1
关注中国自动化产业发展的先行者!
2024中国自动化产业年会
2023
2023年工业安全大会
OICT公益讲堂
当前位置:首页 >> 资讯 >> 行业资讯

资讯频道

“PDCA”在工控安全运维管理中的应用(下)
网络架构分析是通过对被测试目标系统的网络拓扑,以及网络层面细节架构进行的安全性评估,该项检查通过对目标系统的网络设备的部署、配置的手动检查,分析用户的网络边界是否安全,安全规则是否设置合理等。
关键词:

3 工控安全运维实践

随着两化融合的不断深入,以及物联网、云计算和大数据等新一代信息技术的快速发展,工业控制系统智能化、网络化趋势日渐明显,病毒、木马等威胁向工业控制系统持续扩散。近年来,工控安全事件频频发生,工控安全漏洞数量持续增长,工业控制系统面临着日益严峻的安全形势。国家“十三五”规划《纲要》、网络强国、《中国制造2025》及“互联网+”等一系列战略部署的推进实施,对我国工控安全保障工作提出了更高的要求,迫切需要快速提升工控安全运维保障水平和事件应急处置能力,更好地支撑经济社会健康有序发展,维护国家安全。

为切实帮助工业企业掌握现有网络安全风险,加强企业对工控系统网络安全工作的规划管理和运维,形成可行的安全防护策略,提升企业工控系统安全管理和技术防护水平,依据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)、《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)要求,形成如下管理方法,供工业企业决策人员参考。

3.1 运维方法

运维工作需要在最大限度的不影响被检测单位工控系统正常运行的前提下,实施技术监测和检查,其内容包含但不限于如下项目:

3.1.1 网络架构分析

网络架构分析是通过对被测试目标系统的网络拓扑,以及网络层面细节架构进行的安全性评估,该项检查通过对目标系统的网络设备的部署、配置的手动检查,分析用户的网络边界是否安全,安全规则是否设置合理等。

(1)边界安全

· 查阅网络拓扑图,检查重要设备连接情况,现场核查内部工控系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;

· 查阅网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);

· 查阅网络拓扑图,检查是否在网络边界部署了防火墙、访问控制、入侵检测、安全审计、非法外联检测、恶意代码防护等必要的安全设备。

(2)设备自身安全

通过手工测试和工具扫描,检查网络设备自身是否存在弱口令,信息泄漏,命令执行等安全隐患。

3.1.2 开机取证检查

开机取证检查是利用操作系统自带命令检查当前系统的各种信息,并通过命令返回的信息了解操作系统是否有已存在的安全问题和风险,比如检查系统是否感染了恶意软件、非法的U盘插拔等问题。该测试方法可以直接在操作系统开机情况下进行本地检查,不需要安装任何软件,不会影响系统的正常运行。

· 系统信息;

· 网络连接;

· 用户信息;

· 隐私信息;

· 安全信息。

3.1.3 应用安全性检查

应用安全性检查主要是对被测试系统内应用、功能、业务系统进行安全性检查,应用安全性检查主要通过人工测试、远程测试方式进行,检查的范围主要涵盖主机系统上运行的应用及其业务系统,诸如Web应用系统、数据库、中间件等。

3.1.4 系统安全性检查

系统安全性检查是通过远程、本机检查以及现场调研的方式检查主机操作系统的安全性,在执行系统安全性检查时不会主动对主机存在的漏洞进行验证的尝试以及对具有风险的漏洞进行确认操作,仅根据系统的版本和服务指纹特征检查主机存在的安全漏洞,或通过使用本机检查的方式进行,系统安全性检查不需要安装任何软件,不会影响系统的正常运行,在执行远程部分的检查时仅会影响较小的系统性能和网络带宽。

3.1.5 控制系统组件安全性检查

控制系统组件安全性检查是通过利用远程、本机检查以及现场调研的方式检查主机操作系统的安全性,检查涵盖的工控系统内的应用组件包含且不限于如下:

· SCADA组态软件;

· 组态编程软件;

· 实时与历史数据库;

· 工控通信软件(IOServer)。

对控制系统组件安全性远程检查通过应用指纹特征发现被检查对象网络中正在运行的应用组件,利用漏洞指纹特征发现存在漏洞的应用组件版本,进行远程检查时不需要安装任何软件,不会影响系统的正常运行。

3.1.6 控制系统设备安全性检查

控制系统设备安全性检查会对被检查工段的工控设备的运行情况、厂商、型号进行调研并结合工控设备已存在的安全漏洞、隐患进行研判,同时根据情况还将利用工控脆弱性分析系统或工控系统信息采集与风险分析平台,通过轻量级的工控无损扫描技术,以工业特有通信协议与工控软硬件进行交互,搜索工控软硬件的必要信息。系统搜索过程中对工业控制系统及系统业务无干扰,不影响系统本身的正常运行。

控制系统设备安全性检查的资产类型包含且不限于PLC、控制器、视频监控、DCS、串口服务器及其他工控通信设备(通信网关)等。

3.1.7 工控协议使用情况检查

工控协议从设计之初一般没有考虑安全、认证、加密等因素,在通信过程中没有复杂的认证和加密,加上工控协议的特性是面向命令、面向功能、轮询应答式,攻击者只需要掌握协议构造方式,并接入到了工控网络中,便可以通过协议对目标设备的任意数据进行篡改。工控协议使用情况检查将对被检查工段内使用的工控通信协议进行风险评估,通过调研的方式了解被检查工段内工控设备的通信模型,包括使用的工控协议、传输的业务数据类型,根据情况将利用工控脆弱性分析系统和工控系统信息采集与风险分析系统对被检查的目标网络内所支持的工控协议的运行情况实现指纹发现。

