背景简介
某水库是我国最大的江心水库,日供水规模719万立方米,受益人口超过1000万人,占全市原水供应总规模的50%以上。
水库整体工控系统涉及取水泵闸、下游水闸、输水泵站、输水闸井及控制中心等几个子系统,且由于水库工控系统建设较早,前期工控系统网络设计只考虑数据传输的稳定性和可靠性,工控网整体网络缺乏安全防护能力,一旦网络某个子系统遭受攻击,很容易影响整个工控系统的稳定运行,从而造成重大工控安全事件。
同时,该水库现有工控系统不满足《中华人民共和国网络安全法》和GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》相关技术要求,需要对其整改建设,并通过三级等保测评。
项目需求
主机安全加固技术需求
根据现场调研,工控机操作系统以Windows server 2012、Win7操作系统为主,现场工控主机无任何恶意代码防范措施,USB外设管控未做任何管控措施,现场存在移动介质内外网滥用等安全问题,极容易遭受U盘摆渡攻击,从而造成生产业务中断。
内外网网络边界防护需求目前外部边界生产管理层和上级企业资源层之间缺乏外网的边界隔离技术措施,无法对经过的数据流量进行过滤,由一些非法人员可以从上级部门侧入侵到工控网,存在一定的安全隐患。
内网生产管理层与过程控制层之间缺乏有效的防护措施,容易发生针对生产控制网络内的逻辑控制器(PLC)的非法访问及攻击行为。
入侵检测防范及网络审计技术需求
现有工控网络内缺少入侵检测及网络检测审计措施,无法及时发现内网的一些恶意流量攻击,一旦出现内网的恶意网络攻击事件,无法发现并进行回溯。
日志统一存储需求
工控网缺乏日志集中存储技术措施,无法对网络内服务器日志、操作员日志、交换机日志、安全设备日志等进行统一的收集存储,不满足《网络安全法》和等级保护制度要求,也无法对工控网的网络运维日志进行有效的大数据分析。
集中管控技术需求
现有工控网缺乏统一管理技术手段,在后续安全运维时,会消耗较多的运维时间,同时缺乏对第三方运维审计管控,存在较大安全隐患。
系统漏洞管理需求
工控网目前缺乏有效的系统漏洞及时发现技术,一旦系统厂商发布高危漏洞,用户没有及时发现或更新,黑客人员很容易利用漏洞对工控网的主机或PLC发起攻击,一旦攻击成功用户会面临较大的经济损失和企业影响。
大型水库自动化系统安全体系建设解决方案设计
该水库生产系统安全建设依据“安全分区、纵深防护、统一监控”的原则进行建设。
安全分区:根据生产过程,将生产相关配套工业控制系统按照板块进行安全分区。
纵深防护:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部部署异常行为、恶意代码的检测和防护措施。
统一监控:统一监控各个子系统业务板块的工业控制系统的安全状况,将各业务板块的工业控制系统安全风险进行集中展示,全面了解并掌握系统动态。
1、系统边界安全防护
在生产管理层到企业资源层之间部署安全隔离与信息交换系统,通过安全隔离与信息交换系统对现场的数据传输OPC协议进行深度解析,从而实现网络层+应用层的双重防护。
在工程师站和PLC之间串联部署工业防火墙,实现对现场工业控制指令的检测和管控,目前工控网系统工业协议采用的是CIP、S7等工业协议,工业防火墙能够对现场应用层CIP、S7等工业协议进行深度解析,当发现上位机对PLC下发的指令不符合白名单的安全测量时,防火墙及时对数据进行拦截并告警,从而及时有效地避免中间人和一些不法人员的入侵攻击行为。
2、系统入侵防范及网络安全审计
在生产管理层核心交换机上旁路部署一台入侵检测和一台工控安全监测与审计系统,对现网的内部流量进行检测和分析,及时发现来自内外网的攻击行为,同时为控制系统网络提供事前监控、事中记录、事后审计。
3、主机安全加固设计
在水库服务器和主机上部署工控主机卫士软件,保护这些设备的主机安全。工控主机卫士采用“白名单”管理技术,通过对数据采集和分析,其内置智能学习模块会自动生成工业控制软件正常行为的白名单,与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,其主机安全防护系统将会对此行为进行阻断或告警,以此避免主机网络受到未知漏洞威胁,有效阻止操作人员异常操作带来的危害,同时开启工控主机卫士的外设管控策略,避免非授权的U盘私自接入到网络当中。
4、安全集中管理中心设计
通过本次项目建立一套安全集中管理中心区域,在安全管理中心区域部署统一安全管理平台、安全运维管理系统和日志审计与分析系统、工控漏洞扫描平台,对第三方运维进行精细化的管控和审计,同时对安全事件、系统日志等安全数据采集范化,并对安全日志进行关联分析,及时发现生产控制系统的安全漏洞,极大提高了该水库工控系统的安全运维能力。
5、管理制度安全建设
配合客户完善现场相关管理制度建设,建立工业控制系统信息安全管理制度,从而满足等保及关保的相关制度要求。
用户价值
1.本方案以主动防护为核心,白名单防护技术为基础,帮助客户建立纵深防御防护体系,提高客户网络安全防护能力,确保水库工控网络系统能安全稳定运行;
2.根据客户现场管理组织架构,帮助客户完善管理制度,提高企业网络运行的标准化和规范化,从而协助客户实现网络运维管理“一切按照制度办事”的目标;
3.顺利通过三级等级保护测评,为后续水务集团构建集团级态势感知监测预警平台奠定坚实的基础。
