一、前言
工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天等工業(yè)領(lǐng)域。目前,大量的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化操作。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。
隨著工業(yè)化與信息化進程的不斷交叉融合,越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。由于工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和IT設(shè)施,以及與企業(yè)信息管理系統(tǒng)的集成,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統(tǒng)擴散。
二、項目背景
國內(nèi)某知名油田分公司下屬采氣廠所轄探區(qū)范圍廣闊,天然氣探明儲量具有舉足輕重的戰(zhàn)略地位,是油田最具開發(fā)潛力的區(qū)塊之一。該采氣廠同時負責多個氣田及其他探區(qū)的開發(fā)建設(shè)和管理,承擔著部分氣量轉(zhuǎn)輸以及向華北地區(qū)及周邊城市供氣的艱巨任務(wù)。
采氣廠在2015年8月和2016年5月,先后發(fā)生兩次異常停機事件,事件影響惡劣并直接造成了巨大的經(jīng)濟損失,然而事故原因無法查證。事件引起公司管理層對工業(yè)控制系統(tǒng)安全的高度重視,并將工控系統(tǒng)安全防護提升到戰(zhàn)略層面。
三、需求分析
從接到客戶需求的那一刻起,北京威努特技術(shù)有限公司(以下簡稱威努特)以實時高效為前提、安全可靠為目標、主動防御為手段,力求為該采氣廠工控系統(tǒng)的安全防護量身打造精準的解決方案。
工控系統(tǒng)安全防護區(qū)別于信息系統(tǒng)安全防護的一個重要特征就是:防護的方案一定是基于對客戶生產(chǎn)工藝流程的了解。從大的方面講,工控安全是生產(chǎn)安全的一部分,所有安全防護的目標就是保證生產(chǎn)的安全穩(wěn)定運行,因此工控系統(tǒng)的實地調(diào)研和風險評估是一個非常重要的環(huán)節(jié),通過該環(huán)節(jié),才可以真正讓安全需求落地。
經(jīng)過調(diào)研和評估,威努特總結(jié)出如下幾個關(guān)鍵的安全薄弱環(huán)節(jié):
?管理網(wǎng)與外網(wǎng)連接,生產(chǎn)網(wǎng)與管理網(wǎng)互通,生產(chǎn)網(wǎng)與管理網(wǎng)邊界存在重大安全隱患。
?作為數(shù)據(jù)采集及存儲的關(guān)鍵部分,OPC 服務(wù)器存在諸多安全隱患。
?工業(yè)控制相關(guān)的應(yīng)用系統(tǒng)普遍存在弱口令問題,這也反映出安全意識的不足。
?工控主機中會存儲一些重要的文件,但是文件一般未加密,容易造成核心數(shù)據(jù)丟失,同時病毒感染的現(xiàn)象普遍。
?便攜式工程師站、操作員站防護手段不足,會成為病毒、木馬入侵的跳板。
四、方案設(shè)計
網(wǎng)絡(luò)安全從來都不是孤立的,我們在強調(diào)技防的同時,也要重視從管理入手去杜絕安全隱患,因此整個安全方案第一步就是幫助客戶建立起一套有針對性的工控安全管理體系。
依托對工業(yè)網(wǎng)絡(luò)和工業(yè)協(xié)議的深度認知和深入研究,威努特公司在工控安全領(lǐng)域積累了深厚的技術(shù)基礎(chǔ),結(jié)合該采氣廠的現(xiàn)狀及特點,威努特設(shè)計了涵蓋工控系統(tǒng)邊界防護、區(qū)域防護和主機防護的縱深防御解決方案,部署了包括威努特工業(yè)防火墻、工控主機衛(wèi)士(主機安全加固)以及統(tǒng)一安全管理平臺等在內(nèi)的一系列自主研發(fā)的安全防護產(chǎn)品。
方案邏輯拓撲如下:
五、項目實施
確定方案后,技術(shù)服務(wù)團隊首先對感染病毒的主機進行病毒清理工作。不同于辦公主機的殺毒,工控主機的病毒清理需要慎之又慎,在最大化降低對生產(chǎn)控制影響的同時,還要考慮到病毒清理可能對應(yīng)用軟件的破壞,因此需要先備份,后殺毒。在備份主機上確認殺毒方案對當前系統(tǒng)沒有影響的情況下,才真正在目標主機上開展相關(guān)病毒清理工作,病毒清理干凈后,部署主機衛(wèi)士進行最終的加固。
在不同的作業(yè)區(qū)與管理網(wǎng)的邊界部署工業(yè)防火墻,在做好有效的訪問控制的同時,通過工業(yè)協(xié)議的深度解析和指令級控制,有效阻斷來在生產(chǎn)網(wǎng)之外的對工控系統(tǒng)的攻擊行為。要做好工控協(xié)議的深度解析和指令級控制,首先要建立完整的業(yè)務(wù)模型,這一方面要借助工業(yè)防火墻的工業(yè)協(xié)議智能學習功能,同時也要結(jié)合人工的分析和調(diào)整,真正實現(xiàn)該阻斷的絕不放過,該通過的絕不阻斷。作為現(xiàn)場的服務(wù)工程師,仔細的觀察數(shù)據(jù)的流量、分析業(yè)務(wù)的邏輯并確認業(yè)務(wù)模型的準確性是一個關(guān)鍵的環(huán)節(jié)。
六、防護效果
方案的落地給該客戶帶來的價值是明顯的,不管是工業(yè)防火墻還是工控主機衛(wèi)士,實實在在的起到了應(yīng)有的防護作用,通過幾張現(xiàn)場的截圖,更清楚的展現(xiàn)給讀者。
?工控主機衛(wèi)士有效阻止非法程序運行,如圖所示:
?工控主機衛(wèi)士對移動存儲設(shè)備精準管控,如圖所示: 
?工業(yè)防火墻成功阻斷外網(wǎng)甚至是境外IP的非法訪問,如圖所示:
七、總結(jié)
從總體上看,我國工業(yè)控制系統(tǒng)信息安全防護體系建設(shè)滯后于系統(tǒng)本身的建設(shè),還處于初級階段。工業(yè)控制系統(tǒng)種類繁多、協(xié)議復雜,那么工控安全就不能搞一刀切,傳統(tǒng)的安全防護思路要繼承,但更要因地制宜、量體裁衣。工控安全是一個更專業(yè)、更細化的安全分支,需要每一個從業(yè)者不斷開拓創(chuàng)新,從而為國家的網(wǎng)絡(luò)空間安全戰(zhàn)略貢獻力量。
