绿盟科技:发力工控信息安全

  点击数:  发布时间:2018-02-24 15:45
关键词:工业照明 ,WILSTANDARD LED ,变频管家 ,客户交流会 ,Softmotion算法 ,速度规划 ,激光加工 ,自动化 ,魏德米勒 ,能效管理 ,施耐德 ,节能 ,利德华福 ,西门子 ,运动控制

1.jpg

绿盟科技工控安全部总监王晓鹏

在刚刚过去的2017年,北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)在工控信息安全领域的成绩让绿盟科技工控安全部总监王晓鹏感到满意。他告诉记者:“2017年绿盟科技工控安全市场实现了比较好的增长。在大型电力集团的关键控制系统中已经部署了相关安全设备,有效协助客户解决了满足合规性与构建业务保障的需求,得到了电力集团和能源局相关领导的认可。在wanacry爆发的工业现场,绿盟科技协助客户有效解决了工业现场的安全隐患,保证了生产的有效进行,成功为客户排忧解难。”

及早布局 成绩显著

事实上,作为国内较早开始从事工控信息安全研究及应用的安全厂商,绿盟科技早在2011年,就意识到了工控信息安全的重要性,并将其作为重要的战略发展方向。多年来,通过持续的研发投入、项目积累及与业内控制器厂家的广泛合作,绿盟科技在工控信息安全市场已颇有建树。

据王晓鹏介绍, 绿盟科技推出了面向电力、核电、石油石化、冶金、轨道交通、烟草和制造业等行业的工控信息安全解决方案,并已成功在客户的工业现场中得以应用。这些方案中所涉及的防护类产品(如工业防火墙和隔离网关等)、检测类产品(如工控漏扫、工控漏洞挖掘、工控配置核查、工控安全检查工具箱等)、监测类产品(如工控审计、工控IDS、工控监测预警平台和工控态势感知平台)等都得到了充分的应用。王晓鹏强调,这些方案和产品在借鉴绿盟科技已有安全产品和方案能力的同时,融入了对工控系统的理解,绿盟科技通过与控制器厂商的深度合作,保证了产品部署的有效性和安全性。

从试点向规模化应用发展

在王晓鹏的眼中,工业控制系统信息安全是目前信息安全领域中比较有特点的一个细分领域,其涉及领域广泛,在已经出现的典型攻击事件中所带来的影响巨大。目前从全球范围看,工业控制系统信息安全已经引起了各主要国家的高度重视,相继出台了相关的标准和规范。但即便如此,在具体安全实施过程中,仍然面临着与控制系统具体业务融合及如何评价安全对业务影响的问题。从应用范围看,电力、能源、交通和制造业仍然是应用最多的领域。国内目前工业控制系统信息安全已经走过了从认识、标准启动到落地的过程,在一些大型生产企业中开始试点,正在向规模化应用发展。

王晓鹏表示,工业是关乎国计民生的一个重要领域,在网络安全法实施和相关产品及方案逐步成熟的情况下,依托于试点所带来的示范试点效应,必将对工控信息安全的发展带来极大的推动力。

构建IT安全、操作安全和运行安全三位一体的安全能力

众所周知,传统的IT信息安全保护的对象是通用的IT基础设施,所采用的技术手段相对比较成熟,IT安全产品可以独立部署应用。而工控信息安全既具备IT安全的属性,也具备OT安全的属性,在安全实施过程中,IT和OT部分都不可避免地要考虑业务的关联和应用影响。所以,王晓鹏认为,对于以传统信息安全起家的绿盟科技而言,要想把工控信息安全做好,还需要在实施过程中与控制器厂家进行紧密合作。

王晓鹏透露,未来,绿盟科技会在工控信息安全领域的深度和广度上进一步拓展,产品上更加贴近于工业的应用环境,解决方案中更加细化应用领域的安全需求,同时关注与工业互联网、边缘计算在内的安全需求和应用,结合绿盟科技在传统信息安全的优势,构建起IT安全、操作安全和运行安全三位一体的安全能力,实现安全运营与业务运营融合方案的落地和实施。

案例分享

绿盟科技为某大型水电厂提供安全防护方案

1 项目需求

加强某水电厂电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障系统的安全稳定运行;同时,落实国家信息安全等级保护制度,按照国家信息安全等级保护的有关要求,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,保障该水电厂电力监控系统的安全。

2 水电厂存在的安全隐患

(1)物理和环境风险

目前水电厂缺乏对各个机房的动力设备、环境变量和控制器的动环监控,所使用的空调是普通的家用空调,不满足长时间连续运行的要求。

(2)网络安全风险

网络边界防护力度不足,虽然该水电厂的生产控制大区与管理信息大区之间不存在直接的物理网络连接,但是在生产控制大区中的实时区与非实时区各系统之间的边界防护措施不太完善,缺乏对工业协议的支持以及对工业病毒的防护。

接入区缺乏保护。电厂电力生产工控系统中,处于非实时区的水情系统的后端与前段测控站之间通过微波进行无线通信,缺乏安全防护设备在接收端对数据的无线输入进行安全防护。

缺乏入侵检测防护管理机制。该水电厂的生产管理区、实时区、非实时区均没有在关键网络节点处部署入侵检测设备检测、防止或限制从内/外部发起的网络攻击行为,无法对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。

(3)主机安全风险

恶意代码/病毒防范机制缺失。电力监控系统中的主机暂未部署防恶意代码防范平台,也没有采取其他补偿机制对恶意代码进行控制管理。

(4)应用安全风险

账号管理及认证缺失,电厂目前针对各系统根据岗位和级别设置了相应权限级别的账号,但缺少必要的应用安全控制策略,对用户登录应用系统、访问系统资源等操作进行身份认证、访问控制和安全审计。

(5)系统运维安全风险

缺乏对移动介质的安全管控。电力监控系统各设备的USB接口未通过部署管控平台进行控制。

缺少对信息系统的监测审计。目前电厂实现了对电力监控系统的控制系统监控,但缺少针对上位机、服务器、操作系统、数据库等的监测审计能力,更无法实现对电力监控系统安全设备的安全监管。

缺乏针对重要控制设备的防护。电厂目前暂未在各控制系统PLC前端部署具备工业协议深度包检测功能的防护设备,限制违法操作和针对控制器的入侵行为,建议后期防护建设时,部署逻辑隔离设备实现机组LCU(现地控制单元)、开关LCU和公用LCU的隔离防护;在各控制系统的PLC前端部署智能保护设备防止针对控制器的攻击或违法操作。

3 解决方案

基于如上的安全风险分析,在满足合规性要求的基础上,结合业务运行的特点,提出了相关的解决方案,基于方案进行了相关产品的部署和实施,有效提升了电力监控系统安全防护的能力。相关的建设方案如下:

(1)工控系统边界隔离防护建设,在与网调、省调及集控通信的汇聚交换机上并行部署监测审计系统,在控制区和非控制区之间的交换机上部署监测审计系统,在计算机监控系统核心交换机上部署监测审计系统,并用工业防火墙代替现有的常规防火墙,在机组LCU交换机至监控系统上位机核心交换机之间部署智能保护设备,在非控制区送往集团公司的数据通信链路上部署纵向认证加密装置代替现有的防火墙,在水情系统接收遥测数据的链路上部署单向隔离装置,在与其他水电厂连接的链路上部署纵向认证加密装置,在管理信息大区与互联网入口前部署一台工控入侵防御装置和一台工控漏洞扫描装置。

(2)工控系统上位机主机加固建设,在监控系统上位机、水情系统上位机、闸门监控系统上位机、工业电视工作站、电能计量站上部署工控终端保护软件,用终端管控平台进行统一管理,在监控系统工程师站、水情工程师站、闸门监控系统工程师等上位机上部署主机加固软件,对USB接口进行统一的管控。

(3)工控系统上位机综合防护建设,在安全Ⅱ区上部署安全集中管控系统。

部署一套动态环境监控系统(含监控服务器硬件及软件、交换机、主设备动环智能控制单元、开关量采集模块、烟感传感器、温湿度传感器等)。

(4)工控系统信息安全制度及应急预案建设,建立一套适用于水电厂同时又能在集团公司起示范性作用的工控安全制度及应急预案体系。

摘自《自动化博览》2018年2月刊

相关文章


热点新闻
推荐产品