(天融信工控防火墙协议解析模型)
通过对工控协议、数据的四层安全检测,可有效保证工控协议与数据的安全性,从而保障工控网络、工控设备的安全稳定运行。
基于业务的行为建模分析天融信工控安全监测系统部署应用结合水电站业务的特性,采用工控业务规则模型,可有效对业务系统的攻击行为、违规操作、误操作、非法通讯等异常行为进行监测,并对数据进行深度解析、分析、记录、统计、汇报,通过关联分析结果给出相应的防御策略和事件溯源的报文源码,加强内外部网络行为监测,便于快速了解网络基本情况的同时获知网络告警分布,轻松掌握网络运行状况。采用旁路部署,对业务生产过程“零”影响;具备完善的日志存储、统计、审计与备份功能,针对安全事件便于筛选与回溯,有效保障了日志数据可靠性。
基于白名单的防护天融信工控主机卫士部署在工控上位机和服务器上,能够防范恶意程序的运行、控制USB移动存储介质的滥用、管理非法外联、为受信任的程序提供完整性保护等,具备完善的终端安全风险监控和分析能力;同时支持新建、追加白名单,可通过自动扫描、自定义添加、软件跟踪等方式自动生成应用、脚本白名单库,同时可根据文件表、HASH表对库内白名单进行查看,并可配置白名单防护策略,禁止并审计白名单之外的进程、镜像的启动加载行为;满足工控网络中终端安全管理需求,实现对工控主机全面的安全防护。
(天融信工控主机卫士功能架构)
工业漏洞识别与发现天融信脆弱性扫描与管理系统可对国内外常见的SCADA、组态软件、HMI、PLC、DCS、应用系统等多种类型的系统或设备进行针对性扫描,采用智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,准确定位其脆弱点和潜在威胁。根据扫描结果,系统可以提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助技术人员修补漏洞,全面提升整体安全性。
同时,系统柜可将扫描的结果生成在线或离线报表,也可以根据不同的用户角色生成报表,并对扫描结果进行细致、全面的分析,并以图、表、文字说明等多种形式进行展现,支持以HTML、PDF、Word、Excel、Xml等格式进行导出,便于对现场资产与威胁汇总分析。
(天融信工控漏洞扫描系统功能架构)
外部入侵检测天融信工控入侵检测与审计系统内置专业的工控入侵规则库,可根据业务功能需求制定白名单策略,满足水电站关键节点防护需求,采用攻击规则检测 业务白名单两种方式,对工业控制网络上捕获的数据包进行相应的行为匹配,及时发现来自生产网内外部攻击威胁,为客户提供直观、落地的安全防护建议,保障生产网络安全运行。实现了对水电站Modbus、S7、IEC104、EIP协议的深度解析,可根据业务系统的安全需求,制定符合应用场景的安全策略,可对安全事件详情进行记录和报文留存,为安全事件调查提供基础依据,真正做到事前预警、事中监控和事后追溯。
(天融信工控入侵检测与审计系统架构图)
客户价值通过在客户的环境中部署天融信工控安全产品,最终实现:
- 终端管控:在重要服务器和操作站安装天融信工控主机卫士,实现终端主机的安全管控,避免人员恶意操控应用程序,减小恶意代码和病毒木马对生产控制造成影响。
- 安全隔离:在控制区和非控制区部署工业级防火墙,实现区域边界安全隔离,通过实时过滤网络中的非法误操作和恶意攻击行为,阻断蠕虫、病毒域间传播,提升控制区防护能力。
- 安全审计与入侵检测能力:在关键开关站、调度数据网接口处、非控制区(II区)部署工控安全监测和入侵防护系统,增加重要资产的防护能力,提升外部威胁攻击入侵检测与安全审计能力。
- 漏洞识别与修复能力:通过在控制区域非控制区部署工控漏洞扫描系统,可多维度检测多种形式的系统,快速定位漏洞威胁,并提供完整的修复指导。
简化了运维管理工作,在面临厂区较大,可以通过实现集中式运维管理,便于日常发现工控威胁,同时,针对威胁事件能够快速响应处理。
终端防护能力升级,通过工控主机卫士能够设定有效的白名单程序,从系统层面封堵外设,有效应对外设违规使用以及操作不规范问题。
可视化运维操作,对一线操作行为能够直观显示,方便安全管理人员分析操作行为。
规范生产区域之间行为,在不同生产区域间,通过工控防火墙能够细粒度控制通信行为,杜绝跨区操作。
漏洞排查快速定位,面对全厂上万套设备,能够定期排查漏洞信息,同时给出修复意见,减少厂区工控设备脆弱性、
案例二:某油气管道生产调控中心网络安全防护案例(本案例由天地和兴提供)涉及领域:工业互联网防护能力、工业互联网检测/审计能力
