图1 城市供排水流程
随着信息化在各个行业应用的普及,采用现代化的技术和管理手段来进行供排水管理、运营、应急及服务,以更加精细和动态的方式管理水务系统的整个生产、管理和服务流程,从而达到“智慧”的状态。城市供排水行业中的自来水厂、污水处理厂、工业供水厂及管网的工控系统也逐渐由信息孤岛向万物互联的方向延伸,越来越多的网络协议、通用软硬件被应用到传统城市供排水工控系统中,在提高运行效率的同时也带来了信息安全隐患。工控网络安全攻防时刻存在,每个城市的基础设施也是敌对势力和黑客的战场和练兵场,严重影响城市的正常运行。
通过在水厂工控系统中逐级部署安全方案,形成一个中心四重防护(安全管理中心,安全区域边界,安全通信网络,安全计算环境,控制器防护)的安全保障,构建“1+4”多重工控信息安全防护体系,以厂级安全运维中心为指挥中枢,将四重防御体系有机结合、统一管理,实现城市供排水工控网络安全可知、可视、可管、可控的总体目标,保障城市用水安全。
2 城市供排水工控系统架构及风险
2.1 城市供排水工控网络架构
城市供排水系统主要分为自来水厂、污水处理厂和工业供水厂,分别对自来水、污水和工业用水进行生产与处理。水厂通过部署工控系统对供排水设备进行控制管理,架构上形成控制层与现场设备层分离的管控模式
(1)自来水厂:原水经过沉淀、消毒、过滤等工艺流程的处理,完成自来水整个生产过程,水质符合一般生活用水要求。大部分水厂设备由PLC控制器进行控制,数据来源于工控系统,现场网络层使用交换机形成环网,典型自来水厂网络结构拓扑图如图2所示。
图2 典型自来水厂网络拓扑图
(2)工业供水厂:工业用水是工业生产中必要的用水,原水经过沉淀、消毒等工艺达到工业用水标准,使用量最大的为冷却用水,其次为洗净用水和产品处理用水。典型的工业供水厂通过运行服务器双网卡将现场控制层和过程监控层进行隔离,现场控制层使用交换机组成环网,使用PLC控制器对水处理设备进行控制,工控系统环境与自来水厂类似,网络拓扑图如图3所示。
图3 典型工业供水厂网络拓扑图
(3)污水处理厂:现代污水处理技术通过沉淀、消毒,再按处理程度要求划分,可分为一级、二级和三级处理,使污水达到排入某一水体或再次使用的水质要求对其进行净化的过程。一般根据水质状况和处理后的水的去向来确定污水处理程度。典型污水处理厂工控网络结构与自来水厂类似,现场控制层使用交换机形成环网,网络拓扑图如图4所示。
图4 典型污水处理厂网络拓扑图
通过对当前典型自来水厂、工业供水厂和污水处理厂工控网络拓扑的研究与分析,其网络结构大体相似,存在较多共性,根据IEC 62443-1-1工控模型可以抽象概括为5个层次:
(1)现场设备层:包括水厂里水处理设备;
(2)设备控制层:主要是PLC控制器,对水处理设备进行控制与信息采集;
动控制生产过程;
(3)过程监控层:通过人机界面,实时数据等自
(4)生产管理层:通过服务器、工作站、数据服务器对所有控制器进行管理与控制;
(5)企业资源层:企业管理系统,一般架设在公网。
典型水厂网络拓扑图如图5所示。
图5 典型水厂网络拓扑图
2.2 行业网络安全现状及风险
我国供排水企业在信息安全生产上建设还处于起步阶段,城市供排水行业缺乏完善的信息安全规范制度。从业人员安全意识淡薄,高端技术人才匮乏,没有形成完善的突发信息安全事件应急响应机制。
除了缺乏相关的管理制度外,目前各个水厂、水库及管网也存在工业控制系统建设时间较久,工业控制器及主机系统均较为老旧,信息安全防护水平偏低,防护措施不到位等行业普遍问题,且控制层与现场设备层之间数据交互大多采用私有协议,缺乏安全性考虑。
通过对水厂网络安全现状的分析调研,在系统各个层次还普遍存在如下问题:
(1)设备控制层:对PLC设备的网络访问没有控制策略,使广播风暴、恶意代码传播、网络攻击等变得更容易,且缺少控制器组态备份,一旦遭受数据破坏,无法进行数据恢复;
(2)过程监控层:厂区整个控制网络为统一网段,极易收到广播风暴、恶意代码的传播和网络攻击。无网络审计功能,在网络安全事件发生后无法进行溯源;
(3)生产管理层:服务器、工作站、工控系统的登录口令无复杂度校验和定期更换机制,存在口令被恶意用户暴力破解的可能。工控系统无日志审计功能,无法对用户的重要行为进行审计;厂级运维中心缺少对设备状态、安全审计、恶意代码等安全事项集中管理;
