启明星辰集团针对工信部工业控制系统信息安全防护指南的实施方案 前言 自 2016 年 11 月 3 日工业和信息化部正式发布 工业控制系统信息安全防护指南 ( 以下简称 指南 ) 以来, 启明星辰集团收到了许多客户和合作伙伴的咨询, 都希望能够针对指南的要求提供对应的解决方案 集团一直以来十分重视工

Transcription

1

2 启明星辰集团针对工信部工业控制系统信息安全防护指南的实施方案 前言 自 2016 年 11 月 3 日工业和信息化部正式发布 工业控制系统信息安全防护指南 ( 以下简称 指南 ) 以来, 启明星辰集团收到了许多客户和合作伙伴的咨询, 都希望能够针对指南的要求提供对应的解决方案 集团一直以来十分重视工控安全业务的发展, 本着积极响应工信部的政策号召, 满足诸多客户和合作伙伴的现实需求, 我们正式发布了 启明星辰集团针对工信部 < 工业控制系统信息安全防护指南 > 的实施方案 该方案通过对指南的深度解读, 以指南具体要求为依据, 结合启明星辰在工控安全的多年经验积累, 针对各个工业行业的工控安全特点和典型问题提出了一些解决办法 成文比较仓促, 还需要不断的改进, 欢迎更多的朋友 客户和同仁共同探讨, 推动整个工控安全行业的健康稳定发展 启明星辰微信号 :

3 启明星辰集团针对工信部工业控制系统信息安全防护指南的实施方案 目录 1 工信部工控系统安全防护指南背景 防护指南背景 防护指南要求 整体工控安全防护体系框架 工控信息安全管理机制 先进制造类工控系统安全防护实施方案 系统现状与风险概述 防护系统部署 安全防护建议和效果 电力行业工控系统安全防护实施方案 智能变电站电力监控系统防护实施方案 系统现状与风险概述 防护系统部署 安全防护建议和效果 火电厂工业控制系统防护实施方案 系统现状与风险概述 防护系统部署 安全防护建议和效果 轨道交通行业工控系统安全防护实施方案 综合监控系统现状及风险概述 系统现状 存在的安全风险 综合监控系统安全防护设计与建议 综合监控系统安全防护部署 安全防护建议和效果 石油炼化 钢铁类工控系统安全防护方案 系统现状与风险概述 安全防护建议和效果 市政燃气行业工控系统安全防护实施方案 系统现状与风险概述 安全防护建议和效果 烟草行业工控系统安全防护实施方案 系统现状与风险概述 安全防护建议和效果 系统上线与实现效果呈现 安全区域划分 安全域划分的参考 管理网与工控网的数据安全交换 远程 / 外部运维的安全架构 设备命名规范 IP 规划 访问控制策略... 73

4 启明星辰集团针对工信部工业控制系统信息安全防护指南的实施方案 9.2 系统上线部署 实现效果呈现 安全服务与长效机制 预期收益与风险预防机制 预期收益 风险预防机制 未来展望... 89

5 第一章 工信部工控系统安全防护指南背景 1

6 1 工信部工控系统安全防护指南背景 1.1 防护指南背景 自 2010 年震网 (Stuxnet) 病毒爆发后, 国家非常重视国家基础设施的信息安全问题 2011 年 9 月, 发布工信部协 [2011]451 号 关于加强工业控制系统信息安全管理的通知 此后在 2012 年 6, 国务院发布 国务院关于大力推进信息化发展和切实保障信息安全的若干意见 ( 国发 [2012]23 号 中明确要求 : 保障工业控制系统安全 加强核设施 航空航天 先进制造 石油石化 油气管网 电力系统 交通运输 水利枢纽 城市设施等重要领域工业控制系统, 以及物联网应用 数字城市建设中的安全防护和管理, 定期开展安全检查和风险评估 重点对可能危及生命和公共财产安全的工业控制系统加强监管 对重点领域使用的关键产品开展安全测评, 实行安全风险和漏洞通报制度 之后工信部办公厅又印发了 关于开展工业控制信息安全风险信息发布工作的通知 ( 厅函 [2012]629 号 ), 开始对各区域的工控系统进行检查 在 2015 年 12 月, 工信部又印发 2015 年工业行业网络安全检查试点工作方案的通知 ( 工信厅信软函 (2015)788 号 ) 在反复检查调研后, 了解到先进制造 轨道交通 电力 石油石化 企业等各行业工业控制系统绝大多数采用国外的控制系统, 并且面临着实际因 U 盘管理不规范 远程运维不规范 边界未隔离等原因造成的网络病毒蠕虫 误操作或泄密及影响生产等问题, 迫切需要实际的防护指南进一步指导 因此, 为贯彻落实 国务院关于深化制造业与互联网融合发展的指导意见 ( 国发 号 ), 保障工业企业工业控制系统信息安全, 工信部制定 工业控制系统信息安全防护指南 ( 以下简称 指南 ) 并于 2016 年 11 月 3 日发布, 要求地方工业和信息化主管部门根据工业和信息化部统筹安排, 指导本行政区域内的工业企业制定工控信息安全防护实施方案, 推动企业分期分批达到本指南相关要求 相关国内外的工控安全现状 政策及形势可参阅工控网发布的最新 2016 年工控安全蓝皮书 2

7 1.2 防护指南要求 工业控制系统信息安全防护指南 中所提出要求包含安全软件选择与管理 配置和补丁管理 边界安全防护 物理和环境安全防护 身份认证 远程访问安全 安全监测和应急预案演练 资产安全 数据安全 供应链管理 落实责任共十一小节, 共三十一条内容, 逻辑关系如下图所示 3

8 启明星辰集团针对工信部工业控制系统信息安全防护指南实施方案 1.3 整体工控安全防护体系框架 整体工控安全防护架构如下图所示 覆盖全生命周期 包括技术措施和管理制度及长效机制 工控系统安全整体防护框架 先进制造工控系统 管理措施 电力行业工控系统 轨道交通工控系统 石油炼化 钢铁类工控系统 烟草行业工控系统 市政燃气行业工控系统 管理层 销售管理 组织与人员 人事管理 财务管理 供应链管理 应用服务器 工控信息 安全管理 系统 办公网 工控漏洞扫 描系统 intelnet 生产执行层 网络防泄 密系统 防病毒系 统 工业防火墙 操作站安 全系统 操作站安 全系统 HMI 普通工作站 工程师站 操作员站 编程工 作站 工控异常监测系统 网络防泄密系统 日志审计 系统 防护系统 无线安全防护系统 工控异常 监测系统 工业控制域 HMI 控制1区 A P DNC pro客户 SSL VPN 端 数控机床 PLC DNC pro客户 端 工业防火墙 工控异常监测 系统 配置核查 系统 工业交换机 工控异常 工业防火墙工业交换机 PLC 数控机床 工控异常 监测系统 防病毒系统 v 工业防火墙工业防火墙 控制2区 工业防火墙 工控运维 PLC PLC 审计系统 工业防火墙 工业防火墙 D 工业交换机 现场第 三方运 维人员 现场设备层 翻箱机 烘干机 PLC 切丝机 远程运维人员 应急响应服务 安全通告与预警服务 安全驻场服务 风险评估服务 4 工业防火墙 控制3区 v PLC 外部协同 响应机制 工业网闸 工控异常 监测系统 工业交换机 工业防火墙 监测系统 v 工控运维 审计系统 防病毒系统 车间1 现场第 三方运 维人员 C 现场控制层 CNC防护装置 现场设备层 数控机床 防病毒系 统 配置核查 系统 操作站安 全系统 操作站服务器 监控服务器 监控服务器 数据库服务器 工控异常 监测系统 工控异常 监测系统 业务服务器区 操作站安 全系统 工控流量监 测与审计 DNC客户 端 无线安全 现场控制层 数控机床 操作站安 全防护 工控漏洞扫描系统 工业防火墙 过程监控层 工程师操作区 交换机 CNC安全防护装置 合规性管理 安全通报 机制 操作员站 工程师站 监控站 过程监控层 工业防火墙 配置核查系统 应急与事件 操作员站 上位机区工业防火墙 SSL VPN 风险管理 工控漏洞扫 描系统 配置核查系统 工业防火墙 监督控制域 计划排产 仓储管理 运行与维护 工控漏洞扫 描系统 安全运维区 DNC服务器 MES服务器 实时数据库 历史数据库 资产管理 安全配置 互联网 ERP服务器 MES服务器 生产执行层 工业防火墙 物理环境 工控信息 安全管理 系统 生产执行域 管理协同层 安全设备运维服务 工控安全培训服务 内部协作与 共享机制

9 第二章 工控信息安全管理机制 5

10 2 工控信息安全管理机制 基于 工业控制系统信息安全防护指南 对工控信息安全管理提出的要求以及结合企业生产的管理模式及现状, 启明星辰提出如下关键的管理机制 通过建立工控信息安全管理机制 成立跨部门的信息安全协调小组等方式, 明确工控信息安全管理责任人, 落实工控信息安全责任制 切实提高工控信息安全的管理效率和水平 ( 一 ) 工控信息安全管理组织职责与人员职责目前企业仍存在工控信息安全职责不明晰的状况, 因此想要将工作落实到位, 必须明确管理组织和责任, 所以建立工控信息安全协调组织, 明确定义组织和人员职责是非常必要的 具体管理措施包括 : 1) 成立由生产部门和信息部门联合组成的工控信息安全管理协调领导小组, 明确责任牵头人, 合理配置岗位并明确组织和岗位职责, 并正式颁文发布 ; 2) 应明确车间人员 操作人员 信息安全管理员 系统运维人员等各角色应承担的工控信息安全职责 ; 3) 建立并明确各部门间的协作机制 ; 4) 明确对各类人员的安全培训的周期及应达到的效果 ( 二 ) 工控资产管理工控资产是安全评估和运维的基础元素, 因此对工控资产进行统一分类管理并定期更新是有实际意义的, 能够确保运维和应急处置人员及时 高效的对资产进行定位和管理 具体管理措施包括 : 1) 建立工控资产清单, 清单中要有统一的覆盖中控室 现场控制室及现场设备层的所有交换机 路由器 PLC 工控信息安全设备 现场传感器等资产, 内含 IP 地址 物理位置 购置日期 品牌型号等详细信息 ; 2) 对工控资产进行分类, 分类标准可参考国家标准 工业控制信息安全第 1 部分 : 评估规范 ( GB/T ) 中对资产的分类 ; 3) 每个资产都需对应职责人 ; 4) 明确资产清单定期更新的周期和更新的统一负责人 ; 5) 明确对于资产全生命周期的管理方式 6

11 ( 三 ) 防病毒和恶意软件入侵管理对计算机病毒 木马和恶意软件的防护是保证工控信息安全的必要措施, 需要建立相应的管理措施, 对病毒防护工作进行规范化管理 具体管理措施包括 : 1) 明确要求工业控制系统中各类设备的临时接入行为应在接入前进行病毒查杀 ; 2) 要求所有工控主机 ( 如操作员站 工程师站 服务器等 ) 安装防病毒软件或应用程序白名单软件等安全防护措施, 并定期进行病毒库的升级或防护策略调整 ; 3) 明确发现病毒入侵或恶意软件入侵行为后的应急处置方法和上报流程 ( 四 ) 配置管理在工业控制系统中, 需要对所有的安全配置进行统一管理和维护, 明确配置变更和审计流程, 确保配置变更行为不会对工业控制系统的安全构成影响 具体管理措施包括 : 1) 建立工业控制系统配置清单, 明确配置管理责任人及其职责 ; 2) 定期对配置清单进行配置审计 ; 3) 所有重大配置变更应制定变更计划并进行影响分析, 定义配置变更审批流程, 配置变更实施前应进行严格的安全测试 ; ( 五 ) 工控网络安全管理工控网络是工业控制系统运行的基础, 各类工业控制指令 组态数据 状态信息等都需要在工控网络中进行传输, 因此, 做好工控网络的安全管理是非常必要的 工控网络安全管理的主要管理措施包括 : 1) 应对工控网络进行安全域划分, 明确安全域边界, 对 VLAN 和 IP 地址进行统一分配和管理 2) 应对工业控制网络与企业网或互联网之间的边界进行安全防护, 禁止没有防护的工业控制网络与互联网连接 3) 应对工业控制网络安全区域之间进行逻辑隔离安全防护, 如采用防火墙或网闸隔离 ; 4) 工业控制网络应具备入侵和异常行为检测能力, 及时发现入侵和异常行为并记录和告警 7

12 ( 六 ) 用户与身份认证管理在工业控制系统中, 工业主机登录 应用服务资源访问 工业云平台访问等过程中均需要对用户的身份进行认证和管理, 以确保访问行为的合法性, 防止非授权的访问行为 具体管理措施包括 : 1) 要求各类关键设备 系统和平台的访问, 除用户名和密码方式外, 采用多因素认证, 如 USB-key, 生物特征等 ; 2) 规范用户账户的权限分配和管理机制, 以最小特权原则分配账户权限 3) 对工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码提出长度和复杂度要求和定期更新要求, 避免出现默认口令或弱口令 ; 4) 对身份认证证书信息提出保护要求, 禁止在不同系统和网络环境下共享 ; 5) 明确身份认证证书的申请流程, 对证书的使用提出管理要求 ( 七 ) 物理和环境安全管理工业控制系统中各类工业控制设备所在的物理区域需要采取相应的访问控制和安全防护措施, 确保设备的物理安全, 以及物理区域访问和操作行为的合法性 具体措施包括 : 1) 要求物理环境中具备如防火 防震 防水等抗灾防护措施 ; 2) 要求重要工程师站 数据库 服务器等核心工业控制软硬件所在区域采取访问控制 视频监控 专人值守等物理安全防护措施 ; 3) 重要区域应采用门禁等物理措施进行隔离 ; 4) 要求对工业主机的物理接口进行禁用和拆除, 确需使用的应明确具体的使用规则和要求 ( 八 ) 运行与维护安全管理工控系统建设完成后, 绝大多数时间是处在运行维护期, 因此安全的防护和管理也主要是针对运行和维护 具体管理措施包括 : 1) 针对明确日常维护的责任人员, 并建立详细的维护操作流程及相关表单 ; 2) 对远程运维行为提出管理要求, 包括运维账号的申请和管理 运维行为的规范等, 如需从互联网接入, 应使用经加密和认证的安全通道, 如 VPN 等 ; 3) 明确现场运维的管理要求, 如出入登记 人员陪同 操作记录 人员变 8

