工業控制系統的大規模應用提升了石油石化行業的生產效率,如何將傳統的工業控制系統安全互聯,落地“新基建”背景下的工業網際網路安全,成為亟待解決的需求。石油石化行業一直是綠盟科技重點關注行業,隨著資訊化與工業化的深度融合,工業控制系統網路攻擊的手段不斷更新和變化,安全防護工作面臨多重挑戰。為了更好監控和保障系統穩定、高效執行,及時識別和防範安全風險,同時滿足國家和行業監管要求,保證資訊保安管理工作的依法合規,綠盟科技透過構建工控系統安全防禦體系,全面支撐石油石化行業工業網際網路安全防護建設。
工業控制系統風險分析
石油石化行業工業控制系統(ICS)主要涉及分散式控制系統(DCS)、安全儀表系統(SIS)、壓縮機控制系統(CCS)、可燃氣報警系統(GDS)、各種可程式設計邏輯器件(PLC)等。分別從各工業控制系統的業務互動邏輯、介面、協議等方面進行安全風險分析:
1)通訊協議漏洞
組態軟體、PLC嵌入式系統等在設計過程中主要考慮可用性、實時性,對安全性考慮不足。
2)作業系統漏洞
大部分工業控制系統的工程師站、操作員站及伺服器在正常執行的系統中很難安裝相關補丁,存在被攻擊、被入侵的可能。
3)應用軟體漏洞
由於應用軟體多種多樣,很難形成統一的防護規範以應對安全問題。
4)網路互聯帶來的安全風險
在企業實際應用環境中,許多控制網路都是“敞開的”,在各控制系統和區域邊界缺乏有效的安全審計、入侵檢測等策略和機制,無法實時發現和應對來自系統內部和外部的非法訪問和惡意攻擊,尤其是基於OPC、Modbus等開放通訊協議的工業控制網路,駭客一旦控制該系統中的某一網路節點,就可能導致生產執行的癱瘓。
綠盟科技工業控制系統安全防禦體系解決方案
基於多年石油石化行業網路安全建設經驗積累,透過工業控制系統風險分析,結合實際業務場景需求,提出綠盟科技工業控制系統安全防禦體系解決方案。
1)隔離防護
落實“管網分離”建設要求,避免管理網/MES遭受攻擊後威脅到生產網,該隔離為應用層單向即管理網/MES對訪問控制策略允許的目標裝置進行只讀操作,禁用基於管理網/MES向底層系統或裝置進行其它操作行為。
2)訪問控制
避免工業控制環境中的勒索病毒、挖礦病毒等蠕蟲式的病毒帶來內部大規模感染風險及APT攻擊內部越權訪問等惡意攻擊行為,採用工業控制系統訪問控制措施。在工程師站到PLC/DCS之間實現訪問控制措施,對工控專用協議進行深度分析,確保資料包的合法性,實現工控網路的深層防護。透過基於工業協議的識別對訪問行為進行控制。
3)脆弱性評估
針對生產網安全管理中心的工業控制系統進行週期性風險評估,結合漏洞挖掘、配置核查等多個角度,針對工業現場進行漏洞挖掘驗證,具備資產發現、資訊收集、漏洞掃描、漏洞挖掘、漏洞回放驗證、風險評估、報表展示、漏洞跟蹤等完備的漏洞管理能力。
4)網路風險監測
針對工業協議進行深度解析對於操作指令中包含的針對點表、暫存器的異常操作進行報警,最大限度地保護控制系統的安全。快速識別出油化行業工控系統中的網路攻擊、使用者誤操作、使用者違規操作、非法裝置接入以及蠕蟲、病毒等惡意軟體的傳播並實時報警,詳實記錄一切網路通訊行為,包括指令級的工業控制協議通訊記錄,為工業控制系統的安全事故調查提供堅實的基礎。對日誌至少保留六個月,符合網路法律法規要求。
5)終端安全管理
在管理網、生產網、控制網的工程師站、操作員站、OPC伺服器以及其他伺服器建設基於終端側的安全管控,針對工業控制系統主機提供安全監督,滿足使用者對工業控制系統安全審計備案及安全保護措施的要求,提供完整的工業安全記錄,便於資訊追蹤、系統安全管理和風險防範。
6)安全合規運維
為滿足生產網安全運維合規需求,並具備雙因素認證能力,透過基於唯一身份標識的集中賬號與訪問控制策略,與各伺服器、網路裝置、安全裝置、資料庫伺服器等無縫連線,實現業務管理員、運維管理員和第三方服務人員的集中精細化的系統運維操作管理和審計。
7)安全管理中心工控安全預警和管理
貼合工業控制系統安全運營建設思路,從工業控制系統安全的角度,從廠站端做好事件採集分析、服務端做好安全分析,對採集得到的結果進行統一分析與展示,發現工控網路內部的異常行為,如新增資產、時間異常、新增關係、負載變更、異常訪問等行為,實現對工控現場安全事件的預警與響應。
方案價值
基於石油石化行業工業網際網路場景全生命週期的安全防護體系,貼合“新基建”工業網際網路安全建設特點。將基礎的安全防護產品與功能安全、資訊保安進行深度融合,融入故障診斷、異常告警、態勢感知、攻擊檢測等持續可運營的安全防護理念,最大限度保障工業控制系統穩定、高效、安全執行。