縱深防御--可復制的卷煙廠制絲控制系統工控安全建設
一 前言
煙草行業不僅是國家稅收 的重要來源,而且可為煙農、煙草職工提供大量的就業崗位,其業務系統的安全穩定運行具有十分重要的意義。 近年來,國家煙草專賣局作為行業主管單位,按照中央網信辦、工業和信息化部、公安等國家相關部門要求,結合行業實際情況,相繼下發了一系列網絡安全建設指導文件,包括《中共國家煙草專賣局黨組關于印發煙草行業問責工作實施辦法(試行)的通知》、《煙草行業網絡安全問題整改工作指南》等。 要求行業各單位充分認識網絡安全建設的重要性,進一步加強本單位網絡安全保障工作。
二 項目背景
某卷煙廠占地25.8萬平方米,總建筑面積18.6萬平方米,擁有國際先進技術水平的制絲、卷接設備。 該廠制絲控制系統作為最重要的控制系統之一,實現了對制絲生產整個業務過程的全覆蓋,具有設備控制及操作、信息傳遞、參數調整、數據存儲和視頻分析等功能,包含9個工藝段,分別為梗絲預處理段、葉片處理段、梗絲處理段、葉絲A段、葉絲B段、薄片回潮段、真空回潮段、成品絲配送處理段、摻香加絲段。
在信息化和工業化融合發展的形勢下,卷煙廠制絲工控系統面臨著越來越復雜的網絡安全威脅。由于制絲控制系統存在著較多安全漏洞和缺陷,致使系統在惡意攻擊面前極其脆弱,安全事件頻發,給卷煙廠生產、管理造成嚴重影響。為了保障生產網各類系統的平穩運行,該卷煙廠根據網絡安全等級保護第二級的要求,不僅從系統的邊界、網絡通信層面進行安全建設,而且分別對9個工藝段PLC設備進行了精準的安全防護,以達到更為全面立體的安全防護效果。同時,該卷煙廠作為其集團公司的重點廠區,集團希望通過該廠的試點為后續其他廠區的安全建設提供實用且可復制的參照樣板。
三 安全問題及需求
在本項目前期,威努特技術專家與卷煙廠制絲控制系統管理人員、物流信息科人員、各車間專業電氣人員對制絲控制系統開展了深入調研工作。 經現場調研,發現了諸多工控安全威脅,較為突出的問題有如下8項:
1、工業控制網內的制絲控制系統同MES系統、防差錯系統及無線WIFI區域之間邊界不夠明確,同時各區域之間缺少一定的邊界防護,存在跨區攻擊的安全隱患。同時,控制設備如PLC存在安全設計缺陷和大量易受攻擊的漏洞,而PLC前缺少必要的防護手段;
2、制絲控制系統網內各子系統之間存在大量數據交互,缺少對內部流量的威脅攻擊的檢測能力,同時對于工控協議指令無法進行深度解析和審計;
3、制絲控制系統網內的主機存在大量漏洞和病毒,易受惡意軟件直接攻擊;同時部分工程師站、操作員站、服務器、控制組件等存在默認的高風險帳號和口令;
4、制絲控制系統網內缺少對移動介質的管理手段,病毒及惡意代碼容易通過移動介質傳入網內,從而對上位機的正常運行產生影響;
5、制絲控制系統網內的主機使用了TELNET、FTP、TFTP進行文件傳輸、同時缺少必要的網絡外聯管理,一旦感染惡意病毒,將使病毒的傳播更加便捷;
6、制絲控制系統網內缺少針對網絡設備、安全設備、監控系統的統一日志信息收集和審計,同時缺乏對各系統進行統一配置下發和告警管理的手段;
7、制絲控制系統網內運維操作大部分為本地或就近網絡接入,該種操作造成運維過程缺乏必要的監管,即針對運維用戶、運維權限、運維目標設備等管控;
8、作為集團公司的重點卷煙廠,缺少對集團公司態勢感知系統進行日志、告警的上傳手段,集團公司無法進行統一協調和指揮。
針對以上安全威脅,同時結合國家、行業對工控安全要求,卷煙廠主要有以下5個方面的需求:
1、分區分域,需明確劃分生產網的工業核心與制絲控制系統的邊界,同時控制系統內按業務邏輯再劃分相應子系統并進行邊界隔離;
2、控制系統內需提高對流量深度檢測的能力,對內部工業協議的指令及行為進行實時監測;
3、控制系統的重要主機系統需進行立體化的安全加固,防范惡意程序、病毒等的運行,并控制USB移動存儲介質的濫用、非法外聯管理,為受信任的程序提供完整性保護;
4、需建立統一的安全管理中心,統一對內網各安全設備進行策略配置及告警處理。對內網的主機、服務器、交換機、安全設備等的日志進行統一分析、管理。同時,需對重要系統的訪問進行統一的身份認證、授權并進行必要的審計;
5、對接集團態勢感知平臺,由集團態勢感知平臺進行統一的安全分析和管理,使集團能夠審計和實時了解卷煙廠的工控安全狀況。
四 建設方案
根據該卷煙廠的現狀及需求,結合《信息安全技術網絡安全等級保護基本要求》及《煙草行業網絡安全問題整改工作指南》,方案從制絲控制系統邊界及各工藝段邊界、網絡通信傳輸和各主機系統方面進行安全防御體系建設,保護工業控制系統免受病毒、惡意程序、非法入侵、誤操作等的侵害,解決工控系統網絡安全風險問題,提高工控網絡的整體縱深安全防御能力。 系統建設改造前后示意圖如下:
圖1 制絲控制系統拓撲建設改造前示意圖
圖2 制絲控制系統整體防護設計示意圖
具體建設方案如下:
1、網絡優化: 優化網絡層級,保證業務穩定
在工業核心交換機與制絲系統核心交換機之間新增一臺核心交換機,將MES中轉服務器、防差錯服務器以及防差錯交換機連接該交換機。優化網絡結構,合理的劃分網絡層級,以更好地支撐業務數據交換和防護。
2、邊界防護:強化各子系統邊界訪問控制能力并精細化防護各工藝段業務
在視頻監控系統、廂式儲葉系統及MES中轉系統前部署工業防火墻,同時在9個工藝段PLC前各部署工業防火墻,對制絲系統重要的子系統邊界進行訪問控制,并對工控網絡非法訪問、非法操作以及異常控制指令進行實時監測和防護。
煙草行業對業務的穩定運行要求非常高,為了保證對業務“零影響”,所有工業墻的實施均在非業務時段進行且采用透明模式部署。部署后首先采用學習模式學習工業協議白名單,當指令學習一段時間后仍未發現新的指令即自動轉到告警模式。具體配置如下:
圖3 工業防火墻—啟發式自學習配置
該卷煙廠制絲系統9個工藝段的PLC均為西門子S7系列型號,因此在工業防火墻上僅開啟Siemens S7協議白名單策略,對S7協議的值域配置一定的范圍及周期,對經過的數據進行深度解析與控制,實現指令級細顆粒度的防護。具體配置如下:
圖4 工業防火墻--S7協議白名單配置
在制絲控制系統核心交換機與廠級工業核心交換機之間部署工業互聯防火墻,將卷煙廠其他區域同制絲控制系統進行邊界隔離,結合本身的惡意代碼檢測及入侵防御能力,有效防止廠內橫向威脅攻擊,具體配置如下:
圖5 工業互聯防火墻--ACL配置
圖6 工業互聯防火墻--病毒防護配置
3、網絡通信審計:提高網內入侵行為和異常協議指令的檢測能力
在核心交換機上部署入侵檢測系統,實現對制絲系統內部溢出攻擊、RPC攻擊、拒絕服務攻擊、木馬、蠕蟲等網絡攻擊行為的監測。具體配置如下:
圖7 工控入侵檢測系統--攻擊檢測規則配置
在核心交換機旁路部署工控安全監測與審計系統,實現對工控網絡中的誤操作、違規操作、異常網絡流量等的實時監測、實時告警、安全審計以及設備可用性等監測。同時開啟S7協議白名單檢測,并通過無流量檢測模塊監測網內重要的系統是否存在網絡故障或宕機的情況。具體配置如下:
圖8 工控安全監測與審計系統--S7協議白名單配置
圖9 工控安全監測與審計系統--無流量檢測配置
4、主機防護:一體化解決終端安全防護問題
在制絲控制系統內各服務器、工作站、操作員站等部署工控主機衛士軟件,利用白名單機制實現防范惡意程序、病毒、木馬等的運行,并開啟外設管理功能以控制USB移動存儲介質的濫用,同時加強設備的安全基線和非法外聯的檢測,為受信任的程序提供完整性保護。
通過對主機系統自動掃描本地磁盤所有的可執行文件,對每個文件生成數字簽名,之后根據所有PE文件的數字簽名創建白名單數據庫,未在白名單程序均不能運行,實現對已知和未知病毒的防范。具體配置如下:
圖10 工控主機衛士--程序白名單控制策略
對各主機系統配置外設管理功能,從驅動層面對CD-ROM、無線網卡及移動介質進行管控。對普通U盤配置只讀模式,對安全U盤配置讀寫模式。具體配置如下:
圖11 工控主機衛士--外設管理配置
除了針對非法訪問互聯網進行了限制,此處還限制了內部系統之間的訪問,如視頻監控系統不應訪問工藝段的主機。具體配置如下:
圖12 工控主機衛士--非法外聯配置
5、安全管理中心:統一配置、統一展示、統一管理
在核心交換機上旁路部署統一安全管理平臺,實現對區域內工控安全設備的統一策略管理,以及安全事件的統一分析和管理。具體配置信息如下:
圖13 統一安全管理平臺--防火墻配置信息
在核心交換機上旁路部署日志審計與分析系統,通過部署主機agent的方式獲取制絲系統各主機、服務器、交換機、安全設備的日志,以實現對其統一分析和管理。具體信息如下:
圖14 日志審計與分析系統--首頁信息
在核心交換機上旁路部署安全運維管理系統,對制絲系統各服務器、網絡設備、主機系統進行賬號管理、授權管理、認證管理配置,以提供統一運維管理框架,確保合法用戶安全、方便地使用特定資源。具體配置如下:
圖15 安全運維管理系統--資產配置
五 方案價值
1 、打造基于“白環境”的縱深防御體系。 從邊界防護、網絡通信審計、終端防護及安全管理中心多個方面進行防護和審計,切實打造了工控系統立體的安全防護能力; 同時該安全體系的建設滿足了網絡安全等級保護二級的建設要求。
2、實現基于工藝段級別的工控安全防護體系建設。作為集團公司試點樣板,從制絲控制系統最重要的工藝流出發,針對性地在各PLC前進行安全建設,通過對所有經過的流量深度解析并進行工藝流級的控制,真正做到精細化的貼身防護,為后續同類系統工控安全建設項目積累經驗。
3、采用“摸家底、開藥方、夯基礎、促提升”的建設模式。從客戶基本現狀調研到系統的風險評估扎扎實實地摸清廠內的“家底”;根據實際情況設計立體的解決方案,開具針對性的”藥方“;通過邊界防護、通信審計、終端加固多維安全建設,夯實系統各層級的防護能力;最后,結合集團公司的態勢感知,統一管理、統一指揮,促進和提升廠內安全事件的發現及響應速度。該制絲控制系統的工控安全建設思路既滿足政策法規的要求,又切實提升系統的整體安全防護能力,同時建設流程成熟可落地,具有較強的可復制性,為集團內其他卷煙廠的安全建設提供參考意見和指導方向。