13 更时的保密要求等 4) 要求工控系统及工控信息安全设备保留日志, 对各类运维行为进行安全审计 ( 九 ) 数据安全管理工业控制系统中的各类工业数据应受到严格的保护, 以确保工业生产计划的正常执行 具体管理措施包括 : 1) 对工业数据信息进行分级分类管理 ; 2) 制定关键业务数据备份机制, 定期进行备份和恢复演练 3) 制定测试数据的保护管理机制 ( 十 ) 应急响应预案任何方案都不能保证不发生安全事件, 安全目标重要的是在发生安全事件后能在最短时间内能够恢复 因此, 建立有效的应急响应预案非常必要, 应急响应预案中需明确但不限于如下要求 : 1) 明确各类事件的应急预案 ; 2) 明确在应急过程中的保障资源清单, 包括设备 人员 联系方式等 ; 3) 明确开展应急预案培训, 并形成培训记录 ; 4) 明确开展应急演练的周期, 并在演练时形成演练总结报告和记录, 必要时对应急预案进行修订 ( 十一 ) 服务商安全管理工业控制系统规划 设计 建设 运维或评估等是工业企业在建设 生产和运维过程中不可或缺的服务, 因此, 应对服务商的信息安全进行约束和管理 具体措施包括 : 1) 规范服务商的选择流程, 对服务商的工控信息安全防护经验进行评估, 如相关合同 案例 验收报告等 ; 2) 与服务商签订的合同应明确增加服务商在服务过程中应承担的信息安全责任和义务的条款 ; 3) 所有服务商及其服务人员应签订保密协议 ; 4) 对服务商的服务效果定期进行评估, 淘汰不合格的服务商, 确保服务质量 9

14 第三章 先进制造类工控系统安全防护 实施方案 10

15 3 先进制造类工控系统安全防护实施方案 先进制造类的工控系统以高端数控机床 工业机器人 测试床等几类为主 机床较普通, 所以该实施方案主要以机床类为例介绍 但军工行业还会考虑保密要求 3.1 系统现状与风险概述 机床一般有铣床 磨床 洗床 加工中心等, 主体品牌有西门子 法兰克 马扎克等国外品牌, 以及海天龙门 永进等国内品牌 通常设备接口有 RS232 RJ45 两种 工控网络的生产与管理网的管理关系如下图所示 : 传统车间里的机床设备基本都是通过串口连接, 存在大量串网转换装置, 如 下图示意 : 11

16 为提升机床效率和利用率, 逐步建立 DNC 网络, 可实现统一的机床管理和实时监测, 同时使设计和生产直接连接,DNC 通常国外使用的品牌有 Cimco 和 Predator 国内提供 DNC 网络的主要是数码大方和蓝光,DNC 传输主要是基于 TCP/IP 协议,DNC 的采集是通过 OPC MODBUS 及厂家自身协议等 数控系统的管理流程如下图所示 : 该类系统安全面临的风险主要有如下 : (1) 大多 CNC 设备采用国外品牌, 面临着国外厂商运维时重要数据如生 产数量 NC 文件泄露的风险 12

17 (2) 工控网络与管理网中的 DNC 服务器连接时, 在提高效率的同时也面临着被感染病毒 恶性攻击的风险 (3) 诸多工厂通过使用 U 盘将 NC 文件传入高精类数控设备或连入网络传输数据, 可能会被传染病毒或恶意代码, 进而严重影响生产的产量 质量及效率 (4) 第三方人员 ( 尤其是远程的国外人员 ) 在远程维护高精类机床设备时可能会有相关生产数据的信息泄密, 直接影响着企业声誉 国家命脉 (5) 未对操作站主机及服务器端进行必要的安全配置, 使得一旦能接触访问到该主机则被攻击的成功机会很高 (6) 无线客户端和接入点的认证措施不足, 使得很容易在车间中被人盗取或滥用 除此之外, 也存在管理方面的缺乏相应的信息安全责任人 供应商管理不严格 安全培训意识不足等问题 3.2 防护系统部署 根据 指南 要求, 结合先进制造工控信息安全产品典型部署如下表所示 序号 所在层 设备及软件名称 设备形态 部署位置 1 过程监控层 防病毒系统 软件 CAM 终端 工艺终端上 2 过程监控层 网络防泄密系统 机架处 车间与上层连接的交换机处 3 过程监制层 4 现场设备层 工控异常检测系操作站主机网络出口, 现场核机架式统心交换机上行出口机床前或 CNC 安全防护装置导轨式串口转换器与交换机之间 5 SSL VPN 机架式 6 现场设备层 无线安全防护系统 机架式 生产网出口交换设备处或 DMZ 区交换设备处车间网络 产品部署位置如下图所示 : 13

18 管理层 销售管理人事管理财务管理供应链管理 应用服务器 办公网 intelnet 生产执行层 MES 服务器 实时数据库历史数据库 工业防火墙 数采机 计划排产 仓储管理 先进控制 过程监控层 HMI 普通工作站工程师站 操作员站 配置核查系统 网络防泄密系统 编程工作站 工控异常监测系统 DNC 客户端 现场控制层 无线安全防护系统 CNC 安全防护装置 现场设备层 数控机床 数控机床 DNC pro 客户端 SSL VPN 数控机床 数控机床 DNC pro 客户端 车间 1 现场第三方运维人员 现场第三方运维人员 远程运维人员 3.3 安全防护建议和效果 实施完上述安全系统后, 跟指南对应将达到如下效果 : 物理安全方面 指南 内容具体要求技术防护措施防护效果 ( 一 ) 对重要工程师站 数据库 服务器等核心 四 物理和环境安全防护 工业控制软硬件所在区域采取访问控制 视频监控 专人值守等物理安全防护措施 ( 二 ) 拆除或封闭工业主机上不必要的 USB 光驱 无线等接口 若确需使用, 通过主机外 拆除或封闭机床设备上的 USB 光驱 无线等接口 ; 在 CAM 终端 工艺终端上安装防病毒软件或终端安全管理系统 可配合管理制度对实现对机床外设的严格控制 可实现 CAM 终端 工艺终端的 USB 光驱 无线等接口进行严格外设控制 设安全管理技术手段实 施严格访问控制 14

19 网络安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 做好工业控制网 对工业控制网络进 二 配置和补丁管理 络 工业主机和工业控行安全配置核查审实现对工控网络设备制设备的安全配置, 建计, 对于安全配置安全配置进行审计与立工业控制系统配置较差的设备在保证完善 清单, 定期进行配置审生产的前提下进行 计 安全配置修改 ( 二 ) 通过工业控制网 络边界防护设备对工 业控制网络与企业网 或互联网之间的边界进行安全防护, 禁止没 根据数据传递方向在生产管理网与管 实现了阻断来自管理 三 边界安全防护 有防护的工业控制网理网间部署网闸或网的非法行为 络与互联网连接 工业防火墙 实现了对机床的非法 ( 三 ) 通过工业防火墙 网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护 在机床前部署 CNC 防护装置 行为的访问控制 ( 二 ) 确需远程访问的, 采用数据单向访问 六 远程访问安全 控制等策略进行安全实现对远程访问行为部署 SSL VPN 加固, 对访问时限进行的访问控制及加密 控制, 并采用加标锁定策略 ( 三 ) 强化工业控制设备 SCADA 软件 工 车间运维人员核查工控系统内网络设 强化工业控制网络设备身份认证 五 身份认证 业通信设备等的登录备缺省口令及默认账户及密码, 避免使用口令, 定期进行更 默认口令或弱口令, 定 新 期更新口令 ( 一 ) 在工业控制网络 在生产车间部署工 实时监测针对工控系 部署网络安全监测设控异常监测系统 统入侵行为及异常行七 安全监测和应急预案备, 及时发现 报告并为 演练处理网络攻击或异常 行为 15

20 主机安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程 机床采用厂家自带 一 安全软件选择与管理 序白名单软件, 只允许经过的经过测试防病毒实现了来自管理工业企业自身授权和安全系统 CAM 终端和网和来自生产网评估的软件运行 工艺终端部署防病自身中的病毒的 ( 二 ) 建立防病毒和恶意软毒软件和终端安全防护 件入侵管理机制, 对工业控管理系统 制系统及临时接入的设备 采取病毒查杀等安全预防 措施 ( 一 ) 做好工业控制网络 部署安全配置核查 工业主机和工业控制设备 系统, 对工业主机 的安全配置, 建立工业控制 等设备进行安全配 系统配置清单, 定期进行配 置核查审计, 对于 可提前获取安全 置审计 安全配置较差的设 配置状况及漏洞 二 配置和补丁管理 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 ( 一 ) 在工业主机登录 应用服务资源访问 工业云平台访问等过程中使用身份认证管理 对于关键设备 系统和平台的访问采用多因素认证 ( 二 ) 合理分类设置账户权五 身份认证限, 以最小特权原则分配账户权限 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 备在保证生产的前风险状况, 方便提提下进行安全配置前进行修补或配修改 置 在非生产时间进行动态或静态的漏洞检查, 在主机系统自身设置实现多因素认证实现了主机的强和权限分配 认证和避免了主通过系统的安全策机的弱口令 略设置口令策略 工业控制设备 指南 内容 具体要求 防护措施 防护效果 16

21 二配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 对机床进行安全配置核查与审计 能提前获知机床的安全配置现状并根据需求进行防护 ( 三 ) 强化工业控制设备 车间运维人员核查 五身份认证 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 工控系统内工业控制设备的缺省口令和弱口令, 发现后进行整改并定期更 加强工业控制设备的身份认证强度 新 七安全监测和应急预案演练 ( 二 ) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备, 限制违法操作 在机床前端部署适用于工业现场的专用防火墙 对工控异常访问行为及违法操作进行安全防护 ( 一 ) 建设工业控制系统资 由信息中心联合设 产清单, 明确资产责任人, 备科统计工业控制 以及资产使用及处置规则 制系统资产清单, 清晰了解工业控 八资产安全 ( 二 ) 对关键主机设备 网 可借助资产发现工 制系统的资产情 络设备 控制组件等进行冗 具 况 余配置 对关键控制组件增 加冗余配置 应用系统安全方面 指南 内容 具体要求 防护措施 防护效果 五身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备 等的登录账户及密码, 避免 使用默认口令或弱口令, 定 期更新口令 由车间运维人员核 查组态软件缺省口 令和弱口令, 发现 后进行整改并定期 更新 加强组态软件身 份认证强度 数据安全方面 指南内容 具体要求 防护措施 防护效果 九数据安全 ( 一 ) 对静态存储和动态传 输过程中的重要工业数据 进行保护, 根据风险评估结 果对数据信息进行分级分 类管理 ( 二 ) 定期备份关键业务数 据 ( 三 ) 对测试数据进行保 护 在保证可用性的前 提下, 应用系统内 进行相关数据的加 密措施 对重要工业数据进 行备份 保证重要工业数 据安全性 17

22 第四章 电力行业工控系统安全防护实施方案 18

23 4 电力行业工控系统安全防护实施方案 4.1 智能变电站电力监控系统防护实施方案 系统现状与风险概述变电站作为连接发电与输配电的重要环节, 随着电力行业趋势的发展, 逐步在从传统的变电站转换为智能变电站, 也产生了诸多的安全问题 传统变电站与智能变电站的区别如下图所示 工作站 1 工作站 2 远动站工作站 1 工作站 2 远动站 RS485 以太网 IEC /103 电缆 网关网关网关 装置 1 装置 n 站控层 间隔层 装置 1 以太网 IEC 装置 n 过程层 合并单元 智能接口 光缆 CT/PT 传统互感器 传统一次设备 ECVT 电子式互感器 智能一次设备 传统变电站 智能变电站 传统变电站内部主要分为站控层 间隔层二层, 其中 : (1) 传统变电站没有过程层, 间隔层与一次设备之间采用电缆连接, 通过电流 电压等模拟信号采集数据 (2) 传统变电站站内采用 IEC 或 103 等专用工控协议通信 智能变电站按照 IEC61850 标准, 智能变电站内部主要分为站控层 间隔层与过程层三层, 其中 : (1) 站控层与间隔层之间 : 通过 MMS 协议进行报文交互, 构成 MMS 网 ; 间隔层设备通过 GOOSE 报文, 在间隔层设备之间以及过程设备传递开 关信息等, 构成 GOOSE 网 ; (2) 间隔层与过程层之间 : 过程层智能终端通过 SV 报文将采样值传输给间隔层设备, 构成 SV 网 ; (3) 对时 : 各层设备通过对时网实现时间同步 19