工控协议使用情况检查的协议类型包含且不限于Modbus、OPC、OPC UA、EtherNet/IP、IEC104、DNP3、IEC61850…

3.2 事件与报警管理

事件与报警管理作为风险管理的一部分,通过实时数据收集和分析软件平台,可持续监测流程控制系统,发现网络安全风险的迹象。该解决方案可在控制自动化系统上运行,并可与安全信息和事件管理系统(SIEM)等企业安全平台以及领先网络和端点安全产品整合。采用强大的专有算法,可监测所有网络和系统设备、探测威胁并识别网络上的已知和未知设备通讯。通过实时预警和警报可使工业控制系统的漏洞与威胁及早地传达给工厂人员。解决方案提供有关工业控制系统中风险的可能原因、潜在影响以及推荐措施的专业指南。

工控信息安全同样属于信息安全,安全防护是一个综合性的课题,是一套体系。安全防护的手段固然很多,但是每类工具或防护设备都面对某种特定的攻击,而威胁的来源是不确定的,防护来自四面八方的攻击不可能只靠几个环节的防护就一劳永逸。就像简单的水桶原理,有些地方再牢固,但是一个明显的短板也会导致能力的丧失。所以对于安全而言,强大高效的防护能力首先来自于管理有序、组织严密的防护体系。

在工控信息网络环境中做整体的安全防护,势必要涉及掌握全网的运行状况、安全状况,处理大量设备产生的安全数据和监控信息,通过集中高效的告警机制快速发现定位问题,快速地处置安全故障和威胁。解决用户的主要需求包括:

(1)统一识别和梳理网内的各类设备和网元节点,集中维护全网设备基本信息、运行配置信息以及安全信息。

(2)对网络中的各类设备进行集中的状态及性能监控。

(3)工控领域常见的拓扑或直观呈现的方式表现网络环境及各设备的运行状态和安全状态。

(4)对工控的业务操作流程进行梳理,形成各个工业操作业务流的健康性监控。

(5)能够识别工控协议以及操作指令,并在此基础上进行合规审计以及异常发现。

(6)能够统一收集存储各类安全信息,并进行集中化的呈现,呈现方面应用大量可视化技术,增加数据可读性,最大可能地提升用户的监控效率。

(7)通过统一的策略进行全网的威胁分析和安全告警。

(8)强大的关联分析能力对所采集的海量安全信息进行综合分析,发现更多维度、更深层次的安全威胁和业务违规。

(9)通过系统的手段流程化的对安全故障、隐患、问题进行规范化处置,提升问题解决效率和规范程度。

4 结语

基于“PDCA”的工控安全运维管理系统是以客户的业务信息系统安全为保障目标,从监控、审计、风险、运维四个维度对全网的整体安全进行集中化管理与运维,为工控用户在工控环境下建立起一个可视、可查、可度量与可扩展的监控体系。借助本系统,用户可以获得对全网安全的可视化,并洞悉业务信息系统的运行状况与安全状况;可以对全网的安全事件进行综合分析与审计,识别和定位外部攻击、内部违规;可以进行业务系统的安全风险度量、安全态势度量和安全管理建设水平度量;可以进行持续的安全巡检、应急响应与知识积累,不断提升安全管理的能力。

(1)全面掌握网络中的威胁信息,迅速发现异常

系统帮助用户全视角掌握网络中全部安全信息,透视网络中网络状态及异常信息,了解业务路径,监测业务流程的合规性。并且该系统通过强大的关联分析技术在多维且海量的信息中洞察威胁行为,包括识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为。

(2)日常安全运维工作的有力工具

对于工控安全日常安全运维而言,核心的工作内容就是对各设备及重要业务系统进行持续监测,确保网络、主机、应用、业务、重要信息和人员资产的安全。更具体地说,就是要持续监测并识别针对网络、主机、应用、业务、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

系统以时间、空间、特征为基础,对网络流进行多维度、细粒度的分析,并通过形象的图表曲线帮助客户实现流分布的可视化。

系统通过提供统一的告警响应机制以及标准OPC接口的方式,为用户提供了集中的告警发现平台,并且对于发现的告警或故障给予运维处置上的支撑,通过标准OPC接口的方式实现快速化、实时化的问题通知,并且可达到处理过程的跟踪督促以及事后的追查。

作者简介:

魏钦志,烽台科技(北京)有限公司联合发起人、董事长,灯塔实验室执行合伙人。工业控制系统信息安全产业联盟副秘书长,计算机病毒防御技术国家工程实验室技术委员会委员,中国化工学会青年委员。在智能制造、工业控制信息化和自动化行业有十余年工作经验,六年工控安全经验。参与并主导过工业信息安全产品设计,被发改委纳入信息安全专项资金的支持计划。带领团队参与和推动国内主要工控安全标准制订与应用,面向行业用户提供评估及保障服务。

参考文献:

[1] 童有好. 信息化与工业化融合的内涵、层次和方向[J]. 信息技术与标准化, 2008,(7).

[2] 龚炳铮. 推进信息化与工业化融合的思考[J]. 中国信息界, 2010.

[3] 贾纪磊. 信息化与工业化融合:新型工业化融合必经之路[J]. 湖北经济学院学报(人文社会科学版), 2009, 6(8).

[4] 李林. 产业融合:信息化与工业化融合的基础及其实践[M]. 上海经济研究, 2008, 6.

[5] 信息化和软件服务业司. 工信部 《工业控制系统信息安全事件应急管理工作指南》解读,2017, 06.

[6] GB/T32919-2016. 工业控制系统安全控制应用指南[Z].

摘自《自动化博览》2017年10月刊

热点新闻

推荐产品

x
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: