油气管道工业控制系统网络安全防护方案
2022-07-29
来源: 工业安全产业联盟
为贯彻《工业控制系统信息安全防护指南》、落实“十四五”规划纲要“统筹发展和安全”等政策要求,充分发挥先进典型的引领示范作用,加快提升工业互联网安全防护能力,强化工业互联网安全综合保障能力,进一步推动我国工业安全产业高质量发展,工业控制系统信息安全产业联盟(ICSISIA)于2021年5月20日启动了2021年工业安全系统典型应用案例征集遴选活动。ICSISIA特推出工业安全系统案例专题,发布其中遴选出的典型应用案例以飨读者。
1 项目概况
1.1 项目背景
近年来,能源板块层出不穷的网络安全事件,表明油气管道SCADA系统已经成为国内外黑客的攻击目标,面临愈发严峻的威胁。管道SCADA系统一旦受攻击容易发生故障或者被控制,可能直接影响到管道输送的正常生产运营,导致火灾、爆炸、中毒事件的发生,造成重大经济损失、人员伤亡和环境污染,直接威胁到国家能源安全和社会稳定。因此,研究油气管道SCADA系统安全风险,同时制定针对性的配套网络安全防护能力建设,对我国能源安全具有重要的意义。
物联网、大数据、云平台等新技术的应用,形成了油气管道生产网络的互联互通,但这给工业控制系统带来诸多网络层面的安全风险,来自办公管理层网络的入侵、病毒等风险很容易向生产网蔓延。同时,非法接入风险也不容忽视,攻击者伪造身份从外部或内部网络节点对生产系统进行渗透,获取访问权限,恶意操作,其威胁是巨大的,不仅可以拿到工艺数据,甚至可能造成重大安全事故。
1.2 项目简介
油气管道连接着上游的油气田板块,中、下游的炼化和销售板块产业链,是油气生产设施的重要组成部分。为了保证油气管道的安全、可靠、平稳、高效、经济地运行,必须提高对管道的监视控制和管理等信息化建设。而作为国家重要的基础设施和公用设施,油气管道承担了所有的天然气和近八成的油品输送任务,具有易燃、易爆和高压的特点,其安全运行非常重要。建设该系统安全、稳定地运行及管网调控系统的安全接入,是一个至关重要的问题。
本项目中采用了全面评估当前的生产网、网内业务系统、控制系统及自动化设备可能存在的网络安全风险,围绕当前企业技改与未来“一张网”发展规划,按照国家网络安全法提出的“同步规划、同步建设、同步使用”的三同步原则,利用当前先进的网络安全防护理念、技术与产品,有序开展SCADA系统中安全防护体系的顶层设计与建设工作,构建网络安全立体的防护体系,满足标准合规性要求。同时,按照企业多级管理职能,设计构建全网工控安全管控与运营体系,形成多级联动机制,实现全网动态安全监测、风险可视、通报预警与联动处置,提高网络安全综合管控与防护能力。
1.3 项目目标
(1)安全通信网络安全需求
针对油气管道的特点,侧重对调度中心SCADA系统通讯网络进行全面的网络安全防护,包括优化网络结构,划分安全域,在通信过程中采用密码技术保证数据的保密性,采用校验技术保证数据的完整性,通过应用工控防火墙搭载可信模块的形式,实现可信验证。
(2)安全区域边界安全需求
按照安全域划分与业务访问逻辑,在安全域边界部署入侵检测和工控审计,建立安全访问规则,重点对安全权重高的安全域进行重点安全防护。利用先进的技术与产品,设计部署相应的安全监测与审计措施,监控网络中存在的各类入侵风险、网络病毒、非法访问等行为并进行审计与阻断,保障生产网络的可用性与安全性,实现安全区域边界的建设要求。
(3)安全计算环境安全需求
依靠扫描工具与人工方式对应用系统进行安全检查,对发现的漏洞、开放的服务与端口以及存在的权限与弱口令、非安全的远程链接等脆弱性问题进行研判,对于可修复的漏洞、默认开放的服务与端口,以及默认的权限及用户弱口令问题进行集中式加固处理,提升应用系统的抗攻击能力。侧重对生产控制大区内各系统工程师站、操作员站、历史站、接口站、服务器等实施定期巡检式的安全扫描,发现主机系统存的各种漏洞与脆弱性,并进行针对性的安全加固研究,同时,对主机系统安装必要的工控主机专用安全管控与防护产品,实现主机系统的防病毒、防第三方软件非授权安装与使用,以及主机外部接口的安全管控,尤其对USB口的安全管控与操作行为审计,综合提升主机系统的抗攻击能力,保护分布广泛的站控系统主机不被作为跳板入侵上级系统,确保安全计算环境防线稳定。
