随着“工业4.0”时代的到来、“互联网+”的步伐加速、以及“两化融合”的深度融合,工业控制网络也向着分布式、智能化的方向迅速发展,越来越多基于TCP/IP的通信协议被采用,工业控制系统“孤岛”被打破。
与此同时,严峻的网络安全风险也如影随形。工业控制系统的网络化、智能化在提高生产效率和管理效率的同时,也为恶意攻击者增加了新的攻击途径,针对生产控制系统的攻击技术和手段不断发展,各种生产控制系统恶意软件以及安全事件层出不穷,使得生产控制系统面临越来越多的安全威胁和挑战。
从2010年伊朗“震网”事件的出现,2018年台积电WannaCry变种病毒感染事件以及2022年丰田汽车零部件供应商遭受网络攻击事件等,表明工业控制系统的安全威胁已经来临,甚至已经进入APT2.0时代。
某钢铁集团是集炼铁、炼钢、轧钢、制氧、焦化、余热发电等生产为一体的大型钢铁制造与相关配套产业综合体,是中国钢铁工业协会会员单位,全国500家大型企业集团之一,中国制造业500强。
钢铁行业积极响应号召,推进信息化建设,显著提升了钢铁行业的生产能力和管理水平,随着钢铁行业工控系统不断优化升级,工控环境并未部署任何安全防护类设备,工控网络环境成了网络攻击的最青睐的地方,因而工控安全建设成为当务之急。
经过对厂区办公网络及工业控制网络进行现场摸查、网络测试及使用习惯调研等,对比《信息安全技术网络安全等级保护基本要求》相关标准,整理出当前网络存在如下安全风险:
1) 办公网络与生产网络通过边界防火墙实现了逻辑隔离,但是在网络核心处交换机存在共用的情况,存在一定的安全隐患;
2) 生产网络是整个单位的重要网络,在逻辑架构上部署在了网络边界处,存在一定的安全风险;
3) 原则上办公网络与生产网络间只允许数据的单向传输,而在当前使用习惯中存在数据双向传输的情况。
1) 当前出口防火墙可以保证边界访问的数据流均通过防火墙的访问控制,但是目前缺乏对非授权设备私自联到内部或外部网络的行为进行有效的控制;
2) 无线网络与办公网络及生产网络间缺乏有效的访问控制机制,一旦无线网络被非法设备连接,那非法接入设备到办公网络甚至生产网络将会畅通无阻;
3) 当前办公网络与生产网络间的访问控制策略过于宽松,存在办公网络直接访问到生产网络甚至控制网络的情况,而控制网络是整个公司安全生产的命脉,与互联网存在互访的情况,安全隐患较大;
4) 办公网络与生产网络均没有有效的入侵检测机制,无法及时发现来自网络层面的攻击行为及网络层病毒风险;
5) 网络内部缺乏有效的审计机制,网络间访问的行为日志无法实现长时间的审计。
1) 工业控制系统中的主机、工控机等缺乏有针对性的防护手段,工业主机使用了相对主流的windows操作系统,因为网络架构的原因以及保证系统的稳定性和兼容性,目前难以进行必要的安全性补丁更新,而在当前的网络架构下,其暴露程度也相对较高,存在被植入病毒和各类间谍软件的风险;
2) 虚拟化设备中各系统间缺乏有效的隔离机制,逻辑上各虚拟操作系统间为一个大的安全域,一旦单机中了病毒,很容易在虚拟系统间传播,存在安全隐患;
3) 由于控制设备自身的设计特点,管理人员在对控制设备进行操作的时候缺乏有效的认证机制,存在越权访问的情况,而基于对各管理终端所在网络架构的安全分析,又存在被远程控制的风险,因此此处存在较大的安全隐患。
1) 工业控制网络整体安全等级的提升需要技术措施和管理措施相互提升,技术流程与管理流程相辅相成。
2) 经现场调研发现,该钢铁厂网络存在一定的管理制度缺失,员工远程办公或居家办公时可以直接使用第三方软件连接到办公网络,进而通过办公网络远程桌面到控制网络,此操作带来极大的安全隐患;