(4)企业资源层:部分系统部署在外网,外界网络攻击、病毒等威胁容易通过网络边界侵入内网。因此,急需加大城市供排水工控系统信息安全方面的投入,全面提升供排水工控系统各个层次的信息安全防护水平。
2.3 城市供排水工控安全必要性
工业控制系统是所有工业系统、重大装备和基础设施的“大脑”,是城市中枢神经,城市基础设施工控安全关系到国家安全、经济发展和社会稳定。城市供排水系统作为重要的城市基础设施,影响着居民和工业生产用水,关系重大,一旦遭到网络攻击,将会直接影响人民日常生活和社会稳定运行,建立城市级供排水工控系统的网络信息安全体系已刻不容缓。
针对上述城市供排水行业中各类水厂工控系统普遍存在的安全风险及国家对工控系统安全防护要求,提出水务行业工控安全解决方案,在系统不同层次部署相应的网络安全产品,配置必要的网络安全策略,构建“一个中心四重防护”的“1+4”多重工控信息安全防护体系,实现行业工控系统网络安全统一标准、统一建设、统一管理。
3 城市供排水“1+4”多重工控信息安全防护系统设计
城市供排水行业“1+4”多重工控信息安全防护系统,遵循可视性、协同性、智慧中枢、深度防御、主动防护、动态调整的原则,搭建厂级网络安全管理中心及四重安全防护设备,实现自来水厂、工业供水厂、污水处理厂工控网络安全可知、可视、可管、可控。
3.1 “1+4”多重工控信息安全防护系统结构
城市供排水工控网络安全防护系统主要采用一个中心四重防护的多重防护部署模式,建设一个厂级安全运维管理中心以及安全区域边界、安全通信网络、安全计算环境、控制器防护四重防护架构,并根据设备控制层、过程监控层、生产管理层的功能和业务特点采用相适配的安全防护策略,达到多重工控防护,保证水厂网络安全。部署模式如图6所示。
图6 水厂工控网络多重安全系统部署模式图
3.2 工控安全防护系统载体
为实现城市供排水工控网络安全防护系统的功能,需要引入一系列安全软硬件进行全方位、分层次防护,涉及的安全产品有厂级安全运维中心、工业安全隔离与信息交换系统、工业防火墙、工业主机安全防护系统、控制器防护系统、工控安全审计与入侵检测系统、工控运维审计系统、控制器完整性检测与恢复系统等。
在现场控制层、过程监控层、生产管理层、企业资源层部署相应的安全产品,实现附加在设备、控制、网络、应用、数据等基础架构之上的安全能力。
通过层次化防护系统使城市供排水工控系统网络安全可控、日常运维可管、工控行为可知、业务安全可信、安全威胁可防、攻击事件可溯、安全态势可视,以支撑城市供排水行业中各个水厂、管网、泵站等流程的工控系统安全应用实践,使供排水工控安全呈现如下特点:
(1)构建工控网络安全防护体系的所有产品、组件自身安全可控;
(2)工控网络安全防护体系的日常运维自主管控;
(3)符合国家网络安全相关法律、法规、政策及行业标准,并具有一定前瞻性;
(4)能够针对城市供排水工控系统内的安全风险进行评估与排查,对安全威胁进行检测、保护、预警与响应处置,尽可能减少风险与损失;
(5)针对发生的攻击事件可以审计与追溯,以防再次发生;
(6)能够实现企业的安全状态全面呈现,安全风险与威胁趋势可预测;
(7)控制器组态可备份与无损恢复,保证控制器正常运行。
3.3 “1+4”多重工控信息安全防护系统的技术引擎库
“1+4”多重工控信息安全防护系统包含五大技术引擎库以支撑整个体系的功能,分别为信息采集&发送,深度流量检测&工控协议解析,实时&智能分析引擎,安全运维和知识库,如图7所示。
图7 城市供排水工控网络安全防护系统功能结构图
信息采集&发送:主要实现工控数据的采集与发送。一是,支持无损流量采集技术,核心交换机流量通过镜像口采集进行安全审计;二是,通过定制化的软硬件实现高性能转发,做到低时延;三是,支持主机信息采集;四是,支持资产探测技术,结合知识库,探测网络中的工业控制器、控制主机、网络设备等资产的详情。
深度流量检测&工控协议解析:主要对数据进行细粒度的提取和分析。一是,支持协议深度解析技术。除了深度解析多种传统协议外,还支持解析多种工控协议,包含Modbus、ENIP、FINS、S7 COMM等,解析的细粒度可达操作的功能码、地址、数值类型和数值;二是,支持深度流量检测技术,监测并记录资产流量、协议流量、接口流量以及会话的连接状态、异常中断、异常重连、异常报文、工控停机、阈值超限等;三是,支持威胁深度匹配技术,结合知识库检测网络中的扫描探测、病毒、恶意代码、高危远程链接等威胁;四是,实现资产自动识别。
