烟草行业等保 2.0 工业安全建设思考 - 落实等级保护规定, 夯实工控安全基础 宋 强 奇安信集团工业互联网安全产品总监
目录目录 等保 2.0 工控安全要求 工控网络安全解决方案 烟草行业工控安全建设思考
工业安全成为国家之间网络战的主战场 2019 年 6 月, 纽约时报 援引 2019 年 3 月 7 日, 委内瑞拉全国美国现任和前任安全事务官员的 23 个州中的 18 个州电力供应中话称, 美国正在加大对俄罗斯电断 停电给委内瑞拉带来了重大网的网络攻击, 自 2012 年以损失, 全国交通瘫痪, 地铁系统来, 美国已将侦查探测程序植入关闭, 医院手术中断, 通讯线路俄罗斯的电网系统之中, 但在过中断, 航班无法正常起降 去一年中, 这些行动的强度和规 3 月 9 日上午, 全国 70% 的电力模都在加大, 美国的行动目标已供应本已恢复, 但随后电力系统经从单纯的警告考虑更多转向为再遭攻击, 导致再次发生大范围进攻性的考虑 停电 2019 年 2 月 21 日, 一名伊朗高级指挥官称, 伊朗曾经成功渗透进美国军方指挥中心系统, 并控制了 7 至 8 架正在叙利亚和伊拉克执行飞行任务的美军无人机 2019 年 6 月, 在伊朗击落美国一架无人机后, 美国决定将网络战作为打击伊朗的首选项
国家高度重视工业安全 机构时间政策文件政策说明 全国人大 2017.06 中华人民共和国网络安全法 第三十一条国家对公共通信和信息服务 能源 交通 水利 金融 公共服务 电子政务等重要行业和领域 关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护 国务院 2017.11 关于深化 互联网 + 先进制造业 发展工业互联网的指导意见 工信部 2011.10 关于加强工业控制系统信息安全管理的通知 (451 号 ) 工信部 2016.10 工业控制系统信息安全防护指南 (338 号 ) 工信部 2017.06 工业控制系统信息安全事件应急管理工作指南 (122 号 ) 工信部 2017.08 工业控制系统信息安全防护能力评估工作管理办法 (188 号 ) 工信部 2017.12 工业控制系统信息安全行动计划 (2018-2020) (316 号 ) 工信部 2018.05 工业互联网发展行动计划 (2018-2020 年 ) 网信办 2017.07 关键信息基础设施安全保护条例 ( 征求意见稿 ) 建立 工业互联网安全保障体系 提升安全保障能力 发展目标 加强重点领域工控信息系统安全管理措施, 特别提到了与国计民生紧密相关领域的控制系统, 如核设施 电力 天然气 铁路 城市轨道交通 民航 城市供水等 工业企业开展工控安全防护工作的整体性指导文件 指导做好工业控制系统信息安全事件应急管理相关工作, 保障工业控制系统信息安全 检验 338 号文的实践效果, 综合评价工业企业工业控制系统信息安全防护能力 为全面落实国家安全战略, 提升工业企业工控安全防护能力, 促进工业信息安全产业发展, 加快我国工控安全保障体系建设, 制定本行动计划 工业互联网安全指导性文件, 明确并落实企业主体责任, 建立针对重点行业 重点企业的监督检查 信息通报 应急响应等管理机制 第十八条 应当纳入关键信息基础设施保护范围 : ( 一 ) 政府机关和能源 金融 交通 水利 卫生医疗 教育 社保 环境保护 公用事业 ( 供水 供热 燃气 ) 等行业领域的单位 ; 公安部 2019.05 网络安全等级保护基本要求 针对共性安全保护需求提出安全通用要求, 针对云计算 移动互联 物联网 工业控制和大数据等新技术 新应用领域的个性安全保护需求提出安全扩展要求, 形成新的网络安全等级保护基本要求标准
工控安全明确纳入等保 2.0 基本要求 安全物理环境 体系结构 安全技术要求 安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度 一个中心 三重防御 扩展要求 云计算 移动互联 物联网 安全管理机构 工控系统 2017.06.01 2019.05.10 安全管理要求 安全管理人员安全建设管理 可信计算 从合规到合法 等保 2.0 安全运维管理
等保三级安全通用要求 + 工控安全扩展要求第三级安全要求 ( 技术 ) 防火防水和防潮温湿度控制电力供应室外设备防护防静电通信传输可信验证无线使用控制网络架构拨号使用控制控制设备安全访问控制安全审计入侵防范恶意代码防范数据完整性数据备份恢复剩余信息保护个人信息保护身份鉴别数据保密性安全区域边界安全计算环境安全通信网络安全物理环境基本要求工业控制系统安全扩展要求 信息安全技术网络安全等级保护基本要求 电子门禁系统防盗窃防雷击电磁防护数据加密传输单向隔离手段禁止通用服务边界防护访问控制入侵防范恶意代码防范可信验证安全审计可信验证审计管理安全管理系统管理安全管理中心集中管控
工控安全扩展要求控制点与要求项 控制点 (10) 一级二级三级 (22) 四级 安全物理环境室外控制设备防护 2 2 2 2 安全通信网络 网络架构 2 3 3 3 通信传输 0 1 1 1 访问控制 1 2 2 2 安全区域边界 拨号使用控制 0 1 2 3 无线使用控制 2 2 4 4 安全计算环境控制设备安全 2 2 5 5 安全建设管理 产品采购和使用 0 1 1 1 外包软件开发 0 1 1 1 安全运维管理安全事件处置 0 1 1 1
工控安全扩展要求要点 工控安全扩展要求项 安全域隔离控制非法外联安全功能上移慎重更新补丁尽量关闭接口 8.5.2.1 网络架构 a) 工业控制系统与企业其他系统之间应划分为两个区域, 区域间应采用单向的技术隔离手段 ; b) 工业控制系统内部应根据业务特点划分为不同的安全域, 安全域之间应采用技术隔离手段 ; c) 涉及实时控制和数据传输的工业控制系统, 应使用独立的网络设备组网, 在物理层面上实现与其他数据网及外部公共信息网的安全隔离 8.5.3.1 访问控制 a) 应在工业控制系统与企业其他系统之间部署访问控制设备, 配置访问控制策略, 禁止任何穿越区域边界的 E-Mail_ Web Telnet Rlogin FTP 等通用网络服务 ; 8.5.3.3 无线使用控制 b) 应对所有参与无线通信的用户 ( 人员 软件进程或者设备 ) 进行授权以及执行使用进行限制 ; 8.5.4. 1 控制设备安全 a) 如受条件限制控制设备无法实现上述要求, 应由其上位控制或管理设备实现同等功能或通过管理手段控制 ; 8.5.4. 1 控制设备安全 b) 应在经过充分测试评估后, 在不影响系统安全稳定运行的情况下对控制设备进行补丁更新 固件更新等工作 ; 8.5.4. 1 控制设备安全 c) 应关闭或拆除控制设备的软盘驱动 光盘驱动 USB 接口 串行口或多余网口等, 确需保留的应通过相关的技术措施实施严格的监控管理 ;
目录目录 等保 2.0 工控安全要求 工控网络安全解决方案 烟草行业工控安全建设思考
工控网络安全三大痛点 - 工业主机 带病运行 补丁打不上 病毒杀不完 漏洞百出 带病运行 资产查不清 暗藏隐患 担心影响生产不想打 主机不联网无法升级 系统老旧无补丁可打 硬件配置太低装不上杀毒软件 无法升级杀毒软件病毒库老旧 担心误杀工业软件, 干脆不装 工业主机家底不清楚 资产配置分布不可视 整体安全隐患不了解
工控网络安全三大痛点 不了解有什么安全隐患
工控网络安全三大痛点 不了解有什么安全隐患 网络空间正在发生什么?
工控网络安全三大痛点 传统设备不适应工业环境 传统防火墙不适用工业控制网络 挑战一 : 不支持工控协议 挑战二 : 不适应物理环境 1 特有的工业协议 (OPC S7 Modbus DNP3 等 ), 以及存在较多私有协议 2 工控系统特有的安全漏洞, 与 IT 系统应对机制不一样 1 工业现场环境相对比较恶劣 ( 如高低温 粉尘 潮湿 酸碱等 ), 要求专门的硬件设计, 做到全密闭 无风扇, 支持- 40 ~ 70 宽温 挑战三 : 不满足高可靠性 挑战四 : 不匹配运维要求 1 平均无故障时间 >10 年, 使用寿命 15-20 年 2 从 IT 故障关闭 到 OT 故障畅通, 处理的原则不同 1 不允许频繁升级 2 策略稳妥实施, 不允许现网调试试错 3 访问控制对时延要求更为敏感
工控网络安全解决方案 企业信息层 /L4 Email Web OA INTERNET 工业主机防护控制中心 工业资产状况资产数量不清楚资产类型不清楚 工业安全威胁谁有隐患不知道谁被攻击不知道 生产管理层 /L3 打印机 历史数据库 工艺 HMI MES 工业主机安全防护 工程师站 工业安全监测系统 全网主机日志 资产分布不清楚 工业资产为核心的风险可视化 工业生产故障 设备断线难定位 攻击后果不知道 过程监控层 /L2 操作员站 操作员站 工业防火墙 工业安全监测控制平台 (ISDC) 设备停机难定位 异常操作难定位 现场控制层 /L1 现场设备层 /L0 控制器 /PLC 制丝车间 控制器 /PLC 卷包车间 工业安全监测系统 恐惧源于未知, 看见才能安全
主机防护 : 应用程序白名单 & 关卡式病毒拦截 永恒之蓝 超前防御, 防蓝屏 一键设置白名单, 无需升级 网络防护, 主机中毒后防止扩散 入口拦截 运行拦截 扩散拦截 U 盘管控, 防止非授权外设引入病毒 三种模式一键切换, 保障生产连续性 日志审计, 溯源攻击主机和恶意程序 注册 授权 审计 关闭 告警 防护 白名单漏洞防御日志 IP 端口应用程序 溯源主机恶意软件
安全监测 : 检测网络攻击, 识别安全风险 自动发现工控漏洞识别控制器关键操作 资产漏洞映射, 开放端口, 不安全协议 控制器组态下装 上载, 起动 停止 复位 支持 3 大漏洞库 CVE,CNVD,CNNVD PLC 程序下装 上载, 文件写入, 固件升级 覆盖 220+ 厂商, 3300+ 条漏洞 IDS 入侵检测 各种工业漏洞利用行为 缓冲区溢出, 拒绝服务攻击 检测端口扫描 口令探测等渗透行为 5000+ 条规则, 持续更新 检测网络病毒 检测病毒木马, 僵尸蠕虫, 及各种间谍软件, 及时告警提示 识别工业资产, 建立资产清单 设备类型 PLC,DCS, HMI, RTU 品牌型号西门子, 施耐德, 罗克韦尔, 和利时 软件系统 Win2000,Win XP,Web 站点 设备属性 IP,MAC, 端口 建立工控基线, 监测生产异常 自学习业务行为, 建立基线模型 深度解析流量, 发现异常行为
安全监测 : 建立工控基线, 监测生产异常 建立动态行为基线 设备之间通信模型相对固定 协议, 内容, 时间, 频次, 流量 偏离基线意味着发生异常 多维数据构建基线模型 覆盖制丝 卷包 集控 能动 采集解析汇聚数据资源池 机器学习梳理优化通讯模型 偏离基线生产异常监测预警 流量峰谷合规分析 数据上传时间频次审计 数据交互延迟判断 PLC 健康度
边界防护 : 划分安全区域, 隔离控制 INTERNET 专有硬件防火墙 工业网络环境, 宽温, 无风扇, 导轨 / 机架 企业信息层 /L4 Email Web OA 工业控制协议 部署位置 生产管理层 /L3 打印机 工艺 MES 监控网与控制网之间 生产线上位机与控制设备之间 过程监控层 /L2 历史数据库 操作员站 HMI 工业防火墙 操作员站 工程师站 工业防火墙 导轨式适用控制现场 机架式适用机房环境 现场控制层 /L1 现场设备层 /L0 控制器 /PLC 生产线 控制器 /PLC 生产线
目录目录 等保 2.0 工控安全要求 工控网络安全解决方案 烟草行业工控安全建设思考
思考一 : 迎接技术变革, 必先夯实基础 互联网 + 卷烟智能工厂 CPS 工业互联网平台 数字化转型 融合创新与产业升级 工业互联网 边界瓦解, 设备联网, 工业上云, 数据流动, 老问题没有消失, 又迎来新挑战
数据的开放 共享 流动, 增加了泄密风险 物理边界用户多样化设备多样化 边界瓦解 平台多样化 业务多样化 数据分散在不同的业务应用中并持续流动, 流动加剧了大数据的风险
传统的网络边界安全架构忽视了内部人员威胁 安全意识? 安全投入? 安全措施? 渗透进来的攻击者 广域网 互联网 办公内网 DMZ 数据中心 别有用心的内部人员 边界安全架构 : 为内网中的人和设备预设了过多的信任 每一次数据泄露 黑天鹅 事件背后, 都隐藏着 灰犀牛 式的危机
工业互联网安全建设, 基础不牢, 地动山摇
思考二 : 工控安全建设, 重在落实执行 近几年与合作伙伴一起应急服务过上百起工业网络攻击事件, 包括多家烟草企业, 多数发生工业主机蓝屏, 反复重启, 勒索加密, 甚至生产停工 某烟厂制丝车间, 集控服务器反复蓝屏重启, 停产 某烟厂卷包车间,U 盘导致数采主机中毒, 批次无法跟踪 某烟厂数据中心, 错误配置导致直连互联网, 遭勒索攻击
安全事件 : 某智能制造企业遭网络攻击停产 事件过程 2018 年 9 月, 某大型智能制造企业遭勒索病毒攻击, 数十台工业主机蓝屏重启, 多条生产线停产, 损失严重 工业安全团队提供紧急安服响应, 帮助快速恢复生产 通过对现场网络安全风险评估, 发现多个安全漏洞 企业信息层 /L4 生产管理层 /L3 IMO MES 互联网 在实验室仿真客户环境, 还原攻击过程 设备用途系统配置存在漏洞 过程监控层 /L2 上位机 IMO OA 服务器 CentOS 任意命令执行漏洞 MES 生产管理服务器 Win7 64 位 永恒之蓝 漏洞 上位机 控制 PLC WinXP SP3, 组态王, 双网 卡配置 远程堆溢出漏洞 PLC 控制器西门子 300 拒绝服务漏洞 现场控制层 /L1 现场设备层 /L0 PLC 马达 生产线
事件过程回溯分析 企业信息层 /L4 Email Web IMO 互联网 攻击者 1. 攻陷 IMO 服务器攻击者利用办公网 IMO 服务器的任意执行漏洞, 发起攻击获得服务器权限 生产管理层 /L3 打印机 MES 2. 攻陷 MES 服务器搜索内网发现 MES 主机, 利用 MES 存在的 永恒之蓝 漏洞, 获取权限 ; 将勒索病毒样本上传至 MES 主机运行, 病毒在内网中蔓延传播 过程监控层 /L2 现场控制层 /L1 上位机 PLC 3 攻陷上位机搜索内网发现双网卡配置的 XPSP3 上位机, 利用上位机组态软件的远程堆溢出漏洞, 获取上位机权限 现场设备层 /L0 马达 生产线 4 攻击 PLC 继续搜索发现西门子 300 控制器, 向上位机投递 PLC 攻击软件, 程序运行后向 PLC 发送特制攻击报文, 致使 PLC 进入 Defeat 状态, 其控制的马达 ( 生产线 ) 停转
解决方案 : 监测 + 防护, 构建纵深防护体系 企业网络层 /L4 生产管理层 /L3 过程监控层 /L2 IMO 主机防护 MES 主机防护上位机 互联网 工业防火墙 安全策略下发监测日志上传 工业安全监测控制平台 (ISDC) 加强安全监测 - L2 L3 L4 层旁路部署工业安全监测设备, 监 测网络攻击与控制器异常操作 - 告警 / 事件实时上传安全监测控制平台 部署主机防护 - MES 主机和上位机安装主机防护软件 - 白名单管控, 拦截病毒攻击 现场控制层 /L1 现场设备层 /L0 PLC 马达 车间 加强边界防护 - 办公网出口部署防火墙, 阻止互联网攻击 - L3 与 L2 之间部署工业防火墙, 阻止办公网攻击进入控制网
THANKS