根据等级保护2.0三级的设计要求,昌晖仪表以石油化工行业的工控系统网络安全等级保护加固为例,通过对石油化工工控系统主机安全防护、网络安全防护、综合审计运维等多方面实施网络安全加固,为石油化工工控系统建立一套基本的工控网络安全防护体系,保障系统稳定运行。
工控安全设备的部署方案如图所示。
①工控安全审计设备
部署工控安全审计设备后,将各层设备区域的核心网络交换机的数据镜像口与工控安全审计设备连接,对网络数据进行初级分析与处理,通过对网络数据包抓取、协议分析并按照预先配置的策略判断数据的合法性,非法数据将自动报警。能及时发现区域内流量异常的情况,特别是在所有防御手段都失效后,仍可以通过控制审计设备进行审计取证,并可通过后期分析发现整个事件的发起、传播和爆发的全过程。解决了等级保护2.0中安全区域边界以及安全计算环境对于边界防护等要求。
②工业防火墙
在各层设备区域之间部署“工业防火墙”;通过工业防火墙进行区域的逻辑划分、边界防护;确保各级区域内的自动控制系统不受其他级设备区域的干扰,将几个区域的安全风险、交又感染威胁和影响降到最低。
使用工业防火墙设备在区域边界以白名单形式做出针对性的访问控制,防止来自外部系统的风险威胁。对所有网络设备如交换机和路由器等进行配置,既建立安全的访问路径,也避免将重要网段直接连接外部系统,保证网络结构安全。高效率、高安全性的工业防火墙将强大的信息分析功能、高效包过滤功能等多种安全措施综合运用,并根据系统管理者设定的安全规则保护内部网络与工控网络,提供完善的安全性设置,通过高性能的网络核心进行访问控制。解决了等级保护2.0中安全区域边界对于入侵防范等要求。
③工控漏洞扫描平台
部署工控漏洞扫描平台,发现系统中的安全漏洞,并进行整改,从而保障工控设施的正常运转。工控漏洞扫描平台根据实际漏洞扫描工作需求,可在不同网段和不同区域之间进行切换,分别对不同层区的设备进行扫描。
工控漏洞扫描平台根据工控系统已知的安全漏洞特征对工控系统中的控制设备、应用或系统进行扫描、识别,检测工控系统存在漏洞并生成相应的报告,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在漏洞全面评估的基础上实现安全自主掌控。解决了等级保护2.0中安全运维管理对于漏洞和风险管理的要求。
④工控主机安全防护
在各级区域的数据服务器、工程师站、操作员站等系统中部署工控主机安全防护,通过非法外联管理功能,防止设备非法外联,保障企业核心数据安全;通过应用程序的黑白名单机制,阻止恶意代码入侵系统及工控软件;同时通过终端安全的外设管理功能,实现对USB口、手机、光驱等相关外设设备的准入管理,杜绝数据外泄和感染病毒的风险,从基础接入方面杜绝可能产生的安全隐患。解决了等级保护2.0中安全区域边界对于访问控制等要求。
⑤工业安全管理平台
在安全管理中心处部署工业安全管理平台,通过网络对工业防火墙、工控安全审计设备、工业交换机以及其他工控设备实现集中管控和审计。实现工控网络环境下的资产、通信和协议的可视化。并且提供批量配置和下发工业防火墙、工控安全审计设备策略的部署方式,同时提供系统层面的事件收集、审计和报警的功能,对安全问题进行全面的分析和诊断。工业安全管理平台可以看到整个系统的运行状态,并用一系列措施应对网络遇到的威胁。解决了等级保护2.0中安全管理中心对于集中管控等要求。
⑥工业安全态势感知系统
在安全管理中心处部署工业安全态势感知系统,实时全面感知网络空间工控设备态势情况,获取联网工控系统设备类型、设备参数、运行状态、地理位置、开放端口及服务等关键信息。通过关联国家权威漏洞库进行攻击威胁和隐患分析,评估联网工控设备安全风险并及时预警。同时对重点区域工控系统安全态势进行可视化整体呈现,指导用户及时封堵漏洞,有效降低工控系统被攻击的风险。解决了等级保护
2.0中安全管理中心对于集中管控的要求。
⑦运维审计设备
在安全管理中心处部署运维审计设备,针对运维操作,以集中管理为基础,单点登录为手段,实现对“自然人(操作者)”在“主机设备等重要资源(操作对象)”上的“操作行为(操作内容)”的集中管理、集中认证、实时控制和实时审计,审计信息不可更改、不可杜撰,最终实现人为操作风险最小化控制。解决了等级保护2.0中安全管理中心对于系统管理的要求。
⑧日志审计设备
在安全管理中心处部署日志审计设备,能够对全网海量的日志数据进行集中收集,拥有强大的搜索功能,支持精确检索、范围搜索、模糊搜索以及组合条件查询,依靠大数据分析技术,实现检索过程的秒级响应。通过时间、关键字段与复杂流程拼凑关联事件。解决了等级保护2.0中安全管理中心对于审计管理的要求。
⑨数据库审计设备
在安全管理中心处部署数据库审计设备,对访问数据库的数据流进行采集、分析和识别。实时监视数据库的运行状态,记录多种访问数据库行为,发现对数据库的异常访问,并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。解决了等级保护2.0中安全管理中心对于审计管理的要求。
通过上述安全防护措施,最终实现:提升、巩固工控系统基础计算环境(包括操作系统、数据库、应用软件等)防护能力;网络安全分域、区域隔离,保障网络边界安全,将安全事件影响降至最低;同时实时监控工控系统网络安全运行状态,及时处置信息安全事件;构建工控系统安全集中管理中心,达到工控系统网络安全事件的集中审计和分析。