典型SCADA系統(tǒng)安全防護(hù)案例分享
一、前言
工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天等工業(yè)領(lǐng)域。目前,大量的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化操作。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。
隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合,越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。由于工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和IT設(shè)施,以及與企業(yè)信息管理系統(tǒng)的集成,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統(tǒng)擴(kuò)散。
二、項(xiàng)目背景
國內(nèi)某知名油田分公司下屬采氣廠所轄探區(qū)范圍廣闊,天然氣探明儲(chǔ)量具有舉足輕重的戰(zhàn)略地位,是油田最具開發(fā)潛力的區(qū)塊之一。該采氣廠同時(shí)負(fù)責(zé)多個(gè)氣田及其他探區(qū)的開發(fā)建設(shè)和管理,承擔(dān)著部分氣量轉(zhuǎn)輸以及向華北地區(qū)及周邊城市供氣的艱巨任務(wù)。
采氣廠在2015年8月和2016年5月,先后發(fā)生兩次異常停機(jī)事件,事件影響惡劣并直接造成了巨大的經(jīng)濟(jì)損失,然而事故原因無法查證。事件引起公司管理層對(duì)工業(yè)控制系統(tǒng)安全的高度重視,并將工控系統(tǒng)安全防護(hù)提升到戰(zhàn)略層面。
三、需求分析
從接到客戶需求的那一刻起,北京威努特技術(shù)有限公司(以下簡稱威努特)以實(shí)時(shí)高效為前提、安全可靠為目標(biāo)、主動(dòng)防御為手段,力求為該采氣廠工控系統(tǒng)的安全防護(hù)量身打造精準(zhǔn)的解決方案。
工控系統(tǒng)安全防護(hù)區(qū)別于信息系統(tǒng)安全防護(hù)的一個(gè)重要特征就是:防護(hù)的方案一定是基于對(duì)客戶生產(chǎn)工藝流程的了解。從大的方面講,工控安全是生產(chǎn)安全的一部分,所有安全防護(hù)的目標(biāo)就是保證生產(chǎn)的安全穩(wěn)定運(yùn)行,因此工控系統(tǒng)的實(shí)地調(diào)研和風(fēng)險(xiǎn)評(píng)估是一個(gè)非常重要的環(huán)節(jié),通過該環(huán)節(jié),才可以真正讓安全需求落地。
經(jīng)過調(diào)研和評(píng)估,威努特總結(jié)出如下幾個(gè)關(guān)鍵的安全薄弱環(huán)節(jié):
?管理網(wǎng)與外網(wǎng)連接,生產(chǎn)網(wǎng)與管理網(wǎng)互通,生產(chǎn)網(wǎng)與管理網(wǎng)邊界存在重大安全隱患。
?作為數(shù)據(jù)采集及存儲(chǔ)的關(guān)鍵部分,OPC 服務(wù)器存在諸多安全隱患。
?工業(yè)控制相關(guān)的應(yīng)用系統(tǒng)普遍存在弱口令問題,這也反映出安全意識(shí)的不足。
?工控主機(jī)中會(huì)存儲(chǔ)一些重要的文件,但是文件一般未加密,容易造成核心數(shù)據(jù)丟失,同時(shí)病毒感染的現(xiàn)象普遍。
?便攜式工程師站、操作員站防護(hù)手段不足,會(huì)成為病毒、木馬入侵的跳板。
四、方案設(shè)計(jì)
網(wǎng)絡(luò)安全從來都不是孤立的,我們?cè)趶?qiáng)調(diào)技防的同時(shí),也要重視從管理入手去杜絕安全隱患,因此整個(gè)安全方案第一步就是幫助客戶建立起一套有針對(duì)性的工控安全管理體系。
