摘要:近年来,随着工业化和信息化的深度融合与发展,SCADA、DCS、PLC等工业控制系统面临的网络安全问题日益严重。根据国内企业工业控制系统的安全防护需求,总结了工业控制系统网络安全防护面临的问题,针对如何建立工业控制系统网络安全防护体系进行了分析与阐述,供业界参考。
关键词:工业控制系统;网络安全管理;网络安全防护体系
1工业控制系统网络安全现状分析
当前工业控制系统已成为国内外敌对势力重点攻击的目标,“震网”、“火焰”、“乌克兰电站”等安全事件表明网络攻击已经具备部级网络战形态,其破坏性已延伸至关系国计民生的关键信息基础设施,工业控制系统的安全防护无论对于企业还是对于国家,都已经上升到无比重要的地步。目前,国内企业工业控制系统在工控安全管理过程中存在的突出问题有:对网络安全工作认知不足、重视不够、工作领导机构不健全、责任部门不明确、责任制未有效落实,存在职能交叉、多头管理、重要管理制度缺乏、执行不严等问题,同时工业控制系统普遍缺乏专业的安全人员,工控网络安全专项教育和培训开展不足。在工控安全技术方面存在的突出问题有:企业工控网络内部缺乏有效的安全隔离措施,普遍使用交换机划分VLAN或采用传统防火墙,无法有效隔离工业病毒和攻击;工控主机未采取防病毒措施或安装的杀毒软件没有及时更新病毒库;上位机操作系统版本普遍较低,存在大量的漏洞,普遍缺乏漏洞检测、安全生产加固工作开展不及时或未定期开展;普遍缺乏必要的技术手段对网络行为和操作行为进行监控和审计;普遍采用国外品牌的工业控制系统,自主可控程度较低。
2工业控制系统网络安全防护体系设计
工业控制系统网络安全防护体系要在企业整体的网络安全决策下,建立工控安全组织体系、工控安全管理体系、工控安全技术体系以及工控安全运营体系,其中,工控安全组织体系和管理体系的建立是有效推进工控安全工作的前提和基础,而工控安全技术体系以及运营体系则是不断支撑工控安全防护有效落地以及持续改进的重要因素和措施。
2.1工业控制系统网络安全组织体系设计
2.1.1工控安全组织体系建设
工业控制系统的安全组织体系在不同层级的职责也各不相同,参照国内企业典型组织架构,建议建立企业总部、二级公司到生产企业的三级工作机制,优化工控安全管理统筹协调机制,做到责任体系责任明确,层次清晰、横向到边、纵向到底。1)企业总部层面:建立多部门联合的工控安全联合工作小组,包括生产、网络安全、信息化等主管部门,负责把握企业工控安全总体工作方针和方向,做出工控安全重大决策,明确企业工控安全防护原则和标准,开展监督和检查工作。2)二级公司层面:设立专业的工控安全管理部门,切实加强组织领导,落实工控安全责任,实现二级公司自身的工控安全管理的统筹协调、监督检查、责任考核等职能;组建专业的工控安全管理和技术运营队伍,辅以工控安全综合运营平台来监控和运营全企业的工控安全任务。3)生产企业层面:根据企业规模以及监管部门要求设置工控安全专职人员,并与生产、信息化、自动化等专业人员联合行动,落实生产企业工控安全具体事宜。
2.1.2工控安全人员管理
企业需要设计良好的工控安全岗位职责,加强工控安全团队建设,保障工控安全防护体系的落地,包括以下几方面。1)安全管理岗位职责:各级单位领导应设立相应的安全管理岗位职责,明确工控安全的第一负责人,对重大工控安全事项负有决策、指导和监督义务。2)安全技术岗位职责:工控安全技术人员主要负责日常的设备巡检和维护、安全监控和趋势分析、渗透测试和技术评估、突发安全事件的应急处置、安全技术方案的规划和修订、安全配置和安全补丁、安全产品的选型等相关工作。3)普通员工安全职责:各级单位的普通员工也应明确自身岗位的网络安全职责,增强安全意识。
2.2工业控制系统网络安全管理体系设计
2.2.1工控安全风险管理
工业控制系统的网络安全建设和运行是以安全风险管理为基础,通过识别工业控制系统的相关资产,明确需要保护的对象,并对其进行风险评估以识别相应的风险并对风险优先级进行排序;制定风险处置计划为工控安全项目的规划以及安全运行提供指导和输入,并在实施风险处置计划时进行监控,建立循环可控的工控安全风险控制体系,主要包括信息资产识别、风险评估、风险处置和风险监控等等。
