構建安全防御體系,助公鐵隧道暢通無阻
一、項目概述
某公鐵隧道位于長江水道之下,是一條公鐵合建盾構隧道,于2018年實現公路層、軌道層同步通車運營。該公鐵隧道信息系統包括中央計算機系統、BAS系統、交通監控系統、CCTV系統等,其中,中央計算機系統是涉及到市政、交通的重要控制系統。
隨著近年來工控信息安全事件的頻繁發生,以及《網絡安全法》、等級保護2.0等政策法規的公布實施,如何保障中央計算機系統等核心控制系統的安全,是橋隧公司重點關注的工作,客戶規劃先通過第三方測評摸清家底,發現核心系統中的安全風險,根據風險的影響范圍制定整改規劃,最終通過安全建設構建核心系統的安全防護和管理體系,消除系統面臨的安全風險,提升系統的安全性。
圖1 公鐵隧道示意圖
二、安全現狀
圖2 重要信息系統安全評測問題統計一覽圖
測評機構按照等保三級標準對橋隧重要的信息系統開展了詳細的評估工作,梳理出針對重要信息系統高危風險項23項,中危風險項42項,低危風險項61項,部分重要技術風險項如下:
1 安全區域邊界
訪問控制策略不嚴格,顆粒度粗;例如未對源地址、目的地址、源端口、目的端口和協議等進行核查,以允許/拒絕數據包進出,攻擊者容易繞過邊界對重要服務器或系統實施攻擊;
橋隧的中央計算機系統生產網和辦公網存在多個邊界,中央計算機子系統、CCTV系統、無線通訊子系統等等,各網絡邊界缺少必要的入侵防范措施,無法對從生產網內部或外部發起的已知/未知攻擊進行實時檢測,也無法對入侵行為進行響應。在缺少邊界隔離的情況下,一旦內部發生惡意代碼的感染,會導致生產網大面積的橫向擴展;
生產網絡中未采用技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析;
生產網中未關閉不需要的系統服務、默認共享和高危端口,如Web、Telnet、Rlogin、FTP等網絡通用服務。
2 安全通信網絡
現場設備層(傳感器、執行器等)與現場控制層(PLC、RTU等控制單元)之間未實現通信過程中數據的保密性;
現場設備層(傳感器、執行器等)與現場控制層(PLC、RTU等控制單元)之間未實現通信過程中數據的完整性;
核心交換機未進行硬件冗余,無法保證系統的高可用性;電力監控系統服務器、交換機硬件有冗余部署,但通信線路只接入單節點交換機,另一路交換機未接線,存在安全隱患故障。
3 安全計算環境
生產網中的交通及設備監控工作站、廣播及電話工作站、CCTV監控工作站等缺少有效的病毒防護措施,無法提供完整的安全防護;
橋隧的中央計算機系統生產網中的工作站未關閉或拆除控制設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等,確需保留的未通過相關的技術措施實施嚴格的監控管理;
橋隧的中央計算機系統核心服務器未配置安全審計策略;
交通監控工作站操作系統當前安裝了TeamViewer、驅動精靈等軟件,未遵循最小安裝原則;
I/O服務器、數據庫服務器操作系統當前開啟了Server服務,已啟用135,445,3389等高風險端口,開啟了默認共享,共享文件夾為C、D,開啟了IPC$;
BAS系統、電力監控系統、廣播及電話系統等配置的口令復雜度策略設置不合理。如密碼必須符合復雜性要求:已禁用;存在賬戶Administrator配置了密碼永不過期;當前用戶未設置密碼、口令等不合理設置。
安全管理中心
未建立安全管理中心,實現系統管理、審計管理、安全管理和集中管控的功能要求。
三、整改方案
針對某公鐵隧道信息系統在測評中發現的問題,威努特先后與業主單位、測評機構針對市政交通中重要控制系統——中央計算系統的整改建設進行多輪探討,結合橋隧中央計算機系統的業務特點,以控制橋隧中央計算機系統的風險為目標,深度融合安全管理、安全技術、安全運行三個領域的管理策略,采用全新的安全視角構建整體、動態、主動、精細的四個相互獨立又高度融合的安全防御體系。
整體框架參照等級保護2.0安全技術要求“一個中心、三重防護”的理念,分別由工業主機安全防護、系統邊界隔離、網絡通信異常監測、集中管理、安全運維及安全態勢感知體系構成,在方案設計時以安全管理中心作為整個安全的中樞,構建集中管理和態勢感知的能力,同時以安全通信網絡為紐帶,優化基礎網絡架構,分區分域,從而收縮網絡攻擊面。以安全區域邊界為依托,以訪問控制為基礎,增強已知和未知攻擊的防范能力,通過技術手段來強化縱深防御,實現對威脅的深度檢測和及時響應,防患于未然。最終以安全計算環境為重心,以白名單技術為依托,以基于標記的強制訪問控制作為技術核心,改進業務風險管控,加強計算環境層面的動態防護。特別是針對市政建設的重要系統,需要在滿足國家層面基本要求的情況下,實現重點防護,提升動態、主動防御能力。從“零散建設”走向“全局建設”;從“局部零散松耦合”演變成“深度融合體系化”;構建出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全防御體系,為橋隧中央計算機系統輸出實戰化、體系化、常態化的安全能力,以應對各類網絡攻擊。