24 (4) 各智能变电站结合实际情况,MMS 网 GOOSE 网 SV 网 对时网采用单独部署或合并部署等方式 同时考虑到网络的健壮性, 建设 A B 网进行冗余 站控层主要有基于 IEC61850 的计算机监控系统 基于 IEC61850 的一体化信息平台 通过网络汇集全站的实时数据信息 与电网调度实时通讯 间隔层主要有基于站控层 IEC61850 协议的成套继电保护 测控装置 执行数据的承上启下通信传输功能 ; 基于全站过程层网络信息共享接口的集中式数字化保护及故障录波装置 过程层主要有传统互感器 罗氏线圈原理电子式互感器 (ECT EVT) 光学原理电子式互感器 (OCT OVT) 智能一次设备 合并单元, 智能终端, 完成实时运行电气量的采集 设备运行状态的监测 控制命令的执行 上述系统主要以国内电力行业的品牌为主, 如南瑞 许继 深瑞 新和普等 按 36 号文将智能变电站系统分区如下图所示 控制区 非控制区 变电站 监控系统安自装置五防系统继电保护 PMU I4 电量计量终端故障录波系统在线状态监测辅助监控系统 I5 管理信息大区生产管理系统调度管理系统 I7 I1 I2 I3 I6 远程安全拨号终端 实时子网 非实时子网 电力企业数据网 调控中心 电网调度控制系统 变电站电力监控系统安全分区表 序号业务应用或设备控制区非控制器管理信息大区 1 变电站监控系统变电站监控系统 2 五防系统五防系统 3 广域相量测量装置广域相量测量装置 20

25 4 继电保护 5 安全自动控制 继电保护装置及管理模块安全装置及管理模块 6 火灾报警火灾报警 7 电能量采集装置 电能量采集装 置 8 故障录波故障录波装置 9 一次设备在线监测 一次设备在线 监测 10 辅助设备监控辅助设备监控 11 生产管理生产管理终端 因智能变电站是通过专线向上连接, 所以安全风险主要集中在内部和运维时的风险, 如下 : (1) 能够接受来自其它调度控制系统的刀闸闭合可能导致的系统中断 虽然智能变电站通过专线与调度连接, 所以能够接受来自其它调度系统的指令 (2) 可能接受错误的遥控, 遥测, 造成系统的失控 (3) 机器人巡检路线被截持可能会被远程控制, (4) 远程运维的误操作导致造成控制系统跳变 错误动作 停机等事故 防护系统部署目前智能变电站的三层两网是目前最常见的一种网络设计架构, 是指三层设备通过两层网络互联, 及过程层和站控层交换机独立配置, 防护系统部署如下图所示 21

26 U N I V E R S I T Y 启明星辰集团针对工信部工业控制系统信息安全防护指南实施方案 集控站 调度中心 主机加固系统防护 运维审计 厂站端 I 区通信网关机 边界检测 II 区通信网关机 其它主站系统 III/IV 区通信网关机 工控异常监测审计 运维人员 运维管理系统 网络安全监测平台 网络安全监测平台 工作站 监控主机 数据服务器 防火墙 正向隔离装置 站控层 A 网 综合应用服务器 站控层 B 网 保护装置 测控装置 安稳装置 保护装置 过程层 A 网 过程层 B 网 安全 I 区安全 II 区 合并单元 合并单元 合并单元 合并单元 合并单元 断路器操作箱 断路器操作箱 安防系统 视频监控系统 计量系统 在线监测 电子式电压互感器 电子式电流互感器 电子式电压互感器 电子式电流互感器 基于电力 36 号文安全防护要求结合指南, 针对智能电站二次监控系统的安全防护内容包括 : (1) 网络边界安全域划分和防护在安全 I 区 II 区网络边界各横向纵向核心交换机处, 旁路部署边界工业防火墙 (2) 终端安全防护在安全 I 区 II 区各操作站和工程师站上部署主机加固系统, 实现对各终端的安全防护 (3) 异常网络行为监控与审计在安全 I 区 II 区网络边界各横向纵向核心交换机处部署工控异常监测与审计产品, 满足对异常通讯协议 异常指令的识别解析 异常流量 异常网络行为的实时监控, 流行为的展示等需求 (4) 运维审计过程安全防护在各安全 I 区 II 区内部署工控运维审计系统, 满足对运维过程的安全审计的需求 安全防护建议和效果实施完上述安全系统后, 与指南对应并结合 36 号文要求将达到如下效果 22

27 物理安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 对重要工程师站 数可配合管理制度对据库 服务器等核心工业控拆除或封闭机床设实现对操作员站 制软硬件所在区域采取访问备上的 USB 光驱 工程师站外设的严控制 视频监控 专人值守无线等接口 ; 格控制 四 物理和环境安全等物理安全防护措施 在操作员站 工程可实现对工程师防护 ( 二 ) 拆除或封闭工业主机师站上安装防病毒站 操作员站的上不必要的 USB 光驱 无软件或终端安全管 USB 光驱 无线等线等接口 若确需使用, 通理系统或主机加固接口进行严格外设过主机外设安全管理技术手系统 控制 段实施严格访问控制 网络安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 做好工业控制网络 对工业控制网络进工业主机和工业控制设备的行安全配置核查审实现对工控网络设安全配置, 建立工业控制系计, 对于安全配置二 配置和补丁管理备安全配置进行审统配置清单, 定期进行配置较差的设备在保证计与完善 审计 生产的前提下进行安全配置修改 ( 二 ) 通过工业控制网络边界防护设备对工业控制网络部署电力专用纵向与企业网或互联网之间的边实现了阻断来自管认证和横向隔离装界进行安全防护, 禁止没有理网的非法行为 置 防护的工业控制网络与互联实现了对变电站的三 边界安全防护在 I 区与 II 区之间网连接 非法行为的访问控部部署工业防火 ( 三 ) 通过工业防火墙 网制 尤其是基于墙 闸等防护设备对工业控制网 的访问控制 络安全区域之间进行逻辑隔离安全防护 ( 二 ) 确需远程访问的, 采用数据单向访问控制等策略进行安全加固, 对访问时限优先限制远程访实现对远程访问行进行控制, 并采用加标锁定问, 如需则部署为的访问控制及加策略 VPN, 密 六 远程访问安全 ( 三 ) 确需远程维护的, 采在各设备中开启日对所有设备操作的用虚拟专用网络 (VPN) 等远志记录, 如需统一日志进行记录可供程接入方式进行 管理则可部署日志日后溯源 ( 四 ) 保留工业控制系统的审计系统 相关访问日志, 并对操作过程进行安全审计 23

28 ( 三 ) 强化工业控制设备 生产运维人员核查 五 身份认证 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期 工控系统内网络设备缺省口令及默认口令, 定期进行更 强化工业控制网络设备身份认证 更新口令 新 ( 一 ) 在工业控制网络部署 在 I 区与 II 区之间 实时监测针对变电 七 安全监测和应急 预案演练 网络安全监测设备, 及时发现 报告并处理网络攻击或异常行为 部署工控流量及异常监测系统 站监控系统的异常流量 异常指令的监测 异常指令的 识别解析 主机安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白 名单软件, 只允许经过工业操作员和工程师站实现了来自调度内企业自身授权和安全评估的部署防病毒软件和一 安全软件选择与部或运维时带来的软件运行 操作员站安全管理管理病毒和恶意代表的 ( 二 ) 建立防病毒和恶意软系统 防护 件入侵管理机制, 对工业控 制系统及临时接入的设备采 取病毒查杀等安全预防措 施 ( 一 ) 做好工业控制网络 二 配置和补丁管理 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 部署安全配置核查系统, 对智能单元等设备进行安全配置核查审计, 对于安全配置较差的设备在保证生产的前提下进行安全配置修改 及时发现系统的问题和脆弱性, 以便提前进行修补 24

29 ( 一 ) 在工业主机登录 应 用服务资源访问 工业云平 台访问等过程中使用身份认 五 身份认证 证管理 对于关键设备 系统和平台的访问采用多因素认证 ( 二 ) 合理分类设置账户权限, 以最小特权原则分配账户权限 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 在主机系统实现除密码口令外的智能卡 USB Key 等多因素认证和权限分配 通过系统的安全策略设置口令策略 实现了主机的强认 证和避免主机的弱 口令 工业控制设备 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 五 身份认证 七 安全监测和应急 预案演练 八 资产安全 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的 安全配置, 建立工业控制系 统配置清单, 定期进行配置 审计 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备 等的登录账户及密码, 避免 使用默认口令或弱口令, 定期 更新口令 ( 二 ) 在重要工业控制设备 前端部署具备工业协议深度 包检测功能的防护设备, 限 制违法操作 ( 一 ) 建设工业控制系统资 产清单, 明确资产责任人, 以及资产使用及处置规则 ( 二 ) 对关键主机设备 网 络设备 控制组件等进行冗 余配置 对火电机组分散控 制系统 DCS 火电 机组辅机控制系统 进行安全配置核查 与审计 车间运维人员核查 工控系统内工业控 制设备的缺省口令 和弱口令, 发现后 进行整改并定期更 新 在 I 区 II 区间前端 部署适用于工业现 场的专用防火墙 由信息中心联合设 备科统计工业控制 制系统资产清单, 可借助资产发现工 具 对关键控制组件增 加冗余配置 能提前获知 DCS 系 统的安全配置现状 并根据需求提前防 护 加强工业控制设备 的身份认证强度 对工控异常访问行 为及违法操作进行 安全防护 清晰了解工业控制 系统的资产情况 25

30 应用系统安全方面 指南 内容具体要求防护措施防护效果五身份认证 ( 三 ) 强化工业控制设由车间运维人员核备 SCADA 软件 工查组态软件缺省口业通信设备等的登录加强组态软件身份认令和弱口令, 发现账户及密码, 避免使用证强度 后进行整改并定期默认口令或弱口令, 定更新 期更新口令 数据安全方面 指南内容 具体要求 防护措施 防护效果 九 数据安全 ( 一 ) 对静态存储和动 态传输过程中的重要 工业数据进行保护, 根 据风险评估结果对数 据信息进行分级分类 管理 ( 二 ) 定期备份关键业 务数据 ( 三 ) 对测试数据进行 保护 在保证可用性的前 提下, 应用系统内 进行相关数据的加 密措施 对重要工业数据进 行备份 保证重要工业数据安 全性 4.2 火电厂工业控制系统防护实施方案 系统现状与风险概述 电厂工艺流程图如下图所示 : 26

31 发电厂按 36 号文的安全分区 网络专用 横向隔离 纵向认证的原则, 已 将相关系统划入相应的控制区与非控制区 火电厂相关系统的分区表如下所示 : 序号 业务系统及设备 控制区 非控制区 备注 1 火电机组分散控制系统 DCS DCS A2 2 火电机组辅机控制系统 辅机 PLC/DCS A2 3 火电厂厂级信息监控系统 监控功能 优化功能 A2 4 调速系统和自动发电控制功能调速 自动发电控制 A1 AGC 5 励磁系统和自动电压控制功能励磁 自动电压控制 Al AVC 6 梯级调度监控系统 梯级调度监控 A1 7 网控系统 网控系统 A1 8 相量测量装置 PMU PMU B 9 自动控制装置 PSS 汽门快关等 A1 B 10 五防系统 五防系统 A2 11 继电保护 继电保护装置及管理终端 ( 有继电保护管理终 B 远方设置功能 ) 端 ( 无远方设置功能 ) 27

32 12 故障录波故障录波装置 B 13 电能量采集装置电能量采集 A1 B 14 电力市场报价终端电力市场报价 B 火电厂在辅控和主控仍以国外设备为主, 主要有艾默生 ABB 西门子 施耐德 美卓等多种品牌, 国内品牌也有一些机组的应用, 主要以国电智深 和利时和新华为主 火电厂电力监控系统安全面临需求如下 : (1)SIS 系统与电气系统 锅炉汽轮机系统等未隔离, 所有发电控制系统连接在一区, 安全防护较少, 一个系统受到破坏, 可能导致全厂生产受影响 (2) 电气 锅炉汽机 抄表等系统操作站 服务器大多采用 Windows 的操作系统, 长期系统不更新导致大量漏洞存在, 但相关人员并不掌握 也无严格的 U 盘管控, 导致可能通过 U 盘传入病毒 (3) 电厂控制系统一般通过 OPC 协议跟上层管理系统通讯, 按照 36 号文的要求需要进行逻辑隔离, 目前大多电厂用来做逻辑隔离的防火墙不能支持 OPC 协议的动态端口机制, 安全策略无法有效配置 OPC 基于 windows 平台,OPC server 很容易被探测到, 发布的数据也没有限制 (4) 关键服务器采用双网卡的逻辑隔离方式, 这种部署方式可能会导致从公网能够以内部机器为跳板攻击到服务器 (5) 出现系统故障后, 不清楚网络状况, 不能判断是否有网络入侵行为 病毒 业务访问异常等问题, 不能定位安全问题 防护系统部署工控系统已按电力 36 号文将四个区域划分清楚, 按工控系统的五个层次产品部署如下图所示 28

33 设备部署列表如下 : 序号 所在层设备形部署位置设备及软件名称态 1 过程监控层 防病毒系统 主机加固系统 软件 操作员站或工程师站 2 过程监控层 工控流量监测与审计实时控制区 (I 区 ) 与 II 区之机架式系统间 3 过程监制层 工控异常检测系统 机架式 实时控制区 (I 区 ) 交换机及 I 区与 II 区之前 4 现场控制层 工业防火墙 导轨式 控制 I 区每个机组 DCS 系统前 5 过程监控层 日志审计系统 软件或硬件 安全防护建议和效果 实施完上述安全系统后, 跟指南对应并结合 36 号文要求将达到如下效果 29

