随着等保2.0在2019年的正式施行,标志着企业需要按照等保2.0的基本要求来开展安全建设工作。但多数企业对于如何在等保2.0的要求下开展工业控制系统安全建设还存在疑惑,所以此次我们结合在某工烟企业工控安全建设的实践经验,来给大家分享下工烟企业在等保2.0的要求下该如何开展安全建设工作。
该项目到目前为止,共完成了两期的工控安全建设工作,涉及制丝、卷包、动力能管、物流等工烟企业核心生产业务系统。一期项目于2018年完成,主要对各个生产业务系统开展安全风险评估工作。通过对各生产业务系统的资产梳理,从资产的安全特性出发结合各生产业务系统工艺特点,分析工控系统的威胁来源与自身的脆弱性,归纳岀企业工控系统面临的主要安全风险,输出风险评估报告,并根据报告设计网络安全防护解决方案。二期项目2019年完成,主要依据一期项目的风险评估报告,结合2019年发布的等级保护2.0相关要求,对一期设计的安全防护解决方案进行优化,并落地实施。二期工控安全建设工作的核心在于对部署的各类安全设备定制符合业务特点的安全策略,既解决了用户工控系统中实际存在的安全问题,也帮助企业完成等保2.0对标工作。
现在也在积极的配合用户进行第三期项目的规划。下面我们以每一期着点为大家介绍项目安全建设过程。
一期工业控制系统安全风险评估
在项目前期,我们了解到客户的诉求是逐步进行企业的工控安全建设工作。我们给出的建议是第一期项目优先开展风险评估工作。企业对自己的家底摸不清,这也是目前我国工业企业用户都面临了一个通用的问题。这给企业如何有效的开展工控安全建设工作带来了很大的阻力。经过和该企业相关安全负责人沟通,确定了一期项目工控安全评估的几个方向,具体如下:
01 资产的识别、梳理
在这一环节,对资产进行安全属性分析、赋值是关键。需要根据各业务系统内资产所承担的业务重要程度来进行赋值。
出于保密考虑,不对赋值的细节进行公开描述。总体上该工烟企业工业控制系统主要以SIEMENS S7-300/400系列控制设备为主,网络设备主要以SIEMENS、华为、华三设备为主,应用软件主要以GE IFix为主;系统中主要用到的工业协议有:OPC、S7、Modbus TCP/RTU等。根据其资产类型,可判断其存在的脆弱性,结合其承担业务的重要程度来综合赋值。
02 面临的威胁识别与资产脆弱性分析
通过工业控制系统所处的环境以及系统的内部因素、外部因素识别出威胁源、威胁途径及其可能发生的概率;
根据工业控制系统的网络结构、主要采用的网络设备、控制设备、软件以及工业协议等,识别出资产脆弱性的影响程度。
03 存量安全管理措施评估
对该工烟企业工业控制系统现有的安全技术防护、安全管理制度等方面进行评估,并分析其安全保障措施的有效性、合规性。
04 安全风险综合分析
结合工业控制系统的资产识别、威胁识别、资产脆弱性分析及现有安全管理措施评估等方面,综合分析该工烟企业工业控制系统存在的主要安全风险,并输出风险评估报告及安全防护整改建议。
工控系统安全风险评估流程示意图
05 主要的安全问题总结
通过安全风险评估,结合现场实际情况,总结如下安全问题,这些安全问题在各个烟草企业都具备一定共性。
(1)生产网内、外安全域缺乏有效的安全防护措施,存在着攻击者通过互联网、厂级办公网作为跳板,利用病毒、木马远程对工控系统实施攻击的行为;
(2)工控系统关键的网络节点缺少异常监测、审计等安全措施,无法及时有效的发现网络中的异常业务指令、异常网络流量、异常通信行为等安全威胁;
(3)病毒防范能力较弱,U盘等移动介质使用不规范。一旦病毒、木马等恶意代码进入生产网络,会导致工控主机系统瘫痪或使应用软件数据被篡改,间接导致生产线良品率下降或系统频繁停机;
(4) 该工烟企业工控系统的维修、维护工作主要靠系统集成商来完成,但该企业缺少对第三方运维人员操作行为的技术管理措施,由此也为该企业带来极大的安全隐患,容易出现因第三方运维人员的操作失误而引发生产事故。
二期工业控制系统安全防护建设
依据一期输出的安全风险评估报告及工控安全防护解决方案,结合2019年发布的等保2.0基本要求,对前期的安全防护解决方案进行优化,从物理、网络、主机、应用、数据这五个技术层面升级为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心这五个技术层面。
项目具体实施主要从以下几个方面进行:
01 强化网络安全区域边界的防护能力
首先对生产网进行安全域划分,纵向划分三个安全域,包括MES层安全域、过程监控层安全域和现场控制层安全域;横向划分安全管理中心安全域、制丝系统安全域、卷包系统安全域、动力能管安全域、物流系统安全域这五个安全域。
