1 项目概况
1.1 项目背景
随着工业化和信息化的深度融合和网络技术的不断进步,传统意义上较为封闭并普遍认为安全的工业控制系统,正暴露在网络攻击、病毒、木马等传统网络安全威胁下。作为国家关键基础设施的重要部分,工控系统一旦受到攻击将容易造成设备受损、产品质量下降等问题,影响国民经济和社会稳定,甚至危害国家安全。然而,由于工业控制系统设计之初往往只关注可靠性和实时性,信息安全被长期忽略,且由于兼容性问题,传统信息系统的入侵检测、防火墙和漏洞修复等信息安全技术手段很难不做更改地在工业控制网络内进行部署,这导致系统存在的漏洞和隐患难以得到有效的防护。工业控制系统长期存在的风险隐患已经成为影响国家关键基础设施稳定运行的重要因素。
2010年“震网”病毒事件为世人敲响了工业控制系统网络安全的警钟。短短几年内,全球范围内针对工控系统攻击事件的数量大幅提升,2013年,美国的ICS-CERT(工业控制系统应急响应小组)就响应了全球范围内共2000多件工控安全事件。尤其在2010年之后,随着通讯协议、通用硬件、通用软件在工业控制系统的应用,对过程控制和数据采集监控系统的攻击增长了近10倍。目前此类事件已在电力、水利、交通、核能、制造业等领域频繁发生,给相关企业造成重大的经济损失和恶劣的社会影响,甚至威胁国家的战略安全。
电力行业作为国家关键基础设施的重要组成部分,一直备受瞩目。因此,电力行业的发展对于控制系统要求也极为严格。目前国家电网变电站普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。严峻的网络安全风险也随之而来。风电场网络信息安全防护有其特殊性。一是其防护的攻击主体特殊,与以谋财、牟利为目的的网络诈骗、网络入侵等传统网络攻击所不同,产业入侵者不会是一般意义上的“黑客”,还可能是恐怖组织甚至是敌对国家力量支撑的组织;二是遭受攻击破坏后果严重,变电站等关键设施一旦遭受攻击,会直接威胁到国民经济的发展和社会安定。
早在2005年,国家电力监管委员会就颁布了《电力二次系统安全防护规定》(5号令)。同时,为了加强电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击,国家发改委于2014年颁布《电力监控系统安全防护规定》(14号令)。国家能源局颁布《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)。而随着国家《网络安全法》的颁布,更是明确了主体单位应尽的责任和义务.
1.2 项目简介
当前风电场电力监控系统主机层面需加强安全木马病毒、恶意代码防范和移动存储介质管控,生产控制I区和II区之间需加强边界防护和工控协议监测,生产控制系统产生的日志需统一存储和监管,对突发异常事件需及时进行告警和事件追溯,因此风电场需建立安全防护要求,重点加强生产控制系统安全运营和全生命周期运维保障。本方案通过合理地分区分域,构建边界防护、网络监测、主机防护、安全运维技术能力。
1.3 项目目标
XX风电场工控安全整体解决方案的主旨是建设所辖风电场整体网络解决方案,包括网络边界设计、安全运维设计、网络流量审计设计、网络防入侵设计、网络评估设计、主机安全防护设计等。
为满足XX风电场相关要求,并保证XX风电各电力生产系统满足等保测评及安全防护要求,方案涉及电力监控系统日志分析、生产系统网络评估、主机安全防护、生产区域之间隔离。
本项目依据《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)、GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》等标准和法规,以及“XX华电集团XX分公司组织的网络安全专项检查工作”的现场调研结果,结合XX风电各电力生产系统网络安全防护需求,通过技术结合管理的防护手段,针对专项检查中发现的问题进行整改,满足电力行业、集团、分公司相关要求,并保证XX风电各电力生产系统满足等保测评要求。
根据XX分公司组织的网络安全专项检查工作的现场调研结果,风电场均普遍存在现阶段暂时无法完成的安全防护工作,主要包括:
· I区/II区横向隔离装置、II区/III区横向隔离装置访问控制规则的源及目的端口设置为“0”,没有精确到端口级;
· I区/II区之间防火墙策略没有精确到端口级,未使用工控防火墙对工业协议进行专业的过滤;
· 涉及等保三级系统的I区/II区缺少对未知威胁、APT攻击的监测手段,无法监测系统全部边界流量,判断入侵行为并告警;
· I区/II区恶意代码防范措施不够完整,部分场站使用的传统杀毒软件,在工控环境中无法完全发挥杀毒作用,终端安全和管理手段匮乏;
· 生产控制大区USB的管控缺少技术措施;
· 生产控制大区缺少日志的统一监控和存储;
· 生产控制大区缺少对已知漏洞安全加固和发现。
2 项目实施
2.1 技术方案
(1)工控防火墙
在安全I区与安全II区之间部署工业防火墙,提高各区域间访问控制能力,合理梳理优化边界设备的安全策略,遵循最小化和白名单原则,只允许业务数据通过边界,阻断其他非授权连接,例如来自区域之间的越权访问,病毒、蠕虫恶意软件扩散和入侵攻击,保护各个区域控制系统安全运行。
(2)USB隔离装置
在工控系统工程师站、操作员站交换机上并联各部署1台USB安全隔离装置,防止病毒、木马等恶意文件通过USB接口进入系统,同时解决USB移动设备接入工控系统无管控、无记录等技术需求,从而提高主机的接口安全防护能力。
(3)漏洞扫描系统
在安全管理中心离线部署工控漏洞扫描管理系统,可在系统停机检修时接入系统,工控漏洞扫描系统涵盖了空间资产探测、系统漏洞扫描、Web漏洞扫描、网站安全监测、数据库漏洞扫描、基线配置核查、工控漏洞扫描、Wi-Fi安全检测、App安全扫描、大数据漏洞扫描、视频监控安全检测、Windows安全加固、等保合规关联、分布式管理等功能,能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题、不合规行为等,在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计,防患于未然。
(4)日志审计
在系统交换机部署一套日志审计系统,该系统能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息统一收集、处理和关联分析,帮助一线管理人员从海量日志中迅速、精准地识别安全事件,及时对安全事件进行追溯或干预,满足国家标准规范中关于日志审计的相关要求。
(5)主机防护
在工作站、服务器等工业主机上部署主机安全防护系统软件,实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等功能,同时启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录。
(6)安全应用模式
通过在风电场建立日志审计、漏洞扫描、主机防护系统、USB隔离装置、工控防火墙,可有效加强电力监控系统安全防护,并突出应用价值,产品具备白名单防护功能,满足行业安全防护特定需求和兼容性。
2.2 应用场景及效果
(1)通过在风电场生产控制大区部署日志审计,实现生产系统日志统一监控和安全监控,当出现安全威胁可进行调查取证和威胁追溯。
(2)生产控制I区和II区之间部署工业防火墙实现数据检测和访问控制,针对风电场产生的异常访问和边界攻击事件可及时进行隔离和防护。
(3)生产控制大区配置一套漏洞扫描系统,可扫描资产中安全漏洞和隐患,及时发现已知威胁,进行安全加固,从而避免安全事件造成的危害。
(4)生产控制大区服务器、工程师站、操作员站需加强恶意代码防护和移动存储介质管控,主机卫士可提升主机防护能力,避免主机出现病毒和木马造成生产系统故障。
(5)通过以上安全防护产品可加强风电场生产控制大区安全防护保障,同时符合风电场应用场景安全需求。
2.3 解决行业痛点及创新能力
通过在生产控制大区部署工控安全防护产品实现工控协议深度解析和防护,弥补了传统安全产品协议解析能力和设备稳定性,工控安全产品具备白名单防护功能,有效加强生产环境检测防护能力,同时生产环境要求低延迟、低功耗,通过工业级产品均可满足行业需求并解决行业痛点问题,提高行业新技术和技术创新能力。
3 案例亮点
对于风电场工控安全防护项目的建设,其输出成果具有重要的意义和价值。
(1)满足安全合规要求:本次项目立足于《电力监控系统安全防护总体方案》及国电集团等安全文件和监管要求,结合企业的生产业务特点,在基于安全防护框架的指导下开展风电场企业工业控制系统安全防护建设。
(2)优化资源配置:本方案在满足合规要求的同时最大限度利用用户本身现有资源,同时有效地结合上级单位的运营模式,在有限资源条件下最大限度地提升安全防护水平。
(3)提高安全防护性:本次项目成果可为风电场相关工业控制系统网络安全稳定运行提供基础保障,实现病毒、木马等恶意程序的防护,可防范内外部人员攻击、软件后门利用等多种威胁,显著加强企业自身工控系统在当前愈加恶劣的网络环境下防范和预警感知能力,有效保障企业及国民经济的稳定发
展。
(4)树立标杆形成示范:本次项目提供的方案针对工控系统的技术特点以及企业自身的业务特点,完整覆盖管理、技术层面,很好地满足了监管以及未来业务发展的需要,并在能源类企业特别是分公司积累了丰富的经验,为其他类似企业起到良好的示范作用。
