网络安全风险加速向工业领域渗透,化工企业如何筑牢安全屏障

2022-03-25 09:13:19来源:深圳融安网络科技有限公司

一、概述


化工行业作为国民经济的重要基础性行业,渗透社会生活的各个方面,是国民经济中不可或缺的重要组成部分,其稳步持续的发展对人类经济、社会发展具有重要的现实意义。





随着工业互联网进程的加快,化工行业基础工业生产设施及监控设施将全面工业互联网化。在工业互联网的加持下,将加速化工行业基础设施、创新应用模式及全新产业生态的发展,加快着化工行业生产方式和企业形态的转变,化工行业的产量也势必再上新的台阶。但与之而来的工业互联网安全隐患也让化工行业面临着新的挑战。


新形势下,网络安全风险加速向工业领域渗透,工业控制系统网络安全工作的重要性和紧迫性更加凸显。一旦工业控制系统遭遇安全事故,轻则造成经济损失,重则会入侵基础控制系统造成重大安全事故,甚至危害国家安全。诸如2010年伊朗核电站“震网”事件、2015年乌克兰电网遭遇BlackEngery病毒攻击事件、2020年中国台湾两大炼油厂遭遇黑客勒索等重大安全事件。


因此,工业企业进行网络安全建设工作已迫在眉睫,这不仅有效降低和减少化工行业的工控安全事故及安全隐患,助力企业安全生产运营,而且是维护国家关键信息基础设施安全,推动国家工业信息安全建设的重要组成部分。



二、化工行业网络风险分析



在化工行业中,工业控制系统主要包括集散控制系统(DCS)、安全仪表系统(SIS)、压缩机控制系统(CCS)、可燃气报警系统(GDS)、各种可编程控制器(PLC)等,并已成为化工行业重大的基础设施。


随着近年来智能制造的推动以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,打破束缚的同时,也使得病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。


以下是化工行业网络风险点分析:

2.1、信息安全技术方面的安全脆弱性

1) 未进行安全区域划分,区域间未设置访问控制措施。2) 工作主机存在互相感染的隐患。3) 缺少信息安全风险监控技术,不能及时发现信息安全问题,出现问题后靠人员经验排查。4) 系统运行后,工作主机和服务器很少打补丁,存在系统漏洞,系统安全配置较薄弱,防病毒软件安装不全面。5) 存在使用移动存储介质不规范的问题,易引入病毒及黑客攻击程序。6) 第三方人员运维生产系统无审计措施。7)上线前未进行信息安全测试。


2.2、信息安全管理方面的安全脆弱性

1) 信息安全管理制度流程还不完善。2) 应急响应机制还不健全,需进一步提高系统信息安全事件的应对能力。3) 人员信息安全培训不足,技术和管理能力以及人员安全意识有待提高。4) 尚需完善第三方人员管理体制。



三、总体设计方案



3.1 方案设计参考依据


需严格遵循《中华人民共和国网络安全法》、工信部《关于加强工业控制系统信息安全管理的通知》、《工业控制系统信息安全防护指南》、《工业控制系统信息安全事件应急管理工作指南》、《工业控制系统信息安全防护能力评估方法》、《信息安全技术 网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求》、《信息安全技术 网络安全等级保护测评要求 第5部分:工业安全扩展要求》,以及《信息安全技术 网络安全等级保护安全技术设计要求 第5部分:工业控制安全要求》等政策法规和相关行业规范要求。


3.2 方案设计原则


l 适用性原则

工业控制系统网络与传统办公信息网络有着本质上的区别,其通信协议为专有的工业控制协议(Modbus,DNP3,MMS,OPCDA,S7等),对系统及网络环境的稳定性、实时性要求极高,因此,工业控制网络安全建设,必须遵循适用性原则,采取适用于工业控制系统网络的安全防护技术措施。


l 重点保护原则

根据重要性程度的不同,有重点有针对性地进行安全保护,集中资源优先保护涉及核心业务或关键信息资产的组件。


l 技术和管理并重的原则

信息安全问题从来就不是单纯的技术问题,必须将技术与管理相结合,通过管理手段对非法安全行为进行威慑,保证安全技术措施的落实和执行,这样才能确保安全体系的有效性。


l 动态调整原则

信息安全问题不是静态的,会随着业务功能、组织策略、组织架构、信息系统的操作流程改变而改变,因此必须要根据这些变化,及时调整安全防护措施。


l 最小化影响的原则

方案的设计与实施应尽可能小地影响系统和网络的正常运行,不能对现有网络的运行和业务的正常提供产生显著影响。


3.3 方案设计思路


项目方案的设计思路需充分考虑到化工企业工业控制系统业务稳定性和工业特性,网络安全性和可靠性,并且结合《中华人民共和国网络安全法》要求,履行等级保护安全义务,依据信息安全等级保护的要求,以及工信部的《工业控制系统信息安全防护指南》等其他行业相关技术要求,制定工业控制系统网络安全和可靠性的相关技术路线,最终构建化工行业工业控制系统网络安全防护体系


3.3.1 安全防护设计方案

防护方案从区域边界安全、网络通信安全、终端安全、统一安全管理四个角度进行展开,区域边界安全从网络区域划分、区域隔离、边界防护入手。


图1.安全防护设计思路图



3.3.2 安全服务体系方案

安全服务评估主要有两部分,等保服务以及安全评估服务,等保服务包括定级、备案以及相关的等级保护预测评服务。另外,安全评估服务是通过资产分析、流量分析和威胁分析能够对工业控制系统资产情况、系统脆弱性、系统处于受威胁状态,有一个系统、全面地掌握,并基于安全评估的评估报告,能够为后续安全防护方案的制定提供针对性的技术依据。


3.3.3 安全管理防护体系方案

主要是解决前两个阶段没有解决和剩下的技术和管理两方面的问题。主要从制度修编,安全加固和安全培训三个方面开展相关的安全服务。



四、具体解决方案



根据当前国内外工控网络安全领域的发展形势,提出的“一个中心,三重防护”的工控安全战略,从外到内构成“纵深防御、分区防护”体系,从区域边界安全、网络通信安全、安全计算环境以及安全管理中心等方面出发,围绕人、技术和管理搭建全生命周期的工控安全产品和服务体系,为化工行业企业工业控制系统网络安全保驾护航。


图2.安全防护整体拓扑图



4.1 安全区域边界


l 区域间防护控制

在生产管理层和过程监控层之间部署工业隔离网闸设备;在过程监控层和现场控制层之间部署工业防火墙。通过“白名单”放行正常的报文,可有效防止信息层和控制层向设备层传送“不可信”的指令,检测并防止来自局域网和互联网的攻击防范,包括异常报文和异常流量的攻击。


梳理业务流程,优化工业控制系统网络结构,强化分区、分域防护,通过在安全域边界部署工控防火墙、工业隔离网闸产品,以保障工业控制系统网络结构的安全。


4.2 安全通信网络


l 日志审计

在各生产网络部署日志审计系统,对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为;实现日志信息的采集和集中分析,提供日志查询、历史日志查询和事件告警功能,对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。


l 入侵监测与网络审计

在各生产车间&作业区边界网络设备上部署工业监测审计系统,通过部署工业监测审计系统对网络数据、事件进行实时监视、实时告警,帮助企业实时掌握工业控制网络运行情况;对工控网络中存在的所有活动提供行为审计、内容审计,生成完整记录便于时间追溯;根据监视结果,提供防御策略建议,帮助企业构建适用的专属工控网络安全防御体系。


l 安全运维管理

在安全管理中心网络中部署运维审计系统(堡垒机),运维人员通过运维审计系统接入运维,实现对运维人员的操作权限以及操作行为进行审计记录,并提供会话审计和回放功能,同时能够确保审计记录不被破坏或非授权访问,实现对远程运维厂家人员的行为审计和行为管控,一旦发生安全事件,便于溯源和追踪。


4.3 安全计算环境


l 终端安全防护

在工业控制系统上位操作主机(操作站、工程师站)和服务器处部署工业安全卫士实现主机的安全管理,通过以“白名单”防护策略为主的工控安全防护,抵御网络攻击,禁止非法进程的运行,从而切断病毒和木马的传播与破坏路径,减少工作站和服务器面临的威胁,提升防病毒入侵能力,最终实现主机和服务器全生命周期的安全防护。


l USB安全防护

对上位主机的USB接口使用过程进行安全有效管理,通过部署USB安全防御系统,对于接入工控网络的移动存储设备进行病毒查杀,并进行外界USB存储设备认证管理、操作行为审计,以便保护主机应用安全与防止数据泄密。


4.4 安全管理中心


l 集中管控

建立安全管理中心,部署统一安全管理平台,实现对网络安全设备的统一安全管控,实现安全设备的状态监控、审计管理和策略管理等集中管控功能,构筑安全管理中心平台,提升整体网络安全防护和运维管控水平。


l 漏洞管控

在安全管理中心网络中部署工业安全评估系统,定期对工控系统进行安全评估和漏洞扫描,识别存在的已知安全漏洞,及时发现系统网络中存在的安全隐患,通过采取相应的技术整改措施,对漏洞和隐患进行安全整改,消除或降低面临的威胁风险,保障系统网络安全稳定运行。



五、客户价值



1、符合安全合规建设,满足国家标准《工业控制系统信息安全防护指南》、等保2.0 和行业规范等合规性安全;

2、满足化工行业自动化、智能化、网络化等行业新趋势、新技术的发展要求;

3、深度结合实际业务应用,解决系统存在的高风险项,降低安全运营风险,提高安全运维效率,提升系统抵御风险的能力。


分享:

微博
微信公众号