《工业互联网案例汇编——典型安全解决方案案例.docx》由会员分享,可在线阅读,更多相关《工业互联网案例汇编——典型安全解决方案案例.docx(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、工业互联网案例汇编典型安全解决方案案例鉎咀兿硑譗襛桑 譏编写说明编写说明为落实中国制造十一月504一、一、工业互联网安全概述工业互联网安全概述 1.1.工业互联网安全概况工业互联网安全概况工业互联网是涵盖六大重点领域:工业互联网网络、工业传感与控制、工业互联网软件、工业互联网平台、安全保障以及系统集成服务等。安全作为其中的重要环节之一,面临着严峻的挑战。一方面,工业领域信息基础设施成为黑客重点关注和攻击目标,防护压力空前增大。另一方面,相较传统网络安全,工业互联网安全呈现新的特点,进一步增加了安全防护难度。在此背景下,我国应积极加强对工业控制系统的安全体系化研究,从安全规划、安全防护、安全运营
2、、安全测评、应急保障等各方面,提出针对性安全解决方案,积极进行技术试点,探究技术可行性,逐步形成可推广、可复制的最佳实践,切实提升我国工业互联网安全技术水平。2.2.工业互联网安全相关政策进展工业互联网安全相关政策 进展近年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安全做出了一系列工作部署,提出了一系列工作要求。12 月国家互联网信息办公室发布的国家网络空间安全战略提出要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。中国制造 6 月起正式实施的中华人民共和国网络安全法要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行
3、重点保护。12 月发布的关于深化“互联网+先进制造业”发展工业互联网的指导意见以“强化安全保障”为指导思想、“安全可靠”为基本原则,提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全保障”的主要任务,为工业互联网安全保障工作制定了时间表和路线图。,工业和信息化部陆续发布工业控制系统信息安全防护指505南、工控系统信息安全事件应急管理工作指南和工业控制系统信息安全防护能力评估工作管理办法等政策文件, 明确工控安全防护、应急以及能力评估等工作要求,构建了工控安全管理体系,进一步完善了工业信息安全顶层设计。3.3.工业互联网典型安全问题工业互联网典型安全问题我国工业互联网
4、安全主要面临以下几方面的问题:(1)工业控制系统漏洞频发,脆弱性高(1)工业控制系统漏洞频发,脆弱性高工控设备的操作系统较为老旧,且升级更新周期长,众多工控系统存在漏洞,易被恶意病毒或代码感染,脆弱性高。根据国家信息安全漏洞共享平台(CNVD)统计,新增信息安全漏洞 4798 个,其中工控系统新增漏洞数 351 个,与同期相比,新增数量几乎加倍,工业控制系统漏洞形势严峻且会持续呈现高发状态。(2) 生产设备大量暴露于互联网( 2)生产设备大量暴露于互联网传统工业生产设备以机械设备为主,随着工业互联网的发展,越来越多的机械设备进行数字化、信息化、网络化改造,但同时,安全防护建设速度落后于数字化信
5、息化建设速度,导致越来越多的机械设备暴露于互联网中。暴露的设备一旦被攻击者扫描发现,可被远程操控或被利用成为“肉鸡”武器进行 DDoS 攻击等,危害巨大。(3) 企业内网安全性低,易作为跳板渗透工业系统控制层(3)企业内网安全性低,易作为跳板渗透工业系统控制层 5 月份, PositiveTechnologies 公司发布的10 月开工建设的西成高铁,是第一条穿越秦岭进入四川的高速铁路,堪称名副其实的“ 高速蜀道”,于 12 月 6 日全线开通运营。我国高速铁路信号系统基于 CTCS(中国列车运行控制系统) 规范,包括计算机联锁系统(CBI)、列车自动防护系统(ATP)、列车控制中心(TCC)
6、、无线闭塞中心(RBC)等系统组成。随着这些数字化、网络化设备在高速铁路上的应用,基于通信传输的网络设备已经成为信号设备中非常重要的一部分。随着高铁信号系统各个子系统之间互联互通,工业控制系统内部网络开放性提高,网络管理系统(网管系统)成为高速铁路中不可或缺的网络检测设备。此系统虽然采用了一些安全防护措施,但仍面临日益严峻的信息安全风险。2.2.典型安全问题典型安全问题高铁信号系统网管子系统可能面对的信息安全风险包括:1)操作人员违规使用移动存储设备各地方铁路公司一般对在信号系统中使用移动存储设备有比较严格的信息安全管理措施。但在系统升级、数据备份等过程中仍存在违规操作风险,把病毒引入系统。2
7、)系统组件的供应链污染各铁路信号系统集成商一般都建立了比较严格的信息安全管控流程。但由于系统组件多,生产供应链长,在组件采购、生产、安装、调试过程中易受到病毒或恶意代码感染。3.3.安全解决方案安全解决方案首先用工业信息安全检查评估工具箱和工业临检U 盘对信号系统的网管子507系统进行APT 攻击和病毒检测。确认无毒后,部署 360 工业安全管理系统、360 主机安全防护软件,进行安全防护。360 工业信息安全检查评估工具箱结合威胁情报知识库和异常行为检测模型对实时数据和历史数据进行威胁分析与检测,可为高铁信号系统网管子系统进行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资产发现、
8、工控漏洞扫描、工控流量分析、威胁情报分析、安全事件、行为日志、报告自动生成等服务。该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展示,实现对攻击的快速检测和持续分析。此外,360 工业安全检查评估工具箱为便携式产品,带有高清显示屏幕,便于在多个单位进行现场快速分析,接入镜像流量即可,无需复杂配置。利用工业临检U 盘对信号系统的网管子系统客户端进行病毒检测,通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估。同时,引入 360 病毒检测能力和威胁情报,在不影响高铁信号系统网管子系统正常运行的前提下,帮助用户去检测、评估、自查本身终端安全威胁和风险。一旦检测到攻击可形成可量
9、化评估报告,为高铁信号系统安全加固,提供防护能力。即插即用的临检 U 盘设备采用国密芯片,是国家密码管理局认证通过的安全芯片,摒弃了传统的数据加解密处理方式,使数据流加解密速度大幅提升,特别适用于高速数据流加密。图 1 问题处理及安全防护示意图为解决病毒、恶意程序攻击等问题,在高铁信号系统网管子系统主机、服务508器部署基于白名单机制的 360 主机安全防护软件。该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为高铁网管系统工
10、业主机创建干净安全的运行环境。对更好对部署的工控安全设备和系统进行管理,对高铁信号系统网管子系统部署 360 工业安全管理系统,全面记录工业网络中的工业主机安全日志等情况,为高铁信号系统网管子系统提供管理体系。经过以上操作,高速铁路信息安全防护得到极大提高,西成高铁顺利开通运营。4.4.创新点和应用价值创新点和应用价值 1)1)先进性及创新点先进性及创新点该案例解决方案基于威胁情报大数据和白名单技术对高铁信号系统网管子系统进行安全防护。工业信息安全检查评估工具箱能够快速发现威胁,对流量回溯取证,及时产生应急响应。工业临检U 盘可对终端、服务器进行全方位的威胁扫描,对于威胁指标进行总体全面评估、
11、量化结果。360 工业主机防护软件高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求,操作简单的特点也符合生产技术人员的操作习惯。2)2)实施效果实施效果创新性的将威胁情报、大数据的理念应用于高铁信号系统网管子系统的安全防护中,工业信息安全检查评估工具箱基于机器学习、威胁情报对网络攻击研判引擎;临检U 盘利用360 的大数据中心,采用国密芯片对终端进行威胁评估, 基于白名单机制的主机安全防护软件有着实时报警、日志审计的优势,全链条的立体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。5.5.案例提供方案例提供方 360 企业安全技术(北京)集团有限公司509案例二工业互联
