近年来,工控漏洞呈逐年增长趋势,且大部分为高危漏洞。据权威机构统计显示:早在2015年,针对城市供水系统的网络攻击事件,就已经排入前三名,仅次于关键制造和能源行业。频发网络安全事件表明,网络威胁已经向城市供水系统领域渗透,城市供水控制系统频遭黑客攻击,给智慧水务安全防护建设敲响警钟。
城市供水机构一直是安全防护资源最少,但却最直接影响生命和安全的行业,在很多应急计划演练中,停电不会造成混乱和大量伤亡,缺乏清洁供水却会导致人们离开住所。由此可见,城市供水安全防护建设责任与意义重大。面对日趋复杂的工控安全形势,某水务有限公司作为运营及管理城市蓄水、引水、调水、供水、污水水务城市供水机构,按照国家法律法规、政策要求针对自身供水工业控制系统进行安全建设,保障城市供水安全,守住生命线。
安全现状
该水务有限公司涉及的自动化控制系统主要有SCADA系统、PLC系统等,通过水务调度中心对下属3个水厂实现自动化管控。经实地调研,该水务有限公司已按照网络分区分域原则进行区域划分,分别为办公网区、水务调度中心区、互联网接入区以及水厂接入区;与现场人员调研,分析发现存在如下问题:
- 水务调度中心区具有监控及操控权限的操作员站、工程师站采用的传统杀毒软件,因病毒库更新不及时,无法针对新型、未知病毒进行有效查杀,针对工业协议及工控组态软件(比如西门子的WinCC组态软件等),存在“误杀、误拦”的问题;
- 互联网接入区采用4G LTE、NB-IoT、运营商移动网络、宽带互联网等多种方式接入,存在大量的“攻击暴露面”,加之互联网接入区与水务调度中心缺少行之有效的安全防护、管控措施,水务调度中心时常会遭受来自互联网接入区“带来”的病毒攻击;
- 水务调度中心通过企业专网与各水厂之间传输的关键业务数据、控制指令,未采取数据安全加密保护措施,存在数据泄密、控制指令被非法“劫持”的安全风险,不满足新等保测评中对数据保密性的要求;
- 因该水务有限公司下属有多个水厂,各水厂与水务调度中心之间的物理距离较远,加之缺少统一的安全管理措施,无法对安全设备进行集中管理、运行状态监控、安全事件的告警、日志收集分析等,一旦部署安全设备,管理者担心需投入大量的安全运维人员,导致运维成本较高,运维效率低下。
防护需求
为提升自身供水控制系统的整体安全防护能力,该水务有限公司结合自身安全防护现状及等保合规建设要求,提出以下建设需求:
- 应重点解决病毒问题,需引入基于“白名单”防护技术的防护软件,避免因病毒库升级不及时,导致的主机防护能力缺失,同时要避免对关键业务软件误杀问题;
- 应强化边界访问控制能力,尤其是互联网接入区与水务调度中心之间,要降低来自互联网接入区的外部风险;
- 应保证调度中心与下属各水厂通道数据传输的保密性及完整性,要实现对关键数据、控制指令的加密传输;
- 应能够在调度中心对于部署的安全设备进行统一管理、统一的策略下发,同时要能够实时监测资产的状态,尤其是关键的控制设备,关键的上位机等,要提高安全运维效率,降低运维成本;
- 应具备对已发生安全事件的溯源能力,能够对安全日志进行审计分析,至少保存日志12个月以上,要满足国家相关法律,法规的要求。
建设内容
图3 整体安全防护示意图
在公司办公网区、水务调度中心区、互联网接入区以及水厂接入区的边界处分别串联部署工业互联防火墙,采用访问控制、入侵防御、病毒过滤等融合的安全技术,重点监控工业网络中互联网边界、办公网边界的网络流量,发现并阻断已知和未知的网络攻击行为,保护工业网络内部核心设施,从而构建可管、可信和可视的工业网络系统,为工业用户提供安全智能的边界安全防护方案。
工业互联防火墙产品,现场实施部分效果图展现:
图4 工业互联防火墙工业协议深度识别、解析与管理
在水务调度中心区的操作员站、工程师站上安装采用“白名单”防护技术的工控主机卫士软件,在不影响工控系统监控软件和组态软件的正常使用的情况下,可有效阻止包括Stuxnet、Flame、Havex、WannaCry、BlackEnergy等工控恶意程序或代码在工控主机上的执行、扩散。
工控主机卫士,现场实施部分效果图展现:
图5 工控主机卫士程序白名单、网络白名单等配置界面
在水务调度中心区建设安全管理中心,部署工控入侵检测系统、日志审计与分析系统、安全运维管理系统、工控安全监测与审计系统以及统一安全管理平台。通过统一安全管理平台实现对安全产品的集中管控以及控制设备安全运行情况的监测,并根据网络入侵和病毒传播情况进行安全策略的精准调控和一键下发,实现安全风险的快速应对与处置;通过对安全设备、网络设备、主机、业务系统等信息收集,对各种日志标准范化处理进而关联分析,输出各种维度分析报表,为管理员优化管理措施、完善应急方案提供可靠的数据支撑;通过工业互联防火墙的SSL VPN功能模块以及安全运维管理系统联动配合,解决各水厂管理人员不安全的远程接入问题,确保远程传输数据、控制指令的保密性、完整性,实现远程接入人员的身份鉴别与操作运维审计。
统一安全管理平台设备,现场实施部分效果图展现:
图6 统一安全管理平台集中管控界面
通过统一安全管理平台的资产管理功能,可快速探测接入工业网络的资产信息、识别资产存在漏洞、计算资产风险得分,最后通过资产的合规检查,获得资产的安全配置不合规项,计算出资产的合规评分。充分满足了客户“资产可视、漏洞可见、风险可度量,合规摸得着”的资产安全管理需求,帮助客户提高了资产安全管理效率。
统一安全管理平台资产管理效果图展现:
图7-统一安全管理平台资产管理界面
客户价值
示范标杆效应:本项目以“白名单”防护技术为基石,形成了基于“白环境”的纵深安全防御体系,具有可复制性强、安全防护效果显著等特点,加之项目涉及安全防护类产品、安全监测类产品以及安全管理产品较为齐全,打造了城市水务系统工控安全建设的标杆,可为全国各地的城市供水控制系统的安全防护建设提供安全防护模板。
提效降本效应:本项目在“统管、统维”方面实现了安全设备、安全系统的集中管控,降低了运维人员投入,提升了安全运维效率,实现了提效降本的效果。
等保合规效应:本项目安全防护建设遵循等保 “一个中心,三重防护”的技术路线,项目顺利交付后,经现场风险评估测试,防护效果显著,切实提升了供水控制系统的安全防护能力,顺利通过等保测评,满足等保合规建设要求。