圖3 整體安全防護體系設計框架圖
動態防御:以風險管理為指導,針對攻擊的多樣化、多變性,實現網絡安全狀態持續監測,及時反饋動態調整防御策略、技術和手段,構建切斷、誘捕的動態防御能力。
主動防御:基于白名單技術,貫穿核心安全防護產品,針對攻擊的復雜性、未知性,結合威脅情報、態勢感知,建設發現、分析、響應、溯源的系統和主動防御能力,落實主動防護措施。
縱深防御:實行分區分域管理,對不同區域進行安全隔離,設計多層次防線,實現由外到內、從邊界到核心的多重保護以及對攻擊的層層阻擊。構建縱深防御能力,全面覆蓋網絡。
精準防護:基于資產的自動化管理,結合不同工業控制系統重要性,綜合利用內、外部威脅情報,實現對關鍵業務系統的有效防護。
整體防控:結合調研評估以及現有安全狀態,針對安全防護的碎片化、盲點多,構建全覆蓋、多場景、強協同的整體防控能力。
聯防聯控:作為國家關鍵信息基礎設施,應建立與國家監管部門以及行業組織的信息共享,從而構建聯防聯控能力,實現企業、行業、國家從點到線再到面的統籌聯動。
圖4 橋隧系統網絡安全解決方案規劃
1、根據信息系統的功能特點將現場系統劃分為主控監控系統區域、現地控制設備區域、視頻監控系統區域。在現地控制設備區域與主控監控系統區域之間部署工業防火墻進行區域隔離,配置基于S7、OPC工控協議指令級防護白名單,構建邊界防護體系,阻斷與生產無關的工業協議指令和其他非法通訊,實現對生產控制網絡的重點防護;在主控監控系統區域與視頻監控系統區域之間部署工業互聯防火墻,開啟細粒度訪問控制、入侵防御、病毒過濾等功能,阻止非法訪問及網絡攻擊行為;在中央計算機系統所在網絡與企業管理網絡之間部署工控安全隔離與信息交換系統,保障僅通過受控的接口進行通信。
圖5 OPC協議不符合規約防護與告警
2、網絡層部署入侵檢測系統,開啟入侵檢測策略,對掃描探測、入侵攻擊、SQL注入攻擊、DoS&DDoS攻擊、中間人劫持攻擊等行為進行檢測,同時開啟AV等檢測功能模塊,一旦出現異常工業流量或者網絡入侵行為,及時產生告警并上報。
3、核心交換機與SCADA核心交換機、系統核心服務器等主要計算節點全部改造為冗余架構,針對交換機空閑端口采取技術+物理方式進行封堵;在工作站上部署工控主機衛士,配備專用安全U盤,結合“白環境”安全機制,實現對已知未知病毒的全面防護、非法外聯行為檢測、移動介質管控和雙因子認證等能力建設,保證工業主機的運行安全。
圖6 工控主機衛士移動介質管控策略
在生產網內部部署統一安全管理平臺及日志審計與分析系統構建安全管理中心,對生產網絡中安全產品進行集中管理;對網絡安全事件統一收集、管理、策略下發,實現工控安全設備、系統及主機的統一配置、全面監控、實時告警、流量分析等,降低運維成本,提升運維效率。
圖7 安全日志關聯分析匯總
在安全管理層面,威努特協助公鐵隧道共同梳理已有的安全組織機構及安全管理制度,結合國家等級保護等相關標準和現場的運維特點,針對性地進行查漏補缺,完善針對橋隧系統網絡安全管理的系列制度,基于技術體系的建立,全面切實提升信息系統的安全防護和運維能力。
圖8 借鑒國家等級保護制度安全管理制度列表
四、客戶價值
某公鐵隧道中央計算機系統安全防護建設完成后,符合國家相關政策和標準要求,并消除了前期測評過程中的所有高風險和大部分中風險項,在2021年8月份順利通過等級保護三級測評,等保2.0測評分數高達83.58分。同時在威努特安全服務過程中,某公鐵隧道的技術和管理人員也對工控安全建設有了新的認識和了解,逐步形成了更加貼合自身需求的管理模式和技術路線,為后續進一步的工控安全奠定了堅實的基礎。
示范標桿效益。作為橋隧工控安全試點示范項目,建設效果達到預期目標,積累工控安全建設經驗,可為全國各地橋隧工控系統安全防護建設提供安全防護思路和參考方向;
消除安全隱患。構建安全技術+安全管理立體防護體系,解決移動介質使用混亂等高風險問題,全面提升系統的安全性;
提升工作效率。減少因安全事件可能導致的系統停機時間,為系統的安全運行保駕護航,同時通過安全管理中心的建設也減輕了運維管理人員的工作量;
人才梯隊建設。客戶與威努特在項目建設全生命周期中,全面深入參與,共同規劃、梳理整個項目流程,為后續實現集團安全運營中心規劃奠定了扎實的技術及人才基礎。