(4)安全管理中心安全需求
在调度中心SCADA系统中建立安全管理域,部署工控信息安全监管与分析平台,并且在现有的网络安全管理制度基础上不断完善,明确网络安全管理机构、岗位、人员,完善安全建设管理及运维管理流程,建立安全教育与培训、安全保密、应急响应机制,使安全管理成体系,安全管理常态化,管理与技防相结合,构建企业的综合网络安全防护体系,为企业安全生产保驾护航。
本方案以油气管道工控系统应用为场景,构建了安全可控为目标,监控审计、威胁分析、入侵检测、主机防护为特征的油气管道企业工业控制系统新一代主动防御体系,提高了工控系统整体安全性。将为企业工业控制系统网络安全防护体系建设开创行之有效的安全建设模式,提高管控一体化安全防护的能力。解决油气管道企业工控系统在联网运行中所面临的网络安全建设与运营过程的困扰,系统为企业提供包括安全服务、安全建设、安全运营在内的网络安全全生命周期的解决方案。
2 项目实施
本方案针对油气管道SCADA系统实际需求,通过设计建设一套稳定、先进、高效、可靠的工控安全监测防护体系,集中展现油气管道SCADA系统的整体工控安全态势,提升整体工控安全监管水平和防御能力,针对SCADA系统的特点、专业性、稳定性进行设计,结合天地和兴多年工业控制系统与工控安全研究和经验总结,以国家等级保护的“一个中心、三重防护”为整体防护思想,构建油气管道SCADA系统网络安全防护的技术体系,并完善安全管理体系,形成技术+管理的综合安全防护体系,满足实际安全防护需求,达到等保三级建设标准。网络安全防护体系框架示意图如图1所示。
图1 网络安全防护体系框架示意图
方案从实际出发,以油气管道SCADA系统为等级保护对象,以控制中心系统为主体,结合站控系统、现场设备等边缘应用分布广泛的特点,从安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理要求等几个维度来构建综合安全防护体系。
工控安全防护系统部署拓扑示意图如图2所示。
图2 工控安全防护系统部署拓扑示意图
(1)安全通信网络建设
对油气管道工控网络进行优化,划分安全域,并对油气管道工控网络与办公网互联的网络边界部署工控防火墙进行边界隔离与安全防护,保障油气管道工控网络免受来自上层办公网及互联网的入侵攻击风险。
工控防火墙系统属于工业级安全防护设备,可支持30多种工控协议识别与深度解析,包括:Modbus TCP、OPC、DNP3.0、PROFINET、S7、IEC 61850和IEC 60870-5-104等,具有基于工控行为构建白名单访问控制策略,实现细粒度的安全防护。
(2)安全区域边界建设
在油气管道工控网络中划分不同的安全域,按照安全域的安全权重,有针对地进行安全域的隔离与访问控制、安全审计、入侵检测等必要的安全防护措施,保护各安全域的运行安全,本方案中主要是在调控中心SCADA系统网络中部署工控安全审计系统、入侵检测系统,以及在各个站控系统的生产数据汇聚到调度中心的网络入口处部署工控防火墙。
· 工控防火墙
在油气管道工控网络中的本地站控出口处、调控中心入口处等边界串行部署工控防火墙系统,实现各安全域边界隔离与访问控制。不仅可支持基于网络五元组的访问控制,还支持基于工控行为的安全控制与防护,保护各安全域系统的安全运行。
· 工控安全审计系统
在调控中心的核心交换机上旁路部署工控安全审计系统,对整个调度中心SCADA系统的应用服务器、主机管理系统等进行全面检测,对通信数据进行合规性检查,对异常行为、违规操作行为进行识别、审计告警,告警日志上传给日志服务器、安全管理平台系统进行集中存储、分析与风险关联展示,辅助安全运维人员进行处置。
工控安全审计系统支持对OPC、Ethernet/IP、Modbus/TCP、IEC 61850、IEC 60870-5-104、DNP3、PROFINET、S7、GOOSE和SV等30多种工控协议进行深度解析,通过还原操作行为,对有异常操作行为进行审计告警,辅助网关防护系统策略调整,实现油气管道工控网络的运行安全。
· 入侵检测系统
在调控中心的核心交换机上旁路部署入侵检测系统,通过交换机镜像功能,把网络出入口、重要安全域的通信数据送给入侵检测系统进行实时检测,用于识别监控网络中可能存在的各种已知攻击行为,并进行审计告警,告警日志上传给日志服务器、安全管理平台进行风险分析与可视化。
入侵检测系统内置检测引擎与全面的攻击特征库,能够实时对网络中存在的设备攻击、安全扫描、网络病毒、欺骗劫持、穷举探测、间谍软件等入侵事件进行识别与审计告警,入侵检测系统侧重对已知威胁的检测能力,实时发现网络中存在威胁事件并及时产生告警,同时入侵检测系统可阶段性进行威胁统计,并可形成安全报告,支持报告输出。
(3)安全计算环境的建设
在油气管道工控网络中的安全计算环境是指人机交互界面上的各主机系统,包括各种相关的应用服务器(如SCADA历史服务器、OPC服务器等)、操作员站、工程师站和历史站等,主机系统要通过检查工具对其安全漏洞与脆弱性进行发现和管理,对可修复的漏洞进行可行性验证与修复,关闭不需要的默认账号、服务,进行主机系统必要的安全加固,提升主机系统抗攻击能力。本次设计将考虑部署主机安全防护系统来对主机系统进行必要的安全防护。
白名单的主动防御机制可占用更小的系统计算资源,实现最大的防护效能。可有效地实现主机防病毒、防第三方软件的非授权安装与使用,主机系统外接口的管控,USB外接存储设备的认证管控、防病毒与操作行为审计,为主机系统安全运行提供必要的安全保障。
本方案使用的主机安全防护系统,是工控主机系统专用的安全防护系统,系统运用白名单为主,灰名单、黑名单为辅的创新技术方式,监控主机的进程状态、网络端口状态、USB端口状态,严格对主机进行应用进程管控、外接端口管控、USB设备认证与使用管理,以及操作行为管理,强化工控主机的安全管理,提升主机系统抗攻击能力。
(4)安全管理中心建设
在油气管道工控系统网络中组建安全管理域,在此区域内建设安全管理中心,部署油气管道工控系统网络的安全集中管控的技术措施,包括账号管理及运维审计系统和工控信息安全监管与分析平台系统等集中安全管理平台系统,实现安全风险管理、关联分析、安全可视化与联动处置的能力建设。基于企业集团总部的全网安全管理需求,面对一定生产规模的企业以及对生产网安全管理要求高的企业,把相关的日志等信息上传给工控网络安全态势感知平台系统,实现全网安全风险的级联式、风险动态可视化与预警联动处置。
· 账号管理及运维审计系统
账号管理及运维审计系统(堡垒机)部署在安全管理域内,通过代理模式部署,作为系统运维的统一入口,实现系统运维权限统一认证管理以及操作行为审计。
账号管理及运维审计系统是针对系统运维人员账户混乱、运维访问目标系统资源的权限不可管、运维行为不可控、无安全审计措施等实际问题而开发的安全专用系统,通过运维人员账户集中管理、登录集中认证授权、操作全程审计等技手段,实现目标系统运维可管、可控、可审计,对运维行为进行监管,做到事中告警与事后行为追溯。账号管理及运维审计系统可提供便携式产品形态,方便在不同场景下使用,规范企业运维人员对油气管道工控网络中各系统的运维操作。
· 工控信息安全监管与分析平台系统
在油气管道工控系统网络中的安全管理域内部署工控信息安全监管与分析平台系统(工控安全管理平台),实现全网安全系统的状态监控,安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能。
此平台系统不仅可监控安全系统的运行状态,还可以对安全系统进行安全策略配置与调整,总体实现网络安全防护体系的防护效能。
