今日頭條
官方微信
官方抖音
案例頻道摘要:在早期,由于信息化發(fā)展水平有限,工業(yè)控制系統(tǒng)與信息管理層基本上處于隔離狀態(tài)。因此,企業(yè)的信息化建設首先從信息層開始,經過10多年的建設積累,信息層的信息化建設已經有了較好的基礎,涉及到了鋼鐵、勘探、加工、煉化、化工、儲運等諸多工業(yè)領域,企業(yè)在管理層的指揮、協(xié)調和監(jiān)控能力都有很大提升,提高了生產信息上傳下達的實時性、完整性和一致性,相應的網絡安全防護也有了較大提高。在信息管理層面,企業(yè)在生產領域大量引入IT技術,同時也包括各種如防火墻、IDS、VPN、防病毒等IT網絡安全技術,這些技術主要面向商用網絡應用層面,技術應用方面也相對成熟。
關鍵詞:訪問控制;行為監(jiān)測;白名單;行為基線;鋼鐵;工業(yè)控制系統(tǒng);信息安全
Abstract: In the early days, due to the limitation of developmentof informatization, industrial control system and informationmanagement were basically in isolation. Therefore, if enterprisewants togetinformatization construction, itshould begin withinformation layer. After more than ten years' accumulation, theinformatization construction of information layer already has agood foundation which involves many industrial fields such assteel,exploration, processing,refining,chemical industry, storageand transportation, etc. The ability of command, coordination andmonitoring of enterprise management has been greatly improved,the transmission of the production information becoming timely,complete and consistent, and the relating network security protectionhas been also greatly improved. In the management of information,enterprises introduce a large number of IT technology in theproduction field, meanwhile they introduce other IT network security technologylikeavarietyoffirewall,IDS,VPN,antivirus,etc.These technologies are mainly aimed at commercial network applicationsand the technology applications are also more mature.
Key words: Access control; Behavioral monitoring; White list; Behavioralbaseline; Steel; Industrial control system; Informational security
1 設計背景