34 物理安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 对重要工程师站 数据库 服务器等核心工业控制软硬件拆除或封闭机床设所在区域采取访问控可配合管理制度实现备上的 USB 光驱 制 视频监控 专人值对 DCS 系统外设的严无线等接口 ; 守等物理安全防护措格控制 在操作员站 工程四 物理和环境安全防护施 可实现对工程师站 操师站上安装防病毒 ( 二 ) 拆除或封闭工业作员站的 USB 光驱 软件或终端安全管主机上不必要的 USB 无线等接口进行严格理系统或主机加固光驱 无线等接口 若外设控制 系统 确需使用, 通过主机外设安全管理技术手段实施严格访问控制 网络安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 做好工业控制网对工业控制网络进络 工业主机和工业控制行安全配置核查审实现对工控网络设备设备的安全配置, 建立工计, 对于安全配置较二 配置和补丁管理安全配置进行审计与业控制系统配置清单, 定差的设备在保证生完善 期进行配置审计 产的前提下进行安全配置修改 ( 二 ) 通过工业控制网络边界防护设备对工业控制网络与企业网或互联部署电力专用纵向实现了阻断来自管理网之间的边界进行安全认证和横向隔离装网的非法行为 防护, 禁止没有防护的工置 实现了对 DCS 主控和三 边界安全防护业控制网络与互联网连在 I 区与 II 区之间部辅控的非法行为的访接 部署工业防火墙 问控制 尤其是基于 ( 三 ) 通过工业防火墙 OPC 的访问控制 网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护 30

35 ( 二 ) 确需远程访问的, 采用数据单向访问控制 等策略进行安全加固, 对 六 远程访问安全 访问时限进行控制, 并采用加标锁定策略 ( 三 ) 确需远程维护的, 采用虚拟专用网络 (VPN) 等远程接入方式进行 优先限制远程访问, 如需则部署 VPN, 在各设备中开启日志记录, 如需统一管理则可部署日志审计系统 实现对远程访问行为的访问控制及加密 对所有设备操作的日志进行记录可供日后溯源 ( 四 ) 保留工业控制系统 的相关访问日志, 并对操 作过程进行安全审计 ( 三 ) 强化工业控制设 生产运维人员核查 五 身份认证 备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口 工控系统内网络设备缺省口令及默认口令, 定期进行更 强化工业控制网络设备身份认证 令或弱口令, 定期更新口 新 令 ( 一 ) 在工业控制网络部 在 I 区与 II 区之间部 实时监测针对电力监 七 安全监测和应急预 署网络安全监测设备, 及 署工控入侵异常监 控系统的攻击入侵行 案演练 时发现 报告并处理网络 测系统 为及异常行为 攻击或异常行为 主机安全方面 指南 内容 具体要求 技术防护措施 防护效果 ( 一 ) 在工业主机上采用经过离线环境中充分验证测试的防病毒 软件或应用程序白名操作员和工程师站单软件, 只允许经过工部署防病毒软件和实现了来自管理网和业企业自身授权和安操作员站安全管理来自生产网自身中的一 安全软件选择与管理全评估的软件运行 系统 病毒和恶意代表的防 ( 二 ) 建立防病毒和恶经过 DCS 厂家测试护 意软件入侵管理机制, 对工业控制系统及临 时接入的设备采取病 毒查杀等安全预防措 施 31

36 ( 一 ) 做好工业控制网 部署安全配置核查 络 工业主机和工业控 系统, 对工业主机 制设备的安全配置, 建 等设备进行安全配 立工业控制系统配置 置核查审计, 对于 清单, 定期进行配置审 安全配置较差的设 计 备在保证生产的前 及时发现系统的问题 二 配置和补丁管理 ( 三 ) 密切关注重大工 提下进行安全配置 和脆弱性, 以便提前进 控信息安全漏洞及其 修改 行修补 补丁发布, 及时采取补 在非工作时间部署 丁升级措施 在补丁安 工控漏洞扫描系 装前, 需对补丁进行严 统 格的安全评估和测试 验证 ( 一 ) 在工业主机登 录 应用服务资源访 问 工业云平台访问等 过程中使用身份认证 五 身份认证 管理 对于关键设备 系统和平台的访问采用多因素认证 ( 二 ) 合理分类设置账户权限, 以最小特权原则分配账户权限 ( 三 ) 强化工业控制设备 SCADA 软件 工 在主机系统实现除密码口令外的智能卡 USB Key 等多因素认证和权限分配 通过系统的安全策略设置口令策略 实现了主机的强认证和避免主机的弱口令 业通信设备等的登录 账户及密码, 避免使用 默认口令或弱口令, 定 期更新口令 工业控制设备 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 五 身份认证 ( 一 ) 做好工业控制网 络 工业主机和工业控 制设备的安全配置, 建 立工业控制系统配置 清单, 定期进行配置审 计 ( 三 ) 强化工业控制设 备 SCADA 软件 工 业通信设备等的登录 账户及密码, 避免使用 默认口令或弱口令, 定 期更新口令 对火电机组分散控 制系统 DCS 火电机 组辅机控制系统进 行安全配置核查与 审计 车间运维人员核查 工控系统内工业控 制设备的缺省口令 和弱口令, 发现后 进行整改并定期更 新 能提前获知 DCS 系统 的安全配置现状并根 据需求提前防护 加强工业控制设备的 身份认证强度 32

37 ( 二 ) 在重要工业控制 七 安全监测和应急预案 演练 设备前端部署具备工业协议深度包检测功能的防护设备, 限制违 在机床前端部署适用于工业现场的专用防火墙 对工控异常访问行为及违法操作进行安全防护 法操作 ( 一 ) 建设工业控制系 由信息中心联合设 统资产清单, 明确资产 备科统计工业控制 八 资产安全 责任人, 以及资产使用及处置规则 ( 二 ) 对关键主机设 制系统资产清单, 可借助资产发现工具 清晰了解工业控制系统的资产情况 备 网络设备 控制组 对关键控制组件增 件等进行冗余配置 加冗余配置 应用系统安全方面 指南 内容具体要求防护措施防护效果五身份认证 ( 三 ) 强化工业控制设由车间运维人员核备 SCADA 软件 工查组态软件缺省口业通信设备等的登录加强组态软件身份认令和弱口令, 发现账户及密码, 避免使用证强度 后进行整改并定期默认口令或弱口令, 定更新 期更新口令 数据安全方面 指南内容 具体要求 防护措施 防护效果 九 数据安全 ( 一 ) 对静态存储和动 态传输过程中的重要 工业数据进行保护, 根 据风险评估结果对数 据信息进行分级分类 管理 ( 二 ) 定期备份关键业 务数据 ( 三 ) 对测试数据进行 保护 在保证可用性的前 提下, 应用系统内 进行相关数据的加 密措施 对重要工业数据进 行备份 保证重要工业数据安 全性 33

38 第五章 轨道交通行业工控系统安全防护 实施方案 34

39 5 轨道交通行业工控系统安全防护实施方案 城市轨道交通行业通常由四大类系统组成, 信号系统 综合监控系统 自动售检票系统和通信系统, 下面以综合监控系统为示例介绍 5.1 综合监控系统现状及风险概述 系统现状综合监控系统是构建在城市轨道交通通信骨干网上的大型 SCADA 系统, 同时它有具有分层分布式大型监控系统的结构特性 一般由中央级综合监控系统, 车站级综合监控系统以及将两级系统连接起来的骨干网三大部分组成 典型的综合监控系统结构图如下 : 系统主要功能包括对机电设备的实时集中监控功能和各系统 ( 如 AFC 系统 FAS 系统 BAS 系统 PSCADA 系统 PIS 系统等 ) 之间协调联动功能两大部分 一方面, 可实现对电力设备 火灾报警信息及其设备 车站环控设备 区间环控 35

40 设备 环境参数 屏蔽门设备 防淹门设备 电扶梯设备 照明设备 门禁设备 自动售检票设备 广播和闭路电视设备 乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能 ; 另一方面, 通过综合监控系统, 还可实现晚间非运营情况下 日间正常运营情况下 紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能 存在的安全风险启明星辰依据对国内多个城市轨道交通运行线路建设和运营的信息安全现状的了解, 经过深入的分析研究, 总结出了目前城市轨道交通自动化系统在信息安全管理和技术方面存在的主要问题 在信息安全管理方面主要存在以下问题 : (1) 组织结构人员职责不完善, 专业人员缺乏 大部分城市城市轨道交通建设和运营公司未设置自动化系统信息安全管理部门, 未明确建设运营相关部门的安全职责和技能要求 同时普遍缺乏信息安全人才 (2) 信息安全管理制度和流程欠完善 大部分城市城市轨道交通建设和运营公司还未形成完整的制度政策保障信息安全, 缺乏自动化系统规划 建设 运维 废止全生命周期的信息安全需求和设计管理, 欠缺配套的管理体系 处理流程 人员责任等规定 (3) 应急响应机制欠健全, 需进一步提高信息安全事件的应对能力 由于响应机制不够健全, 缺乏应急响应组织和标准化的事件处理流程, 发生信息安全事件后人员通常依靠经验判断安全事件发生的设备和影响范围, 逐一进行排查, 响应能力不高 (4) 人员信息安全培训不足, 技术和管理能力以及人员安全意识有待提高 大部分城市城市轨道交通建设和运营公司有针对自动化系统的业务培训, 但是面向全员的信息安全意识宣传, 信息安全技术和管理培训均比较缺乏, 需加强信息安全体系化宣传和培训 (5) 尚需完善第三方人员管理体制 大部分城市城市轨道交通建设和运营公司会将设备建设运维工作外包给设备商或集成商, 尤其针对国外厂商, 业主不了解工控设备技术细节, 对于所有的 36

41 运维操作无控制 无审计, 留有安全隐患 在信息安全技术方面的问题主要表现在以下几个方面 : (1) 系统网络未进行安全域划分, 区域间未设置访问控制措施 城市轨道交通自动化系统的集成化越来越高, 各系统有着紧密的联系, 但是系统之间没有进行访问控制, 各个城市大部分城市轨道交通系统是按地域划分区域, 一般分为中心和车站级, 但是各区域间没有访问控制 并且区域间安全监测和入侵防范措施也很缺失 (2) 缺少信息安全风险监控技术, 不能及时发现信息安全问题, 出现问题后靠人员经验排查 在城市轨道交通自动化系统网络上普遍缺少信息安全监控机制, 不能及时了解发现入侵行为 病毒 网络访问异常 网络拥塞等问题 一旦发生问题基本靠人工经验排查, 不能及时确定问题所在, 及时排查到故障点, 排查过程耗费大量人力成本 时间成本 (3) 系统运行后, 操作站和服务器很少打补丁, 存在系统漏洞, 系统安全配置较薄弱, 防病毒软件安装不全面 城市轨道交通系统操作站一般采用 Windows XP Winows7 等, 服务器一般采用 Solaris Windows server2003 等, 上线后基本不会对操作系统进行升级, 而操作系统在使用期间不断曝出漏洞, 导致操作站和服务器暴露在风险中 在系统上线前没有关闭掉多余的系统服务, 以及系统的密码策略等进行安全加固等问题 另外, 运维人员调试过程中可以对操作站和服务器安装软件 为了方便调试, 会开启操作系统远程服务功能, 上线后通常不会屏蔽这个功能, 安全配置薄弱, 容易遭受攻击 防病毒软件的安装不全面, 即使安装后也不及时更新防恶意代码软件版本和恶意代码库 (4) 工程师站缺少身份认证和接入控制, 且权限很大 工程师站登陆过程缺少身份认证, 且工程师站对操作站 PLC 等进行组态时均缺乏身份认证, 存在任意工程师站可以对操作站 现场设备直接组态的可能性 (5) 存在使用移动存储介质不规范问题, 易引入病毒以及黑客攻击程序 在城市轨道交通自动化系统运维和使用过程中, 存在随意使用 U 盘 光盘 37

42 移动硬盘等移动存储介质现象, 有可能传染病毒 木马等威胁进生产系统 (6) 第三方人员运维生产系统无审计措施 出现问题后无法及时准确定位问题原因 影响范围及追究责任 现有系统还无法准确获取第三方运维数据, 当第三方运维人员运维 SCADA 软件和 PLC 时, 城市轨道交通运营人员不能及时了解第三方运维人员是否存在误操作和恶意操作 一旦发生事故, 需要大量时间确定问题, 不能够及时有效的解决问题, 也没有手段追溯 (7) 上线前未进行信息安全测试 大部分城市轨道交通自动化系统在上线前未进行安全性测试, 系统在上线后存在大量安全风险漏洞, 安全配置薄弱, 甚至有的系统带毒工作 5.2 综合监控系统安全防护设计与建议 综合监控系统安全防护部署针对综合监控系统的主要结构特点, 结合对系统运行机制 控制策略和设备配置的情况, 在系统在各个关键节点部署相应的安全技术防护手段, 从检测 防御 控制 审计和管理等多个方面实现对系统整体安全性的有效防护 系统安全技术防护手段的部署情况如下图所示 : 对综合监控系统的安全防护主要从两方面着手, 一个是面向中央级综合监控 系统, 另一个是面向车站级综合监控系统 38

43 (1) 中央级综合监控系统 在中央级综合监控系统中控室交换机部署工业防火墙 工业防病毒系统 操 作站安全系统 工业入侵检测系统 现场运维审计与管理系统 数据库审计系统 漏洞扫描系统 安全配置核查基线系统等 (2) 车站级综合监控系统 车站级综合监控系统中控室部署工业防火墙 防病毒系统 操作站安全系统 工控入侵检测系统等 安全防护建议和效果 对综合监控系统的安全技术防护, 我们以指南为依据, 从物理安全 网络安 全 主机安全 工业设备安全 应用安全和数据安全六个方面提出安全防护建议 具体如下 : 物理安全 : 指南 内容 具体要求 防护措施 防护效果 四物理和环境安全防护 ( 一 ) 对重要工程师站 数据库 服务器等核心工业控制软硬件所在区域采取访问控制 视频监控 专人值守等物理安全防护措施 在中央综合监控系统机房 车站综合监控系统机房 车站中控室等重要物理区域设置门禁 视频监控系统, 安排专人负责区域的进出管理 确保重要物理区域只能由经过授权的人员进行访问, 所有访问行为都有相应的登记记录和视频记录 ( 二 ) 拆除或封闭工业主机上不必要的 USB 光驱 无线等接口 若确需使用, 通过主机外设安全管理技术手段实施严格访问控制 部署操作站安全系统, 对 USB 光驱 无线 串口等进行管控, 采用专用外设, 禁止私人外设的接入 确保工作站的所有外设接入均为专用设备, 禁止除专用设备外的任何设备接入, 防止经外设接入而造成的入侵和病毒感染等事件的发生 39

44 网络安全 : 指南 内容 具体要求 防护措施 防护效果 二配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进 部署安全配置核查系统, 对系统各类设备进行安全配置核查审计, 对于安全配置较差的设备 实现对综合监控系统中各类设备安全配置信息的统一管理, 满足等级保护等安全标准的要求 行配置审计 在保证生产的前提下进行安全配置变更 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在 部署工控漏洞扫描系统, 及时发现工作站 服务器 网络设备及工控设备 及时掌握自身安全漏洞信息, 预防因漏洞利用引发的安全事件, 防患于未然 补丁安装前, 需对补丁进行严格的安全评估和测试验证 中存在的安全漏洞, 定期更新漏洞库 三边界安全防护 ( 二 ) 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护, 禁止没有防护的工业控 在中央综合监控系统 车站综合监控系统和车辆段综合监控系统的网络出口位置部署工业防火墙, 实现各系统 工业防火墙的部署可防止外部非法访问和入侵行为的发生, 有效检测综合监控系统中各类工控通信协议的安全性 制网络与互联网连接 ( 三 ) 通过工业防火墙 网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护 网络边界的防护 ; 在车站综合监控系统中与 AFC 系统 BAS 系统 PSCADA 系统等大小子系统的区域边界部署工业防火墙 六远程访问安全 ( 二 ) 确需远程访问的, 采用数据单向访问控制等策略进行安全加固, 对访问时限进行控制, 并采用加 能够对远程访问行为的进行监测和控制, 防止利用远程访问服务进行的各类入侵和攻击行为 标锁定策略 ( 四 ) 保留工业控制系统的相关访问日志, 并对操作过程进行安全审计 部署堡垒机 数据库审计系统对服务器 数据库的远程访问行为进行审计 所有远程访问均经过认证, 访问过程经过安全审计和记录, 能够追本溯源 40

45 七安全监测和应急预 ( 一 ) 在工业控制网 在中央 车站和车 能够及时检测网络中 案演练 络部署网络安全监测 辆段综合监控系统 存在的各类入侵行为 设备, 及时发现 报 中部署工控异常监 和异常行为, 并进行 告并处理网络攻击或 测系统 告警和记录, 深度监 异常行为 测工控通信协议的安 全性 八资产安全 ( 二 ) 对关键主机设 综合监控系统的通 有效避免因冗余配置 备 网络设备 控制 信环网已经实现了 不足而引发的单点故 组件等进行冗余配 冗余配置, 可对中 障 置 央 车站和车辆段 综合监控系统中内 部网络设备采用冗 余电源或双机冗余 部署 主机安全 : 指南 内容 具体要求 防护措施 防护效果 一 安全软件选择与管理 ( 二 ) 建立防病毒和恶意软件入侵管理机制, 对工业控制系统及临时接入的设备采 在工作站和服务器中部署防病毒软件或应用程序白名单软件 能够有效应对各类病毒 木马和蠕虫对操作系统的攻击和破坏 ; 取病毒查杀等安全预防措施 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进 部署安全配置核查系统, 对工作站 服务器等主机设备设备进行安全配置核查审计 避免因主机设备采用默认或错误的安全配置而导致遭受入侵和病毒感染等事件发生 行配置审计 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 部署工控漏洞扫描系统, 及时发现工作站 服务器 网络设备及工控设备中存在的安全漏洞, 定期更新漏洞库 及时掌握自身安全漏洞信息, 预防因漏洞利用引发的安全事件, 防患于未然 41

46 五 身份认证 ( 一 ) 在工业主机登 部署堡垒机 有效避免账号密码泄 录 应用服务资源访 USB-key 生物特 露 暴力破解等非授 问 工业云平台访问 征识别等第三方 权访问行为的发生 等过程中使用身份认 身份认证措施 证管理 对于关键设 备 系统和平台的访 问采用多因素认证 ( 三 ) 强化工业控制 设备 SCADA 软件 工业通信设备等的登 录账户及密码, 避免 使用默认口令或弱口 令, 定期更新口令 八 资产安全 ( 一 ) 建设工业控制 部署工控信息安 实现对资产的集中管 系统资产清单, 明确 全管理平台系统 控和发现, 当资产状 资产责任人, 以及资 实现对综合监控 态发生变更时能够及 产使用及处置规则 系统所属资产的 时掌握, 避免因资产 统一管理 信息缺失而导致安全 事件处置延误等问题 发生 ( 二 ) 对关键主机设 综合监控系统及 确保不会因服务器宕 备 网络设备 控制 各级子系统关键 机而影响正常业务 组件等进行冗余配 服务器采用双机 置 冗余配置 工业控制设备安全 : 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在 部署工控漏洞扫描系统, 及时发现工作站 服务器 网络设备及工控 及时掌握自身安全漏洞信息, 预防因漏洞利用引发的安全事件, 防患于未然 补丁安装前, 需对补丁进行严格的安全评估和测试验证 设备中存在的安全漏洞, 定期更新漏洞库 七 安全监测和应急预案演练 ( 二 ) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备, 限制违法操作 在 PSCADA FAS BAS 给排水等工业子系统的控制设备前端部署适用于工业现场的专用防火墙 对工控异常访问行为及违法操作进行安全防护, 防止工业控制设备遭受入侵攻击 42

47 八 资产安全 ( 一 ) 建设工业控制 部署工控信息安 实现对资产的集中管 系统资产清单, 明确 全管理平台系统 控和发现, 当资产状 资产责任人, 以及资 实现对综合监控 态发生变更时能够及 产使用及处置规则 系统所属工控设 时掌握, 避免因资产 ( 二 ) 对关键主机设 备资产的统一管 信息缺失而导致安全 备 网络设备 控制 理 事件处置延误等问题 组件等进行冗余配 发生 置 应用安全 : 指南 内容 具体要求 防护措施 防护效果 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 部署堡垒机 USB-key 生物特征识别等第三方身份认证措施 有效避免账号密码泄露 暴力破解等非授权访问行为的发生 数据安全 : 指南内容 具体要求 防护措施 防护效果 九 数据安全 ( 一 ) 对静态存储和动态传输过程中的重要工业数据进行保护, 根据风险评估结果对数据信息进行分级分类管理 ( 三 ) 对测试数据进行保护 部署数据防泄密系统, 对重要数据进行加密和管控, 防止重要数据的外泄和破坏 保证综合监控系统重要数据安全性, 防止重要系统数据遗失 43

48 第六章 石油炼化 钢铁类工控系统安全防护 实施方案 44

49 6 石油炼化 钢铁类工控系统安全防护方案 石油炼化及化工 钢铁行业的工控系统主要以 DCS 系统为主, 工控系统网络架构具有一定相似性, 此处以炼化结构为示例进行介绍 6.1 系统现状与风险概述 炼化系统 DCS 过程控制网与生产运行管理网的 OPC 数采机连接处 先进控制系统的连接处以及操作员站之间的连接处一般缺少访问控制措施和入侵防范措施, 网络连接处易受病毒侵袭风险 ;OPC 服务器几乎不更新补丁, 存在诸多安全隐患 ; 先进控制系统 (APC) 可以由先进控制软件供应商进行自由操作, 自身无任何防护措施, 存在感染病毒的高风险 ; Windows 平台固有的脆弱性容易被病毒黑客利用, 加上大部分企业并无移动存储介质管理, 因此非法便携的工程师站也为工控信息安全带来不少重大隐患 过程控制系统 DCS PLC 进行生产过程控制的同时还需连接厂内的实时数据库 信息管理网络 与其相连的网络上有成百上千台计算机 假使一台计算机中了病毒, 通过网络就有可能传导到控制系统中 一旦控制系统感染病毒, 将对生产过程的安全产生严重的影响 生产运行管理是基于实时数据库的应用, 实时数据库的建立以采集过程控制系统的数据为前提, 需要生产经营管理网与过程控制网络之间的数据交换 过程控制网络不再以一个独立的网络运行, 而要与信息管理网络互通 互联 管理网对工控网的下行数据信息, 是生产网络安全的主要威胁 另外信息管理网络 移动存储介质 因特网以及其他因素导致的网络安全问题逐渐在过程控制系统中扩散, 直接影响到生产控制的稳定与安全 目前缺乏对系统内信息流进行自动学习, 需要了解相应工具系统和网络运行情况, 辅助管理人员判断与决策 45

50 外网 管理层 销售管理人事管理财务管理供应链管理 应用服务器 办公网 intelnet 生产执行层 MES 服务器 实时数据库历史数据库 数采机 计划排产 仓储管理 先进控制 过程控制层 HMI 操作员站 工程师站 Opc Server 现场控制层 DCS DCS DCS 现场设备层 现场仪表变频器现场仪表报警装置现场设备 6.2 安全防护建议和效果 此处针对 指南 中所提出安全要求归类为物理安全 网络安全 主机安全 工业控制设备安全 应用安全 数据安全, 在各类安全要求中针对分别提出防护建议 对于指南中所提出相关管理安全要求在第 3 章已经进行了详细阐述, 在此处不再赘述 所提出安全建议中防护措施所涉及的安全产品部署方案如下图所示 详细安全防护建议见表格中内容 安全设备部署参考图 : 46

51 外网 管理层 销售管理人事管理财务管理供应链管理 应用服务器 办公网 intelnet 生产执行层 MES 服务器 实时数据库历史数据库 工业防火墙 计划排产 仓储管理 先进控制 工业网闸 数采机 过程控制层 配置核查系统 HMI 操作员站 工程师站 工控异常监测系统 操作站安全防护系统 Opc Server 现场控制层 导轨式导轨式 工业防火墙工业防火墙 DCS DCS DCS 导轨式工业防火墙 现场设备层 现场仪表变频器现场仪表报警装置现场设备 物理安全 : 指南 内容 具体要求 防护措施 防护效果 四 物理和环境安全防护 ( 一 ) 对重要工程师站 数据库 服务器等核心工业控制软硬件所在区域采取访问控制 视频监控 专人值守等物理安全防护措施 ( 二 ) 拆除或封闭工业主机上不必要的 USB 光驱 无线等接口 若确需使用, 通过主机外设安全管理技术手段实施严格访问控制 在工控系统中操作站 工程师站及 OPC 服务器等主机设备部署操作站安全管理系统 对操作站 工程师站以及服务器等主机设备的 USB 光驱 无线等接口进行严格外设控制, 避免外设成为攻击入口 47

52 网络安全 : 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配 部署安全配置核查系统, 对工业网络设备进行安全配置 实现对工控网络设备安全配置进行审计与完善 置, 建立工业控制系统配置清单, 定期进行配置审计 核查审计, 对于安全配置较差的设备在保证生产的前提下进行安全配置变更 三 边界安全防护 ( 二 ) 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护, 禁止没有防护的工业控制网络与互联网连接 在过程监控层与生产执行层之间部署工业防火墙在 OPC 服务器上连处部署工业网闸在主要工控网络设备开启日志记录并定期进行审计 实现了对生产执行层到车间内工控系统的访问控制, 阻断来自管理网的非法行为 确保 OPC 服务器上传数据的绝对单向, 防止 OPC 服务器被作为攻击入口 ( 三 ) 通过工业防火墙 网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护 六 远程访问安全 ( 二 ) 确需远程访问的, 采用数据单向访 实现对远程访问行为的访问控制 问控制等策略进行安全加固, 对访问时限进行控制, 并采用加标锁定策略 ( 三 ) 确需远程维护的, 采用虚拟专用网络 (VPN) 等远程接入方式进行 ( 四 ) 保留工业控制系统的相关访问日志, 并对操作过程进行安全审计 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 运维人员巡检工控系统内网络设备缺省口令及默认口令, 如发现应进行修改, 并确保口令定期进行更新 强化工业控制网络设备身份认证 48

53 七 安全监测和应急预 ( 一 ) 在工业控制网 在工业控制网络中 实时监测针对工控系 案演练 络部署网络安全监测 部署工控异常监测 统入侵行为及异常行 设备, 及时发现 报 系统 为, 避免工业网络遭 告并处理网络攻击或 受网络攻击或异常访 异常行为 问 八 资产安全 ( 二 ) 对关键主机设 对工控系统中关键 增加工业网络可靠 备 网络设备 控制 网络设备进行冗余 性, 通过冗余配置避 组件等进行冗余配 配置 免因关键网络设备故 置 障导致网络中断 主机安全 : 指南 内容 具体要求 防护措施 防护效果 一 安全软件选择与管理 ( 一 ) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件, 只允许经 应建立完全仿真的测试系统用于防病毒软件或应用软件更新测试, 并在工程师站 操 确保所有杀毒软件病毒库更新及其他应用软件更新不会对炼化系统中正常业务应用产生影响 过工业企业自身授权和安全评估的软件运行 ( 二 ) 建立防病毒和恶意软件入侵管理机制, 对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施 作员站等部署操作站安全管理系统 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 部署安全配置核查系统, 对工业主机等设备进行安全配置核查审计, 对于安全配置较差的设备在保证生产的前提下进行安全配置修改 提高炼化系统内各类操作站 工程师站及服务器安全配置水平, 避免因主机设备安全配置不足导致主机设备遭受攻击 49

54 五 身份认证 ( 一 ) 在工业主机登 使用口令密码 确保工业主机设备被 录 应用服务资源访 USB-Key 智能卡 非授权人员轻易访 问 工业云平台访问 等多种认证手段 问 等过程中使用身份认 对工业主机设备 证管理 对于关键设 设置访问密码, 并 备 系统和平台的访 规范密码强度 问采用多因素认证 ( 三 ) 强化工业控制 设备 SCADA 软件 工业通信设备等的登 录账户及密码, 避免 使用默认口令或弱口 令, 定期更新口令 八 资产安全 ( 一 ) 建设工业控制 对 OPC 服务器进行 确保不会因 OPC 服务 系统资产清单, 明确 冗余配置 器宕机而影响现场数 资产责任人, 以及资 据采集 产使用及处置规则 ( 二 ) 对关键主机设 备 网络设备 控制 组件等进行冗余配 置 工业控制设备安全 : 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工 在炼化系统中部署安全配置核查 核查各类设备安全配置情况并进行审计 业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 设备, 对网络设备 主机及控制设备进行安全配置核查与审计 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 车间运维人员核查工控系统内工 加强工业控制设备的身份认证强度 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 业控制设备的缺省口令和弱口令, 发现后进行整改并定期更新 七 安全监测和应急预案演练 ( 二 ) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备, 限制违法操作 在重要 PLC 前端部署适用于工业现场的专用防火墙 对工控异常访问行为及违法操作进行安全防护, 防止工业控制设备遭受入侵攻击 50

55 八 资产安全 ( 一 ) 建设工业控制 由相关部门统计 确保信息中心及设备 系统资产清单, 明确 系统资产清单 科对系统内工控设备 资产责任人, 以及资 对关键控制组件 具体信息掌握 产使用及处置规则 增加冗余配置 ( 二 ) 对关键主机设 备 网络设备 控制 组件等进行冗余配 置 应用安全 : 指南 内容 具体要求 防护措施 防护效果 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 由车间运维人员核查组态软件缺省口令和弱口令, 发现后进行整改并定期更新 加强组态软件身份认证强度 数据安全 : 指南内容 具体要求 防护措施 防护效果 九 数据安全 ( 一 ) 对静态存储和动态传输过程中的重要工业数据进行保护, 根据风险评估结果对数据信息进行分级分类管理 ( 二 ) 定期备份关键业务数据 ( 三 ) 对测试数据进行保护 由相关部门对重要工业数据进行备份 保证重要工业数据安全性, 防止重要工业数据遗失 51

56 第七章 市政燃气行业工控系统安全防护 实施方案 52

57 7 市政燃气行业工控系统安全防护实施方案 燃气 SCADA 系统基于计算机控制和通信网络的基于计算机控制和通信网络的遥测 讯控遥测 讯控遥测 讯控 遥调技术, 对大范围的远程 遥调技术, 对大范围的远程场站 管网监测点工商场站 管网监测点工商场站 管网监测点工商用户和居民进行监用户和居民进行监控, 包括对各站点数据的实时采集 设备状态监控 系统设计与建设中, 对各门站阀采用以下三种模式控制 : 现地手动控制 : 在现场通过手工操作控制按钮对阀门进行启闭控制 ; 集中控制 : 在门站控制室通过操作计算机实现自动化集中 ; 远程控制 : 在 MCC( 主控制中心 ) 通过操作计算机实现远程自动控制通过操作计算机实现远程自动控制 电动控制采用继技术, 自 远程计算机与可编逻辑器相结合的现代工控技术方式 考虑到一些偏远门站供电不稳定的情况, 集中控制和远程功能在实际使用过程中被关闭 7.1 系统现状与风险概述 MCC( 主控制中心 ) ECC( 备用控制中心 ) 和 SCC( 站点控制中心 ) 以及各重要站通过 DDN 专线进行连接, 并采取了 CDMA GPRS 和 Radio 等方式进行冗余, 但是在各系统出口和入口未部署任何安全防护措施 在 MCC ECC 和 SCC 中所使用 PKS 服务器和单 双屏操作员工作站等主机设备所使用操作系统均为 Windows 系统,Windows 操作系统未更新过系统补丁, 系统漏洞很可能被非授权访问者, 系统漏洞很可能被非授权访问者利用, 造成系统非正常工作 ; 操作系统使用默认配置, 包括安全审计策略 本地防护策略 口令安全策略等, 可能由于配置不当造成系统非授权访问 ; 运行有不必要的系统服务, 可能由于多余或应用自身存在脆弱性, 引发相应的安全问题增加了系统平台风险 ; 大部分系统内设备未部署恶意代码防范软件无法及时对进行检测和清除 组态软件方面, 使用默认口令安全策略可能导致非授权访问者在猜解系统或平台相关设备安全策略时轻易获得口令, 从而系统相应访问权限 ; 53

58 7.2 安全防护建议和效果 此处针对 指南 中所提出安全要求归类为物理安全 网络安全 主机安全 工业控制设备安全 应用安全 数据安全, 在各类安全要求中针对分别提出防护建议 对于指南中所提出相关管理安全要求在第 2 章已经进行了详细阐述, 在此处不再赘述 所提出安全建议中防护措施所涉及的安全产品部署方案如下图所示 详细安全防护建议见表格中内容 安全设备部署参考图 : 54

59 物理安全 : 指南 内容 具体要求 防护措施 防护效果 四物理和环境安全防护 ( 一 ) 对重要工程师站 数据库 服务器等核心工业控制软硬件所在区域采取访问控制 视频监控 专人值守等物理安全防护措施 ( 二 ) 拆除或封闭工业主机上不必要的 USB 光驱 无线等接口 若确需使用, 通过主机外设安全管理技术 可依据实际情况对 MCC ECC 和 SCC 以及重要站点设置视频监控 在 PKS 冗余服务器 单 双屏工作站等主机设备部署操作站安全管理系 保证对于 MCC ECC 和 SCC 现场的访问在监控内, 非授权人员访问及时被发现 对 PKS 冗余服务器 单 双屏工作站等主机设备的 USB 光驱 无线等接口进行严格外设控制 手段实施严格访问控制 统 网络安全 : 指南 内容 具体要求 防护措施 防护效果 二配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 部署安全配置核查系统, 对工业网络设备进行安全配置核查审计, 对于安全配置较差的设备在保证生产的前提下进行安全配置修改 实现对工控网络设备安全配置进行审计与完善 55

60 三边界安全防护 ( 二 ) 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护, 禁止没有防护的工业控制网络与互联网连接 ( 三 ) 通过工业防火墙 网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护 六远程访问安全 ( 二 ) 确需远程访问的, 采用数据单向访问控制等策略进行安全加固, 对访问时限进行控制, 并采用加标锁定策略 ( 三 ) 确需远程维护的, 采用虚拟专用网络 (VPN) 等远程接入方式进行 ( 四 ) 保留工业控制系统的相关访问日志, 并对操作过程进行安全审计 五身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 七安全监测和应 ( 一 ) 在工业控制网络部署急预案演练网络安全监测设备, 及时发现 报告并处理网络攻击或异常行为八资产安全 ( 二 ) 对关键主机设备 网络设备 控制组件等进行冗余配置 在 MCC ECC 和 SCC 与生产执行层之间部署工业防火墙在主要工控网络设备开启日志记录并定期进行审计运维人员巡检工控系统内网络设备缺省口令及默认口令, 如发现应进行修改, 并确保口令定期进行更新 在 MCC 系统中部署工控异常监测系统对 MCC ECC 和 SCC 中的关键网络设备进行冗余配置 实现了对 MCC ECC 和 SCC 之间的访问控制, 防止不同系统间的入侵或异常访问行为 实现对远程访问行为的访问控制 强化工业控制网络设备身份认证 实时监测针对工控系统入侵行为及异常行为增加工业网络可靠性, 通过冗余配置避免因关键网络设备故障导致网络中断 56

61 主机安全 : 指南 内容 具体要求 防护措施 防护效果 一 安全软件选择与管理 ( 一 ) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件, 只允许经过工业企业自身授权和安全评估的软件运行 应建立完全仿真的测试系统用于防病毒软件或应用软件更新测试, 并在 PKS 冗余服务器 单 双屏工作站等主机设 确保所有杀毒软件病毒库更新及其他应用软件更新不会对 MCC SCC 和 ECC 系统中正常业务应用产生影响 ( 二 ) 建立防病毒和恶意软件入侵管理机制, 对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施 备部署操作站安全管理系统 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 ( 三 ) 密切关注重大工控 部署安全配置核查系统, 对 PKS 冗余服务器 单 双屏工作站等主机设备设备进行安全配置核查审计, 对于安全配置 提高 PKS 冗余服务器 单 双屏工作站等主机设备安全配置水平, 避免因主机设备安全配置不足导致主机设备遭受攻击 信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 较差的设备在保证生产的前提下进行安全配置变更 部署工控漏洞扫描系统定期进行漏洞扫描 五 身份认证 ( 一 ) 在工业主机登录 应用服务资源访问 工业云平台访问等过程中使用 使用口令密码 USB-Key 智能卡等多种认证手段 避免工业主机设备被非授权人员轻易访问 身份认证管理 对于关键设备 系统和平台的访问采用多因素认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 对工业主机设备设置访问密码, 并规范密码强度 八 资产安全 ( 一 ) 建设工业控制系统资产清单, 明确资产责任人, 以及资产使用及处置规则 ( 二 ) 对关键主机设备 网络设备 控制组件等进行冗余配置 对 WPKS eserver 和 PHD 等重要服务器进行冗余配置 确保不会因服务器宕机而影响正常业务 57

62 工业控制设备安全 : 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工 在 MCC 中部署安全配置核查设备, 对 核查各类设备安全配置情况并进行审计 业控制设备的安全配置, 建立工业控制系统配置清单, 定期进行配置审计 网络设备 主机及控制设备进行安全配置核查与审计 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 车间运维人员核查工控系统内工 加强工业控制设备的身份认证强度 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 业控制设备的缺省口令和弱口令, 发现后进行整改并定期更新 七 安全监测和应急预案演练 ( 二 ) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备, 限 在重要 RTU 前端部署适用于工业现场的专用防火墙 对工控异常访问行为及违法操作进行安全防护, 防止工业控制设备遭受入侵攻击 制违法操作 八 资产安全 ( 一 ) 建设工业控制系统资产清单, 明确资产责任人, 以及资产使用及处置规则 ( 二 ) 对关键主机设备 网络设备 控制组件等进行冗余配置 由相关部门统计 MCC ECC SCC 等系统资产清单 对关键控制组件增加冗余配置 确保相关部门对工控设备具体信息掌握 避免因重要控制组件单点故障引发生产事故 应用安全 : 指南 内容 具体要求 防护措施 防护效果 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 由相关人员核查组态软件缺省口令和弱口令, 发现后进行整改并定期更新 加强组态软件身份认证强度 58

63 数据安全 : 指南内容 具体要求 防护措施 防护效果 九 数据安全 ( 一 ) 对静态存储和动态传输过程中的重要工业数据进行保护, 根据风险评估结果对数据信息进行分级分类管理 ( 二 ) 定期备份关键业务数据 ( 三 ) 对测试数据进行保护 由相关部门对重要工业数据进行备份 保证重要工业数据安全性, 防止重要工业数据遗失 59

64 第八章 烟草行业工控系统安全防护实施方案 60

65 8 烟草行业工控系统安全防护实施方案 烟草行业工业企业 商业企业中卷烟厂 复烤厂 醋酸纤维公司 烟机公司 商业公司均有工控系统应用, 按分布单位 生产类别可分为 5 个类别, 包括卷烟生产类 物流配送类 烟叶复烤类 丝束生产类和机械加工类 各类工控系统之间具有一定差异性, 由于篇幅所限, 此处以卷烟厂制丝集控系统为例进行防护方案介绍 8.1 系统现状与风险概述 制丝集控系统网络可分为监督控制层 现场控制层 现场设备层 现场控制层和监督控制层的网络物理隔离, 监督控制层网络采用以太网, 用于连接中控室终端设备 现场终端设备等工控机 ; 现场控制层网络采用工业以太网, 网络链路采用双链路, 用于连接现场 PLC HMI 等设备 丝叶生产类工控系统典型网络拓扑结构如图所示 目前大多数卷烟厂均建有 MES 系统, 业务上需要 MES 系统和各车间工控系统相连且缺少必要防护措施, 而管理网网络环境复杂, 与互联网相连, 因此造成管理网风险引入工控系统 制丝集控系统中几乎所有的主机 操作站所使用的操作系统均为微软的 61

66 Windows 系统 对于投产时间比较早的工控系统, 普遍使用了 Windows XP 操作系统 而在 2014 年 4 月 8 日, 微软已经宣布了对于 Windows XP 系统停止进行支持服务的消息, 但各企业并没有采取相应措施予以应对, 以 Windows XP 为操作系统进行工作的主机 操作站不得不面对不断被发现的更多漏洞所带来威胁而无计可施 即使是投产时间比较晚的系统中, 普遍使用的 Windows 7 系统, 也由于工控系统的特殊性而不能及时更新, 同样带来大量的威胁 另外, 所有主机 操作站和服务器的安全配置均为自动化集成商在建设系统之处所采用的默认配置, 在投产后长时间运行过程中不会进行配置变更, 且日常运维人员对配置信息掌握不充分 目前大多数卷烟厂制丝集控系统所采用的工业控制设备以西门子和罗克韦尔的 PLC 为主, 所广泛应用的型号 S7-300 S7-400 等均有大量高危漏洞被曝出, 利用这些漏洞进行攻击将导致控制设备宕机, 造成现场生产事故 目前大多数卷烟厂制丝集控系统所广泛使用的 ifix 和 Wincc 组态软件存在拒绝服务 任意代码执行等高危漏洞, 组态软件漏洞被利用可直接导致工控生产中断 8.2 安全防护建议和效果 此处针对 指南 中所提出安全要求归类为物理安全 网络安全 主机安全 工业控制设备安全 应用安全 数据安全, 在各类安全要求中针对分别提出防护建议 对于指南中所提出相关管理安全要求在第 2 章已经进行了详细阐述, 在此处不再赘述 所提出安全建议中防护措施所涉及的安全产品部署方案如下图所示 详细安全防护建议见表格中内容 安全设备部署参考图 : 62

67 管理协同层 生产执行层 生产执行域 ERP 服务器 MES 服务器 互联网 安全运维区 配置核查系统 过程监控层 监督控制域 操作员站 监控站上位机区工业防火墙交换机 操作员站 工程师站工程师操作区 工控漏洞扫描系统 业务服务器区 工业控制域 操作站服务器 HMI 监控服务器 监控服务器数据库服务器 工业交换机 工控异常监测系统 现场控制层 工业防火墙工业交换机工业交换机工业防火墙控制 1 区控制 3 区 v v v PLC PLC PLC 工业防火墙 控制 2 区 PLC PLC 工业交换机 PLC 现场设备层 翻箱机烘干机切丝机 物理安全 : 指南 内容 具体要求 防护措施 防护效果 四 物理和环境安全防护 ( 一 ) 对重要工程师站 数据库 服务器等核心工业控制软硬件所在区域采取访问控制 视频监控 专人值守等物理安全防护措施 ( 二 ) 拆除或封闭工业主机上不必要的 USB 光驱 无线等接口 若确需使用, 通过主机外设安全管理技术手段实施严格访问控制 在制丝集控系统中控室内操作站 工程师站及 I/O 服务器等主机设备部署操作站安全管理系统 对操作站 工程师站以及服务器等主机设备的 USB 光驱 无线等接口进行严格外设控制, 避免外设成为攻击入口 63

68 网络安全 : 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配 部署安全配置核查系统, 对工业网络设备进行安全配置 实现对工控网络设备安全配置进行审计与完善 置, 建立工业控制系统配置清单, 定期进行配置审计 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 核查审计, 对于安全配置较差的设备在保证生产的前提下进行安全配置变更 三 边界安全防护 ( 二 ) 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边 在制丝集控系统与生产执行层之间部署工业防火墙在主要工控网络设 实现了对 MES 系统到制丝集控系统的访问控制, 阻断来自管理网的非法行为 界进行安全防护, 禁止没有防护的工业控制网络与互联网连接 ( 三 ) 通过工业防火墙 网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护 备开启日志记录并定期进行审计 六 远程访问安全 ( 二 ) 确需远程访问的, 采用数据单向访问控制等策略进行安全加固, 对访问时限进行控制, 并采用加标锁定策略 ( 三 ) 确需远程维护的, 采用虚拟专用网络 (VPN) 等远程接入方式进行 ( 四 ) 保留工业控制系统的相关访问日志, 并对操作过程进行安全审计 实现对远程访问行为的访问控制 64

69 五 身份认证 ( 三 ) 强化工业控制 运维人员巡检工控 强化工业控制网络设 设备 SCADA 软件 系统内网络设备缺 备身份认证 工业通信设备等的登 省口令及默认口 录账户及密码, 避免 令, 如发现应进行 使用默认口令或弱口 修改, 并确保口令 令, 定期更新口令 定期进行更新 七 安全监测和应急预案演练 ( 一 ) 在工业控制网络部署网络安全监测设备, 及时发现 报告并处理网络攻击或异常行为 在工业控制网络中部署工控异常监测系统 实时监测针对工控系统入侵行为及异常行为, 避免工业网络遭受网络攻击或异常访问 八 资产安全 ( 二 ) 对关键主机设备 网络设备 控制组件等进行冗余配置 对制丝集控系统中关键网络设备 ( 如工业环网上联交换机 ) 进行冗余配置 增加工业网络可靠性, 通过冗余配置避免因关键网络设备故障导致网络中断 主机安全 : 指南 内容 具体要求 防护措施 防护效果 一 安全软件选择与管理 ( 一 ) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件, 只允许经过工业企业自身授权和安全评估的软件运行 ( 二 ) 建立防病毒和恶意软件入侵管理机制, 对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施 应建立完全仿真的测试系统用于防病毒软件或应用软件更新测试, 并在工程师站 操作员站等部署操作站安全管理系统 确保所有杀毒软件病毒库更新及其他应用软件更新不会对制丝集控系统中正常业务应用产生影响 65

70 二 配置和补丁管理 ( 一 ) 做好工业控制 部署安全配置核 提高制丝集控系统内 网络 工业主机和工 查系统, 对工业主 各类操作站 工程师 业控制设备的安全配 机等设备进行安 站及服务器安全配置 置, 建立工业控制系 全配置核查审计, 水平, 避免因主机设 统配置清单, 定期进 对于安全配置较 备安全配置不足导致 行配置审计 差的设备在保证 主机设备遭受攻击 ( 三 ) 密切关注重大 生产的前提下进 工控信息安全漏洞及 行安全配置修改 其补丁发布, 及时采 部署工控漏洞扫 取补丁升级措施 在 描系统定期进行 补丁安装前, 需对补 漏洞扫描 丁进行严格的安全评 估和测试验证 五 身份认证 ( 一 ) 在工业主机登 使用口令密码 确保工业主机设备被 录 应用服务资源访 USB-Key 智能卡 非授权人员轻易访 问 工业云平台访问 等多种认证手段 问 等过程中使用身份认 对工业主机设备 证管理 对于关键设 设置访问密码, 并 备 系统和平台的访 规范密码强度 问采用多因素认证 ( 二 ) 合理分类设置 账户权限, 以最小特 权原则分配账户权 限 ( 三 ) 强化工业控制 设备 SCADA 软件 工业通信设备等的登 录账户及密码, 避免 使用默认口令或弱口 令, 定期更新口令 八 资产安全 ( 一 ) 建设工业控制 对制丝集控 I/O 服 确保不会因 I/O 服务 系统资产清单, 明确 务器进行冗余配 器宕机而影响操作员 资产责任人, 以及资 置 站 工程师站对工控 产使用及处置规则 设备下发指令 ( 二 ) 对关键主机设 备 网络设备 控制 组件等进行冗余配 置 66

71 工业控制设备安全 : 指南 内容 具体要求 防护措施 防护效果 二 配置和补丁管理 ( 一 ) 做好工业控制网络 工业主机和工业控制设备的安全配置, 建立工业控制系统配置清单, 定期进 在制丝集控系统中部署安全配置核查设备, 对网络设备 主机及控制设备进行安全配 核查各类设备安全配置情况并进行审计 及时发现重大工控漏洞, 针对漏洞进行相应修补措施 行配置审计 ( 三 ) 密切关注重大工控信息安全漏洞及其补丁发布, 及时采取补丁升级措施 在补丁安装前, 需对补丁进行严格的安全评估和测试验证 置核查与审计 部署工控漏洞扫描系统定期进行漏洞扫描 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 车间运维人员核查工控系统内工 加强工业控制设备的身份认证强度 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 业控制设备的缺省口令和弱口令, 发现后进行整改并定期更新 七 安全监测和应急预案演练 ( 二 ) 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备, 限 在重要 PLC 前端部署适用于工业现场的专用防火墙 对工控异常访问行为及违法操作进行安全防护, 防止工业控制设备遭受入侵攻击 制违法操作 八 资产安全 ( 一 ) 建设工业控制系统资产清单, 明确资产责任人, 以及资产使用及处置规则 ( 二 ) 对关键主机设备 网络设备 控制组件等进行冗余配置 由信息中心联合设备科统计制丝集控系统资产清单 对关键控制组件增加冗余配置 确保信息中心及设备科对制丝集控系统内工控设备具体信息掌握 67

72 应用安全 : 指南 内容 具体要求 防护措施 防护效果 五 身份认证 ( 三 ) 强化工业控制设备 SCADA 软件 工业通信设备等的登录账户及密码, 避免使用默认口令或弱口令, 定期更新口令 由车间运维人员核查组态软件缺省口令和弱口令, 发现后进行整改并定期更新 加强组态软件身份认证强度 数据 : 指南内容 具体要求 防护措施 防护效果 九 数据安全 ( 一 ) 对静态存储和动态传输过程中的重要工业数据进行保护, 根据风险评估结果对数据信息进行分级分类管理 ( 二 ) 定期备份关键业务数据 ( 三 ) 对测试数据进行保护 由相关部门对重要工业数据进行备份 保证重要工业数据安全性, 防止重要工业数据遗失 68

73 第九章 系统上线与实现效果呈现 69

74 9 系统上线与实现效果呈现 通常信息安全方案实施时最重要的要进行网络安全区域的划分, 然后信息安全设备上线 9.1 安全区域划分 划分网络安全域能够极大的减少因一点受害导致网络全部受影响的发生 安全域是指同一系统环境内有相同的安全保护需求, 相互信任, 并具有相同的安全访问控制和边界控制策略的子网或网络, 且相同的网络安全域共享相同的安全策略 进行安全域划分可以帮助理顺网络和工控系统的架构, 使得工控系统的逻辑结构更加清晰, 从而更便于进行运行维护和各类安全防护的设计 安全域划分的参考虽然每个行业的安全区域划分都不一样, 但方法类同, 下面仅以一个机床类工控系统作为示例参考 先进控制行业工控网络规划与安全区域划分可采取纵向分层横向分区的方式, 纵向分层可以参考下图的管理执行层 生产控制层 现场设备层进行划分 横向可以从技术网功能的角度进行分区, 如技术中心划为一个安全区, 服务器区为一个安全区 办公区为一个安全区 现场设备层的车间地理区域的角度进行划分, 如车间 1 为一个安全区, 车间 2 为另一个安全区域 安全区域划分的纵向各层和横向各区都要进行网络安全设备的隔离 工控相关的系统需要使用工控专业的隔离安全设备 70

75 9.1.2 管理网与工控网的数据安全交换调研网络区域边界涉及的安全问题 管理网与工控网络连接, 首先要知道传输信息的协议及数据内容, 列举已知协议和未知协议, 协议的获得可通过在交换机镜像口抓取数据包分析得到, 数据传送也要考虑其物理接口类型, 如 串口或现场总线 制定协议列表示例如下 : 协议名称数据量 (bps) 未知 1 未知 2 表 9-1 数据安全交换调研表 管理网某 工控网某 传输方向 协议描述 物理接口 设备 设备 类型 数据安全交互考虑以下内容 : 考虑数据交换的方式, 是逻辑隔离还是物理隔离 未来部署的安全交换设备可接受的延时, 明确数据吞吐量 是否需要防病毒 是否需要访问控制 隔离设备的双向或单向 71

76 隔离设备物理接口 研发的重要信息无误快速传递到数控机床制造中 远程 / 外部运维的安全架构在安全区域划分时同时也要明确第三方运维人员的运维方式, 明确运维连接的接口, 是网口还是串口或是现场总线等其他特定接口 了解数控设备是否有无线接口 需要调研操作人员工作时不操作的机床相关设备的部件组成 以 840d 为例, 明确其运维连接的物理接口 明确运维的位置, 如 MMC 还是直接对在 NCU 运维, 以下图实际为例标识出运维的详尽信息 了解运维流程, 包括现场运维和远程运维 故障周期, 运维的时间, 运维的工作周期 了解运维的数控系统的业务功能, 解答如下问题 表 9-2 业务调研问题表序号问题 1 30 台数控机床系统规格型号确定 2 运维时使用接口情况如 USB RJ45 RS232 接口 3 现场总线使用情况 perfibus can 等 4 机床操作台的操作系统, 了解其主机或工控漏洞情况, 各登录用户名及密码 5 数控系统正常使用的协议, 包括串口协议 (O5555 或 O5556), 串网转换协议的明确定义 6 运维软件安装的环境及安装位置 7 远程运维网络到数控机床现场的拓扑连接关系 8 数控系统是否有无线信号的使用 72

77 9.1.4 设备命名规范工控网络设备命名需按照唯一性和简单性的原则, 命名要能够描述设备所在的责任部门名称 网络层名 安全区名 设备类型 设备序号, 命名规范如下 : 表 9-3 设备命名 责任部门名称网络层名安全区名设备类型设备序号 XX YY ZZ MM CC XX: 机构名称, 如信息中心用 XXZX 标识 设备处用 SBC 标识等 ; YY: 网络层名, 划分为三个层次, 管理执行层 GLZX; 生产控制层 SCKZ; 现场设备层 XCSB ZZ: 生产系统区 SCXT; 安全运维区 AQYW; 技术中心 JSZX; 内网服务器区 NWFWQ; 办公楼区 BGL; 隔离区 GL; 外网区 WW MM: 设备类型标识, 路由器 ----RT 交换机----SW 防火墙----FW 工业安全网关 ----ISG 入侵检测系统----IDS 入侵防御系统----IPS 审计 ----ADT 负载均衡----LB CC: 设备序号, 同一区域层次的设备, 从左向右编号为 依此递增 IP 规划根据安全域实施改造与建设, 为了减少广播风暴和减少收敛时间, 在生产网和办公网进行 IP 重新规划 本次改造结合实际使用环境, 为避免改动范围过大影响生产, 对 IP 地址尽量少改动,IP 规划依照以下表格进行改造 表 9-4 IP 分配表 IP 地址分配表网络层安全区设备名称 VLAN 划分 IP 地址 访问控制策略对管理执行层 生产控制层 现场设备层的各系统设备进行前期的梳理, 系统的访问关系如下 : (1) 允许 XX 系统和 XX 平台之间互相访问 ; 73

