的网络结构存在以下问题:
(1)控制器和操作站(工程师站)之间无隔离防护
DCS、PLC等现场设备非常脆弱,没有任何防护,一般的病毒攻击就可能造成死机。
(2)控制层与数据采集层之间无隔离防护
基于Windows平台的控制系统的操作站(工程师站),一般不能修复补丁,也不安装防病毒软件,即使安装了防病毒软件,由于不能更新病毒库,也会失去防病毒功能。因此这些操作站(工程师站)感染病毒的几率较大,感染病毒和传播的影响极大。
(3)APC与其它网络无隔离防护
为了发挥APC系统的作用,根据装置的变化,要随之修改APC控制器的模型,在为APC服务器修正模型时,APC网络要经常与外部设备接触,使得APC系统感染病毒的风险增大。
(4)网络安全事件不能报警且无法追踪
目前的控制系统中一般都没有日志分析和事件报警功能,当发生安全事件时,不能追踪、定位事件的源头。对网络故障进行快速的诊断,并记录、储存、分析,通过报警和预警可以减少或避免事故带来的损失,也为加强事件管理提供方便。
4工业控制网络系统安全防护目标
要保证工业控制网络系统能够安、稳定运行,必须实现以下目标:
⑴通讯可控
能够直观地观察、监控、管理结点间的通讯数据,对控制网络与外界通讯而言,仅保证指定的协议数据通过,一律禁止其他通讯。
⑵区域隔离
现代计算机病毒的扩散极其迅速,它可以瞬间瘫痪整个网络,所以必须对网络区域进行有效隔离,当某个区域发生病毒时,可以保证其他区域运行正常。
⑶报警追踪
及时发现控制网络中存在的问题,准确定位故障点,是维护网络安全的前提。通过对系统日志的智能分析,能够对故障进行预警,能够保证网络系统长期安全、稳定运行。
5工业控制网络系统防护
控制网络系统防护一般分为主动防护和被动防御。工控信息安全系统评估是主要的主动防护手段之一,对于新建系统的方案、设计在建设前进行安全评估、论证,找出薄弱环节,对设计、方案进行完善;在对老系统进行改造(扩建)前,对改(扩)建方案进行安全评估,寻找安全问题点,对方案进行完善;定期(不定期)对现有系统开展安全评估工作,发现问题及时整改;达到把安全问题消灭在建设初期的目的。
被动防御多为在现有(或新建)系统中增加区域隔离、个体加固(可信计算)和保垒机等安全措施、手段来加强防御能力。部署安全管理平台,强化安全审计功能,及时发现并处理问题,提高系统安全等级。
5.1主动防护
工控信息安全系统评估
结合工控信息安全的独特性,将应用功能安全HAZOP分析方法对工控系统信息安全进行评估,识别潜在由信息安全攻击导致的生产过程风险,以国内、外标准规范为依据,给出评估报告。
评估方法概述
⑴评估分成系统级(风险)和节点设备级(漏洞及脆弱性)分别进行
⑵系统级离线评估软件具备
智能化网络节点库(积累各类工控系统模型)
智能化网络安全威胁库(HAZOP分析方法下的威胁分析列表)
工控设备漏洞库(融合国际和自身积累形成)
⑶节点设备级测试:基于验证环境的设备测试,应用阿杰里斯WurldTech等专业测试设备。
实施方案
⑴系统识别
●利用备份系统进行操作
●识别软件系统所有活动的及曾经启用过的进程
●识别系统网络端口应用情况
⑵系统备份
●技术手段获取被评估系统网络及软件系统的详细信息
●将被评估系统主机软件系统进行完整备份
⑶风险及脆弱性识别
●基于HAZOP方法评估
●系统节点检查
●病毒与恶意代码扫描
●系统节点仿真及选择性测试
●国内标准体系要求评估
●其他
⑷系统恢复
●恢复被评估系统原有系统并执行验证过的解决方案
●出具技术评估报告和安全解决方案
5.2被动防御
前面讲过,被动防御是通过釆用一些侦测、审计等安全措施和手段来达到及时发现问题、及时解决问题的目的。因为不同的行业有不同的特点,所以行业不同解决方案也就不同,即使同一行业解决方案也会略有不同。下就通用系统来阐述解决方案,然后再针对各个行业提出具体的整体解决方案。
6解决方案
6.1哈石化三层结构防护示意图
6.2本厂的网络防护
6.2.1项目建设内容简介
本项目的建设原则是将数采网络与底层数据采集相关的网络节点通过工业防火墙进行安全隔离,以实现数采网络与控制网络之间有效的安全防护,进一步强化数采网络安全与稳定性。
建设内容主要包括以下几个部分:
(1)在使用OPC协议通讯且较为关键的一催化、二催化、常压等19套生产装置部署工业防火墙,将工业防火墙安装到数采机柜中,将数采网OPC通讯线路连接到防火墙的接口上,利用工业防火墙所具备的OPC协议动态端口跟踪功能和协议深层检测技术有效的解决OPC通讯线路的安全防护及身份认证问题,唯一动态跟踪开放OPC协议通讯的必要端口,而将其它无用的通讯端口及时关闭实现数采网络通讯协议的深层防护,有效隔离数采网络的安全风险。
(2)建立数采专网的监控系统。在汇聚层部署用于统一管理本区域内工业防火墙的配置管理平台(CMP),此平台实现分布式防火墙的管控功能,可实时查看防火墙状态和通讯拦截事件。在公司核心层部署可视化综合管理平台(SMP),该平台采取C/S架构,基于Windows2008
Server操作系统和MySQL数据库,可以存储所有事件报警信息,具有实时画面显示、历史数据存储、报警分级、报警检索及分析等功能。建立一个由配置管理平台及报警管理平台构成的数采专网实时监控系统。
工业防火墙特有的模式转换功能可保障SA在线增加和设置,安装时只需在相应的位置将连至数采网的网线拔出,插入防火墙安全端口,然后将数采网端网线接入防火墙的非安全端口即可,防火墙默认的出厂设置为“Predeployed”模式,此模式下,防火墙处于“透明”模式,所有通讯均允许通过,不会对原有通讯造成任何影响。
6.2.2工业防火墙部署位置
防火墙的部署基本遵循在OPC服务器与BUFFER之间的网络线路上安装且防火墙尽量靠近OPC服务器一侧的原则,根据不同的网络拓扑情况,具体的部署位置会有相应的调整。
6.2.3 CMP(配置管理平台)的部署位置
根据测试结果,我们计划将CMP部署在汇聚层交换机上。用于配置管理各自分厂的防火墙并接收来自防火墙的网络报警信息。
6.2.4 SMP(报警管理平台)服务器的部署位置
我们计划将SMP服务器部署在数采网核心层,通过配置各个装置的网闸,实现CMP将报警信息通过UDP通讯传输给SMP的目的。
6.2.5 SMP客户端的部署
CMP与SMP服务器之间需要通过TCP端口进行数据库及流程图画面的通讯,需要在石化公司数采网核心层防火墙上开通CMP与SMP之间的通讯,以便上传报警日志等。在办公网上安装SMP客户端,方便查看防火墙报警日志等。
炼油厂片区及装置信息如下表:
6.2.8网络拓扑图
此次***石化炼油厂片区共有20套装置的数采需要添加防火墙防护,如下图所示:
如上图所示,通过添加防火墙,实现了以下目的:
⑴通讯可控
能够直观地观察、监控、管理结点间的通讯数据,对控制网络与外界通讯而言,仅保证指定的协议数据通过,一律禁止其他通讯。将数采网OPC通讯线路连接到防火墙的接口上,利用工业防火墙所具备的OPC协议动态端口跟踪功能和协议深层检测技术有效的解决OPC通讯线路的安全防护及身份认证问题,唯一动态跟踪开放OPC协议通讯的必要端口,而将其它无用的通讯端口及时关闭实现数采网络通讯协议的深层防护,有效隔离数采网络的安全风险。
⑵区域隔离
现代计算机病毒的扩散极其迅速,它可以瞬间瘫痪整个网络,添加防火墙对网络区域进行有效隔离,当某个区域发生病毒时,可以保证其他区域运行正常。
⑶报警追踪
及时发现控制网络中存在的问题,准确定位故障点,通过对系统日志的智能分析,能够对故障进行预警,能够保证网络系统长期安全、稳定运行。
将数采网络与底层数据采集相关的网络节点通过工业防火墙进行安全隔离,以实现数采网络与控制网络之间有效的安全防护,进一步强化数采网络安全与稳定性。
通过添加可信,实现了对计算机的安全加固。
工控可信计算安全平台拥有“白名单”模式的智能可信度量系统,并可以通过度量信息实现对程序进程的全面安全管控,解决了工控系统计算机病毒感染、传播、恶意代码进程启动及操作系统内核漏洞等安全隐患,从根本上实现了对各种不安全因素的主动防御,提高了工控系统计算机系统自身的免疫力,解决了Windows XP等操作系统存在的安全问题