在制丝、卷包、动力能管、物流系统、安全管理中心这五个安全域之间部署工业防火墙进行边界隔离;在策略配置上,首先通过配置基于五元组ACL+白名单访问控制策略,建立各子系统区域边界的安全防护模型,阻断一切非法访问,仅允许与各子系统业务相关的可信流量在网络上传输,有效防止外部网络的攻击行为和内部各子系统之间的非法访问等行为。
在业务上,MES层的OPC服务器需要读取制丝、卷包、动力能管、物流系统这四个安全域内OPC客户端采集的生产业务数据,所以在工业防火墙上配置OPC只读策略,仅允许MES层OPC服务器对过程监控层OPC客户端的数据采集,禁止MES层OPC服务器对过程监控层OPC客户端写的操作,该策略有效防止了MES层利用该接口对过程监控层OPC客户端数据的非法篡改行为。
工控系统安全边界防护部署示意图
02 提升网络内、外未知威胁检测能力
该工烟企业生产网核心交换机与厂级办公网连接,存在经过厂级办公网络来自互联网的攻击风险,在等保1.0的基本要求下,需在此边界处部署入侵检测/防御措施,对非法攻击/恶意代码传播行为进行检测,故在一期项目方案设计中依据等保1.0的要求,设计部署入侵检测系统作为边界防御能力的补强。但在等保2.0中,更强调网络空间安全,强调对未知、新型攻击的识别,对APT攻击的识别。所以结合等保2.0的要求,对一期的设计方案进行优化,在生产网与厂级网的核心交换机上旁路部署网络威胁感知系统,抓取生产网网络流量,采用威胁情报数据及网络行为分析技术对抓取的网络流量进行实时检测、分析,深度检测网络内、外存在的新型网络攻击行为或APT攻击行为。
下图为威胁感知系统在现场发现的基于APT攻击的安全风险:
网络威胁感知实施后检测报告
同时在制丝、卷包、动力能管、物流等系统内部通过抓取各子系统网络关键节点网络流量,梳理网络访问关系,建立正常网络访问通信模型,形成“业务通信基准库”,及时有效的发现网络中的异常业务指令、异常网络流量、异常通信行为等安全风险并进行告警,保证了只有可信流量才能在各子系统网络中传输。
工控系统安全通信网络部署示意图
03 构建基于业务的工控主机安全模型
在生产网各子系统的服务器、工程师站、操作员站等工控主机上部署主机安全防护软件;通过对系统、外设、网络、应用的四重锁定,有效的阻止病毒、木马及“0-Day”漏洞的感染以及被利用,保护系统关键资源。从而实现工控主机从启动、加载到持续运行过程的全生命周期安全防护,从根本上解决了防病毒软件带来的误杀、漏杀、占用系统资源、需要联网升级病毒库等问题,最终构建基于业务行为的工控主机安全计算环境。
在工业控制系统内防病毒软件的不适用已经被广泛认识到,目前通用的解决方案一般均是采用白名单技术来代替杀毒软件,采用基于白名单技术的防护软件已被测评公司和企业用户认可。
04 建立统一安全管理中心,强化集中安全管理
等保2.0相比等保1.0,明显的变化在于需要在网络中建立统一安全管理中心。我们在解决方案设计中在增加了统一安全管理中心的设计。安全管理中心由多台安全设备组成,单独形成一个安全区域,其中部署统一安全管理平台,实现对生产网中安全产品的集中管理,包括策略统一配置、状态统一监控、网络拓扑可视化以及安全事件、安全日志(如:攻击日志、流量日志、访问日志、主机日志、系统日志)的关联分析。帮助企业用户方便对企业安全状态的了解。
统一安全管理中心部署示意图
其次在统一安全管理中心中部署安全运维管理系统,利用安全运维管理系统切断运维终端对工业网络设备或资源的直接访问,采用协议代理的方式,实现对生产网中网络设备、主机设备、应用系统、数据库设备集中有序的安全运维管理,同时通过给运维人员创建唯一的身份认证账号,对运维人员从登录到退出的全程操作行为进行审计,进一步加强工控系统及设备运维全过程的安全管控。
安全运维管理系统功能逻辑示意图
安全产品部署专网化,业务流转”“零影响
工控系统安全建设另一个重要关注点在于安全设备的引入不应对原有业务系统造成影响。工烟企业的制丝、卷包等系统部分工艺段对业务数据传输的速率要求非常高,为保证系统业务数据、流量传输的高效性、稳定性,我们设计了安全设备管理独立组网的管理方式,所有安全产品支持自组网功能,在实施部署过程中,所有安全产品独立组网,策略的下发、日志的采集等动作均不占用工控业务系统的网络带宽,既保证工控业务系统安全、稳定运行,也保证了业务数据、流量的传输速率。
采用独立组网的同时,安全设备与安全管理平台的数据传输也采用了加密传输的方式,有效保障了安全数据传输的安全性。这一设计也充分符合等保2.0中对于安全管理中心的技术要求。
安全产品自组网部署示意图
