国家标准优秀实践案例 | 工控网络安全产品标准在水务行业网络安全防护中的应用
近日,全国网络安全标准化技术委员会(以下简称“网安标委”)2024年第一次“标准周”全体会议在江西南昌成功召开,此次会议共有来自340余家工作组成员单位代表约800人参与。会上,网安标委公布了“2023年网络安全国家标准优秀实践案例”,向所有参会单位发放了《信息技术与标准化--网络安全国家标准优秀实践案例专刊》。
(图源:全国网安标委公众号)
去年,网安标委组织开展了“2023年网络安全国家标准优秀实践案例”评选活动,旨在加强标准宣贯实施,促进网络安全国家标准应用推广,发挥标准在国家网络安全工作中的基础性、规范性、引领性作用。经案例征集、形式审查、技术初审、综合评审、现场调研、公示报批等多项环节的严格筛选,威斯尼斯人wns2299cn申报的《工控网络安全产品标准在水务行业网络安全防护中的应用》荣获三等奖。
《工控网络安全产品标准在水务行业网络安全防护中的应用》案例全文如下:
摘要:将GB/T 37933—2019《信息安全技术 工业控制系统专用防火墙技术要求》等工业控制系统网络安全标准应用在相关网络安全产品的设计开发、检测认证、实施部署、运行维护各环节。通过在国内某大型水务集团部署符合国家标准的网络安全产品,有效解决了工业控制系统中对于网络边界安全和网络安全审计的需求,构建起该水务集团工业控制安全纵深防御体系,有效保证了系统的总体安全性,具有显著的行业示范效应。
关键词:工业控制系统 网络安全产品 国家标准 水务行业
01.标准应用背景
《中华人民共和国网络安全法》于2017年6月1日起正式施行,规定“国家实行网络安全等级保护制度”,关键信息基础设施“在网络安全等级保护制度的基础上,实行重点保护”。网络安全等级保护2.0系列标准同步将工业控制系统纳入到等级保护对象范围。
为了规范网络安全产品的功能、性能,并提高产品自身的安全性,近年全国网络安全标准化技术委员会(SAC/TC260)归口管理并发布了一系列工业控制网络安全标准,并于2022年发布了网络安全专用产品安全技术的强制性国家标准,这些标准在规范相关产品的设计、研发、生产、测试等工作中发挥着重要作用,有效保障了工业控制系统的网络安全。
水务在城市中包括自来水和污水处理,属于城市的基础行业,保障着城市的基础生命线。一旦水务行业的关键信息基础设施遭受网络安全攻击,会导致部分区域供排水能力不足、供排水中断,给企业和市民生活带来影响,严重威胁社会公共安全。
近年来,随着物联网、工业互联网等新一代信息技术的创新发展,水务系统与信息技术深度融合,衍生出具备生产智能化、数据资源化、管理精确化、决策智慧化特点的智慧水务系统,并在城市广泛应用。而随着IT和OT两网的深度融合,水务工业控制网络复杂度和面临的网络安全风险不断提升,如何有效提高工业控制系统网络安全性,成为当前水务行业亟待解决的问题。
国内某水务集团是一家集产业投资、建设、运营与专业技术服务于一体的国有控股的专业水务综合服务商,该集团旗下水厂的水务工业控制系统已完成一定的网络安全建设工作,但在实施本案例项目前建设还不够全面,与国家相关要求还存在不少差距。因此,需要企业以关键信息基础设施保护为重点,推进水务工业控制系统安全的纵深防御体系建设。
02.标准实施机制
GB 42250—2022《信息安全技术 网络安全专用产品安全技术要求》、GB/T 37933—2019《信息安全技术 工业控制系统专用防火墙技术要求》、GB/T 37941—2019《信息安全技术 工业控制系统网络审计产品安全技术要求》三项网络安全产品标准的应用贯穿产品的设计开发、检测认证、实施部署、运行维护等各环节。
(1)产品设计开发阶段
依据网络安全产品标准要求进行产品的设计和开发,提升产品质量,缩短研发周期,减少成本。
(2)产品检测认证阶段
依据产品标准进行检测认证,保证产品的功能、性能以及自身安全满足标准要求。
(3)产品实施部署阶段
在系统中部署符合国家标准的网络安全产品,有效保证系统总体安全性。
(4)产品运行维护阶段
保障产品持续符合标准要求;对相关人员进行制度和标准培训;跟随标准修订进行产品升级迭代。
03.标准应用情况
3.1 应用标准清单
本案例中所应用的标准见表1。
3.2 标准核心内容应用情况
3.2.1 产品设计开发阶段
以 GB/T 37933—2019、GB/T 37941—2019的增强级和 GB 42250—2022的要求为基线对产品功能、性能、自身安全进行设计、开发。
