今日頭條
官方微信
官方抖音
案例頻道★ 白彥茹 北京天融信網(wǎng)絡安全技術有限公司
摘要:化工行業(yè)是國民經(jīng)濟中不可或缺的重要組成部分。化工工業(yè)控制系統(tǒng)作為國家關鍵信息基礎設施,對穩(wěn)定性和安全性要求很高。本文對化工工控系統(tǒng)面臨的網(wǎng)絡安全風險進行了分析,提出了基于安全風險動態(tài)管控理念的安全建設思路,并對化工工控系統(tǒng)構(gòu)建縱深安全防御體系,以及其中的安全技術應用進行了探討。
關鍵詞:化工;安全基線;關鍵信息基礎設施;工業(yè)信息安全體系
1 引言
隨著化工企業(yè)數(shù)字化轉(zhuǎn)型的持續(xù)推進,化工工控系統(tǒng)呈現(xiàn)開放互聯(lián)的發(fā)展趨勢,與此同時也面臨更多的安全威脅。由于化工生產(chǎn)過程存在諸多易燃易爆的高危環(huán)節(jié),一旦發(fā)生故障不僅會造成巨大的經(jīng)濟損失和安全沖擊,還可能造成人員傷亡,因此需重點加強化工工控系統(tǒng)信息安全建設工作,針對化工業(yè)務流程特征和安全風險構(gòu)建縱深安全防護體系,進一步保障國家關鍵信息基礎設施安全。
2 網(wǎng)絡安全風險分析
化工行業(yè)屬于典型的流程型行業(yè),各生產(chǎn)環(huán)節(jié)關聯(lián)性較強。為滿足生產(chǎn)控制過程及時、穩(wěn)定、可靠等業(yè)務需求,化工企業(yè)通常采取調(diào)度中心集控、現(xiàn)場操作站分控以及現(xiàn)場控制設備程控相結(jié)合的控制模式,應用分散型控制系統(tǒng)(DCS)、聯(lián)鎖保護系統(tǒng)(SIS)、生產(chǎn)環(huán)境監(jiān)測系統(tǒng)(GDS)等控制系統(tǒng),生產(chǎn)過程控制技術較為成熟。但是我國化工行業(yè)控制網(wǎng)絡安全體系建設起步較晚,業(yè)內(nèi)技術人員網(wǎng)絡安全意識淡薄,存在較多安全威脅和風險。
2.1 網(wǎng)絡架構(gòu)安全風險
典型化工工控系統(tǒng)架構(gòu)[1]參考IEC62264-1功能層次模型,如圖1所示,可劃分為0~4共五個層級。
圖1 典型化工工控系統(tǒng)架構(gòu)
目前化工工控系統(tǒng)整體網(wǎng)絡架構(gòu)在設計之初并未充分考慮網(wǎng)絡安全,網(wǎng)絡中各區(qū)域之間沒有明顯的邊界,不同控制區(qū)域間的設備和網(wǎng)絡存在互聯(lián)互通現(xiàn)象。可能存在以下風險:
(1)調(diào)度中心被越權(quán)訪問,導致調(diào)度中心數(shù)據(jù)被惡意刪除或篡改,嚴重影響調(diào)度中心決策。
(2)現(xiàn)場操作站被越權(quán)訪問或其它誤操作等行為,造成監(jiān)控數(shù)據(jù)被竊取、濫用甚至損壞,導致重要工藝參數(shù)或重要指令被篡改,嚴重影響生產(chǎn)控制系統(tǒng),甚至導致整個控制過程異常或停滯。
(3)調(diào)度中心服務器遭受來自辦公網(wǎng)的病毒、木馬等攻擊,造成調(diào)度中心操作員站及現(xiàn)場工程師站被入侵,導致現(xiàn)場控制單元(即DCS、PLC)遭到破壞,影響現(xiàn)場控制設備的正常運行。
2.2 工業(yè)漏洞安全風險
化工工控系統(tǒng)大多采用國外品牌的控制系統(tǒng)(例如Honeywell、Emerson、Yokogawa、Siemens等),在控制單元或工業(yè)應用軟件中可能存在木馬后門等安全漏洞,為控制系統(tǒng)的穩(wěn)定運行埋下安全隱患。針對這些漏洞的攻擊手段也是多種多樣的,基于漏洞的網(wǎng)絡攻擊同樣會引發(fā)較多安全問題。典型攻擊手段如下:
(1)利用應用軟件對用戶身份的鑒別缺失發(fā)起攻擊。
(2)利用控制系統(tǒng)的網(wǎng)絡協(xié)議漏洞發(fā)起攻擊。
(3)利用提供給第三方設備廠商的遠程維護通道發(fā)起攻擊。
(4)利用傳統(tǒng)安全設備無法鑒別工業(yè)協(xié)議的缺陷發(fā)起攻擊。
2.3 病毒感染安全風險
考慮到化工工控系統(tǒng)運行的穩(wěn)定性,通常工業(yè)主機很少進行操作系統(tǒng)和應用軟件的補丁更新[2],也很少安裝殺毒軟件,更不會及時更新殺毒軟件的病毒庫。化工企業(yè)大多缺少對外設、進程的管控措施,病毒或木馬程序可能通過USB外設接口、文件傳輸?shù)确绞綆牍I(yè)主機中,對主機造成破壞或通過感染工業(yè)主機對PLC等控制單元發(fā)起攻擊,導致控制系統(tǒng)故障或造成經(jīng)濟損失。
2.4 未授權(quán)訪問安全風險
化工工控系統(tǒng)內(nèi)各網(wǎng)絡層級之間大多沒有采用有效的區(qū)域隔離管控手段,面對工業(yè)領域中的攻擊,如通過調(diào)度中心或其他合法源地址發(fā)起的異常操作行為,無法進行有效的阻斷或報警,從而導致安全事故的發(fā)生。此外,化工工控系統(tǒng)各系統(tǒng)間的訪問控制策略存在空白,未對不同安全域之間設備和數(shù)據(jù)的非授權(quán)訪問行為進行禁止,可能造成惡意代碼的入侵,或者內(nèi)外部非法人員或非法組織對控制系統(tǒng)的攻擊和破壞。
2.5 運維管理安全風險
化工工控系統(tǒng)現(xiàn)場站點數(shù)量較多,地理位置分散,但是在安全監(jiān)控及維護過程中缺少統(tǒng)一的安全集中管理手段,造成運維管理難度增大,降低了整體效率和實用性,且未設置完整有效的安全策略與管理流程,應急響應機制不完善,在管理層面存在較多安全隱患。
3 安全體系建設思路
化工工控系統(tǒng)作為國家關鍵信息基礎設施,其生產(chǎn)運營過程是一個復雜的過程,其中不僅有設備、網(wǎng)絡的因素,還包括生產(chǎn)流程、業(yè)務保障等因素。面對化工行業(yè)諸多的網(wǎng)絡安全風險,僅依靠訪問控制、安全審計、入侵檢測、主機白名單等單點防御技術手段無法應對復雜多變的網(wǎng)絡安全形勢。
化工工控系統(tǒng)安全體系建設需遵循《信息安全技術網(wǎng)絡安全等級保護基本要求》[3]《關鍵信息基礎設施安全保護條例》[4]《信息安全技術關鍵信息基礎設施安全保護要求》[5]等國家相關法規(guī)要求,從保障業(yè)務系統(tǒng)可用性、完整性和保密性角度出發(fā),深入調(diào)研業(yè)務系統(tǒng)流程和資產(chǎn)狀況,切實分析網(wǎng)絡安全風險,貼合化工行業(yè)業(yè)務特征構(gòu)建安全基線,基于安全風險動態(tài)管控建設思路為化工工控系統(tǒng)構(gòu)建動態(tài)、縱深的工業(yè)信息安全防御體系,如圖2所示。
圖2 化工工控系統(tǒng)安全體系建設思路
4 縱深安全防御體系建設
4.1 安全防護原則
本文以增強化工工控系統(tǒng)安全防護能力、抵御外部威脅、消除內(nèi)部隱患為建設目標開展防護體系建設,并遵循以下安全防護原則:
(1)分層分域防護原則
根據(jù)化工工控系統(tǒng)業(yè)務流程合理劃分網(wǎng)絡層級和安全域,旨在切割風險,即任意一點遭受攻擊或網(wǎng)絡風暴不會對其它生產(chǎn)過程產(chǎn)生影響,同時方便管理策略的執(zhí)行。
(2)以關鍵業(yè)務為核心的整體防控
化工工控系統(tǒng)安全保護應以保護關鍵業(yè)務為目標,對業(yè)務所涉及的一個或多個網(wǎng)絡和信息系統(tǒng)進行體系化安全設計,構(gòu)建整體安全防控體系。
(3)以風險管理為導向的動態(tài)防護
對化工工控系統(tǒng)所面臨的安全威脅態(tài)勢進行持續(xù)監(jiān)測,并根據(jù)風險監(jiān)測分析結(jié)果調(diào)整安全控制措施,形成動態(tài)的安全防護機制,及時有效地防范安全風險。
(4)以信息共享為基礎的協(xié)同聯(lián)防
加強與化工企業(yè)、研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)及業(yè)界專家之間的溝通與合作,構(gòu)建信息共享、協(xié)同聯(lián)動的共同防護機制,提升化工工控系統(tǒng)應對大規(guī)模網(wǎng)絡攻擊的能力。
4.2 安全防護體系框架
本文從風險識別、風險防御、風險檢測、風險分析和響應處置等維度開展化工工控系統(tǒng)縱深安全防御體系建設。體系框架如圖3所示。
圖3 化工工控系統(tǒng)縱深安全防御體系框架
4.3 風險識別能力建設
風險識別能力建設包括化工工控系統(tǒng)資產(chǎn)識別、脆弱性識別、威脅識別、安全策略識別等內(nèi)容,是開展風險防御、風險檢測、風險分析、響應處置等活動的基礎。
化工工控系統(tǒng)風險識別通常采用人工分析與專業(yè)檢測工具相結(jié)合的方式進行,對系統(tǒng)中的資產(chǎn)、脆弱性、威脅、策略等進行識別,清晰定義各資產(chǎn)的安全風險。例如采用專業(yè)的工控漏洞檢測工具,對化工工控網(wǎng)絡進行全面的漏洞檢測,發(fā)現(xiàn)安全漏洞和脆弱性,檢測關鍵業(yè)務系統(tǒng)和重要設備存在的安全風險;采用基線核查工具和人工核查方式識別化工工控系統(tǒng)采用的安全技術防護策略及安全配置信息等內(nèi)容中的安全隱患。
4.4 風險防御能力建設
風險防御即采用邊界隔離、訪問控制、惡意代碼防范、主機管控等一切可能的措施來保護化工工控系統(tǒng)網(wǎng)絡安全。
化工工控系統(tǒng)風險防御能力建設應基于業(yè)務中存在的安全風險及脆弱性,結(jié)合業(yè)務流程建立安全基線,采用以“白名單”為主要防護措施,以“黑名單”為輔助驗證措施的技術手段,從不同的安全防護點入手降低化工工控網(wǎng)絡系統(tǒng)完整性及可用性被破壞的可能性。
在訪問控制方面,應基于工業(yè)協(xié)議深度解析技術并結(jié)合白名單機制,對化工工控系統(tǒng)中的訪問內(nèi)容進行細粒度控制,防范非授權(quán)訪問行為;在主機管控層面,應安裝基于“白名單”的主機安全防護軟件,以最小化原則配置相應的安全策略,實現(xiàn)對化工工控系統(tǒng)主機終端的服務、進程和外設接口的安全管控,阻止惡意程序、病毒木馬以及與系統(tǒng)運行無關的應用程序的運行。
4.5 風險檢測能力建設
風險檢測可以了解和評估化工工控系統(tǒng)的安全狀態(tài),為后續(xù)進行安全防護策略優(yōu)化和安全事件響應提供依據(jù),從而有效阻止網(wǎng)絡攻擊。