12、网数据安全解决方案 1.案例二工业互联网数据安全解决方案 1.方案概述方案概述随着我国“两化融合”进程的推进与中国制造来,工业互联网的安全问题暴露的越来越明显,需加强对工业制造数据的智能安全管控。机器学习、自然语言处理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展,使数据安全管理呈智能化趋 势,数据安全不仅仅是采用一刀切的数据强制加密方式来实现, 更需要根据多样化的需求场景采取不同层次的安全控制手段,实现智能化安全管理。同时,工业控制网络和信息系统日趋复杂,要求我们必须将信息安全技术依据一定的安全体系设计进行整合、集成,达到综合防范的要求。加快信息安全产业发展是国家安全建设的需要
13、,是保证国家信息化建设健康发展的需要,给处在快速成长阶段的我国数据安全厂商提供了无限的商机。本方案通过分析工业互联网企业工业设计数据所面临的信息安全问题,提出了构建面向工业设计数据全生命周期安全管理的解决方案,采用基于内容识别的数据加密、应用软件指纹识别、安全云存储等技术,为企业间的高效协同提供一个安全平台。方案具体提出了企业应采取的安全策略和解决措施,阐明了全面构筑工业互联网数据安全云平台,确保工业设计环境中上下游企业在高效协同的同时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范围分发的数据残留风险。2.2.典型安全问题典型安全问题根据工信部对深化“互联网+先进制造业”
14、发展工业互联网的指导意见的解读,工业互联网安全问题从实施角度可分为网络安全、数据安全、应用安全和云安全等几个部分。企业间的设计协同、制造协同逐步由原来的纸质信息传递, 转变为以三维设计模型为核心的电子文件交换,带来了便利的同时,也带来了诸如:商业秘密泄露、图纸数据随意篡改、电子文件残留等数据安全风险,所以本510方案解决没有安全手段时候协同设计过程中人机交互过程的低效率、易出错(版本迭代时候人工的安全手段导致的版本更新不及时)、协同过程中多人互动图纸易泄漏问题。针对工业设计数据面临的三大威胁及痛点,敏捷科技工业互联网数据安全云平台构建了面向工业设计数据全生命周期安全 管理的解决方案,包括:终端
15、数据智能安全、网络数据防截获、云平台数据防泄露和丢失。3.3.安全解决方案安全解决方案针对工业设计数据面临的三大威胁,敏捷科技工业互联网数据安全云平台构建了面向工业设计数据全生命周期安全管理的解决方案,包括工业图纸协同研发设计环节的安全可控,及图纸下单给外协方的电子商务结算环 节、出图进行资源调配确定生产计划环节,直至下发至智能车间生产环节,及后续产品发布环节的图纸安全控制问题,主要包括: 终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失等功能。图 2 安全协同设计图511图 3 安全协同制造图图 4 核心数据强制加密保护模式512图 5 终端数据智能防泄漏保护模式图 6 多种系统集成
16、模式本平台借助敏捷科技核心专利技术,基于我国密码标准算法构建。通过终端数据智能安全防护、网络数据安全防护、云平台数据安全防护等三方面的数据防护作用,确保工业设计环境中上下游企业在高效协同的同时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范围分发的数据残留风险。如下图所示:513图 7 智能制造数据安全云平台功能框架示意图 1)终端数据智能安全防护终端数据安全防护由五个子系统组成,包括:数据智能安全子系统、终端虚拟化桌面子系统、终端桌面安全子系统、终端外设控制子系统、文件透明加密子系统。数据智能安全子系统包括终端核心数据加密防护、网络出口拦截、敏感数据定期扫描、数据敏感度分
17、析等功能。终端虚拟化桌面子系统包括传输加密、介质加密、密钥产生和使用、容错备份还原、断线续用、服务器多机热备、域控身份认证等功能。终端桌面安全子系统:通过远程监控、补丁推送、软硬件资产统计、终端程序控制策略、本地虚拟运行环境等技术使终端桌面工作环境安全。终端外设控制子系统:不论是打印端口、串口、 1394 还是USB 接口,系统都可以进行开关及内容过滤控制,并且针对 USB 移动存储设备提供注册、审计、私有格式等功能,确保终端外设安全可控。文件透明加密子系统:确保终端用户在操作电子文件的方式不发生改变的情况下,电子文件以密文方式存储。采用驱动层透明动态加解密技术,在操作系统和磁盘之间的数据加密