实时&智能分析引擎:为数据报文的告警与阻断提供决策,是实现“监测”与“防护”功能的核心。一是,通过主机安全监控技术实现主机风险预测,监测并防止威胁操作;二是,支持工控组态监测与恢复。对工控组态信息进行特征分析与智能搜索技术,对偏离基线的工控组态进行告警并支持组态恢复;三是,支持交互特征分析技术和主体识别技术,将资产信息及其通信关系分析,并整合风险事件,全息展现资产画像;四是,支持智能学习技术,自动生成用户策略、资产通信关系策略、操作功能码策略、组态文件基线等。
安全运维:实现数据清洗、分析、可视化以及态势感知。一是,支持事件关联分析和攻击链分析技术;二是,支持策略管理与协同,根据监测到的异常通信、非法外链等事件生成防护策略并下发至防护产品,形成“监测—响应—防护”管理链;三是,支持机器学习技术建立工控业务基线。
知识库:包含恶意代码特征库、僵木蠕特征库、恶意IP/URL库、漏洞库、资产库、协议库等。根据最新的工业威胁情报,进行实时知识库研发和更新。
3.4 系统的智能化防护技术
根据国家等保2.0要求以及现代化工控安全理念,水厂工控安全融合了智能化主动防护策略:
(1)利用基于机器行为训练的误差修正算法,根据工控系统网络通信信息模式库和行为特征进行业务行为训练;
(2)采用基于规则树的推理引擎,利用推理算法和冲突消解机制,较优地解决规则推理机制和规则条件匹配的效率问题;
(3)采用主被动双重检验的组态工程重建和监测技术,实时测量、收集控制器健康状况数据;
(4)采用基于机器学习的进化基线检测技术,对各项数据进行深度学习,建立起始多节点复合基线,并学习当前工控网络特点,调整基线;
(5)采用基于周期性的无损报文精简存储技术;
(6)基于工艺指令组合智能识别的控制器防护技术,利用业务流程模型和基于规则树的规则推理引擎,高效匹配工控策略规则,实现业务处理的低时延、可预测;
(7)使用控制器完整性监测与恢复系统,采用特有的安全监测算法,对设备的运行状态、数据状态等控制器健康状态进行实时监测,并支持控制器控制代码、硬件配置、原始参数等关键数据进行备份与恢复。
(8)采用工控系统通信主体交互特征分析与提取技术,建立较为全面的工控系统资产库,分析和识别系统类型、关键组件构成、网络结构并分析通信主体间的交互特征。
(9)采用基于交互特征的工控通信主体识别技术,通过主动扫描和被动监控相结合的工控通信主体识别方法以及策略自学习高准确度进行主体识别。
4 工控安全防护体系应用部署
通过对城市供排水工控系统网络安全测评,在管理中心及通信网络、区域边界、计算环境、控制器等区域进行安全系统部署:
(1)在水厂工控系统的过程监控层与生产管理层之间部署工业防火墙,在网络边界处部署工业安全隔离与信息交换系统,从物理层面实现网络隔离;
(2)在水厂工控系统的流量核心节点,部署工控安全审计系统,实现资产关系校验、网络流量审计、入侵检测和异常行为告警;
(3)在水厂工控系统生产管理层的各个工控主机、服务器、接口机等设备安装工业主机安全防护系统进行安全加固;
(4)在水厂工控系统重点PLC控制器交换节点处,部署控制器完整性监测与恢复系统。在各个水厂工控系统的设备控制层的重点控制器前,部署控制器防护系统,对工控协议进行深度检测,高性能地实现对控制器的防护。
(5)在逻辑上将使用者与目标设备分离,建立“人——主账号授权——从账号”的模式,在水厂内部署工控运维审计系统,建立针对维护人员的“主账号——登录——访问操作——退出”的全过程完整审计管理。
整体部署方案如图8所示。
图8 典型水厂工控安全产品部署示意拓扑图
5 结语
本文对城市供排水工控系统进行了分析,并根据水厂特点设计了一个中心四重防护的“1+4”多重工控信息安全防护系统,以厂级安全运维中心为指挥中枢,将四重防护体系有机结合、统一管理,构建城市供排水行业工控网络与信息安全环境,落实网络安全法和国家网络安全等级保护制度,为行业工控系统网络安全统一标准、统一建设、统一管理提供建设方向。
作者简介
张志群(1974-),男,浙江衢州人,工程师,硕士,现任浙江国利网安科技有限公司研发主任,主要研究方向为网络安全、工控安全、大数据、物联网安全。
陈 波(1987-),男,浙江慈溪人,工程师,硕士,现任浙江国利网安科技有限公司产品经理,主要研究方向为4G/5G通信协议、网络安全、大数据、物联网。
摘自《工业控制系统信息安全专刊(第七辑)》