78 (2) 允许 XX 工作站和 XX 系统之间访问, 采用的 XX 协议,XX 端口 ; (3) 只允许 XX 工作站访问 XX 系统, 禁止 XX 工作站对 XX 系统的访问 9.2 系统上线部署 (1) 硬件设备部署根据现场环境调研情况编制施工图, 内容包括设备摆放位置表 走线图 设备端口连线表 网络访问控制策略等 步骤如下 : (1) 设备加电测试根据施工图中的设备摆放位置表, 先在机架上安装托板, 然后将三个设备上架 连好电源线 每台设备均按照设备编号贴好标签, 并提供最终设备摆放位置表 电源线要求整理整齐 对所有交换机 服务器等设备进行加电测试 表 9-5 设备摆放位置表机房名称 : 机柜编号 : 序号 设备名称 物理尺寸 ( 宽 深 高 )mm 电源要求 额定功率 机柜内位置 功率合计 : (2) 网络布线设备上架并通过加电检测无误后, 按照施工图纸中走线图及设备端口连线图将所有设备间的连线按布线规范进行布线并连接好 每条网线均按照的规定做好标签, 并绘制设备端口连线图 表 9-6 设备端口连线表设备名称 IP 地址端口对端设备对端 IP 对端端口线缆备注 (3) 设备配置 在定制线缆的同时, 根据施工图中规定的 IP 地址 掩网子码等网络参数的要 74

79 求对网络设备 安全设备等进行配置, 配置相应的 IP 掩码 在交换机上配置策略等 表 9-7 工业防火墙访问控制策略配置表 序号 ACL 号 源地址 目的地址 协议端口 动作 长连接 备注 1 允许 2 允许 表 9-8 安全防护策略配置表 序号 设备名称 防护策略 开启 关闭 实现效果呈现 通过信息安全防护措施的部署, 实现的效果呈现如下 : 实现了对生产执行层系统到生产控制层系统的访问控制, 阻断来自管理网的非法行为 (1) 实现了对来自管理网的 SYN Flood 抗 UDP Flood 抗 ICMP Flood 抗 Ping of Death 等攻击的防护 (2) 通过工业防火墙的访问控制策略解决了对工控系统的非法访问和控制防火墙设置仅允许 OPC S7 Modbus 等工控系统使用的工业协议通过, 如有其它必要服务, 也需要设置允许相应的协议通过, 且可以对协议传输的指令进行控制 除此之外一律禁止通行, 就可以防止黑客利用不必要的服务和端口攻击 75

80 系统 实现对生产管理层系统与工控系统的 OPC 协议的动态端口防护及完整性 碎 片等细粒度防护 如下所示 : (2) 通过部署工控异常检测系统实现对工控系统网络内实时异常监测 1) 实现对工控网内从上位机 I/O 服务器 PLC(DCS 控制器 ) 等设备间网络 流秩序连接关系的梳理 2) 由于大多工控系统的服务器到控制器之间采用 TCP/IP 协议, 可实现对其 协议攻击的检测 76

81 3) 通过白名单的自学习实现从操作站到 PLC 的异常操作的发现 4) 实现针对工控系统中存在的已知木马后门 蠕虫病毒的入侵行为以及网 络扫描探测行为的检测 77

82 (4) 实现对操作站的 U 盘及外设管理 减少病毒的感染 (5) 实现对工控系统操作员站 工程师站 服务器 组态软件及 PLC 的漏洞发现, 以便及时应对 能够发现西门子 PLC 和 STEP7 WINCC 等组态软件, 以及 GE 的 Ifix 组态的漏洞 (6) 实现对工控系统的操作员站 工程师站 路由器 交换机 组态软件 等设备的统一性能监测和日志采集及集中管理 部分效果如下所示 1) 实现统一拓朴展示 78

83 2) 实现对设备性能的监测 (7) 实现对运维行为的审计防护 1) 监控并记录工控系统运维行为, 威慑运维人员谨慎操作, 追溯失误操作和恶意操作, 为责任鉴定提供证据 ; 2) 安全隔离运维设备与被运维设备, 防范恶意代码有意或无意的传播 (8) 对工控漏洞的发现 1) 对 HMI 操作员站 工程师站等主机设备进行漏洞扫描; 2) 对主机上所安装的常用软件进行漏洞扫描 ; 79

84 3) 对工控系统中的网络设备, 包含普通交换机 工业交换机进行漏洞扫描 ; 4) 对组态软件进行漏洞扫描 ; 5) 对现场控制设备, 如 PLC DCS 等进行漏洞扫描 (9) 实现对无线安全的防护 : 1) 提供无线防火墙安全策略, 可根据 AP 或 StatI/On 的安全属性定制无线网络准入规则, 通过射频信号阻止非法用户接入, 建立射频安全区, 提供具有物理安全 可信的无线网络 ; 2) 提供包括无线扫描 欺骗 DoS 破解等多个大类数十种无线攻击的检测 80

85 告警 阻断功能, 同时提供多种类型流氓 AP 的检测与阻断 81

86 第十章 安全服务与长效机制 82

87 10 安全服务与长效机制 工控信息安全是一个长期持久的工作, 当工控信息安全技术与管理措施均建设完成后, 需要通过安全服务建立一种长效机制, 才能使得企业的工控信息安全进入持续改进的良性循环, 切实保障生产活动的正常运行 启明星辰可提供后期运维服务协助企业建立长效机制 服务内容包括包括应急响应服务 安全通告与预警服务 现场值守与安全巡检服务 周期性风险评估与自查服务 (1) 应急响应服务 当工业控制网络或系统中出现安全事件时, 启明星辰公司提供安全应急专家进行现场的安全应急响工作, 协助甲方的安全人员及时发现问题, 恢复系统, 追查来源, 保留证据 ; (2) 安全通告与预警服务 启明星辰公司将为甲方安全管理人员提供全年的工控信息安全通告服务, 内容将包括提供最新的工控信息安全动态 技术和定制的安全信息, 包括实时安全漏洞通知 定期安全通告汇总 临时安全解决方案和安全知识库更新等, 当有高危或严重漏洞和事件发生时, 及时向甲方提供安全预警, 做好预防措施 (3) 现场值守与安全巡检服务 启明星辰公司将派驻工程师在甲方总部进行 5*8 小时的现场值守服务 对甲方安全设备运行状态进行每工作日一次的例行检查, 并持续监控网内的安全事件, 针对信息安全预警 安全防护 系统监控和应急响应等方面的实施状况进行安全检查, 具体内容将包含 : 对甲方范围内的设备可能存在的安全隐患进行检查 对安全产品和防护设备的安全部署策略进行调整 检查调整网络安全设备的配置及规则 检查监控入侵检测等系统的实时日志 提供安全巡检报告 工程师每工作日提供工作日报, 每周及每月要求提供安全服务周报及月报 (4) 周期性风险评估服务 : 每月或每季度在检修时对工控系统进行自查, 83

88 并出具报告 ; (5) 安全设备运维服务 : 启明星辰公司将为甲方提供现有工控信息安全设备的运行维护, 包括设备安全策略的优化和调整 设备故障的诊断和修复 定期的设备状态巡检等 ; (6) 工控信息安全培训 : 启明星辰提供针对工控信息安全态势 工控信息安全攻防 工控信息安全意识 工控信息安全技术和实操等各类培训 ; (7) 同时长效机制还涉及安全通报机制 外部协同响应机制 内部协作与共享机制等 84

89 第十一章 预期收益与风险预防机制 85

90 11 预期收益与风险预防机制 11.1 预期收益 实施本方案后, 企业将会有如下收益 : (1) 能够有效地符合集团 国内主管部门相关工控系统的合规要求, 维护公司声誉 品牌和客户信任 (2) 可以切实让生产运维人员和管理人员清晰获悉自身工控网络中的风险, 以便提前做到适度防护, 提升了运维人员效率, 为管理人员对安全的规划提供了有力的支撑 (3) 经过安全防护措施后, 能够有效的保障工控网中网络 主机应用等各层面的多数安全问题发生, 降低公司生产业务中断的风险, 减少可能潜在的风险隐患, 减少信息系统故障 人员流失带来的经济损失 (4) 通过配套运维手册及长效机制的建立, 提升了企业自身应急响应能力, 使安全真正做到一旦发生, 及时响应的效果 (5) 能够将工控信息安全工作形成一种长效机制, 避免了以前 救火 的被动局面, 真正将工控信息安全实现主动管理 11.2 风险预防机制 生产是企业的核心, 项目实施工作本身具有一定潜在风险, 因此在项目实施之前要确定项目风险对应措施, 一般来说, 项目有如下的潜在风险 : (1) 人员配合和参与不到位的风险 : 部分人员理解安全是由信息部门负责, 跟自己没关系, 所以可能因项目理解不深入而导到项目有一线生产及维护人员可能因工作任务紧张无法保证有足够的时间配合项目, 或者理解安全的职责应由信息部门进度风险或其它技术风险 (2) 影响生产的风险 : 由于生产网络一般是建设好后很长一段时间后就不会再动了, 所以外加的安全设备可能会触发以前未曾出现过的问题发生 (3) 项目范围和内容偏差, 可能导致实施质量下降 : 在具体实施项目时, 甲乙双方人员可能会随项目的实施过程对范围和内容产生一些偏差, 也会导致实施质量的下降 (4) 生产信息的泄密风险 : 由于项目的实施涉及参与的人员, 可能会出 86

91 现人员的笔记本遗失或其它等意外或有意造成的泄密风险 基于上述风险, 启明星辰将采用如下措施进行防范 (5) 领导层认同和支持 : 本着 安全无小事 的原则, 在项目启动时就成立领导小组 ( 包括甲方生产部门和信息部门的领导 ), 双方领导层需要对详细的项目计划达成共识, 双方的领导层对项目计划的成功执行都视为己任, 能够确保计划中所定义的双方投入项目的资源包括但不仅限于参与项目的各层级人员在项目初期就得到确认 在项目开展过程中, 双方领导层能够督促并确保上述人员和其他相关人员的有效工作, 包括项目发起人 项目组成员 技术专家等 集团公司还需在项目过程中负责协调与各部门 机构 项目团队间的关系, 保障畅通的信息交流渠道 同时, 集团公司决策层需要对项目组呈报的项目资料进行及时的审阅, 给出相应的反馈意见 对于需要领导层解决的问题, 双方领导应迅速沟通, 协商解决, 确保项目按时顺利进行 (6) 充分的技术验证和测试和提前备份 : 双方的技术专家反复讨论技术方案的可行性和可能的风险, 并一一制定出应急响应措施并及时调整方案 在停产试安装阶段设置较多的各种压力性 生产业务特殊性的测试 设置试运行阶段, 并在试运行阶段人员进行生产值守观察, 一旦发生问题, 立即记录并启动 (7) 建立双方有效的应急响应团队 : 由甲乙双方领导 技术专家 后端的服务团队及系统集成商等相关人员建立一支有效的应急响应团队 在项目实施过程中精密合作, 开展一系列的研讨会 评审会 测试讨论会等 (8) 建立严格的项目质量保障体系和规范 : 启明星辰将通过严格的须遵循国际 国内通用的标准实施方法, 如图表 访谈 调研 检查等模式, 明确项目实施重点, 将项目的结果进行有效的管理, 以确保项目成果的可用性 项目成果进行文件化的管理, 以确保在涉及管理层决策时有法可依 通过项目周报 月报及紧急事件及时汇报等机制, 确保信息的及时沟通和对称, 并确保生产人员的积极参与 87

92 第十二章 未来展望 88

93 12 未来展望 目前工业互联网正处于一个飞速发展的阶段, 网络 数据和安全被认为是工业互联网体系架构的三大核心内容, 安全是所有网络 数据以及工业融合应用的重要前提 在日新月异的发展过程中, 各项技术不断演进, 工控安全作为保障其他技术可靠应用的前提条件, 在未来的发展道路上, 势必经历三个阶段 : 第一阶段 立足当下解决现有 工控网络安全问题 第二阶段 开放协作共建及时 共享威胁情报平台 第三阶段整合数据为工业互联网打通底端到云端建造新安全保障体系 上述方案是处于第一阶段, 是解决现有工控网络安全问题 第二阶段 : 开放协作, 共建及时共享威胁情报平台 在工业互联网的时代, 开放协作是启明星辰集团一直以来的态度和优势, 启明星辰将与业内监管机构 自动化集成商 / 厂商 信息安全厂商 研究机构和用户等各方携手共同努力搭建统一协作的支撑平台, 让工业用户受益于工业互联网发展, 保障用户生产更加高效稳定运行 监管机构 自动化集成厂商 信息安全厂商 威胁情报监测平台 舆情监测沙箱技术漏洞扫描虚拟执行配置核查 89

94 第三阶段 : 整合数据, 为工业互联网打通底端到云端建造新安全保障体系 工业互联网产业联盟最新态势报告显示, 机械自动化和控制组织 (OMAC) OPC 基金会和 PLCopen 开启合作, 进一步推进物联网产业的必要通信协议 工业互联网产业联盟也发布了 工业互联网体系架构, 为适应以工业云计算和大数据为平台的 IT 和 OT 的深度融合的智能工业时代, 面对不断涌现的新安全威胁, 启明星辰提出了动态赋能的工业互联网新体系 工控安全的核心除保障工业生产的稳定运行之外, 数据安全性也是重中之重 同时呈现出动态 弹性 协同和可持续的新特性, 如下图所示, 90

95 & 工控安全的建设也朝着专业化 智能化 精确化 可视化和共享化的方向不 断发展和演进, 集团工控安全产品也随之要为业务赋能 91

96 92