背景概述
随着时代的进步,天然气已经成为国家能源之一,天然气产业链分为三个部分:上游勘探生产、中游运输以及下游分销。
![图片[1]-案例 | 天然气工控安全解决方案 – 作者:jordanx-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210326/1616753020_605db17cc711429ea461e.png)
燃气行业的蓬勃发展,相对应的基础设备增多,城市燃气企业建立了对应的城市管理系统SCADA,实现对燃气管线、燃气输气站、燃气储备站的远程管理,集中控制、数据采集等降低了成本的同时,工业控制系统(ICS)也面临着各种各样的威胁。
城市燃气集团SCADA系统,一般由调度中心控制系统和门站、储输配站、调压计量站等系统组成。调度中心的SCADA系统有多台服务器,多采用基于Windos的操作系统进行冗余备份。SCADA系统通讯一般采用Modbus TCP/IP协议和OPC协议实时采集天然气站场数据,远程控制阀门开关。同时通过实时数据接口与GIS、仿真、生产运行调度信息管理系统的服务器进行数据共享。
站控SCADA系统多采用PLC/RTU控制实时监控门站、传输配站、调压计量站运行,通过ModbusTCP/IP通讯协议和OPC通讯协议,采用光纤或网线的通讯方式将数据传输至调度中心。
![图片[2]-案例 | 天然气工控安全解决方案 – 作者:jordanx-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210326/1616753040_605db1906ca752f895525.png)
防护依据:
● GB/T 26333-2010《工业控制网络安全风险评估规范》
● 451号文工信部《关于加强工业控制系统信息安全管理的通知》
● GB/T 50811-2012《燃气系统运行安全评价标准》
● 工信部信软【2016】338号《工业控制系统信息安全防护指南》
● 2017年6月1日《中华人民共和国网络安全法》
● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
工控网络安全风险分析
工控网络边界安全风险分析
● 工控网络边界安全风险
工控网络核心区与企业信息网络互通,如果没有对应的安全防范措施,容易受到非法访问与入侵。
天然气站场监控多采用PLC/RTU控制器直接采集站场实时数据和控制阀门开关,缺少安全保护的情况下容易受到攻击。且当前多数天然气站场使用的PLC/RTU控制系统为国外品牌,存在潜在的漏洞或系统缺陷。
![图片[3]-案例 | 天然气工控安全解决方案 – 作者:jordanx-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210326/1616753061_605db1a52dce06288dc47.png)
● 通用协议风险分析
随着工业互联网和物联网的发展使得各种通讯协议越来越广泛地应用在工业控制网络中,随之而来的通讯协议漏洞问题也日益突出。天然气门站、储输配站、调压计量站等站场数据通讯中,主要采用Modbus TCP/IP、 OPC标准通讯协议。ModbusTCP/IP、OPC协议的数据格式未加密,容易被窃听、篡改以及伪造,攻击人员可以利用伪造的数据命令对天燃气站场设备进行错误操作,从而引发安全事故,甚至可以构造畸形数据包,导致PLC/RTU设备以及上位机设备崩溃。
● 主机风险分析
城市集团燃气SCADA工控系统主机部分没有安装杀毒软件。即使站控主机安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件的病毒库需要不定期的经常更新,这一在工业控制环境很难做到。杀毒软件对新病毒的处理总是滞后的,而且每年都会有新病毒出现。
还有监控主机站、工程师站、操作员站等主机多是采用Windos系统,系统老旧,升级困难,为保障工业控制系统的安全稳定运行,不会定期更新系统补丁,存在可能被攻击的可能,埋下了安全隐患。
主机经常拷贝数据,缺乏安全的管理机制,给SCADA系统带来了一定的安全威胁,包括U盘、移动硬盘等。
解决方案
针对某城市燃气SCADA系统数据通讯采用的Modbus TCP/IP或OPC通讯协议自身存在漏洞,部署工业防火墙实现对Modbus TCP/IP或OPC数据包进行深度检测、分析。经过深度检测,利用数据包的分析功能,有效分类功能码以及读写地址。同时对分析后的Modbus TCP/IP或OPC数据包提供了数据通讯读写地址的检测,包括源地址、目的地址、传输层协议、应用层协议、端口等信息执行访问控制规则,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止非法攻击。
采用高安全性、高稳定性、易于设置的应用程序可信白名单技术。只允许白名单内受信任的程序执行,可以很好地适应工业应用的单一性操作,并将木马、病毒等非法程序隔离在外;同时通过签名机制,可确保经过签名的可信应用程序正常升级更新,避免因软件升级导致系统无法运行的情况发生。系统针对应用程序、动态链接库、远程注入、驱动、脚本、注册表、重点目录、USB外设等多种对象进行全方位监控,确保恶意程序无法侵入。
在生产控制网络中旁路部署监测审计系统,通过特定的安全策略,快速识别出企业工业控制系统网络非法操作、异常事件、外部攻击,并实时报警。监测审计系统主要解决通信协议的威胁,操作系统漏洞威胁、多网络端口接入以及应用软件漏洞的威胁等。从而使整个生产现场出现问题是能够及时告警,并且可以作为事故追溯的依据。
方案价值
本方案严格遵循国家对工业企业信息安全的标准规范,落实工控安全网络信息安全解决方案。
在深入分析燃气集团SCADA系统的系统架构、 应用特点、安全现状、安全威胁和安全需求的基础上,将纵深防御理念引入到过程控制信息安全领域,结合过程控制的系统特点,能及时发现网络中异常行为,对发现潜在的未知威胁提供了有效的技术手段,实时的告警和响应能及时告知用户工控系统中存在的安全风险,减少安全事故带来的损失,提升企业效益。
来源:freebuf.com 2021-03-26 18:05:03 by: jordanx
请登录后发表评论
注册