目录
物理及环境安全防护
对重要的工程师站、数据库、服务器等核心工业控制软硬件所在的区域,要采取访问控制、视频监控或者专人值守等物理安全防护措施,我们放这些设备的区域就是机房或者有些工业设备,不是放在机房里面,有些是放在前端,我们要能够保证把它锁在箱子里面,不是所有人都能够访问到,要么是视频监控出了问题之后,你要能够追查到人,关系到核设施的要有专人值守,军队值守
安全边界保护
工业控制系统你要看它什么应用,有些东西是很重要的
比如说关系到航天航空,关系到一些武器装备制造,这个就很重要
第二点是拆除或者封闭工业主机上不必要的USB口、光驱、无线等接口,其实在一些密级比较高的场景,这些都是要封掉的,数据通过数据共享平台或者数据交换平台,反正要经过一系列的安全检测,你的数据才能进去,不能随便插U盘拷贝数据,若确定要使用,通过主机外设备安全管理技术等实行严格的安全管理技术,一般是软件平台,常见的卓面管理或者安全管理平台都能做这块的事情,就是对你的U盘进行杀毒,看里面有没有敏感代码,比如像木马,接着是安全风险的区域隔离和安全控制管理,工控系统要划分若干个安全域,一般我们可以划分成开发域,测试域、生产域,不同的安全区域,然后这些安全区域之间要做隔离,有物理和逻辑的隔离方式
物理隔离常见的是网闸,逻辑隔离是防火墙,在工控领域就是工业防火墙、工控的网闸、单项隔离设备,还有其它一些安全网关,企业要根据自己的实际情况,在不同的边界之间要部署安全防护设备,实现安全访问控制,阻断非法网络访问,这是边际防护,对应着等保2.0里面的内容,接着身份认证与访问控制
身份认证与访问控制
常见的身份认证方式有这些:口令密码、USB-Key、智能卡、人脸、指纹、虹膜等,里面还有更细化的防范口令撞库攻击及敏感认证信息泄露,不同系统和网络环境下禁止使用相同的身份认证证书信息,说简单一点,就是不同的系统,你不能设置相同的用户名和密码,从而减少身份信息暴露之后对系统和网络的一个影响,比如说你所有的服务器都设一个用户名密码,那沦陷一个之后,其它的全部沦陷,风险很大,第二个对于工控设备,scada软件,工业通信设备等要设置不同强度的登录用户名和密码,并且要做定期的更新,避免使用默认的口令或者弱口令,这是偏向于密码管理这一块,然后针对内部威胁,工控企业要遵循最小特权原则,在工业主机登录、应用服务器访问,然后工业平台访问等过程当中要进行身份的管理,对关键设备系统和平台的访问,应该采用多因素认证,而一些关键的东西,你既要输用户名密码,可能还要你插个Ukey,输个短信验证码,这个叫多因素认证,第二小点是合理分配设置的用户权限,以最小特权原则分配用户的这个权限只给他相应的权限,不要给他超级管理员权限
第三,强化工业控制设备,加强身份认证证书的管理保护力度,禁止在不同的系统和网络下去共享,认证可以用证书也可以用用户名密码,如果用证书就不能去共享,工控系统是不能够接入互联网的,然后也不能开通http、FTP、Telnet等高风险的网络服务,原则上是这样子的,确实需要远程访问,用单数据单向访问控制等策略,比如说单向网闸,单向网闸对访问的时限也要加以限制,就是某个时段,可能你访问一下,然后其它的时候你都把它给关掉。
远程访问安全
接着需要远程维护的可以用VPN,因为VPN可以加密,要保留工业控制系统相关的访问日志,并且要做安全审计,出了问题之后能够找到是谁做的坏事,要事后追责,接着是工控系统的这个安全加固和安全审计,我们通过安全配置策略、身份认证,然后强访问控制软件白名单等等一系列的技术,对我们的这一系列的组件进行增强保护,减少攻击的面,说的简单点,你要安装杀毒软件,然后该做认证的要做认证,还有一些安全策略,也要去做配置,从而提升我们工控系统一些组件的安全
工控审计其实前面已经提到了,要保存日志,还要定期的备份,主要是追踪定位非授权的一些访问,事后能够追责,接着是针对恶意代码的防范,在这样的一个防范指南里边,它有要求就是在工控系统上安装的杀毒软件或者是安装的其它软件,你必须要在离线环境中充分验证,充分去检测,保证这个软件没有问题,才允许你安装上去,工控系统里面对软件的安装很严格,不然你安装上一个带有木马或者带有病毒的软件,那对整个工业生产影响是很大的,如果是生产汽车,一整辆车如果生产出来报废,最后造成的损失是很大的
第二个工业企业要建立工控系统,防病毒恶意软件入侵的一些管理机制,对工业控制系统及临时接入的设备要采取必要的一些安全预防措施
预防措施有扫描病毒和恶意程序定期更新病毒库,病毒查杀,查杀一些临时接入的一些设备,U盘、光盘,还要有一些管理机制
第三个密切关注重大工控漏洞以及补丁的发布,定期打补丁做升级,另外需要注意就是在打补丁之前需要打补丁进行严格的安全评估和测试验证,不是说来个补丁马上就打上去,之后有可能软件不兼容,或者其它各种各样的问题出现,你要在测试环境当中去做评估,做测试,测试之后没问题,你才把补丁打上去,这是恶意代码的防范,接着针对数据安全,工控生产的数据是工控企业的核心资源,数据常见的类型是研发数据、运维数据、管理数据和外部数据
数据安全的目标,主要是保证数据的可用性、完整性和时效性,工控里边对延时的要求是比较高的,要求要有低延时,如果延时一大会对我们的工业生产造成极大的影响,特别是防止实时数据延缓滞后
具体的防护措施如下,第一个是静态存储,你存在硬盘上的数据,要做安全的保护,那做动态传输的过程中,要做加密,要针对我们的数据类型进行分类管理,有些数据就是公开的,有些就不是那么重要,但有些数据一定是不能对外公开的,这涉及到企业的商业机密,第二个定期备份,关键的业务数据,第三个对测试数据要进行保护,比如说你开模的一些数据,比如说你系统联调的一些数据,如果泄露也有可能给黑客带来一些好处,黑客可以通过你的测试数据去分析你的系统,所以这个非常重要,要签订相应的保密协议,要回收相应的测试数据,向一些单位,它的硬盘如果坏了,是不会退给厂商去回收的,即使你的硬盘坏了,你的数据也要销毁,政府单位基本上都是这样子,硬盘不回收,政府单位密级比较高的单位,硬盘不回收,接着是工控安全监测与应急响应,这一块其实跟前面讲的安全风险评估以及应急响应没有太大的一个区别
第一个在工控网络部署网络安全监测设备,及时发现报告并处理的一些异常行为,IDS、工控态势感知可以用起来
第二个在重要的工业控制设备前端,要部署具有工业协议深度分析的防护设备,限制违法的操作,工控防火墙是不是要布起来
第三个制定工控事件应急预案,其实大同小异,就是要结合工控的场景去制定,本质上是差不多的
第四个定期对工业控制系统的应急预案进行演练,确保预案没有问题,别制定了一堆预案,跑不起来,那你真的出了问题,也没用
第五点对关键的主机设备控制组件进行冗余配置,一个出了问题,其他的还可以用,不影响我的生产业务,这是安全监测和应急响应
国家《工业控制系统信息安全防护指南》针对安全管理的相关要求包括:
建立工业控制系统资产清单要明确到责任人
对关键的网络主机设备、控制组件进行冗余配置、安全软件选择与管理,就是你安装的软件,要保证他的安全性,接着是防病毒,防恶意代码的这些软件,甚至是硬件,我们要把它管理起来
第四个配置和补丁管理,工控系统,它目前的一些配置,你该做备份的要做备份,然后该打补丁的要把打补丁
供应链管理
落实责任,落实到责任人,出了问题之后能够找到人,能够部署相关的应急工作
工控安全典型产品技术
工控产品有防护类的,工控的防火墙、工控的加密,工控的身份认证,物理隔离类的,最典型的就是网闸,还有一些单向的数据传输设备,审计与监测类就是工控的入侵检测,工控的审计,检查类型有漏洞扫描、工控漏洞挖掘,还有一些安全基线检查,其实最核心的就是漏扫,工控的漏扫设备,第五个运维和风险管控类型的主要有工控堡垒机,然后风险管理系统,堡垒机做运维审计用的,就是你去管理我的设备,中间先经过我的堡垒机,登陆上去,就你对这个设备任何的操作,堡垒机都有记录,做运维审计用的,工控领域也有针对工控的堡垒机
工控系统安全综合应用案例分析-电力监控系统
电力监控系统的安全策略是"安全分区、网络专用、横向隔离、纵向认证",把它做为一个重点,要记住这是国家发的文件里面要求的一个政策
安全分区我们可以看一下,电力系统分成两个大区生产,生产控制大区和管理信息大区,生产控制大区分成控制区和非控制区,相当于不同的分区之间要做隔离,横向隔离,纵向认证,就是它中间有各种各样的认证设备,网络专用就是专门的调度专网
工控系统安全综合应用案例分析-水厂工控安全集中监控
现在的工业系统一般分前端和后端,前端就是有远端数据采集单元,还有一些POC逻辑控制器,偏向于工业控制的,后端就是常规的服务器,然后还有电脑通过以太网连接起来,现在的工控系统基本上都是包含这两套系统,首先在工业交换机旁边部署工业集中监控管理平台,通过私有的安全协议,建立加密的连接,实现对工控防火墙以及工业监控设备的集中管理,然后前端也有很多监控一体机,然后再通过集中监控平台对这些所有的设备,软硬件进行集中的监控和管理,对异常行为、恶意代码、攻击等进行管理,然后实现集中管理以及预防,接着在工业以太网交换机、控制网关旁边部署ICS工控系统信息安全监控设备,实现网络结构风险以及活动的及时可见,对网络中的可疑行为和攻击产生暴击,同时对网络的通信也可以进行审计,定期生成统一报表,用于分析和展示,应该也是集成到监控一体机里面,集成了很多监测的功能,相当于一个分布式的入侵检测,前端有很多监控设备,监控一体机、监控平台,对这些所有的监控设备,包括工控防火墙进行统一的管理,是水厂的一个集中监控架构,跟前边的电网架构还是有点不一样的,电网偏向于纵向架构,它是一种大网,全国的,而这个水厂一般偏向于一个局域网