找准边界,吃定安全 | 万物互联,怎么摸清工业控制系统中的安全边界?


必须采用纵深防御的安全理念

以被保护的工业控制系统为核心

构建起多层级的纵深防御体系

【找准边界,吃定安全】往期文章:

 云化下的新边界,东西南北流量该如何防护?

威胁情报加持,泛边界下的全局主动防御体系如何着手?

流量剧增?看山石网科如何打破传统限制

一、工控系统防护理念的演变

工业控制系统网络安全防护理念经历了四个阶段的演变。
  • 第一阶段是 2010 年震网病毒发生之前,仅强调网关、网闸、单向隔离等物理隔离,后来发现隔离是十分脆弱的,现代高级持续性攻击都是针对隔离系统的。
  • 第二阶段由传统信息安全厂商提出的纵深防御体系,大多数项目演变为信息安全产品的简单堆砌,带来了更多的故障点,这些故障点在不同的系统中造成了很大的危害,所以不能完全适应工业网络安全的特点。
  • 第三阶段是目前所处的从工业控制系统内部生长的持续性防御体系,通过基础硬件创新来实现,低延时、高可靠、可定制化、持续更新、简单化的实施和操作等。虽然这个阶段现在还有很多的问题要解决,但是确实有效性在逐渐的提升。
  • 第四阶段是近两年来以美国、以色列为代表的以攻为守的国家战略,在国家层面注重攻击技术的研究、实验、突破和攻防演示实验室的建设,以攻击技术的提高,带动防御技术的提高,以攻击威慑力,换取安全性。

二、工控系统安全的趋势和建议

在当今技术高速发展,系统结构日趋复杂,攻击手段不断翻新,尤其出现了高级可持续威胁的信息安全大背景下,想要把所有的攻击都阻拦在防护之外,已经是不可能的事情。因此,要保证工业控制系统的安全,必须采用纵深防御的安全理念,以被保护的工业控制系统为核心,构建起多层级的纵深防御体系。
第一步,需要在工业控制系统的对外边界上建立起良好的“边界系统”,借助传统 IT 系统的相关经验和产品,同时充分结合工控系统性能特点,利用工控防火墙、工控网闸等安全隔离设备,在工控系统的边界上构筑安全防线。
第二步,需要为工业控制系统建立全面的“防御系统”,它包括了工控监测审计系统、安全管理平台和安全态势感知等安全部件,用以检测和抵御入侵工控系统的攻击行为。

三、工控安全边界界定及第一道防线

参考 IEC 62264-1 的层次结构模型划分可分为 5 个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层;
• 企业资源层主要包括 ERP,PLM 等功能单元,用于为企业决策层员工提供决策运行手段;
 生产管理层主要包括 MES 系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;
• 过程监控层主要包括工程师站、操作员站与 HMI 系统功能单元,用于对生产过程数据进行采集与监控,并利用 HMI 系统实现人机交互;
 现场控制层主要包括各类控制器单元,如 PLC、DCS 控制单元等,用于对各执行设备进行控制;
 现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。
由此可见,工控安全边界主要指办公网与生产网的网络边界防护、生产网内部各生产车间或工艺流程网络边界防护、关键 PLC 控制设备的安全防护。可以通过工业防火墙实现管理网与生产网的隔离,并保证数据传输需求;根据业务划分安全区域,针对跨装置存在的操作站互联情况,在操作站之间加装工业防火墙,实现安全域间的安全通信;通过工业防火墙对控制系统进行防护,保护关键控制器(如 PLC)的数据在传输中不被病毒篡改及删除,防止控制网中节点感染病毒。

四、山石网科自研工业防火墙

山石网科工业墙是针对工业安全控制网络和工业安全应用而研发、推出的一款涵盖传统防火墙、工业协议数据包深度解析、工业协议指令控制等功能在内的工业网络安全防护产品。该墙采用多核并行系统为上层应用封装底层数据,提供底层数据的高速转发和安全感知能力;在流会话的基础上,实现了状态检测防火墙功能,智能检测 TCP 流量状态信息并进行控制,智能进行应用层检测并打开动态端口;能够识别超过 8000+ 互联网应用特征攻击行为,支持基于规则库的特征行为控制,做到细粒度的内容识别控制、审计和安全防护,对常见的 SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大 ICMP 等异常包攻击行为进行阻断和防护。
针对工业网络和系统,山石网科工业墙可识别多种工业协议和协议里传输的指令,如 Modbus TCP、OPC、IEC 60870-5-104 等,在五元组防护的基础上对数据包的完整性、功能码、地址范围和值范围进行快速有针对性的深度解析,同时为客户内部的私有协议提供自定义协议功能,全面满足工业系统兼容性要求。

另外,山石网科工业墙通过协议分析和庞大的资产库资源,快速识别工控网络中的设备,智能化分析资产属性等基础信息,自动生成通讯拓扑图,在界面上对整个工控网络资产进行可视化展现,并对设备的资源状况、端口工作状况等进行监测,在拓扑图上提供可视化的异常展示与告警,为客户摸清工控资产底数提供了强有力的保障。

五、总结

山石网科工业防火墙可广泛应用于轨道交通、电力、冶金、煤炭、石油化工、市政、汽车、烟草、智能制造等行业,能够在不改变现有工业网络结构和系统应用的情况下进行快速部署和便捷管理,有效解决工业企业工业系统组网安全、信息孤岛、控制指令不可信、网络数据不安全以及合规性等问题,为工业企业的智能化发展保驾护航。