鋼鐵行業(yè)是自動化普及度較高的行業(yè)之一,同時也是對工業(yè)控制系統(tǒng)的穩(wěn)定性和控制策略復雜性要求很高的行業(yè)。系統(tǒng)一旦出現(xiàn)故障,不僅造成巨大的經濟損失和能源安全沖擊,還會造成人身安全影響。因此對控制層的網絡安全重視程度最高。
河北某鋼鐵自動化建設相對完善,但對于其控制系統(tǒng)網絡仍處于空白部分,本設計在分析工業(yè)控制中心信息安全需求的基礎上,通過部署信息安全設備,對工業(yè)控制中心信息安全建設提供合理依據(jù)。
1.1 設計范圍
本設計針對XX鋼鐵軋鋼產線及煉鋼產線控制環(huán)境信息安全進行設計,按IEC62443的層級劃分結構,本設計旨在對L1-L3層級信息安全進行設計。
1.2 設計原則
(1)技術可行性原則
設計過程中采用可落地的信息安全技術應用,確保選擇的信息安全手段可發(fā)揮既定的作用。
(2)生產可用性優(yōu)先原則
設計過程需要建立在生產流程的基礎上,除非必須場景外,在L1.5層級不采用阻斷類的管控手段,從而保障生產過程不受信息安全策略的影響,確保不會造成二次安全威脅。
(3)經濟性原則
設計過程中需考慮經濟的有效利用,合理應用技術手段,避免資源浪費。
(3)合規(guī)性原則
設計過程需依照《工業(yè)信息安全防護指南》、《等保2.0工業(yè)擴展部分》等國家標準,確保建設過程符合國家相關要求;同時也需參照《IEC62443》《SP800-82》等國際領先標準,依照相關信息安全標準,確保設計的合理性。
(4)生命周期延續(xù)原則
設計采用成熟穩(wěn)定的主流技術手段,保障在業(yè)務生命周期內的信息安全防護,在保障期間內,應用技術不處于落后淘汰范圍。
2 信息安全威脅分析
2.1 網絡結構梳理
2.1.1 軋鋼產線
某鋼鐵軋鋼產線網絡結構如圖1所示:
圖1 某鋼鐵軋鋼產線原始拓撲
軋鋼產線包含加熱爐區(qū)域、主扎線區(qū)域、平整加工區(qū)域、磨輥區(qū)域,其中主扎線區(qū)域可以根據(jù)工段劃分為粗軋、精軋、卷曲區(qū)域。
其中加熱爐區(qū)域、平整加工區(qū)域、磨輥區(qū)域在網絡結構中相對獨立。特別為磨輥區(qū)域,其L1~L2層未與其他系統(tǒng)連接。主扎線區(qū)域相對復雜,粗軋與精軋共用一套電氣室,在控制流程中,無法在物理層面區(qū)分。卷曲主控接入節(jié)點為粗精軋Switch3/6,間接與卷曲電氣室(Switch5)連接。
2.1.2 煉鋼產線
某鋼鐵煉鋼(150T轉爐&150連鑄)產線網絡結構如圖2所示:
圖2 某鋼鐵煉鋼產線原始拓撲
煉鋼產線網絡結構相對復雜,同時煉鋼網絡中存在大量環(huán)網應用,具體參考圖3,其中紅色標記鏈路為環(huán)網鏈路:
圖3 某鋼鐵煉鋼產線環(huán)網應用
環(huán)網交換機連接均連接多條鏈路,造成訪問控制裝置無法有效部署,同時由于環(huán)網鏈路的建立通常包含了環(huán)網交換機的私有協(xié)議,工業(yè)防火墻不具備上述寫,故不可以串接在環(huán)網主干鏈路中。
2.2 網絡層威脅分析
網絡層威脅主要體現(xiàn)在訪問控制、流量內容過濾,未知流量方面。
2.2.1 未經授權的訪問
當前在各個產線控制系統(tǒng)中,通過Vlan進行了網段劃分,但仍存在利用交換機作為“中間人”對下發(fā)起訪問的行為。
同時,軋鋼產線特別是粗精軋產線存在共用控制器的場景,上述環(huán)境造成理論中存在異常操作可能。
2.2.2 拒絕服務攻擊
若在網絡中任意節(jié)點下發(fā)大量無效報文,會對正常通信造成影響,從而影響生產。在網絡層面而言,究其原因缺少針對報文的有效識別及過濾能力,無法過濾無效報文內容。
2.2.3 未知流量威脅
對于未知流量,缺少有效的識別及管控手段,無法判定網絡中是否存在漏洞利用攻擊行為,需要在網絡層面實現(xiàn)對于漏洞攻擊的有效識別及防范。
2.2.4 利用無線網絡的入侵行為
軋鋼產線中Switch3接入設備包含無線AP,無線網絡因其開放性,相比于傳統(tǒng)網絡更易造成網絡侵入,存在仿冒設備接入的可能。
2.3 主機層信息安全威脅
2.3.1 惡意代碼
部分操作工或運維人員通過移動存儲設備或感染惡意代碼的個人PC與控制系統(tǒng)中上位機進行連接,造成惡意代碼植入上位機。
2.3.2 非法存儲介質接入
在工程建設或生產過程中不可避免涉及到移動存儲介質的接入問題,當前缺少對移動存儲介質可信性進行認證的措施,這也是主機惡意代碼的主要來源。
2.3.3 脆弱性威脅
工業(yè)應用及主機存在眾多已知漏洞,上述漏洞則會成為攻擊者利用的條件,對生產環(huán)境進行影響。
2.4 主機層信息安全威脅
2.4.1 缺少進程、服務管控
由于工控機特別是老式工控機性能受限,且其物理環(huán)境缺少必要的監(jiān)控,存在操作人員利用工程師站、操作員站計算資源進行非生產操作的場景。
2.4.1 應用脆弱威脅
工業(yè)應用如SCADA、組態(tài)編程軟件,其通常不進行補丁加固,存在較多已知漏洞,造成漏洞攻擊成本降低,易遭受漏洞利用攻擊。
2.5 數(shù)據(jù)層信息安全威脅
控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議,其在設計支持考慮多為數(shù)據(jù)傳輸?shù)膶崟r性、容錯性等,無安全層面考慮,造成其中數(shù)據(jù)部分多為明文或HEX類型數(shù)據(jù),通過對報文監(jiān)聽即可獲取數(shù)據(jù)內容,造成生產數(shù)據(jù)的外泄。
3 信息安全設計
3.1 設計思路
依照行為基線,整體安全設計參照“白名單”環(huán)境進行設定,即僅限定合法流量、進程、服務的應用。
在IT環(huán)境下由于流量種類及目標指向過于繁雜,白名單很難執(zhí)行落地,在工業(yè)環(huán)境下,通信結構及流量、應用較IT環(huán)境簡化,基于白名單結構可以更簡單實現(xiàn)安全策略的落地。
3.2 安全域劃分
對網絡各個系統(tǒng)進行安全域劃分,目的旨在切割風險,同時方便管理策略的執(zhí)行。
軋鋼產線具體劃分如圖4所示:
圖4 某鋼鐵軋鋼產線安全域劃分
根據(jù)軋鋼連扎車間的生產流程及接入環(huán)境,共劃分為6個區(qū)域,如圖5所示,分別為加熱爐控制區(qū)、磨輥控制區(qū)、主扎線控制區(qū)、平整加工控制區(qū)及無線接入區(qū)等。
圖5 某鋼鐵煉鋼產線安全域劃分
3.3 技術設計
3.3.1 訪問控制設計
(1)與非控制系統(tǒng)邊界訪問控制設計
為保障IT至OT網絡間實現(xiàn)對于指令級別的訪問控制,需要部署具備對功能工業(yè)協(xié)議識別的訪問控制裝置。目前等保2.0對控制區(qū)與非控制區(qū)邊界要求實現(xiàn)單向隔離即協(xié)議剝離,故在該節(jié)點建議將原防火墻替換為工業(yè)網閘實現(xiàn)訪問控制功能。
圖6 二級中控與非控制區(qū)邊界訪問設計
圖7 磨輥車間與非控制區(qū)邊界訪問控制設計
煉鋼車間中150T轉爐五樓值班室具備對其他網絡接口,包括OA系統(tǒng)(辦公)、MES系統(tǒng)(生產管理)、質量系統(tǒng)(ERP),其均為對生產數(shù)據(jù)進行分析、研判等應用,根據(jù)劃分,屬于非控制區(qū)域。
圖8 煉鋼車間與非控制區(qū)邊界訪問控制設計
(2)產線間控制系統(tǒng)邊界訪問控制設計
XX鋼鐵采用的數(shù)采網關為windows PE操作系統(tǒng),在隔離作用中可視作雙網卡PC,僅實現(xiàn)通訊協(xié)議的采集及轉發(fā)功能,較易作為“中間跳板”對軋鋼產線進行非法訪問,綜上所述,數(shù)采網關不具備邊界隔離作用。需要在其邊界部署訪問控制手段實現(xiàn)對于其他產線訪問流量管控。
圖9 與其他產線控制邊界訪問控制設計
(3)無線區(qū)域邊界訪問控制設計
無線接入區(qū)域中輥道小車均為獨立控制(本地HMI),部分數(shù)據(jù)通過Wi-Fi傳輸與其他區(qū)域,該區(qū)域相對其他區(qū)域,安全性較低,需要增加訪問控制措施實現(xiàn)不同安全等級安全域的隔離。
圖10 無線區(qū)域邊界訪問控制設計
(4)區(qū)域間訪問控制設計
在生產網中,網絡邊界防火墻將以最小通過性原則部署配置,根據(jù)業(yè)務需求采用白名單方式,逐條梳理業(yè)務流程,增加開放IP和開放端口,實現(xiàn)嚴格流量管控。
圖11 加熱爐控制區(qū)與主扎線區(qū)域邊界訪問控制設計
3.3.2 網絡行為監(jiān)測設計
(1)操作行為監(jiān)測設計
在控制器前端交換機部署監(jiān)測審計手段,用來實現(xiàn)對于操作過程的監(jiān)測。
(2)訪問流量回溯
針對控制系統(tǒng)外對控制系統(tǒng)訪問內容進行回溯,該設計要求行為審計不僅對工業(yè)流量進行解析,而且對遠程桌面、telnet等行為進行有效解析,同時針對控制器與上位機固定通訊流量進行監(jiān)測并統(tǒng)計。
(3)網絡白名單
通過策略設定或自學習,對網絡監(jiān)測節(jié)點協(xié)議進行白名單過濾,限定可流通協(xié)議,對于限定外協(xié)議進行報警。
3.3.3 主機行為管控設計
主機白名單客戶端部署于軋鋼產線全部PC,原則上不允許存在例外,通過對終端的管控,構成工業(yè)安全實質層面最外層的安全防線。
(1)進程及服務管控
主機白名單以最小化設定為原則,對主機中應用進行管控,針對目標應用必要進程及服務開放白名單,非限定進程及服務均禁止運行。該策略在保證生產持續(xù)進行條件下有效降低對工控計算資源的占用。
(2)接口管控
對軋鋼產線中移動存儲介質通過終端管控進行分級授權,未經授權移動存儲介質從驅動層面禁用。在管理層面,禁止運維移動終端作為工程師個人PC,第三方調試PC均需要納入終端管控范圍。
3.3.4 脆弱性檢測設計
采用離線工控系統(tǒng)漏洞掃描和入網檢測,對目標設備進行掃描,凡是生產網內工業(yè)控制系統(tǒng)中所特有的設備/系統(tǒng)必須經工控漏洞掃描檢測合格后,方能具備入網資格。
4 部署結構及說明
4.1 部署結構
軋鋼產線部署結構如圖12所示:
圖12 軋鋼產線信息安全整體部署結構圖
本次設計在不改變原有網絡結構的基礎上,將原有網絡劃分為6個獨立區(qū)域,在其間部署訪問控制手段進行隔離;控制器接入前端部署審計探針,對出入棧內容進行解析及檢測;全部主機部署主機白名單面對進程及服務進行管控;漏洞掃描以服務形式,對停產維護資產以及新上線系統(tǒng)進行健康性檢測。
煉鋼產線部署結構圖如圖13所示:
圖13 煉鋼產線信息安全整體部署結構圖
由于環(huán)網主干鏈路的存在,煉鋼車間部分區(qū)域無法進行有效訪問控制。同時由于煉鋼車間與軋鋼車間間隔兩臺數(shù)據(jù)采集網關,造成網絡不可達,故在部署過程中煉鋼產線也部署一套獨立的審計系統(tǒng)。
4.2 技術對應設備說明
表1 技術對應設備說明
5 補充設計說明
由于本次設計僅針對軋鋼產線及煉鋼產線,建議在全廠基礎設施信息安全建設完畢后,增加全廠信息安全調度平臺及廠級工業(yè)信息安全態(tài)勢感知平臺及相關服務應用。
整體信息安全防護框架如圖14所示:
圖14 安全框架設計
整體框架分別由安全防護體系、態(tài)勢感知體系及應急響應體系構成,三套體系分別承擔生產網中的安全防護及安全檢測能力,安全場景分析能力,安全應急響應能力。三套體系數(shù)據(jù)交互,構成整體縱向防御架構。
作者簡介:
馬霄(1988-),男,自動化、工商管理雙學士學位,現(xiàn)任北京天融信網絡安全技術有限公司解決方案中心總監(jiān),主要研究領域為工業(yè)控制系統(tǒng)信息安全、工業(yè)互聯(lián)網安全、內生安全等。
摘自《自動化博覽》2020年2月刊
北京市公安局海淀分局備案號:11010802023656號