3) 网络内部U盘随意插拔的情况突出,极易造成病毒感染等。
总之,制定针对工控安全的管理制度、安全审计文件、行为审计制度、应急演练、分级分层负责制度迫在眉睫。
本方案根据系统在不同阶段的需求、业务特性及应用重点,参照等保标准,构建一套覆盖全面、重点突出、节约成本、持续运行的“一个中心,三重防护”纵深防御体系。本次设计中将实现网络安全互联,优化访问控制策略,构建安全计算环境,放眼于未来,构建钢铁加工厂安全的网络支撑平台。具体方案如下:
图1 工控网络安全示意图
将网络核心处的核心交换机拆分,办公网络与生产网络分别采用独立的核心交换机,促使办公网络与生产网络间访问路径清晰,边界防火墙作为办公网络到生产网络、办公网络到互联网之间唯一的边界防护设备,避免网络内部存在vlan间互访的可能。
在生产网络内部做安全域细致划分,通过工业防火墙产品划分内部安全域,实现细粒度的访问控制。
通过细化边界防火墙的访问规则,杜绝生产网络通过边界防火墙访问互联网的可能性;采用最小用户群的模式,只允许个别的办公网主机访问生产网络中个别终端,访问规则细化到单一源主机与单一目标主机,同时细化允许访问的协议,避免办公网主机与生产网主机间的越权访问;
在边界防火墙上阻断team viewer、向日葵等远程控制软件,避免形成隐患点,从制度上约束远程运维人员的行为,使远程运维的员工只能通过ssl-vpn设备访问。
在生产网中工业上位机及物理服务器上安装工业卫士白名单软件,控制仅允许运行受信任的PE文件,完善相应的加固策略,提升安全级别,阻止病毒、木马等恶意软件的执行和被利用,实现工控主机从启动、加载、运行等过程全生命周期的安全保障;
在生产网中虚拟化服务器上部署虚拟化安全产品,实现对云内所有虚拟机进行网络微隔离,针对云内任意虚拟机之间、不同子网之间、逻辑安全域之间的网络流量进行深度威胁检测与防护,同时实现对云内虚拟业务资产运行状态、网络流量状态与业务安全态势的全面可视。
基于安全集中管理的原则,在生产网部署工业监管平台产品。
安全监管平台设备可以对本次部署的网络安全设备进行统一监控和管理。监管平台产品能够与本项目中的工业防火墙、防火墙、工业审计、入侵检测、工业卫士等组成一整套工业网络安全防护体系,可以对工业网络安全设备进行统一管理、配置及部署安全规则,同时监测工业网络的通信流量与安全事件,并对工控网络内的安全威胁进行分析,提供包括行为记录、日志管理、设备管理、安全性分区等多项功能。
采用“分层分区、本体保护、智能分析、集中管控”工控系统网络防御体系建设,研究构建钢铁行业生产的最小工控网络安全域,并在基于最小工控网络安全域的基础上实现对钢铁行业工控网络的纵深防御,全面提升工业网络防护能力。
打造OT与IT融合的纵深防御体系
方案设计中通过部署工业卫士软件、智能工业防火墙、全流量威胁检测系统和威胁探针产品采用打造IT和OT融合的纵深防御体系,采用IT和OT数据融合技术、人工智能技术,基于工业大数据全流量持续监测系统中已知威胁和未知威胁。方案设计中威胁发现机制与智能工业防火墙联动处置威胁,防止入侵。
基于“深入业务,贴身服务”理念,借助优秀的工控安全解决方案供应商提升企业信息安全服务能力,借助IT和OT融合实战经验去“发现问题、分析问题、解决问题、预防问题”做到信息安全保障闭环。
有效提高企业安全运维工作效率
通过建立生产控制系统监管与预警平台,作为联动枢纽,实现网络中所有安全设备的数据汇总分析、数据共享及策略协同,打通终端、边界协同联动,有机整合各种网络安全技术,达到“智能检测”、“智能上报”、“智能响应”,建立一个以威胁情报为驱动,终端安全、边界安全、大数据分析等多层次、纵深智能协同的安全防御体系,有效提升整体网络防护能力。