2.2.2工控安全制度管理
明确工控安全管理制度范围,制定工业控制系统的安全方针与安全策略,并依据风险处置计划制定和完善各安全领域相关程序、制度、管理办法、规范、细则、指南、记录和表单等体系文件。结合企业网络安全以及生产安全要求,以生产业务为出发点,制定具有企业特色的工控安全管理制度。
2.2.3工控安全合规管理
根据上级监管要求、企业安全管理制度和策略以及业务特点建立工控安全控制要求,设定安全合规指标,作为合规检查依据;定期检查信息系统符合安全规范的情况,可采用扫描、渗透测试、配置检查和专业审计工具等手段;管理层应定期检查有关安全方针、策略和程序是否被正确有效实施,是否符合当前企业的整体安全战略。
2.3工业控制系统网络安全技术体系设计
2.3.1网络结构安全设计
通过区域划分来理顺企业管理系统和工业控制系统之间的访问关系,以及工业控制系统内部综合自动化系统之间的访问关系,建立清晰的安全防护边界,实现有效隔离,使网络层次更加清晰。根据生产企业不同业务需求其网络分层方式也不同,一般可按照如下方式划分。1)控制区:根据业务系统的重要性和上位机操作对执行设备的影响程度将控制区划分为监控区和监测区,重点保护生产控制以及直接影响生产(组态软件、PLC)的系统。2)生产执行区:生产执行系统位于经营管理层与自动化层之间,起着承上启下的作用,一般部署在二级公司,根据实际需要进行隔离。3)办公区:主要有决策支持系统、ERP、OA、CRM、知识管理和综合统计系统等。4)合理设计边界防护措施:通过网络与边界的防护控制,增强各区域网络的访问管理与控制力度,合理分离管理系统和控制系统,以及增强控制系统内部的安全防护,边界防护措施包括边界防护设备部署、边界防护设备的集中管理、企业监督考核平台建设和生产单位自查自检工具化。
2.3.2监控评估安全设计
工控系统的监控评估是针对由外部攻击和内部误操作甚至恶意操作行为引起的安全问题进行监控评估,通过对通信流量的检测、操作行为的控制与审计等一系列保护措施保障工控网络内的行为的安全可信。1)监测审计:在生产企业的监测区和监控区内部署监测审计设备,达到通过合理设置检测规则,检测网络数据包的恶意代码或漏洞攻击的迹象,分析潜在威胁并进行安全审计。监测审计设备需具备入侵检测、应用程序白名单和日志审计等功能。2)威胁评估:在生产执行区和控制区内部署威胁评估设备,准确地识别工控网络中的各类工控系统、设备、软件以及其他运行中的服务器、数据库和网络设备,智能生成网络拓扑,结合专业的工控漏洞库、设备库、威胁特征库和全网威胁评分系统,周期性地开展威胁评估,进行详细的漏洞分析,清晰定义各类设备和整体网络的安全风险,输出评估可量化的报告。3)漏洞挖掘:生产运维人员需要基于已知漏洞检测和未知漏洞挖掘相结合的方式,能够对工业控制设备(例如PLC)、工业控制系统(例如DCS,SCA-DA)、工业控制网络中的安全保护设备(例如工控防火墙,网关),以及工控软件(例如WinCC)的漏洞情况(包括已知漏洞和未知漏洞)全面了解,实现为主动安全防御决策提供依据的目标。
2.3.3设施安全防护设计
1)主机安全防护:通过部署主机安全防护软件和,加强主机恶意代码防范能力,优化安全配置,更新安全补丁,实现不同操作系统(WindowsXP、Win-dowsServer2008等)主机的安全防护,避免不同监控软件(如iFix、Rsview)漏洞被利用的情况发生,使系统管理人员全面掌握主机的防护状态。2)控制设备防护:PLC、电力监控分站、综合保护装置等具备现场控制的装置统称为控制器,控制器属于工控系统的最后一道防线,也是最重要的防线。在监控区内上位机和控制器之间部署安全防护装置,并结合黑白名单的技术。在控制设备接入网络的接口处部署逻辑隔离装置,实现就报文的快速处理。在控制区内部署防护平台,根据具体控制器的业务情况实现流量的智能学习和防护策略的智能优化。3)移动介质安全防护:对于生产监控区和监测区主机上因管理和维护需要,不得不保留的USB端口(例如加密狗USB端口),应该通过专用USB线和USB适配设备实现对移动介质的纯硬件防护,避免在主机上安装软件而影响主机专业应用系统程序运行。
2.3.4工控安全运营平台设计
工控系统网络安全防护体系为各生产业务的稳定运行提供了技术保障,为了能够让技术防护措施发挥最大效用,更好地支撑企业工业控制系统的统一安全监管,需要对安全防护设备实现统一管理与集成展示、安全管理的监督检查与考核、工业控制系统的总体威胁感知与预警,建设集中运营管控的支撑平台。安全运营支撑平台包括安全设备统一管控、安全运维考核管理和工控系统威胁感知三大部分,做到技术与管理的有机结合,达到工控系统持续安全运行的目标。
2.4工控安全运营体系设计
2.4.1工控项目安全管理
工业控制系统项目安全管理覆盖项目的可研、立项、实施以及上线运行等过程,遵循“同步规划、同步建设、同步运行”原则,以保障项目实施过程以及自动化系统自身的安全性,以实现在工业控制系统网络安全运行体系的源头来有效控制工业控制系统安全风险目标。
2.4.2工控安全运行管理
安全运行管理主要涉及到日常进行的安全运维工作,主要通过规范日常的安全工作提高日常安全运行水平,保证网络安全风险处于可控水平。安全运行工作主要是通过人员管理、用户管理、工业控制系统管理、安全监控、供应链管理、物理与环境安全管理等环节实行安全控制。
2.4.3工控安全事件和应急响应管理
应急响应与业务连续管理通过合理的应急管理流程和业务连续性管理计划快速发现事件和处理事件,对事件快速的响应并按照事件的轻重缓急安排响应工作,并尽可能快速处置,保障工业控制系统的安全运行,并能够应对重大的工业控制系统安全事故,保障生产业务的连续性。
2.4.4工控安全供应链管理
制定严格的供应链管理流程,保证工业控制系统供应商以及安全产品、安全服务满足国家以及企业的安全要求,包含应对由于系统制造商、采购商、运输服务商等多个主体,信息传递过程较长,渠道较多,使其面临着信息泄露、恶意篡改、供应中断与产品质量参差不齐等安全威胁。
3总结分析
工控安全是一个系统工程,是一个整体的概念,单独的安全组件只能提供部分的安全功能,无论缺少哪一个安全组件都不能构成完整的工控安全系统,因此必须保证网络设备、控制器、上位机和其他组件的整体安全性。同时工控安全又具有动态性。工控安全体系设计的最终目标是帮助企业具备不断提升工控安全管控的能力,以应对不断变化的内外部安全威胁。为了保障企业工控系统网络安全体系建设能够顺利实施,必须要考虑并通过各方努力满足以下关键成功因素的要求,具体包括以下几点。
3.1统一规划统一部署
工控安全的实施需要建立在对工控安全有高度认识的基础上,且需要有专业的技术团队,宜由企业总部来做统一规划、建设和运营,以保证项目的顺利实施。
3.2生产业务驱动
工控系统网络安全的最终目标是为业务的开展提供支持和保障,因此任务的实施一定要从业务的角度出发,不可仅仅看作是技术的任务。在实施时必须时刻考虑到业务的需求,在安全性和业务开展的便利性之间找到平衡点,同时提高业务部门对网络安全工作的理解和认识,在工控安全建设过程中获得业务部门的支持与配合,共同推动工控安全建设的开展,真正地实现工控系统安全为生产业务服务。
3.3有效的实施管理和监控
工控安全体系建设实施涉及到企业众多部门,涉及面广,影响大,这对于工控安全体系建设是一个巨大的挑战。为了获取建设的最大收益,并最大程度降低风险,需要落实强有力的实施管理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和监控,对于重点任务应投入专门的安全人员全程参与,及时掌握任务的实施情况,并根据企业信息化以及数字化建设的情况及时进行调整。
3.4长期可靠的合作伙伴
工控系统网络安全任务的实施涵盖范围很广,涉及到许多专业的技术和产品,需要广泛借鉴工控安全相关国际标准和最佳实践理念,又要充分结合企业工控系统对网络安全的特定需求,选择专业的合作伙伴对于保证工控系统网络安全建设能够成功实施是十分重要的。
3.5企业高层的支持
工控系统网络安全任务通常情况下会涉及到企业各生产管理部门的参与、配合乃至利益关系,因此在实施过中需要企业高层的支持甚至是参与协调各部门的关系,建立跨部门的协作机制,以保证项目的顺利实施。
作者:秦艳飞 单位:中粮集团有限公司
