关键信息基础设施的等保2.0之路——市政供热企业篇
发布时间:
2020-09-21
来源:
作者:
访问量:
217
引言
2019年12月1日,《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。
一、安全现状
伴随着城市化进程的加速,城市容量增大、规模晋级,城乡结合部外扩,中小城市及县镇成为国内供热行业市场的发展重点。在热力生产的锅炉房控制系统、输送热网的控制系统信息化建设中灵活运用网络技术、变频技术、DCS技术、PLC技术,并结合供热系统的特点以实现系统的自动化控制,工业过程和信息化系统融合的需求越来越迫切,这样的融合使得原本封闭、独立的工业控制系统失去了免遭网络攻击的天然屏障,其控制系统网络表现出具有急剧扩大的边界、不断增加的设备数量、更加复杂的交互行为等特点,一些原本对信息系统的攻击也能对市政供热系统造成巨大影响。
当前供热系统普遍存在以下网络安全风险:
l 城市热力站地理位置分散,覆盖面广,大部分采用GPRS/3G/4G等运营商无线网络实现热力站与调度中心的数据通信,通过运营商无线公网进行传输。调度中心控制指令和各热力站实时过程数据均以明文传输,极易被恶意攻击者窃取信息数据或者对信息数据进行篡改,导致无法真实传递控制指令和反映当前热力站控制系统运行状态;
l 为了提高市政供热系统运行效率,控制系统网络与企业信息网络相连却缺乏有效的隔离措施和数据流向控制策略,企业信息网络与互联网联通,极易导致恶意攻击者渗透进入市政供热控制系统;
l 调度中心网络与热力站网络直接跨域相连,缺乏有效的区域隔离措施,任何一个网络的流量异常,都会扩散到其他网络,从而影响市政供热控制系统的正常运行;
l 各热力站与调度中心之间建立通信连接时缺乏有效的身份认证机制,恶意攻击者能够冒用合法热力站的身份向调度中心发送伪造的过程数据,亦或伪装成调度中心欺骗热力站向其发送过程数据或接收其伪造的控制指令,达到欺骗通信、欺骗控制的目的,破坏市政供热系统的正常运行甚至导致系统瘫痪;
l 市政供热控制系统中普遍使用了基于windows操作系统的服务器、终端设备和应用软件,多数控制系统编程和组态软件对操作系统、数据库等软件的版本采用了强耦合的方式,版本的升级将会导致控制系统软件无法正常运转。为保障市政供热控制系统开车后稳定运行,通常不会安装升级补丁,极易导致操作系统和应用软件被攻击。另外为了方便使用,操作系统和应用软件普遍存在弱口令问题;
l 市政供热控制系统中普遍缺少必要的网络审计、设备日志审计、数据库审计、运维审计等措施,无法做到风险信息的完全回溯;
l 市政供热控制系统网络中普遍缺乏对设备资产的管理与监控机制,导致未知终端设备能够轻易接入控制系统网络,使攻击者能够以这些设备为跳板侵入到控制系统网络并发起攻击。同时,对控制系统网络运行情况缺乏监控和感知能力,无法及时发现控制系统网络中出现的可疑或攻击行为。
二、解决方案
面以上安全风险,天地和兴做了深入的调查与研究,为集中供热系统提供全生命周期的网络安全解决方案。
01风险评估方案
市政供热控制系统是一种从统一热源,以热水或蒸汽为介质,经供热管网向区域内的用户供应生活和生产用热的供热系统,也称区域供热,是城市能源建设的一项基础设施。供热行业热源、管道、信息资产较为分散,可以通过全方位的风险评估对其生产控制网络和管理过程中存在的各种风险和问题做到检查与验证。天地和兴将针对供热系统区域、控制系统设备精细化检查,采用专用风险评估工具对当前网络环境进行深度的工控漏洞挖掘,最终生成权威的安全风险评估报告,为用户全面了解生产控制系统网络安全风险提供依据。
图 典型的攻击者类型、动机和能力
02安全防护方案
集中供热系统主要包括热源、 热网和用户三个组成组成部分,对于一些规模较大的直供系统而言,热源和采暖终端之间还会设置热力站。其中热源主要为热电联产、 热电站、区域供热厂、区域锅炉房以煤、重油或天然气为燃料进行生产而产生的热能。对于热电厂、供热锅炉房生产监控系统的网络安全防护建设,遵循《网络安全法》、《信息安全技术网络安全等级保护基本要求》“一个中心、三重防护”的安全理念,通过部署工控防火墙、工控安全审计、入侵检测、账号运维及管理系统等安全防护产品,提升生产监控系统网络整体防护能力,部署示意图如下:
安全通信网络:在生产控制大区和信息管理大区之间串行部署单向隔离网闸,用于生产控制大区到管理信息大区的非网络方式的单向数据传输;加密认证网关部署在控制系统的内部局域网与管网调度数据网络的路由器之间,用来保障GIS系统纵向数据传输过程中的数据机密性、完整性。
安全区域边界:在热力站PLC控制器与网络交换机之间的不同级别安全域部署工控防火墙,建立不同安全域之间的访问控制策略,有效隔离其他区域发生的网络安全事故,对工业通信协议进行深度包过滤检测。实现区域之间的逻辑隔离、报文过滤、访问控制等功能。避免在一个系统或区域里爆发的工控安全事件扩散到其他系统或区域当中,保障区域间通信网络安全。通过在核心交换机上旁路部署入侵检测系统、工控威胁检测系统、工控安全审计平台,实时监测网络边界、安全域内重要节点的异常行为并进行审计告警,异常行为包括各类已知、未知的入侵行为,网络病毒,非法访问等。
安全计算环境:在主要的工程师站、服务器、监控站、操作员站等上位机上部署主机防护系统客户端,搭配USBkey使用。构建主机白名单、防病毒、自动加固为一体的闭环安全环境,解决主机带毒运行、难打补丁、配置落后、移动外设等带来的风险隐患,通过外设主动防御、双因子认证、重要文件行为审计等,确保主机身份鉴别、访问控制、恶意代码防范、入侵防范得到有效控制。
安全管理中心:组建信息安全管理专网,部署工控安全分析与监管平台、账号管理及运维审计系统,将网络内部署的信息安全产品运维和报警日志进行集中收集及管理,以总揽大局的方式为计算机监控系统网络信息安全故障的实时报警、及时排查和数据分析提供了可靠的依据。
03安全检查方案
集中供热系统被关键信息基础设施等保定级为三级及以上,作为公用事业,大多数供热企业存在较大的重点系统安全检查问题,无定期做安全检查、整改意识,极易导致病毒爆发。没有常规地对系统进行安全检查和杀毒扫描。
开展信息安全检查,进一步梳理、掌握供热单位重要网络与信息安全基本情况,查找突出的问题和薄弱环节。分析面临的安全威胁和风险,有针对性的采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生。
04应急演练方案
为提高应对网络与信息安全事件的处置能力,预防和减少网络与信息安全事件造成的危害和损失,天地和兴会参照《网络安全法》第五章规定网络安全监测预警和应急处理制度建设,协助供热企业建立“事前评估、中期防护、事后追溯”的三步走策略。通过制定演练方案,使各部门和人员进一步明确应急流程、熟悉必要的应急操作,提高企业内部人员对网络和信息安全突发事件的协调配合能力和应急处置能力。
05安全服务方案
针对主管、运维等部门的“专业壁垒”等问题,天地和兴为相关人员提供专业的培训、咨询、运维等服务,涉及网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容。协助企业全员提高专业知识与安全防范意识。同时,天地和兴还提供7*24小时的专家级安全咨询服务与运维、应急保障。
06安全运营方案
安全运营的好坏直接影响工控系统网络安全防护体系的防护效能。安全运营涵盖内容较多,包括安全运营中心建立、安全意识培训、安全运营管理、安全体系管理、安全运维管理等多维度内容。针对企业实际情况进行详细方案设计,规范供热企业的整体安全运营工作。
三、总结
本方案以安全可控为目标、监控审计为特征,构建供热企业生产控制系统新一代主动防御体系,全面提高工控系统的整体安全性。项目的成功实施,将为供热企业工业控制系统网络安全防护体系开创行之有效的安全建设模式,通过纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架,提高市政供热生产一体化安全防护的能力。
天地和兴,工业网络安全,关键信息基础设施,等保2.0,供热
相关资讯