场景介绍近年来,能源行业层出不穷的网络安全事件表明油气管道SCADA系统已经成为国内外黑客的攻击目标,面临愈发严峻的威胁。
物联网、大数据、云平台等新技术的应用,形成了油气管道生产网络的互联互通,来自办公管理层网络的入侵、病毒等风险容易向生产网蔓延。同时攻击者伪造身份从外部或内部网络节点对生产系统进行渗透,不仅仅可以拿到工艺数据,甚至可以造成重大安全事故。管道SCADA系统一旦受攻击容易发生恶意操控甚至生产事故,直接影响到管道输送的正常生产运营,导致火灾、爆炸、中毒事件的发生,造成重大经济损失、人员伤亡和环境污染,直接威胁到国家能源安全和社会稳定。因此保护油气管道SCADA系统的安全,对我国能源安全具有重要的现实意义。
客户需求该油气管道客户有以下工业互联网安全需求
- 安全通信网络安全需求:在通信过程中采用密码技术保证通信过程中数据的保密性,在通信过程中采用校验技术保证数据的完整性,通过应用工控防火墙搭载可信模块的形式,实现可信验证。
- 安全区域边界安全需求:监控网络中存在的各类入侵风险、网络病毒、非法访问等行为并进行审计与阻断,保障生产网络的可用性与安全性。
- 安全计算环境安全需求:对各系统工程师站、操作员站、历史站、接口站、服务器等实施定期巡检式的安全扫描,进行针对性的安全加固,以白名单的方式限制可以执行的程序,综合提升主机系统的抗攻击能力,保护分布广泛的站控系统主机不被作为跳板入侵上级系统。
- 安全管理中心安全需求:建立安全教育与培训、安全保密、应急响应机制,使安全管理成体系,安全管理常态化,管理与技防相结合,形成企业的综合网络安全防护体系。
本方案针对油气管道SCADA系统实际需求,通过设计建设一套稳定、高效、可靠的工控安全监测防护体系,集中展现油气管道SCADA系统的整体工控安全态势,提升整体工控安全监管水平和防御能力。针对SCADA系统的特点进行设计,以国家等级保护的“一个中心、三重防护”为整体防护思想,构建油气管道SCADA系统网络安全防护的技术体系,并完善安全管理体系,形成“技术 管理”的综合安全防护体系,满足实际安全防护需求,达到等保三级建设标准。
方案从实际出发,以油气管道SCADA系统为等级保护对象,以控制中心系统为主体,结合站控系统、现场设备等边缘应用分布广泛的特点,从安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理要求等几个维度来构建综合安全防护体系:
- 安全通信网络:对油气管道SCADA系统的访问逻辑进行梳理,优化网络结构,按照网络资产的属性与访问逻辑,合理划分网络安全域。在油气管道工控系统网络的边界部署安全隔离与访问控制措施,实现必要的边界安全防护,同时按照业务组网应用特点,酌情增加链路加密措施,保障链路通信的数据安全性。
- 安全区域边界:在重要的安全域边界设计部署安全隔离与访问控制措施,对重要安全域进行必要的安全防护。在油气管道工控系统网络中,重点对首站、中间站和末站等所在的安全域进行安全隔离与访问控制,保证油气管道工控系统的运行安全。
- 安全计算环境:对全网的服务器、操作员站、工程师站等主机系统设计安装必要的安全管控措施,实现对主机系统必要的安全管控,保障主机系统运行安全。主机安全管控措施包括主机进程管控、主机USB口外界管理等,实现主机防病毒、防第三方软件非授权安装使用、防USB设备非法连接与数据拷贝等功能,提升人机交互界面必要的安全防控与主机系统的安全性。同时,借助于在安全管理域内部署的主机系统脆弱性扫描工具,实现对主机系统弱口令、漏洞的安全管理,通过主机加固措施,提升主机系统自身的抗攻击能力。
- 安全管理中心:在油气管道工控网络中新建安全管理域,部署集中安全管理手段,实现对全网用户集中认证、权限管理与操作行为审计。同时,部署综合日志审计与安全管理技术手段,建立全网安全风险的集中管理、分析、可视化与联动处置机制,部署安全威胁扫描与管理工具,实现全网风险的集中管理与处置,保证风险的快速感知与处置,提升安全风险的管理与应对能力。
- 安全管理体系:基于油气管道企业现有的安全管理组织结构与管理措施,由我方专业的安全服务人员以安全咨询服务的形式,按照相关标准规范要求,为用户梳理安全管理体系内容,帮助用户健全与完善安全管理体系相关内容,从管理上完善安全管理的体系化建设,包括日常管理以及应急保障等相关内容,以构建综合的安全防护体系,保障油气管道工控系统的安全稳定运行。
部署拓扑图如下:
