数据中心基础设施的工业控制系统(以下简称“工控系统”)在电力、空调、监控等领域应用广泛。随着管理和控制的需求不断提高,以及网络、通讯等信息技术的广泛深入应用,越来越多的工控系统与企业网中运行的管理信息系统之间实现了互联、互通、互操作,甚至可以通过互联网、移动互联网等直接或间接地访问,这就导致了从多方面都有可能实现对工控系统的攻击或病毒传播,工控系统面临的安全风险进一步加大。2019年12月正式实施的《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019对于工控系统提出了多项防护要求,工控系统的安全问题须引起数据中心行业的重视。

一、工控系统安全风险

企业数据中心承载着所有业务及数据,对基础设施的可靠性要求极高,作为基础设施核心内容的电力与制冷两大系统需要通过监控系统进行运行监控及必要的常规自动处置动作,要完成上述内容则需要通过与各类仪器仪表、PLC设备进行通讯,从而实现对各类数据的收集及动作指令的发出,这就是典型的工控系统,普遍存在以下问题:

  1. 工控系统普遍运行在WINDOWS操作系统下,近几年也逐步向LINUX操作系统进行升级;

  2. 系统普遍处于“裸奔”状态,没有任何安全防护措施,可以外接U盘、WIFI等;

  3. 基本不会对操作系统、数据库进行更新补丁或升级;

  4. 系统采用弱口令,密码长期不进行更改;

  5. 系统开通远程访问,如远程桌面,FTP等服务。

上述问题一旦被黑客利用,就可以控制数据中心的电力与空调系统,后果不堪设想,近年国内外工控安全问题事件频出,这里不再赘述。

二、工控系统安全解决方案

为了从源头解决问题,根据等保2.0相关要求,主要从主机安全防护、边界隔离保护、工控网络监测、统一安全管理四个方面提出技术防护解决方案,打造安全的工控系统生产环境。

工控安全解决方案架构图

(一)主机安全防护

随着近年来针对工控的病毒(勒索、挖矿)、APT攻击增加,工控系统内部网络安全问题的严重性也逐渐增加。因此对工控系统操作员站等工业主机的防护已成为工控系统安全的基础环节,可为工控系统提供基础的防御与保护。工控主机防护目标主要是以下几点:

  1. 提高主机的恶意代码防护能力;

  2. 对主机进行USB接口、光驱等外设机构进行管控,降低非授权U盘、移动终端等设备接入工控网络带来的安全风险;

  3. 限制对主机开放端口的访问,提高主机的安全防护能力,同时补偿主机操作系统不能升级,补丁安装带来的风险;

  4. 对主机实施永恒之蓝等勒索软件相关补丁更新、默认共享关闭等加固操作,提高工业主机的安全防护能力。

(二)边界隔离保护

主要对工控运维网边界进行隔离保护,对跨安全域的防护进行监控,阻止非合规访问流量通过边界,主要包括以下几个方面:

  1. 在工控网络与企业网边界处部署工业防火墙,阻止非授权访问,同时防止安全事件扩散;

  2. 对网络边界通讯的数据进行协议检查,只允许专有协议数据通过,实现通讯可控;

  3. 对通讯数据进行深度包解析,结合智能学习引擎,对异常数据进行隔离;

  4. 对工业协议进行解析,实现对PLC等控制设备的异常操作进行阻止;

  5. 对网络异常的数据和行为进行实时报警。

(三)工控网络监测

通常工业控制系统的生命周期都很长,大量运行中的工控设备在当初设计时没有充分考虑到网络安全问题,或者拥有的安全机制无法应对不断涌现的各类安全威胁挑战,需要建立专门针对工控网络的全网监测平台进行补充,主要内容如下:

  1. 通过部署工控安全监测系统,建立企业在线工控网络安全监测系统,提供企业工控网络的总体运行情况,自动识别工控设备,显示设备当前状态,进行网络性能综合分析;

  2. 通过对工控系统重要网络节点或区域监测所有通过的数据包,对数据包进行深度解析,发现异常或非法操作数据包,及时发现对企业工控网络的非授权访问、人员误操作等行为;

  3. 通过部署安全监测系统,对所有异常情况发出报警,提升工控安全运维人员应急处理能力及效率,同时提升公司工控网络安全威胁管理的能力。

(四)统一安全管理

汇集企业多站点工控安全监测系统上报的数据以及主机防护管理平台上的资产数据,工业防火墙上报的日志信息数据,以数据可视化为核心,制定告警事件、处置情况、网络访问情况集中视图,为企业工控系统安全运营提供跨地域的即时可见性。

在此基础上,基于威胁情报和本地大数据技术对工业控制系统通信数据和安全日志进行快速、自动化的关联分析,及时发现工业控制系统异常和针对工业控制系统的威胁,通过可视化的技术将这些威胁和异常的总体安全态势展现给用户,通过对告警和响应的自动化发布、跟踪、管理实现工控系统安全威胁的闭环管理。

作者简介

高健,中国光大银行信息科技部基础设施领域专家,具有十余年从业经验,主要负责光大银行总行机房建设及运维管理工作。

龙天阳,现就职于中国光大银行信息科技部,从事数据中心设计、运维经验工作十二年,设计、建设数据中心机架逾五万架。

【本文原刊于《中国优秀数据中心》2020年3月刊,转载请联系协会秘书处】

声明:本文来自优秀数据中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。