1、天道酬勤工业控制系统平安防护技术的应用辛冠莹 苏永刚 樊泽摘 要:工业控制系统已广泛应用于电力、轨道交通、石油化工、航空航天等工业领域。目前,大量的涉及国计民生的关键根底设施依靠工业控制系统来实现自动化操作。工业控制系统已经成为国家关键根底设施的重要组成局部。由于工业控制系统广泛采用通用网络设备和IT设施,以及与企业信息管理系统的集成,传统信息网络所面临的病毒、木马、入侵攻击、拒绝效劳等平安威胁也正在向工业控制系统扩散。本文主要对某油田规划建设与平安保密措施进行探讨,并提出相关建设性策略。关键词:工业控制系统;入侵攻击;平安威胁一 工程背景近年来,随着两化融合开展的不断深入,平安威胁向工业控制
2、系统加速渗透,工业领域面临严峻的信息平安挑战。为提升工业企业工业控制系统信息平安的防护水平,保障工业控制系统平安,2023年10月,工业和信息化部印发工业控制系统信息平安防护指南,指导工业企业开展工控平安防护工作。此项工作的推出,引起了领导对工业控制系统平安的高度重视,并将工控系统平安防护提升到战略层面。二 需求分析工控平安是生产平安的一局部,所有平安防护的目标就是保证生产的平安稳定运行,因此工控系统的实地调研和风险评估是一个非常重要的环节,通过该环节,才可以真正让平安需求落地。经过调研和评估,总结出如下几个关键的平安薄弱环节:办公网与外网连接,生产网与办公网互通,生产网与办公网边界存在重大平
3、安隐患。作为数据采集及存储的关键局部,OPC 效劳器存在诸多平安隐患。工业控制相关的应用系统普遍存在弱口令问题,这也反映出平安意识的缺乏。工控主机中会存储一些重要的文件,但是文件一般未加密,容易造成核心数据丧失,同时病毒感染的现象普遍。便携式工程师站、操作员站防护手段缺乏,会成为病毒、木马入侵的跳板。三 实施方案3.1建设原那么3.1.1深度防御在信息平安防护系统设计、实施过程中,建立等级保护深度防御体系,对计算环境、网络边界、通信网络、用户和数据进行全面控制。以信息系统等级保护根本要求为依据,按照信息系统等级保护平安设计技术要求,建设符合生产系统平安需要的平安计算环境、平安区域边界和平安通信
4、网络。3.1.2集中管理集中管理是建设信息平安等级保护深度防御系统的根本要求,是各单位横向集成、纵向贯穿,信息共享的前提。同时,在生产控制系统平安防护时,按照统一信息系统平安管理的标准进行规划和设计,确保信息平安防护水平的一致。对业务系统范围内的资源和用户进行统一标记,按照访问控制策略来进行实施,对于各个终端、效劳器和边界的事件应统一由审计中心进行分析和响应。另外,应建立全系统范围的网络管理和监控系统,做到管理全局统一,监控严密,响应及时。3.1.3适度防护在信息平安防御体系建设过程中,需要考虑对内部的防护,突出适度防护的原那么。在考虑可用性和建设本钱的前提下,对现有系统进行改造升级,建立满足
5、高平安等级要求的信息系统。3.2建设架构3.2.1工控主机卫士部署对感染病毒的主机进行病毒清理工作。不同于办公主机的杀毒,还要考慮到病毒清理可能对应用软件的破坏,需要先备份后杀毒。在备份主机上确认杀毒方案对当前系统没有影响的情况下,才真正在目标主机上开展相关病毒清理工作,病毒清理干净后,部署主机卫士进行最终加固。通过“白名单管理机制解决恶意代码对工控主机的攻击问题。可以对主机等USB接口进行管控,杜绝由于移动存储设备所带来的潜在平安风险。3.2.2工业防火墙部署工控交换机和工控出口3G路由器中间部署一台工业防火墙用于工控系统的防护。在做好有效的访问控制的同时,通过工业协议的深度解析和指令级控制
