工业控制系统安全解决方案


1、背景与挑战

在“两化”融合的行业发展需求下,为了提高工业生产运行、管理效率,国内众多行业大力推进工业控制系统自身的集成化,集中化管理,推进工控系统及现场设备联网化,在提高生产效率的同时,也使固有的工业控制系统及网络信息安全风险凸显、放大。国内外近些年针对工业控制系统及网络的攻击、安全漏洞、安全事件层出不穷,“震网”病毒事件为全球工业控制系统安全问题敲响了警钟,促使国家和社会开始关注工业控制系统的信息安全问题。军工行业作为国家关键的工业生产支柱型行业,关系着国计民生及国防安全,更为重中之重,容不得半分懈怠。可喜的是,军工企业近几年也开始高度重视工业控制系统安全,但由于涉密行业整体工控安全标准的缺失,军工行业用户在工业控制系统安全体系建设中不可避免的存在滞后性,无法满足工业系统及网络建设中对整体安全防护能力的实际需求,暴露出了众多的信息安全问题,诸如: 

(1)缺乏现场运维审计手段,面临着第三方运维人员运维时无法监管的问题,存在着较大的泄密及安全事故风险;
(2)工控生产网络与涉密办公网连接时,在提高效率的同时也面临着被感染病毒、恶性攻击的风险;
(3)工控网络内没有有效的终端管理、私接、移动介质管理手段,容易造成泄密事件,也无法控制木马等恶意程序的私自或无意中植入;
(4)工控网络内部安全防护、检测、审计等手段的缺失,造成无法有效的防御外部威胁、内部违规操作,无法进行有效的审计和追溯;
(5)工控安全管理制度缺失,侧重于对生产流程的管理,缺乏安全检测、脆弱性评估、移动介质管理、终端管控、密码策略、备份与恢复等方面的管理规程等等。

启明星辰集团非常重视工业控制系统信息安全问题,目前已参与了多个国家及行业工控安全标准的制订工作,并研发了工业控制信息安全管理管理系统、工业防火墙、工控漏洞扫描系统、现场运维审计与管理系统、工控异常监测系统等多款工业控制系统信息安全产品,并可以提供包括工控网络风险评估、安全建设咨询、安全培训等多类型的工控安全专业服务,可有效支持军工行业客户的工控安全体系建设需求。

2、安全解决方案

2.1思路

启明星辰集团基于对军工行业工控安全建设的深度理解,建议在保证系统可用性前提下,通过对工业控制系统进行分层分级防护,实现“垂直分层,水平分区。边界控制,内部监测”。

“垂直分层、水平分区”即对工业控制系统垂直方向化分为四层:现场设备层、现场控制层、监督控制层、生产管理层。水平分区指各工业控制系统之间应该从网络上隔离开,处于不同的安全区。

“边界控制,内部监测”即对系统边界即各操作站、工业控制系统连接处、无线网络等要进行边界防护和准入控制等。对工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题。

2.2安全设计

军工行业对工控安全的需求主要存在于工控网络内部合规安全建设,工控生产网与涉密管理网的网间安全数据交换两个方面,具体安全建设设计如下:

工控网内安全体系建设

军工行业工控网内面临的主要安全威胁来自于黑客攻击、恶意代码(病毒蠕虫)、越权访问(非授权接入、移动介质、弱口令、操作系统漏洞、误操作和业务异常、第三方厂家运维监管空白等,因此,其安全体系建设应在以下方面予以重点完善和强化:

-入侵检测及防御;
-恶意代码防护;
-内部网络异常行为的检测;
-边界访问控制和系统访问控制策略;
-身份认证和行为审计;
-号唯一性和口令安全,尤其是管理员账号和口令的管理;
-操作站操作系统安全;
-移动存储介质的标记、权限控制和审计;
-设备物理安全。
-现场运维审计
-适应工控生产安全需要的配套管理制度、人员组织等

启明星辰现有的工业控制信息安全产品体系,以工业控制信息安全管理系统为核心,以旁路检测、串联防护、现场防护三大引擎为支撑,全面实现全网工控设备的统一安全监测和防护,安全风险集中分析和展现。辅助以贯穿工业控制系统需求、设计、建设、运营、废除全生命周期的工控安全风险评估平台,可以有效覆盖军工行业用户的上述安全能力需求,提供整体性的工业系统安全保障能力。

工控网与管理网安全数据交换

为满足网间数据交换的的绝对单向传输要求,建议采用专业的物理单向工业网闸系统,在满足必要的数据传输能力的同时,需具备物理单向无反馈、多协议支持特别是主流工业控制协议支持、全程监控与审计、病毒木马防护能力等功能要求。

同时由于跨网络开展请求服务是网间交换请求的必然选择,但是绝大部分的应用系统所采用的请求服务方式是通过协议来完成,而这些协议在不同网络之间是禁止连通的,单向网闸系统仅能实现文件的传输而无法实现协议的穿透,为了满足工控网络内应用系统跨网络请求服务的需求,同时尽可能实现各种业务系统无缝接入,无需修改其应用程序,需要使用安全请求服务系统配合单向工业网闸系统实现绝对物理单向的数据传输能力,避免泄密可能。

通过安全请求服务系统配合单向工业网闸系统最终实现绝对物理单向的数据传输能力,同时满足工控网和涉密管理网内各类数据及请求交换的需求。

3、方案价值


-满足军工行业用户工控网络内部安全能力建设需求
-满足军工行业用户工控生产网和涉密管理网安全数据交换及工控协议通讯的需求;
-满足军工行业工控网络内部操作员站、工程师站及移动介质管理的普遍性核心诉求;
-解决军工行业用户无法有效监管第三方运维人员针对工控系统及现场设备运维行为的问题,做到全程可监管、全程可控制、全程可审计,避免数据泄密及木马植入风险,并可追溯追责;
-可有效指导军工行业用户直面工控网络内外部安全威胁并进行针对性的安全建设,逐步建立有效的工控安全管理制度体系、工控安全运维支撑体系。