工控网APT防护方案能源

背景与需求

能源企业生产的产品大多为易燃、易爆、有毒以及强腐蚀性的物质,其操作流程十分复杂,各种高温高压设备较多且对操作都有严格要求,一旦生产系统出现安全问题,可能产生现场的火灾、爆炸,可能造成人员伤亡、生产设备的损坏。因此产生的次生灾害,包括生产原料的泄露、扩散等问题可能在很大范围内、长时间造成空气、水源、土地的污染,给人民生活和环境带来严重影响。因此,控制生产安全事件的发生是石化企业非常重要的任务,信息安全问题是可能引起生产安全问题的一个重大隐患。

典型石化企业网络划分一般为管理网、数采网、工控网。其中安全需求为:
  • 网络连接处易受病毒侵袭风险。DCS过程控制网与生产运行管理网OPC数采机连接处,DCS过程控制网与先进控制系统接处,操作员站之间连接处,无访问控制措施与入侵防范措施。
  • OPC服务器最为数据转换接口,存在诸多安全隐患。OPC服务器一般是Windows平台,XP居多,投产后一般不更新补丁。OPC协议在使用过程中,OPC Server端和多个OPC Client端使用相同用户名和口令。OPC Client端有对Server端数据进行读取、修改等全部的访问权限,不满足最小授权原则。
  • 管理网应用系统普遍存在弱口令问题
  • 主机中存储的文件一般未加密,容易造成核心数据丢失
  • 便携式工程站成为工控安全的重大隐患。工程师站对操作站、DCS控制器的组态行为一般无身份认证和访问控制,并且拥有最高的操作权限,可以任意修改控制逻辑和流程。非法的工程师站成为工控安全的重大隐患。
  • 先进控制系统(APC)通常可以由先进控制软件供应商自由操作,自身无任何防护措施,存在感染病毒的高风险。先进控制的安装、调试、运行一般需要较长的时间,且需要项目工程师进行不断调试、修改。期间APC系统需要频繁与外界进行数据交换,给APC系统本身带来很大感染病毒的风险。一旦 APC系统受到病毒感染,其对实时运行的控制系统安全会造成极大威胁。
  • 操作员站主机安全隐患。操作员站一般是基于Windows平台,版本包括NT4.0、2000、XP、win7、server2003等。windows平台固有的脆弱性均可以被病毒黑客利用。并且大部分企业无移动存储介质管理、操作站软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

解决方案

根据工控网络安全防护需求,在工控网络中部署APT检测防护设备,用以检测网络中可能存在的APT攻击行为,消除工控网APT隐患。

整个方案由一台全球眼设备组成。旁路部署在工控网络核心交换机处。

方案功能

1、内网安全监视
  • 全面分析工控内网流量,及时发现非法外连事件,对工控网络数据进行全面检测
2、入侵防御
  • 实时发现针对PLC、DCS等重要工业控制系统的攻击和破坏行为,以及病毒、木马等恶意软件的扩散和传播行为,为工业控制网络安全事件调查提供依据

方案特点

1、弥补现有安全检测系统对APT攻击防护的不足
  • 现有安全检测系统都是对已知的僵木蠕恶意代码进行检测,缺少对高级的、未知恶意代码进行检测,全球眼设备能够将未知恶意代码攻击行为检测出来
2、对网络中已经存在的攻击行为的准确检测
  • 针对失陷主机检测是全球眼设备的特色功能,能及时、准确检测出网络内存在的APT攻击行为