張志華:水利工程工業控制系統網絡安全防護策略
責編:gltian |2018-06-20 16:13:34摘要:本文解讀了水利工程工業系統網絡安全政策、水利工程工業系統網絡安全現狀、水利工程工業系統網絡安全防護策略(風險評估、解決方案),介紹了水利工控網絡安全實驗室。
張志華????水利部機電研究所工控網絡安全測評中心副主任
第一部分就是水利工程工業控制系統網絡安全政策,這個工控網絡安全的問題已經提到國家的戰略層面了。習總書記也是幾次發表重要講話,比如14年指出沒有網絡安全就沒有國家安全,16年發表重要講話指出朝著建設網絡強國的目標不懈努力,18年提出自主創新推進網絡強國建設,說明咱們國家對網絡安全的重視程度。
水利工程作為國家也算基礎設施吧,它的工業控制系統有水文監測系統,水質監測系統,閘門監控監測系統,水庫大壩監測監控系統,泵站監控系統,水電站監控系統等等。作為國家的關鍵基礎設施,水利工程的工業控制系統它的安全也是事關國家的經濟發展、社會穩定和國家安全。為了響應國家工控網絡安全建設的號召,18年水利部也指出了水利網信工作的要點。第一步就是深入貫徹國家信息化戰略,要求組織做好水利網絡安全頂層設計,并且貫徹實施加強水利關鍵信息基礎設施網絡安全保護,組織開展國家信息安全專項工程建設。第二步全面加強網絡監管,加強水利關鍵信息基礎設施網絡安全保護,指導關鍵信息基礎設施主管單位完善網絡安全管理制度,開展應急預案及專項預案編制。全力加強網絡監管,抓好網絡安全監督檢查,按照中央王信辦、公安部等國家網絡安全主管部門部署,組織開展水利網絡安全檢查,在各單位自查基礎上開展抽查。全力加強網絡監管,完善網絡安全信息通報機制。全力加強網絡監管,開展水利工控系統網絡安全防護,認真組織實施國家信息安全專項,18年水利部要進行水利的網絡安全建設。
第二部分就是水利工程工業控制網絡安全現狀,水利工程工業控制跟大多數工業系統有相通的地方,也存在很多漏洞。比如操作系統漏洞、控制器、組態軟件等存在大量未修復的漏洞。上位機達賴使用的Widows、XP等操作系統,西門子S7-300PLC存在中高危漏洞。第二經現場抓包流量分析,部分現有共工礦系統已經存在威脅。第三就是操作站和工程師站存在較多遠程維護端口和后門,系統運維嚴重依賴于設備生產廠家或者集成長。第四就是日常運行維護過程中普遍存在存儲介質未存在有效的管理手段進行管理和防護,有的直接像USB口、網口未采取任何措施,有的把網口、USB直接進行簡單的處理。存在賬號共享、權限劃分不明確、弱口令、未定期更改密碼等問題。如所有維護人員共用一個賬號管理,賬號默認保存密碼等。第六是工控網、管理網以及上級管理網之間缺乏系統有效的防護策略,現有防火墻、網閘等安全措施形同虛設。比如管理策略不到位,工控網可以直接訪問互聯網。第七就是大部分上位機系統未安裝殺毒軟件,即使安裝,病毒庫更新嚴重滯后。第八,缺乏對于工控安全審計監控和保護的有效措施,對第三方運維缺乏管理監督手段。我們跟水利工程交流的時候,他們就提出有的廠商在給他們進行第三方維護的時候,都沒有通知他們現場的管理人員和運行人員。九是控制網與辦公網網絡邊界不清晰,控制網存在多個數據出口且無防護措施。
15年水利部曾經對天津市的一個供水管理所還有一個水電站進行了現場的安全檢測,供水管理所主要檢測的設備包括PLC及組態軟件,水電站檢測的設備主要是PLC還有調速器,在供水管理所我們給PLC發送畸形報文的時候,可以導致整個供水設備失去響應甚至包括,造成供水系統停止。上位機組態軟件相關的高危漏洞容易被利用,進行設備登錄控制發起攻擊等,可能導致整個供水系統遭到破壞甚至崩潰。在水電站PLC也發現同樣的問題,對水電站來說,PLC都是一些重要的設備,很容易造成設備停機。對危機調速器也是發送相關的畸形報文,也是導致調速控制系統崩潰。調速器在水電站是非常重要的設備,一旦失去作用,造成緊急停機或者飛車現象。
第三就是水利工程工業控制系統網絡安全防護策略,應該采取風險評估、安全防護和應急處理三位一體的防護策略。風險評估就是發現從技術方面還有管理方面存在的風險漏洞,然后依據風險評估結果,結合水電行業的網絡特點,制定一些網絡防護方案。最后一步就是做好應急處理,一旦出現網絡安全事故,爭取把損失減少到最小。
首先是風險評估,風險評估應該包括技術評估和管理評估兩個方面。技術評估包括流量分析和漏洞分析,流量分析就是獲取工控網絡中網絡流量,通過實驗室開展深度的流量端口協議等風險分析。漏洞分析就是對重要的服務器和交換機、路由器、防火墻,縱向加密網關等進行漏洞挖掘和檢測。管理評估主要是包含資產識別、人員訪談、問卷調查、現場核實等幾個方面。資產識別就是識別工控系統資產,根據分類規則進行分類,并展開管理現狀分析。人員訪談就是以面對面的形式交流,掌握各崗位人員工控系統信息安全的能力、意識、工作方法。問卷調查就是以問卷的形式收集企業工控系統信息,并通過問卷應答的形式進一步判斷組織工控安全管控的能力。現場核實就是通過實地檢查的形式,對各控制系統的運行、應急響應、運維管理現狀做深入核實,找出存在的風險。
技術評估方面就是通過采用設備接入的方法,比如對獲取的工控網絡流量進行分析,找出存在的安全風險。通過將工控系統中服務器、網絡設備、工控系統與工控漏洞庫做比較,分析識別出整個工控設備存在的漏洞。滲透測試,對指定網站系統進行測試,查找安全漏洞和木馬。基線檢查,通過手工檢查的方式,對指定的服務器、網絡設備進行安全配置檢查,發現的安全風險和漏洞。代碼審計,通過源代碼安全審查工具對系統進行掃描和人工分析審計相結合的方式,發現編碼中存在的問題,通過這種方式找出技術方面存在的風險。
管理方面,剛才介紹了,通過人員訪談、問卷調查的形式,對現場的IT技術人員、現場操作人員、維護人員包括企業管理人員訪談還有制度調閱,找出在管理方面存在的風險。通過風險評估可以找出目前的安全策略與實際需求的差距,獲得工控系統的安全狀態,為制定安全策略提供依據,提供網絡和系統的安全解決方案,為安全體系建設提供翔實的依據。
風險評估這個模型就是采用威脅識別、脆弱性識別、資產識別這個模型,計算出風險值。根據風險值的大小,把系統分為高風險、中風險、低風險,根據風險大小,采取不同的防護措施和解決方案。這是水利部機電研究所對國內某個大型水利工程做的一個風險評估,包括信息資產、人員資產等等,評估結果發現極高風險占36項,占總的風險額2%,高風險106個,占6%,中風險344項,低風險1203項,占整個風險值的71%。
剛才講了風險評估,通過風險評估可以發現工控網絡存在的一些問題。我們要制定安全防護方案,還要結合網絡架構來制定具體的防護方案。水利工程工業控制系統網絡結構特點一般就是分為三層,一是管理層,二是主控層,三是現地控制層。管理層就是遙測、搖信、遙調、遙控等功能,接收主控層的監測數據,對監測數據進行優化分析。主控層接受現地單元的監測數據,向管理層發送數據。現地控制層就是數據采集和收集。我們采取防護措施,一是網絡安全隔離,在網絡邊界之間不同的安全區域之間部署智能工業防火墻,抵御來自外界微基站接入滲透,對控制源身份的合法性進行有效判斷,對于非法IP發送的數據包能夠有效甄別和攔截。主機安全防護,工程師站、數據服務器、通信工作站等部署主機防護,監控工控主機的進程狀態、網絡端口狀態、USB端口狀態,選方位的保護主機的資源使用。禁止非法進程的運行,非法網端口的打開與服務,非法USB設備的接口。第三就是網絡監測審計,在核心交換機部署網絡監測審計,對網絡流量、網絡數據、事件進行實時監控、實時報警,幫助維護人員實時掌握工控網絡運行狀況,對網絡中存在的所有活動提供行為審計、內容審計,生成完整記錄便于事件追溯。建立針對工控網絡協議黑名單與白名單,提供實時報警功能。第四是設備安全防護,現地LCU、RTU等部署智能防護終端,黑名單入侵防御,基于工業漏洞庫實現,通過分析、匹配、判斷工控網絡行為,對符合漏洞庫的異常數據和行為進行阻斷或告警。白名單主動防御,通過機器智能學習引擎技術自動生成白名單。水利部機電研究所根據水利工程工業控制系統不同的子系統和網絡結構特點,制定了一系列的防護方案。包括水文監測系統網絡安全解決方案、水資源監測系統網絡安全解決方案、水庫大壩監測監控系統網絡安全解決方案、泵站監控系統網絡安全解決方案、水電站監控系統網絡安全解決方案。以水電站為例簡單介紹一下具體的防護方案。
第一在生產大區之間采取網絡安全隔離,通過防火墻抵御威脅滲透。第二是主機安全防護,在主控層的工程師站、操作員站、服務器等部署工礦衛士。第三是設備安全防護,對利用已公開的漏洞攻擊行為進行有效的識別和攔截。網絡安全監測審計,在生產控制大區通信層環網、LCU子網旁部署監測審計平臺,對網絡通信流量進行有效監視和威脅檢測。最后是集中安全監管,安全監管平臺對部署在整個工控系統中的安全設備進行管理。最后是應急管理,建立健全工控安全應急工作責任制,抓好本企業工控安全風險監測工作,制定工控安全事件應急預案,落實人財物保障措施,定期組織演練。
第四部分簡單介紹一下水利工控網絡安全實驗室,采用真實的水作為流轉的介質,等比例縮小的電動機、水泵、閘門、大壩、水輪發電機、傳動設備等,以高方針子方式模擬泵站和水電站的真實生產工藝六,以逼真的方式展示攻防演示的真實性和有效性。
剛才采用短片的方式介紹了一下我們的實驗室,我們的實驗室也是在我們上級單位水利部和中國水科院的大力支持下建立起來的。具有專業的研究團隊,跟蹤國內外安全趨勢,有專業的漏洞挖掘和檢測設備,具有病毒、木馬特征分析,還有完善的工控漏洞庫。依托實驗室我們主要開展安全培訓工作,主要是水電行業的國家政策、標準、水利控制系統安全態勢及策略,水利工控系統安全防護安全,包括風險評估、漏洞挖掘、威脅進側等工作,制定水利工控系統網絡安全整體解決方案,水利工控系統網絡安全規劃、設計、加固等。最后開展工控系統網絡安全分析、數據安全分析等。我就簡單介紹這么多,歡迎各位專家到我們實驗室進行交流。
上一篇:王海生:場景復現與網絡安全評估
下一篇:潘柱廷:主持人