依托對(duì)工業(yè)網(wǎng)絡(luò)和工業(yè)協(xié)議的深度認(rèn)知和深入研究,威努特公司在工控安全領(lǐng)域積累了深厚的技術(shù)基礎(chǔ),結(jié)合該采氣廠的現(xiàn)狀及特點(diǎn),威努特設(shè)計(jì)了涵蓋工控系統(tǒng)邊界防護(hù)、區(qū)域防護(hù)和主機(jī)防護(hù)的縱深防御解決方案,部署了包括威努特工業(yè)防火墻、工控主機(jī)衛(wèi)士(主機(jī)安全加固)以及統(tǒng)一安全管理平臺(tái)等在內(nèi)的一系列自主研發(fā)的安全防護(hù)產(chǎn)品。
方案邏輯拓?fù)淙缦拢?/p>
五、項(xiàng)目實(shí)施
確定方案后,技術(shù)服務(wù)團(tuán)隊(duì)首先對(duì)感染病毒的主機(jī)進(jìn)行病毒清理工作。不同于辦公主機(jī)的殺毒,工控主機(jī)的病毒清理需要慎之又慎,在最大化降低對(duì)生產(chǎn)控制影響的同時(shí),還要考慮到病毒清理可能對(duì)應(yīng)用軟件的破壞,因此需要先備份,后殺毒。在備份主機(jī)上確認(rèn)殺毒方案對(duì)當(dāng)前系統(tǒng)沒有影響的情況下,才真正在目標(biāo)主機(jī)上開展相關(guān)病毒清理工作,病毒清理干凈后,部署主機(jī)衛(wèi)士進(jìn)行最終的加固。
在不同的作業(yè)區(qū)與管理網(wǎng)的邊界部署工業(yè)防火墻,在做好有效的訪問控制的同時(shí),通過工業(yè)協(xié)議的深度解析和指令級(jí)控制,有效阻斷來在生產(chǎn)網(wǎng)之外的對(duì)工控系統(tǒng)的攻擊行為。要做好工控協(xié)議的深度解析和指令級(jí)控制,首先要建立完整的業(yè)務(wù)模型,這一方面要借助工業(yè)防火墻的工業(yè)協(xié)議智能學(xué)習(xí)功能,同時(shí)也要結(jié)合人工的分析和調(diào)整,真正實(shí)現(xiàn)該阻斷的絕不放過,該通過的絕不阻斷。作為現(xiàn)場的服務(wù)工程師,仔細(xì)的觀察數(shù)據(jù)的流量、分析業(yè)務(wù)的邏輯并確認(rèn)業(yè)務(wù)模型的準(zhǔn)確性是一個(gè)關(guān)鍵的環(huán)節(jié)。
六、防護(hù)效果
方案的落地給該客戶帶來的價(jià)值是明顯的,不管是工業(yè)防火墻還是工控主機(jī)衛(wèi)士,實(shí)實(shí)在在的起到了應(yīng)有的防護(hù)作用,通過幾張現(xiàn)場的截圖,更清楚的展現(xiàn)給讀者。
?工控主機(jī)衛(wèi)士有效阻止非法程序運(yùn)行,如圖所示:
?工控主機(jī)衛(wèi)士對(duì)移動(dòng)存儲(chǔ)設(shè)備精準(zhǔn)管控,如圖所示:
?工業(yè)防火墻成功阻斷外網(wǎng)甚至是境外IP的非法訪問,如圖所示:
七、總結(jié)
從總體上看,我國工業(yè)控制系統(tǒng)信息安全防護(hù)體系建設(shè)滯后于系統(tǒng)本身的建設(shè),還處于初級(jí)階段。工業(yè)控制系統(tǒng)種類繁多、協(xié)議復(fù)雜,那么工控安全就不能搞一刀切,傳統(tǒng)的安全防護(hù)思路要繼承,但更要因地制宜、量體裁衣。工控安全是一個(gè)更專業(yè)、更細(xì)化的安全分支,需要每一個(gè)從業(yè)者不斷開拓創(chuàng)新,從而為國家的網(wǎng)絡(luò)空間安全戰(zhàn)略貢獻(xiàn)力量。
提交
工業(yè)控制系統(tǒng)滲透測試淺析
未雨綢繆,工控安全培訓(xùn)正當(dāng)時(shí)
你的車安全嗎-車聯(lián)網(wǎng)工控系統(tǒng)安全隱患排查
第三屆工業(yè)控制系統(tǒng)安全研討會(huì)在京勝利召開
從“拒絕服務(wù)”到“安全穩(wěn)定”