隨著工業(yè)化和信息化的深度融合和網(wǎng)絡技術(shù)的不斷進步,我們所認為的傳統(tǒng)意義上較為封閉、安全的工業(yè)控制系統(tǒng),正暴露在網(wǎng)絡攻擊、病毒、木馬等傳統(tǒng)網(wǎng)絡安全威脅之下。作為國家關(guān)鍵基礎設施的重要部分,工控系統(tǒng)一旦受到攻擊容易造成設備受損、產(chǎn)品質(zhì)量下降等問題及安全事故,影響國民經(jīng)濟和社會穩(wěn)定,甚至危害國家安全。然而,由于工業(yè)控制系統(tǒng)設計之初往往只關(guān)注可靠性和實時性,信息安全被長期忽略,且傳統(tǒng)信息系統(tǒng)上流行的入侵檢測、防火墻和漏洞修復等信息安全技術(shù)手段由于兼容性問題,很難不做更改地在工業(yè)控制網(wǎng)絡內(nèi)進行部署,這導致系統(tǒng)中的漏洞和隱患得不到有效的防護。工業(yè)控制系統(tǒng)的安全問題已經(jīng)成為影響國家關(guān)鍵基礎設施穩(wěn)定運行的重要因素。
為保證工業(yè)控制系統(tǒng)網(wǎng)絡安全,必須從風險評估入手,使用符合工控系統(tǒng)特點的理論、方法和工具,準確發(fā)現(xiàn)工控系統(tǒng)存在的主要問題和潛在風險,才能更好地指導工控系統(tǒng)的安全防護,才能建立滿足生產(chǎn)需要的工控系統(tǒng)網(wǎng)絡安全縱深防御體系。
2017年7月,鑒于海天煒業(yè)在工控領域十多年的系統(tǒng)檢維修、工控網(wǎng)絡安全經(jīng)驗和雄厚的技術(shù)實力,某石化企業(yè)邀請海天煒業(yè)對其DCS系統(tǒng)進行了全面的安全風險評估。
專項小組進駐制定詳盡方案
收到客戶需求后,海天煒業(yè)在第一時間組織多名工控系統(tǒng)、網(wǎng)絡安全骨干人員成立專項風險評估小組。評估前期,該小組多次前往現(xiàn)場調(diào)研,和客戶充分交流,詳細了解現(xiàn)場網(wǎng)絡環(huán)境,結(jié)合GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全 第1部分:評估規(guī)范》和2017年6月剛剛出臺的中國石化生[2017]292號文 《關(guān)于加強工業(yè)控制系統(tǒng)安全防護的指導意見》制訂了詳細的評估方案和合適的評估手段及評估工具。
隨后,在與客戶會議確認評估工作步驟和方式后,評估組從資產(chǎn)、威脅和脆弱性以及已有安全措施等方面對現(xiàn)場網(wǎng)絡進行了詳細的識別與分析。
在本次風險評估項目中,主要通過以下幾個步驟來開展工控信息安全風險分析和評估工作:
1) 通過人員訪談、制度調(diào)閱和現(xiàn)場物理環(huán)境調(diào)研,了解組織的工控信息安全管理現(xiàn)狀;
2) 分析該裝置工控信息安全現(xiàn)狀與GB/T30976、等保、292號文等標準之間的差距總結(jié)待改進點;
3) 通過技術(shù)接入,獲取該裝置系統(tǒng)的網(wǎng)絡流量,針對流量展開協(xié)議分析、端口分析、異常分析及漏洞分析,發(fā)現(xiàn)風險;
4) 通過現(xiàn)狀調(diào)研分析,充分掌握該裝置的信息安全管理現(xiàn)狀,為后續(xù)風險分析賦值及制度改進措施和實施計劃提供依據(jù)。
針對評估報告提供防護策略,全面保障系統(tǒng)安全
在經(jīng)過一個多星期緊張的現(xiàn)場評估工作之后,評估小組針對現(xiàn)場評估結(jié)果進行充分的風險分析,并利用我公司工控信息安全實驗室工控異常流量分析平臺,工控漏洞分析平臺等對現(xiàn)場結(jié)果進行驗證和測試,得出詳盡的風險評估報告。在本次評估中共發(fā)現(xiàn)較高風險項55項,涉及工程師站、服務器、通信設備以及機房安全建設和管理制度等方面。
通過對該裝置DCS信息安全評估,對控制系統(tǒng)的網(wǎng)絡通訊情況,是否有病毒感染等信息安全風險有比較全面的掌握,對現(xiàn)場的關(guān)鍵設備及系統(tǒng)狀態(tài)有了充分的了解,對病毒的信息進行分析與檢測,為形成全網(wǎng)絡病毒的解決提供一個可行性的操作規(guī)范及解決方案框架。病毒檢測及網(wǎng)絡風險評估工作能夠?qū)刂葡到y(tǒng)及網(wǎng)絡的運行狀況提供評估,并針對工控系統(tǒng),從管理、技術(shù)等層面提出工控系統(tǒng)安全指南、管理指南建議提供針對性的安全防護策略,為今后全廠控制系統(tǒng)的安全防護提供依據(jù),為全廠工控信息安全解決方案提供鋪墊。