化工工控系統(tǒng)風險檢測能力建設涵蓋設備狀態(tài)檢測、數(shù)據(jù)變化率檢測、異常流量檢測、外來入侵檢測等層面,通過部署適用于工控環(huán)境的安全檢測類設備實現(xiàn)對以上內(nèi)容的檢測,基于安全基線實時監(jiān)測、識別網(wǎng)絡安全中的灰色行為,獲取各個節(jié)點的安全數(shù)據(jù)和異常數(shù)據(jù),作為風險分析和響應處置的基礎數(shù)據(jù)來源,從工業(yè)信息安全本質(zhì)出發(fā)解決安全問題。
4.6 風險分析能力建設
風險分析目標旨在對化工工控網(wǎng)絡中的異常行為、安全事件、未知威脅等信息進行多維度統(tǒng)計與分析,從而及時發(fā)現(xiàn)網(wǎng)絡安全風險隱患并進行威脅溯源。
化工工控系統(tǒng)在業(yè)務應用流程和應用方式方面與傳統(tǒng)IT網(wǎng)絡相比存在較大差異,傳統(tǒng)的基于五元組和協(xié)議分析的技術手段不適用于化工工控系統(tǒng)安全風險分析。基于五元組的分析手段存在漏報和誤報的可能,無法鑒別基于正常操作流程的異常違規(guī)行為;協(xié)議分析只能將此類行為對應的零散數(shù)據(jù)報文截獲出來,生成一條條的事件信息,而無法對這些事件信息進行關聯(lián)分析,無法將其轉(zhuǎn)化為有意義的事件告警信息。
因此化工工控系統(tǒng)風險分析能力構(gòu)建首先需要找出存在業(yè)務流程中的用戶訪問行為、操作行為等不同行為的規(guī)律和特征,從業(yè)務角度配置安全基線,作為評判異常事件的參考依據(jù);其次需要構(gòu)建安全態(tài)勢分析中心,采集化工工控系統(tǒng)中的安全監(jiān)測數(shù)據(jù),利用大數(shù)據(jù)手段對所有監(jiān)測信息進行整合分析,發(fā)現(xiàn)針對業(yè)務系統(tǒng)的違規(guī)行為,真正發(fā)現(xiàn)安全事件并進行告警;最后依據(jù)風險分析結(jié)果下發(fā)策略至安全防護設備、安全審計設備以及應急響應團隊執(zhí)行安全策略的落地,形成基于關聯(lián)分析技術手段的縱向安全防護體系。
4.7 響應處置能力建設
響應處置是化工工控系統(tǒng)安全防御體系中重要的一個環(huán)節(jié),通過對安全事件的及時響應和處置恢復,阻止網(wǎng)絡攻擊破壞并降低經(jīng)濟損失,恢復化工工控系統(tǒng)安全狀態(tài)和丟失的數(shù)據(jù)信息。
化工工控系統(tǒng)可從安全事件應急響應、系統(tǒng)安全加固、安全策略優(yōu)化、系統(tǒng)脆弱性修復等方面開展響應處置能力建設。
(1)安全事件應急響應
建設覆蓋化工工控網(wǎng)絡的應急響應服務支撐體系,對基礎通信網(wǎng)絡、重點應用、核心業(yè)務系統(tǒng)等進行實時的安全態(tài)勢分析和應急監(jiān)控,在遇到安全風險時及時發(fā)出預警,采取應急處置措施,保障化工業(yè)務系統(tǒng)穩(wěn)定可靠運行。
(2)系統(tǒng)安全加固
依據(jù)化工工控系統(tǒng)安全風險監(jiān)測和分析結(jié)果,識別系統(tǒng)中可能被攻擊的路徑,采取增加安全防護設備等方式對系統(tǒng)進行合理的安全加固。
(3)安全策略優(yōu)化
針對化工工控系統(tǒng)自身脆弱性和安全風險對安全配置信息作出調(diào)整,優(yōu)化并更新安全策略,提高化工工控系統(tǒng)健壯性。
(4)系統(tǒng)脆弱性修復
通過工控漏洞掃描、安全基線核查等方式準確定位化工工控系統(tǒng)中存在的脆弱點和潛在威脅,根據(jù)風險分析結(jié)果給出漏洞修復建議和預防措施,以便及時采取安全措施進行脆弱性修復,提升化工工控系統(tǒng)抗攻擊能力。
5 安全防護價值
(1)提升化工工控網(wǎng)絡抗攻擊能力
建立多維度安全防御能力,使化工工控系統(tǒng)網(wǎng)絡能夠有效防護內(nèi)部和外部網(wǎng)絡惡意代碼、病毒木馬、ATP等攻擊,將安全風險降低到可控范圍內(nèi),減少安全事件的發(fā)生,保障化工工控系統(tǒng)高效、穩(wěn)定運行,減少因為安全事件帶來的經(jīng)濟損失。
(2)實現(xiàn)化工生產(chǎn)控制環(huán)境實時安全監(jiān)測
應用基于安全基線的監(jiān)測技術對化工工控網(wǎng)絡中的異常流量和異常行為進行監(jiān)測、對策略外的協(xié)議進行報警、對外來訪問流量進行回溯,以便對已發(fā)生的安全事件進行追蹤溯源,并分析判斷安全事件的起因,為事件應急處置和事件處理提供依據(jù)。
(3)構(gòu)建化工工控系統(tǒng)脆弱性檢查評估能力
應用脆弱性檢測評估工具,實現(xiàn)化工工控系統(tǒng)的安全漏洞和脆弱性檢查,對現(xiàn)有控制系統(tǒng)和新增設備進行脆弱性檢測,構(gòu)建脆弱性檢查評估能力,對化工工控系統(tǒng)的安全性進行管控。
(4)增強化工工控網(wǎng)絡安全管理能力
通過化工工控網(wǎng)絡安全防護體系的建設,將生產(chǎn)控制網(wǎng)絡進行安全域劃分,方便企業(yè)以安全域為最小管理單元進行安全策略制定、安全檢查等安全管理,增強化工工控系統(tǒng)的信息安全管理能力。
(5)構(gòu)建化工工控網(wǎng)絡安全風險動態(tài)防御能力為化工工控網(wǎng)絡構(gòu)建了集成風險識別、防御、檢測、響應、處置能力的閉環(huán)安全體系,實現(xiàn)了對網(wǎng)絡安全風險的動態(tài)安全管控,有效保障了化工工控系統(tǒng)完整性及可用性。
6 結(jié)語
化工行業(yè)工業(yè)信息安全體系建設應以提升化工工控系統(tǒng)安全防護水平,保障生產(chǎn)業(yè)務穩(wěn)定運行為核心目標,基于安全風險動態(tài)管控的安全建設思路構(gòu)建可持續(xù)優(yōu)化的縱深安全防御體系,實現(xiàn)網(wǎng)絡安全風險的持續(xù)監(jiān)測和動態(tài)防護能力、網(wǎng)絡安全事件的響應恢復能力以及網(wǎng)絡安全威脅抵抗能力的持續(xù)優(yōu)化與提升,從工業(yè)信息安全的本質(zhì)出發(fā),切實保障國家關鍵信息基礎設施安全運營。
作者簡介
白彥茹(1983-),女,河北人,中級工程師,學士,現(xiàn)就職于北京天融信網(wǎng)絡安全技術有限公司,主要研究方向為工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全相關技術和標準。
參考文獻:
[1] 許冬濤, 李桂蘭. 煤化工行業(yè)工業(yè)控制系統(tǒng)安全防護技術規(guī)范探索[J]. 現(xiàn)代信息科技, 2020, 12 : 136 - 139.
[2] 張曉明, 王麗宏, 何躍鷹, 何世平. 工業(yè)控制系統(tǒng)信息安全風險分析及漏洞檢測[J]. 物聯(lián)網(wǎng)學報, 2017, 1 : 34 - 39.
[3] GB/T 22239-2019. 信息安全技術 網(wǎng)絡安全等級保護基本要求[S].
[4] 中華人民共和國國務院. 關鍵信息基礎設施安全保護條例[Z]. 2021.
[5] GB/T 39204-2022. 信息安全技術 關鍵信息基礎設施安全保護要求[S].
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號