工控信息安全监管与分析平台系统是整个油气管道工控系统网络安全防护体系的大脑,是安全管理中心建设的核心平台系统,是安全运维人员日常查看操作最多的系统平台。
平台系统具有强大安全管理功能,支持级联部署,解决企业生产厂区分散的网络安全集中管理的需求,实现安全风险统一管理、分析展示与联动处置的管理能力。同时,本级平台系统可以作为上级安全运营中心平台系统的管理节点,形成覆盖全网的安全运营能力。
(5)安全管理体系建设
· 安全管理制度
主要包括管理制度的制定和发布、评审和修订。要求形成网络安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范,对安全制度的评审和修订要求领导小组负责。
· 安全管理机构
主要包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等。对于岗位设置,不仅要求设置网络安全的职能部门,而且机构上层应有一定的领导小组全面负责机构的网络安全全局工作。授权审批方面加强了授权流程控制以及阶段性审查。沟通与合作方面加强了与外部组织的沟通和合作,并聘用安全顾问。同时对审核和检查工作进一步规范。
· 安全管理人员
对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等。增强对关键岗位人员的录用、离岗和考核要求,对人员的培训教育更具有针对性,外部人员访问要求更具体。
· 安全建设管理
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等。对建设过程的各项活动都要求进行制度化规范,按照制度要求开展活动。对建设前的安全方案提出体系化要求,并加强了对其的论证工作。
· 安全运维管理
随着工控行业信息化建设的不断推进及信息技术的广泛应用,随之而来的网络安全问题也愈发突出,以风险管控为主线,安全效益为导向,风险相关法律、法规和理论方法为依据,安全信息化、自动化技术为手段,建立起工控安全运维体系,前期安全建设工作将更行之有效。
3 案例亮点
(1)采用先进安全防护技术提升企业工控安全防护能力
本方案采用工业协议深度解析技术、智能学习技术、白名单主动防御技术和威胁管理无损技术,并结合公司自有的工业漏洞库、设备指纹库,通过制定有效的安全策略和安全集中分析管控手段,在保证稳定运行的前提下,对工控系统运行提供必要的网络安全保障,为企业工控网络安全保驾护航。
(2)完善组织OT内控体系,满足合规需求
本方案在设计时,参照了国家等级保护相关规范要求,并按照企业当前的工控系统信息化建设程度来提出符合实际需求的解决方案,从OT应用控制、OT一般控制、OT审计等三个维度来打造合规的OT控制体系。
(3)工控安全产品性能达到国内领先水平
独有的专利技术的全机柜一体化解决方案;松耦合的安全框架设计具有极好的设备兼容性;一体化安全产品管理机制。网络接入支持IPv6、IPsecVPN、可视化监控、协议规定的自定义、接口联动、热备机制、Bypass、低延时等高可用性设计,真正做到了对工业网络零影响。
(4)自主可控的安全产品
与同类别方案相比增加的相关设备所采集的信息更加全面,也更具合规性,能完全适应工控系统安全防护对稳定性与机密性的共同需求。方案中所有信息安全产品均为国产自主产品,可控性强,安全产品联动安全性更高,并可提供定制化的功能开发,方便支撑不断迭代升级。
(5)可信计算的融合技术
设备上加装PCI可信控制卡,实现可信功能。主要包括基于可信根对设备的BootLoader、操作系统和应用程序等进行可信验证;基于SM3对设备的BootLoader、操作系统和应用程序等进行可信验证;对系统中断、关键内存区域等执行资源进行可信验证;对设备的网络通信进行可信动态度量,监测异常通信行为;将可信验证结果形成审计记录并发送至安管平台;安管平台处理所有安全设备上报的可信状态值,并呈现整个安全防护系统的可信状况。
更多信息可以来这里获取==>>电子技术应用-AET<<