一、钢铁行业工控安全背景介绍
钢铁企业是典型的生产、资金、技术密集型企业,其生产连续性强,生产系统耦合性高,加之近年我国众多钢铁企业不断推进智能化建设,其主要应用的工业控制系统PCS、DCS、 PLC、SCADA等,越来越注重系统开放性设计,且多采用第三方集成,操作端PC化等。其结果是提高了生产管理运行效率、减少了人力投入及能源消耗,但与此同时,其面临的网络风险也越来越严峻。如何有效地防范来自内部或外部的攻击,做好工控系统网络安全的防护工作,确保生产系统的稳定可靠,是钢铁行业工控系统信息安全亟待解决的问题。
本文以钢铁行业安全现状为背景,结合某钢铁企业现存安全问题,制定了具备前瞻性、可落地性的工业网络安全防御解决方案。
二、钢铁企业工控网络架构
钢铁企业生产信息系统主要包括(如图1所示):
L0(现场设备层):包括现场采集设备、PLC、DCS、智能机器人等工业控制系统,工业控制系统涵盖了西门子、和利时等国际国内的知名品牌产品;
L1(现场控制层):各生产单元生产过程控制系统、控制模型等;
L2(过程控制层):主要包括过程控制服务器,用于对生产过程中的数据进行采集和监控;
L3(生产管理层):负责生产计划编排、生产指令存储管理、质量控制计划管理等;
L4(企业资源层):主要包括办公网络、ERP系统、对外发布业务系统等。
图1 钢铁企业网络架构图
L1及以下层级统称厂级工控系统,L2及以上层级称公司信息管理系统,承载工控系统的网络为各厂工控网络,实现信息系统交互的网络为公司信息主干网。各层级相互协调,完成从炼焦到轧制等一系列连续的生产控制任务,在生产过程中如果遭受恶意攻击、发生病毒感染和扩散,就会使整改生产流程中断,工控系统的控制组件被迫停止运转,造成严重的生产故障和巨大的经济损失。
三、钢铁企业工控网络现状以及
存在的问题
随着“智慧制造”的推进,要求生产业务相关网络之间实现互联互通,打破了原有相对封闭的工控网络管理模式,通过对近年发生的工控安全事件分析发现70%以上都是由于勒索病毒、漏洞利用或网络攻击导致,随着网络架构逐步向“高可用、扁平化”趋势发展,基于网络传播的各种安全威胁将带来重大安全隐患。
3.1
工控主机安全问题
PC与Windows的技术架构现已成为控制系统上位机的主流,上位机是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。如今很多工控组态软件仍在Windows XP系统运行,Windows XP有大量漏洞,典型的如IPC漏洞、RPC 漏洞、Unicode 漏洞、IDA&IDQ 缓冲区溢出漏洞、Printer 溢出漏洞、Cookie 漏洞等,恶意代码通过这些漏洞,可以获得Windows XP操作站的完全控制权,甚至可以为所欲为。而漏洞的修复需要升级操作系统版本,系统版本升级会导致主机运行速度降低,且漏洞修复后可能造成控制系统应用或通信异常。
一些安全厂家推出的杀毒软件基于黑名单方式,经过大量的实践证明,终端采用黑名单的防护方式并不适用工控网络,主要存在以下三点弊端:
一、需定期对病毒库进行更新,但频繁的网络外链会增加较多未知风险;
二、杀毒软件对无法识别的工控系统程序,存在误杀风险;
三、工控主机进行定期病毒查杀占用系统资源,影响工控主机的性能,导致生产作业线运行状态不稳定。
3.2
移动存储介质管控缺乏技术手段
目前工控系统终端USB端口的管控,主要通过修改系统注册表禁用空闲USB端口,主机的外设接口张贴密封条方式进行管控,但现场人员存在工控安全意识不强,仍使用未经过授权移动存储介质或其他USB设备进行报表下载、数据拷贝等情况。缺乏必要的技术手段控制外部存储介质的非授权接入,利用未授权的移动存储介质将恶意代码渗透进入工业控制系统的安全事件屡见不鲜。威努特一线人员在钢铁企业现场发现多数工控主机存在带毒运行的状态。
3.3
网络边界风险
随着两化融合的推进,各类自动化、智能化项目的实施,工控网、信息网之间的通讯越来越多,边界越来越模糊,为实现现场实时数据的高效采集,需要工控网与信息网、主干网建立广范的连接,部分工控设备甚至通过无线网卡接入互联网络,违规接入工控网情况屡见不鲜,例如表检仪、孔洞仪等测量系统、区域数据采集设备等,为实现不同网段间的数据共享及信息主干网的业务发布,配备有多块网卡和IP地址,接入工控网络未经过审核、评估,容易导致原有的网络边界防线失效,一旦某台服务器感染恶意代码或遭受黑客攻击,可能会导致扩散到其他工控主机被感染或被攻击。
3.4
漏洞利用问题难以根除
2023年在钢铁企业发生的勒索病毒事件,多数起因是远程调试设备导致,但由于生产或操作需要,共享服务无法弃用。如果工控主机的445、139端口被封锁,可能造成组态软件无法正常运行,系统运行终断,而Wannacry勒索病毒正是利用了微软 MS17-010 漏洞并通过445端口传播;现场技术人员为提高故障处理效率,“向日葵”等远程应用软件仍在工控系统中使用,未遵循“最小原则”,开启139、445、3389等端口、FTP、Telnet等非业务必须的服务及Windows远程桌面服务。
四、威努特钢铁企业工控安全
建设方案
图2 钢铁企业工控网络安全建设总设计图
4.1
工控系统边界安全
部署工业防火墙,通过工业防火墙的工控协议深度解析及“白名单”安全管理机制,充分保护重要工控设备的信息安全,提升整个工业控制系统的安全防护等级。确保过程控制系统与现场控制设备之间、HMI(人机交互)和现场控制设备之间通讯与控制的合法性,有效阻止利用工控协议进行漏洞攻击,并同步管控网络非法入侵、恶意访问的威胁。
图3 工业防火墙白名单三重固化
4.2
工控系统网络流量监控
在生产网的关键节点交换机端口旁路部署工控安全监测与审计系统,为控制系统网络提供事前监控、事中记录、事后审计。对各车间工控网络中的控制系统、主站系统等行为进行审计,以保证触发审计系统的事件存储在审计系统内,并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作,且能够在必要时从记录中抽取所需要的资料。
与防火墙相比,安全监测与审计主要侧重于事后分析,即当发生安全事故或者发生违反安全策略的行为之后,通过检查、分析、比较审计系统收集的数据,从中发现违反安全策略(恶意接入、流量监控等)的行为。
图4 监测与审计功能全景图
4.3
终端安全加固
由于传统杀毒软件的“黑名单”方式严重依赖病毒库,并不适用钢铁企业工控网络。应采用更适用于工业网络环境的工控主机卫士,其颠覆了传统杀毒软件的误杀、误报、误拦截,采用与其相反的轻量级“白名单”机制,可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。
图5 主机卫士功能全景
4.4
移动介质管控
部署移动介质安监站设备,实现工控网络终端外设统一管理,并同步存储外设的接入控制与内容检查,存储外设扫描通过内置防病毒引擎及病毒特征库,实现对存储外设内的文件进行病毒特征扫描。存储外设杀毒,通过内置防病毒引擎对扫描出来的染毒文件进行清除。
图6 移动介质管控方案
4.5
APT防护
提高已知、未知威胁攻击防御能力,在生产控制层与生产管理层网络边界处部署高级威胁检测系统,高级威胁检测系统集威胁情报、下一代入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体,对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。产品基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联,还原攻击事件,及时告警,溯源威胁,对检测及防御APT攻击起到关键作用。
图7 高级威胁检测系统
4.6
远程运维管控
“智慧制造”建设带来大量远程运维需求,其接入工控系统需要实现安全访问、权限管理及安全审计要求。运维人员通过VPN设备连接至主干网内,登录堡垒机进行认证授权,基于堡垒机操作录屏功能实现运程运维操作审计功能。通过堡垒机发布中心平台连接至厂部远程通信服务器,厂部设备管理员可以通过远程通信服务器完成远程接入人员的账户创建、删除、禁止以及用户授权等操作,并可记录和追溯设备与人员访问日志,支持多人同时访问多个设备,默认封闭远程通信服务器访问端口,网络管理员可按需进行配置管理,保障远程访问安全。
图8 安全运维管理系统
4.7
安全管理中心建设
部署工业安全态势感知平台产品,对所有工控系统网络安全状态进行监测并通过可视化展示,综合安全态势、资产态势、脆弱性态势、网络攻击态势、运行态势、安全事件态势等,实现安全风险可视化,形成一体化工业安全运营分析中心。
图9 态势感知可视化界面
五、最佳实践和方案收益
图10 国内某钢铁企业建设方案
国内某生产规模近6000万吨的大型企业集团,因网络安全设备无法解析S7协议,多次出现控制器被蓄意破坏、工控系统非法停机等安全问题,客户急需构建整体工业控制网络安全防护体系,以确保工业控制业务系统的安全稳定运行。
了解到客户的需求之后,威努特凭借专业的方案设计和丰富的现场经验,通过多轮的技术交流及材料输出,成功在多家友商中脱颖而出。在炼钢厂、炼铁厂、轧钢高产厂、棒线厂、焦化厂等部署工业防火墙系统,工控安全监测与审计系统等设备,通过100+以上的工业协议检出能力、1000+以上的工业协议功能码识别能力,实现指令级的超精细管控。解决现有安全设备因无法解析、管控S7协议,从而导致的控制器被蓄意破坏、系统非法停机等安全问题;部署主机卫士实现对黑客、病毒、恶意代码等高风险抵御,阻止内部/外部人员的非法访问等安全威胁;在生产管理层部署统一安全管理平台,实现对部署在各厂区工业防火墙的集中管控及维护,解决因厂区过大、往返设备现场运维不便的问题,极大降低了运维成本,提升了运维效率。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121