6、,有效阻断来自生产网之外的对工控系统的攻击行为。要做好工控协议的深度解析和指令级控制,首先要建立完整的业务模型,这一方面要借助工业防火墙的工业协议智能学习功能,同时也要结合人工的分析和调整,真正实现该阻断的绝不放过,该通过的绝不阻断。3.2.3 统一平安管理平台部署在某机房安装统一平安管理平台对工业防火墙、智能监测终端和主机卫士加固过的工作站进行集中管理,并对外提供Web管理能力。有效阻断非法IP的侵入。网络平安从来都不是孤立的,我们在强调技防的同时,也要重视从管理入手去杜绝平安隐患,结合我处的现状及特点,涵盖工控系统边界防护、区域防护和主机防护的纵深防御解决方案,部署了包括威努特工业防火墙、
7、工控主机卫士主机平安加固以及统一平安管理平台等。3.3功能介绍3.3.1工控主机卫士1.主机平安防护工控主机平安防护软件支持操作系统完整性检查,完整性检查包括注册表保护、文件保护、防止操作系统被恶意软件破环等。当操作系统被恶意软件破坏后,工控主机平安防护软件可以通过统一平安管理平台进行告警,提醒信息平安管理员操作系统存在被入侵风险。2.阻止恶意代码的执行和扩散工控主机平安防护软件通过“白名单机制,可以有效阻止“白名单外的程序及病毒、木马等恶意代码的执行,进而有效防止系统感染震网病毒等工控恶意代码。如果在工业控制系统中有一台设备被恶意病毒感染并通过网络扩散到其它主机后,在部署了工控主机平安防护软
8、件的主机上通过白名单功能就可以阻止病毒的运行,进而保护主机的运行平安。3.移动存储管理由于工控网络的封闭性,根据现场调研表情况看,工作站存在未使用的USB端口及光驱。现场工程师可以通过U盘或光盘等与工控网中的设备上传或下载数据信息,在这个过程中,很容易将病毒木马带入工控网络中。工控主机平安防护软件配套使用的平安U盘可以有效保障数据的平安,能够根据需要灵活控制平安U盘和普通U盘的“禁用、只读、可读写权限。在信息平安源头解决病毒、木马等恶意代码的入侵及传播。4.主机平安管理工控主机平安防护软件配合平安管理平台,对白名单外的恶意代码、违规操作进行告警及记录;对人员未授权安装软件进行告警;对普通U盘以
9、及平安U盘的违规使用告警;支持注册表、配臵文件和操作系统文件破坏告警。3.3.2工业防火墙1.策略配置防火墙部署前,提前配置全通ACL策略并记录日志,后期根据ACL策略产生的日志配置详细的ACL策略。平安策略详情见曲子站平安策略和咸阳站平安策略。2.白名单配置白名单采用自学习模式,学习完成后通过人工甄别的方式,最终同使用人确定通信访问关系的可信情况并完善白名单。白名单详情见曲子站白名单及咸阳站白名单。3.3.3统一平安管理平台管理员通过Web管理界面即可对系统内安装平安卫士的主机进行统一管理,这包括:1.查看已经安装的工业防火墙、智能监测终端和主机卫士当前的工作状态;2.查看已经部署或者配置新的工业防火墙的防火墙策略、白名单策略以及查看和处理已经产生的告警日志和非法报文的拦截记录;3.查看已经部署或者配置新的智能监测终端的工业协议白名单监测策略、违反协议规约策略、无流量策略、异常流量基线配置等及查看和处理相关的日志告警。四 防护效果工控平安防护实施后根据工业控制系统信息平安防护能力评估方法对某油田输油单位的129项工业控制信息系统平安防护执行情况进行了评估,根本满足要求。同时,PLC死机现象也明显减少。工业防火墙、工控主机卫士和网闸实实在在的起到了应有的防护作用。