18、和解密程序,自动对存储到磁盘的数据作加密运算,对从磁盘读取的数据做解密操作。通过指定文档类型、或者处理进程,能够达到所有存储介质上存在的该类型文件全部加密,有效防止机密信息泄漏。2)网络数据安全防护 514敏捷科技工业互联网数据安全云平台在网络数据安全防护方面,提供了虚拟安全网络子系统。该子系统采用基于 P2P 技术构建的先进的虚拟安全域/网技术,根据权限和安全策略动态的将被访问的各种应用系统资源划分到一个独立的安全虚拟网络中,确保具体业务应用系统环境的专用性和“干净性”,实现了基于具体业务应用系统的动态“专网专用”,也从安全管理角度上对网络数据进行安全精细化管理。图 8 虚拟安全网络子系统
19、3)云平台数据安全防护云平台安全防护由五个子系统组成,包括:统一身份认证管理子系统、数据库加密存储子系统、多租户数据隔离子系统、用户异常行为检测子系统、分布式数据备份子系统。统一身份认证管理子系统:从用户的应用安全需求出发,提出了“深度整合,全面安全”之理念,在应用系统的身份认证、资源访问控制、用户操作审计、数据加密解密、时间戳服务、网络数字签章、数据签名与统一验证、关键交易验证等方面分层次深入整合,满足应用系统内部和外部安全需求。515图 9 统一身份认证与授权管理平台设计数据库加密子系统:对数据库中的数据进行加密处理,即使某一用户非法入侵到系统中或者盗得数据存储介质,没有相应的解密密钥,他
20、仍然不能得到所需数据。图 10 加密数据存储体系结构可搜索加密子系统:根据云平台的需求,对敏感关键字密文进行搜索。查询语句、表、视图元组元组,数据集、键结构化记录加密B+树字段物理记录页、段密钥加密加密字段块文件事务管理日志管理子模式模式系统表加密组件内模式516图 11 带关键字检索的公钥加密方案密钥生成算法()KenGens:输入一个安全参数 s,生成一个密钥对,包含公钥 kp 和私钥 ks。密文生成算法(,)kPEKSpw:输入接收者的公钥 kp 和一个关键字w,生成可以检索关键字 w 的密文。陷门生成算法(,)kTrapdoorsw:输入接收者的私钥 ks 和一个关键字w,生成关键字
21、w 的陷门wT。测试算法(,)kwTestpcT:输入接收者公钥 kp,一个 PEKS密 文以 及 要 检 索 的 关 键 字 的 陷 门,如果 w=w,那么该算法输出 Yes(1),否则输入NO(0)。用户异常行为检测子系统:总体功能分为三大部分:审计数据采集、分析引擎、审计管理平台。审计数据采集是整个系统的基础,为系统审计提供数据源和状态监测数据;分析引擎对采集的原始数据按照不同的维度进行数据的分类,同时按照安全策略和行为规则对数据进行分析;管理平台是安全审计的 Web 管理平台,包含了安全审计平台的管理功能和信息发布管理功能。517图 12 用户异常行为检测子系统功能数据安全隔离子系统:
22、采用用户行为采集技术,用户行为分析技术和数据迁移技术,可以实现用户行为的有效监控,当发现云平台中存在正在进行攻击的用户时,动态调整受到威胁数据的安全级别,和云平台的访问授权策略,时刻确保云平台中收据的有效隔离,以免受恶意用户攻击的威胁。4.4.创新点和应用价值创新点和应用价值 1)1)先进性及创新点先进性及创新点 基于内容识别的终端数据智能安全管理采用的智能安全分析技术、操作系统内核技术、高强度的加密算法、灵活易用的安全策略,对敏感数据提供含数据发现、数据识别、数据分类、数据加密、数据分级、权限管控以及预警审计等全方位管控能力,有效的解决了企业内部合法用户有意或者无意的信息泄漏。满足高性能要求
23、的安全云桌面数据集中管控安全云桌面数据集中管控平台技术的优势表现在它大大提升了现有PC 的使用效率,实现了 IT 部门对分散的PC 的集中式管理,以及客户数据、应用与底层硬件基础设施剥离所带来的高度安全性和灵活性。站在管理优化的角度,它赋518予了 IT 管理者战略性的基础架构中央管理能力和安全控制能力。而在用户层面,使用习惯的无需改变、PC 应用的无缝兼容、个性化桌面应用的灵活调用更是帮助用户将这一新架构顺利实施的推动因素之一。云+网+端”一体化云数据安全解决方案要解决云平台环境下的数据安全问题,仅仅在终端、网络、云平台中的任何一方面实施保护是不够的,必须要通过融合云平台数据安全管理技术、终
24、端数据安全管理技术、网络安全传输技术为一体,实现对云数据的全程一体化安全管理。在云平台数据中心,重点完成用户身份认证、多租户模式下的数据隔离、租户行为异常审计、结构化数据和非结构化数据的透明加密。在终端,重点完成用户密钥生成、终端环境安全、终端外设安全、终端文件透明加密保护。在网络传输过程,重点负责完成终端与云平台之间建立虚拟安全通道。针对结构化、非结构化数据的加密处理数据在云计算环境下有结构化、非结构化两种存储形态,对关键重要数据的加密处理是确保数据安全的重要手段。敏捷科技数据安全云平台提供了针对云计算环境下非结构化数据与结构化数据的透明加密方案。基于分区分域分级设计的云安全运维与安全管理工
25、业云平台环境相对复杂,涉及多类业务,多类系统,因此在安全防护上需要进一步细化安全域的划分以及不同安全域、不同安全级别的访问控制设计。实现安全运维操作的分级管理,对不同级别的用户予符合其安全职责划分的操作或审计权限,实现安全运维。坚持日常安全运营与应急响应相结合,以数据为驱动力,以安全分析为工作重点。2)2)实施效果实施效果本平台通过终端数据智能安全防护、网络数据安全防护、云平台数据安全防护等三方面的数据防护作用,确保工业数据集中管控的同时实现安全可靠管理,有效保护工业企业的核心资产、知识产权及其它相关数据。产品融合集成末的工业破坏者,这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动,一旦得手
26、就会带来巨大的危害。国内某知名新能源汽车制造企业遭受病毒侵袭,生产制造产线几台上位机莫名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被迫停止生产。该企业日产值超百万,停产直接损失严重,虽然信息安全部门采取了若干紧急处理措施,但收效甚微。为了尽快解决问题恢复生产,该企业紧急向 360 安全监测与响应中心进行了求助。2.2.典型安全问题典型安全问题工业现场的上位机大多老旧, 服役 10 年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。该企业生产网络与办
27、公网络连通,未部署采取安全防护措施; 生产制造产线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。由于上位机操作系统都是老旧的 WindowsXP,感染病毒之后频繁蓝屏重启,无法在问题终端采样进行病毒分析。在生产网络核心交换机位置旁路部署 360 工业安全检查评估系统对生产网络数据流量进行检测,该设备基于 360 行业领先的安全大数据能力生成多维度海量恶意威胁情报数据库,对工业控制网络进行自动化数据采集与关联分析,识别网络中存在的各种安全威胁。借助工业安全检查评估系统的强大检测分析能力,安服人员很快判定该企业上位机感染了 “永恒之蓝 ”蠕虫病毒(也称为WannaCry)。5213.3.安全
28、解决方案安全解决方案 1)应急处置安服人员发现上位机感染 WannaCry 病毒之后,为了避免上位机中数据被加密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为病毒网站,并通过策略设置将生产网上位机DNS 指向此伪装服务器,阻止了 WannaCry 病毒的后续影响。该企业生产园区占地范围很大,感染病毒的上位机几乎遍布整个园区,单纯依靠人力难以逐一定位问题终端。360 工业安全检查评估工具箱在此过程中发挥了巨大作用, 不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的IP 地址和MAC 地址,结合企业提供的资产清单,安服人员和厂方技术人员很快确定了绝大部分问题终端的具
29、体位置。2) 感染处理完成定位之后,360 安服人员即刻赶往最近的问题终端,第一时间关闭了 445 端口,避免病毒进一步扩散。经过与厂方生产技术工程师细致沟通,得知以下信息: 上位机硬件配置资源有限,无法安装杀毒软件; 专用的生产软件对操作系统版本有严格限制,无法对操作系统进行打补丁操作;重装系统会导致专用软件授权失效,带来经济损失。结合上述信息,安服人员只能对问题终端采取杀毒处理。 为了避免杀毒过程中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然后用360 推出的WannaCry 病毒专杀工具进行杀毒处理,清除感染的病毒。3) 安全加固为了避免处理完成的上位机再次感染病
30、毒,安服人员在上位机上部署安装了 360 工业主机防护软件,该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线, 放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为工业主机创建干净安全的运行环境。522图 13 问题处理及安全防护示意图同时,为了避免 U 盘混用带来的病毒串扰风险,安服人员利用 360 工业主机防护软件对 U 盘使用进行合法性注册和读写控制策略配置,仅允许生产技术工程师专用的 U 盘识别和使用。此外,为了限制Windows 网络共享协议相关端口开放带来的风险,安
31、服人员通过 ACL 策略配置关闭了 TCP 端口 135、139、445 和 UDP 端口 137、138,并利用 360 安全卫士的“NSA 武器库免疫工具”关闭存在高危风险的服务,从而对 NSA 黑客武器攻击的系统漏洞彻底“免疫”。经过以上病毒清除和安全加固手段, 不仅解决了感染WannaCry 病毒带来的蓝屏重启问题,而且极大的提升了上位机的主动防御能力,实现了上位机从启动、加载到持续运行过程全生命周期的安全保障。经过此次事件,该企业对工业控制系统安全性更加重视,决定采取 360 整体工控安全防护措施,逐步建设形成覆盖汽车制造产线全链条的立体化工控安全技术防护方案。4.4.创新点和应用价
32、值创新点和应用价值 1)1)先进性及创新点先进性及创新点523360 工业安全检查评估工具箱和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。360 工业安全检查评估工具箱基于 360 领先的威胁情报大数据能力快速识别威胁和资产。工业主机防护软件基于轻量级“应用程序白名单”技术,高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求,操作简单的特点也符合生产技术人员的操作习惯。该方案能够适用于大部分工业控制系统,是一套成熟可靠的安全解决方案。2)2)实施效果实施效果针对汽车制造行业容易被病毒攻击的安全问题,首先部署伪装病毒服务器阻止病毒的后续影响,利用360 工业安全检查评估工具
33、箱快速识别定位病毒威胁,工业主机防护能够自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,为工业主机创建安全的运行环境。5.5.案例提供方案例提供方 360 企业安全技术(北京)集团有限公司524案例四某电厂信息安全监管与预警平台建设案例1.案例四某电厂信息安全监管与预警平台建设案例 1.方案概述方案概述近年来,电力行业中的自动化与控制系统的网络安全问题受到关注与重视。网络安全防护措施不再是“锦上添花”,而是至关重要。在过去 10 年内,包括水电站在内的各种电站均配有自动化保护与控制系统。基于开放式标准(如:IEC61850 或者IEC60870-5-104)并采用可靠以
34、太网技术进行开发,使不同厂家间的产品和系统间实现了操作互通。系统越来越复杂,互联也越来越多,为电站的运行人员提供了更多信息,进一步提高了实时监控水平。该变化不是发生在单个电站,而是涉及到整个公用设施系统。随伴着电力能源市场中电厂控制系统、调度和交易系统之间网络通信应用的稳步发展,公用设施系统发展与时俱进。从经营角度看,先进技术带来了巨大效益,但与传统工业控制系统面临的问题类似,电站业主和运行人员也面临网络安全威胁。过去几年来,电力工业领域网络攻击事件显著上升,控制系统中发现的漏洞也越来越多。水电厂作为重要基础设施,重要性高且具有一定的战略意义, 一旦遭受攻击影响巨大,较易成为敌对势力攻击的目标
35、。因此如何更有效的结合水电厂既有防护措施和业务系统,提高安全防护等级,保障业务持续稳定,是一个需要考虑的关键问题。某电站是某省实施西部大开发战略的标志性工程和国家西电东送的骨干电源和重点工程。工程以发电为主,兼有防洪、灌溉、拦沙及航运等综合利用效益。某电站是中国目前水电站单机容量最大的电站之一。2.2.典型安全问题典型安全问题现某电厂生产控制系统中,生产控制大区与管理信息区已实现单向隔离,与某集控中心、某省中调和南网总调远动通道已实现纵向加密,控制区与区通过南网调度数据网已实现逻辑隔离。但与此同时,当前的安全措施也存在一定的不足,网络边界防护、监控大区病毒防护、安全审计、操作系统加固等还不完善
36、, 具体需求如下:525需要满足电力监控系统安全防护总体方案(36 号文)有关电厂安全防护的相关要求,需要满足电网的电力调度安全防护和国家能源局电力监控系统安全防护的重 点要求;1)目前水电厂内各系统(各机组测温系统、开关站系统、共用系统、厂用电系统和坝区系统等)之间未进行有效的网络隔离,可随意互访,单区域或单节点遭受病毒感染或恶意攻击将直接影响其它区域的正常运转,尤其是底层控制系统,需按照相关要求采取安全隔离措施,防范病毒扩散及恶意攻击行为对其它系统造成影响等;2)随着水电厂智能化、信息化等新技术的应用,“无人值班,少人值守”的远程监控管理模式快速发展,机组和远方集控中心通过网络进行数据及控
37、制指令传输,使生产控制大区遭受攻击的风险增加,需采取相应手段对关键指令下发及误操作等行为进行实时监测和告警;3)发电厂生产控制系统中的管理终端(如服务器、工程师站、操作员站等)存在移动介质、串口设备、并口设备等外设滥用和主机安全策略配置级别较低的情况, 需采取有效措施对移动 U 盘等外设的使用进行管理,并增强主机安全防护能力;4)电厂在执行特定工作(如系统调试和维护)时, 需要通过本地或远程方式接入第三方设备,就需要对接入的人员及终端设备采取有效的安全监管措施,需要重点管控维护过程中的关键操作行为并对所有操作行为进行取证。3.3.安全解决方案安全解决方案经过对现场网络结构、主机设备、系统软件、
38、安全设备等运行情况进行安全调研和分析,识别出系统资产和脆弱性,确认了水电站现场所存在的安全隐患和安全防护缺失项,明确了采用自主可控的工控安全核心技术的技术路线。为加强某水电站网络安全防护,构建的安全防护方案如下:1) 在各机组 LCU 与控制网络之间部署工业防火墙,通过对Modbus 协议进行深度解析与“白名单”控制功能,能有效保护电厂使用的施耐德 Quantum 系列 PLC,防止针对 PLC 漏洞的恶意攻击行为及违规操作;2)在水电厂环网交换机上旁路部署工控安全监测与审计系统,对控制网络526中的网络流量进行实时监测,特别是异常指令下发、违规操作等行为,同时记录原始pcap 文件,以便调查
39、取证。3) 旁路部署入侵检测设备,通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。4) 在主控层的工程师站、操作员站和服务器上部署主机加固系统,对系统中安全相关的设置进行全面扫描及策略设置,对关键业务进程、程序予以保护,建立白名单库,将普通操作系统透明提升为安全操作系统,大大提高工业主机的安全性;5)在控制环网交换机上部署安全运维管理系统,实现账号统一管理、资源和权限统一分配、操作全程审计,提升运维过程的安全性。6)通过统一安全管理平台对所部署的安全设备进行统一的安全管理,包括策略下
40、发、日志审计、报警展示等,简化运维管理工作流程、提高运维管理工作效率。图 14 某水电站安全防护方案 4.4.创新点和应用价值创新点和应用价值 1)1)先进性及创新点先进性及创新点通过建立可信任网络“白环境”和“白名单”防护理念,以自主可控的核心技术投 入,以完全符合工业现场的产品设计,为某电厂构筑“安全白环境”整体防护体系,保护某电厂生产控制系统信息安全监管与预警平台系统设施的稳定527运行,达到“只有可信任的设备, 才能接入控制网络”、“只有可信任的消息,才能在网络上传输”、“只有可信任的软件,才允许被执行”的防护效果。该方案打破了传统“黑”的防护模式,打破工控安全信息孤岛, 以更符合工业现场特性的防护手段,以“一个中心,三重防护”的防御体系,将传统的“被动防护”转化为“主动防御”。2)2)实施效果实施效果 解决方案具有完全自主的知识产权, 满足电力监控系统安全防护总体方案(36 号文)要求;
黑公网安备:91230400333293403D