水利行业工控系统网络安全防护方案
作者: 日期:2022年07月06日 阅:1,510

总述

中国历来重视水利工作,建国以来建设的一大批水利工程,在生态治理、清洁能源开发、水资源调配管理等领域发挥着重大作用,是国民经济关键基础设施的重要组成部分。随着我国智慧水利整体规划的推进,水利工程工控系统逐步从封闭网络走向开放,面临越来越多来自网络的攻击威胁。2020年4月,以色列污水处理厂等水利设施监控系统(SCADA)遭到多次网络攻击,给全球水利行业工控系统网络安全敲响了警钟,水利行业工控系统网络安全建设迫在眉睫。

水利行业典型工控场景包括闸门控制、水资源调度和农饮水工程,这些工控场景由于业务模式、工控网络架构、水资源体量、管控要求等巨大差异,在网络安全建设面临的挑战和需求也有极大不同,应定制符合其工控业务特性的系列网络安全解决方案,为水利工程数字化转型保驾护航,助力我国智慧水利的建设。

本篇为水利行业工控系统(闸门控制)网络安全解决方案第一篇。

背景

闸门工控系统是水利典型控制场景之一,包括江河大闸和通航船闸等,因其业务的重要性,其工控系统往往采用如西门子、施耐德、AB等国际顶尖厂商工控软硬件产品(如PLC、组态软件等)。这些产品近年来已经被披露大量中高危漏洞,给工控系统网络安全防护带来极大的挑战。随着水利工程数字化建设,工控系统也从封闭走向开放,面临越来越多来自网络的攻击威胁,进一步加剧了工控系统面临的网络安全风险。

针对重大水利工程的攻击往往来自特定组织甚至国家级的攻击团队,其网络攻击能力强、攻击工具复杂多样,且掌握众多的0day漏洞甚至软件硬件的后门,采用诸如社会工程学等手段潜入工控系统网络内部,并在关键节点直接对控制器指令甚至控制器控制逻辑发起攻击,产生严重的破坏作用。如何应对来自内外部的诸如僵木蠕、非法指令篡改等各种网络攻击,构筑工控系统纵深防御体系,确保水利闸门控制指令的安全以及控制逻辑的安全,是闸门水利工程运营管理单位面临的难题。

  1. 资产管理不彻底、不全面:管理好工控资产才能管理好工控网络安全,然而目前对资产的管理普遍停留在表单上,或通过平台实现资产的在线状态管理、发现未知资产,但无法实现对资产运行状态的精细化管理,更无法将资产的运行状态与安全数据相结合,实现资产与安全的协同联动管理。
  2. 安全防护不精准、不“安全”:网络攻击的快速识别和防御是保障工控系统安全运行的基石,然而目前行业内普遍采用的是“通信白名单”机制,一旦“受信”主机遭到入侵,“防护”变为“掩护”,反而提高了网络攻击的检测和阻断难度。如何将安全检测、防御机制与控制工艺(场景)结合,实现基于控制场景的指令安全分析与阻断,确保控制系统安全运行,是安全建设亟待解决的问题。
  3. 工控核心防护缺失,安全防不住:水利闸门控制业务的核心是闸门启闭的控制安全,其防护核心在于控制闸门启闭运行的PLC及其受控设备,当下工控系统网络安全建设往往集中在主机层和网络层,难以深入工控核心控制器,当工控系统遭受网络攻击出现主机失陷时,如何筑牢工控网络安全最后一道防线,确保闸门控制器防得住、打不垮,保障闸门启闭控制的安全,是行业亟待解决的问题。
  4. 备份恢复措施不完善,业务恢复慢:闸门控制安全关乎业务的运行安全,现有的备份手段对工控系统兼容性不足,且无法覆盖控制器的备份恢复,难以保障快速、有效的恢复业务稳定运行。如何在网络攻击造成损害后,快速的恢复生产运行,是运营单位面临的难题。

解决方案

针对水利闸门工控网络面临的安全风险与挑战,国利网安基于工控网络安全建设经验和对行业业务的深刻理解,提出全面管控、纵深防御、控制安全、快速恢复的闸门工控系统网络安全防护思路。

全面管控:基于对网络资产的精准识别和全网安全日志的集中分析,快速构建工控网络资产表、资产拓扑图、通信关系图等,并基于对闸门控制业务的深刻理解,动态构建资产、通信、业务和指令之间的安全图谱,实时分析网络通信、指令的合法性和合理性,快速发现和拦截非法资产接入、非法指令和“合法不合理指令”等操作,实现对闸门工控资产、安全资产、控制安全的全面管控。

纵深防御:构建覆盖控制层、监控层、生产管理层的纵深防御体系,尤其针对控制业务核心的控制层构建工控安全最后一道防线,在监控主机失陷后,保障控制器的安全、稳定运行,确保闸门控制安全。并依托安全管理平台实现安全监测-防护的联动,在发现异常事件时,联动安全防护产品并及时调整防护策略,将威胁拦截在外。

控制安全:在安全“全面管控”的基础上,基于闸门控制业务的深度理解和行业工控靶场实景模拟测试,构建“行业工控行为白名单策略”,实现防护策略与控制指令、运行工艺的有机动态结合,所有安全产品的安全策略契合行业业务运行特点,解决传统安全设备“白名单”机制存在的防护不彻底、针对性不强,因主机失陷带来的“防护”变“掩护”的问题,进一步提升船闸工控网络安全防护精准度,提升管闸门控制安全。

快速恢复:构建覆盖控制设备和监控主机的快速备份与恢复体系,当主机、控制器等程序、系统遭到破坏无法稳定运行,快速恢复主机和控制器的系统和数据,恢复闸门控制业务的安全运行。

基于闸门工控网络安全面临的挑战和安全解决思路,制定如下工控网络安全防护示意图。

闸门工控系统网络安全防护示意图

解决方案价值

1、依法合规免责:落实网络安全法律法规要求,切实保障水利闸门枢纽工控网络的生产安全,为我国水利事业安全发展保驾护航。

2、护航智慧水利建设:构建工控网络纵深防御体系,夯实网络安全基座,助力水利枢纽数字化智慧化建设。

3、培养安全人才:推动水利行业工控网络安全技术创新,培养网络安全运维管理核心技术人才,锻炼一支运维能力强的网络安全队伍

4、减轻安全事件影响:打造监测-防护-恢复一体的安全体系,有效降低因网络攻击事件带来的经济财产损失和国计民生影响。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章