在遵照国家标准的同时,威斯尼斯人wns2299cn(北京)股份有限公司(以下简称“威斯尼斯人wns2299cn”)具备一套完善的产品安全保障体系:公司技术研发人员数量占公司总人数的75%以上;具备完善的供应链管理体系;建立了严谨、完备的产品设计、开发、生产、交付制度体系及保障措施;具备工业控制安全产品的测试验证环境。
按照上述标准的要求,配套了研发组、测试组、配置管理组,并制定了交付运行等安全保障措施,提供了全套支撑。以上这些可以有效保障产品质量符合相关国家标准要求。
3.2.2 产品检测认证阶段
项目中所使用的工业防火墙符合 GB/T 37933—2019 增强级要求,并通过了公安部计算机信息系统安全产品质量监督检验中心的测试和认证;所使用的工控网络监测审计系统符合GB/T 37941—2019 增强级要求,并在公安部安全与警用电子产品质量检测中心进行检测评估和认证。
上述产品的设计开发同步严格按照 GB 42250—2022 的所有要求,并以自测自评的方式进行测试和验证。
3.2.3 产品实施部署阶段
威斯尼斯人wns2299cn协助客户以等保2.0标准、网络安全产品标准为依据,采取“调研与评估、方案设计、实施整改、等保测评”的步骤,陆续对集团下属的供排水企业进行工业控制网络安全的整改加固,使其满足相关部门对集团生产工业控制系统的三级等保要求。
经过对集团下属供排水企业工业控制网络安全现状的摸底调研,发现主要存在以下几方面问题:
(1)网络边界缺乏有效的隔离防护措施,不能防止恶意攻击和病毒威胁扩散,缺乏访问控制机制和入侵防范机制。
(2)缺乏工业流量监测审计能力,无法对异常操作、攻击等行为进行检查并对攻击源IP、攻击类型等信息进行记录。
(3)关键设备日志未保存,或者保存不合规,没有达到日志保存时限要求。
(4)大量主机和服务器的系统漏洞补丁无法及时更新,主机USB外设接口被滥用。
(5)集团内PLC工控产品覆盖AB、西门子、施耐德、欧姆龙、ABB等多种品牌的多个型号,组态软件有iFix、WinCC、FactoryView、Wonderware、组态王等,存在因这些设备和软件本身的脆弱性而导致的安全风险。
针对发现的问题,威斯尼斯人wns2299cn为客户量身定制了工业控制系统的网络安全防护设计方案。从工业网络边界防护、工控网络监测审计、主机计算资源安全、安全管理中心等多个维度进行体系化建设,从而构建起该水务集团工业控制安全纵深防御体系,保障企业的安全需求,促进企业安全发展。
图1 某水厂工控网络安全改造后拓扑图
如图1所示,整体建设及相关标准的应用包括以下几方面:
(1)构筑智慧水务IT和OT边界的第一道防线
① 工业防火墙
在工业控制网络边界采用工业防火墙进行区域隔离,设备内置工业控制系统漏洞库,能够进行工业控制协议深度解析,并支持黑白名单防护,自动学习工业数据流特征,自动辅助生成安全防护策略,对工业控制网络中的网络通信行为进行细粒度的控制,可有效阻止网络攻击向关键区域、关键设备蔓延。如图2所示。
图2 工业防火墙功能示意图
②入侵防御
在办公网络与工业控制网络边界处部署入侵防御系统,实时捕获所有流经的数据,基于内容特征、协议分析以及流量异常监测等方式,实现工控网络和办公网的深度隔离,满足了等级保护中关于入侵行为检测与阻断、网络病毒传播阻断等安全要求。如图3所示。
图3 入侵防御系统功能示意图
(2)建立工业控制系统应用行为安全基线
工控网络监测审计:在现场控制层交换机侧旁路部署工业网络流量监测审计系统,通过检查、分析、比较监测审计系统采集的数据,从中发现违反安全策略的行为,对工业控制系统的异常操作、攻击等行为进行事中告警、事后审计。如图4所示。
图4 工控网络监测审计系统功能示意图
(3)深化工业主机可信白名单机制
主机计算资源安全:在上位机(操作员站、工程师站等)和服务器上部署工控主机卫士,利用“白名单”技术,通过配置主机进程白名单策略,阻断恶意程序或者病毒程序的运行,确保非法程序无法运行,从而实现对恶意代码、病毒、木马程序等的主动防范。通过配置外设管控策略,实现对USB等外设的严格管控,降低病毒传播风险。如图5所示。
图5 工控主机卫士功能示意图
(4)设立工业控制系统安全管理中心
①日志审计
利用日志审计系统对网络中各种安全设备、网络设备、主机、系统、应用等产生的海量日志信息进行集中采集、泛化、关联分析和留存,实现全生命周期的日志管理,帮助一线管理人员从海量日志中迅速、精准地识别安全事件,及时对安全事件进行追溯或干预。同时满足网络安全法对于日志留存六个月的时间要求。如图6所示。
图6 日志审计系统功能示意图
②统一安全管理
利用统一安全管理平台,实现对现场安全产品的统一管理和全面监控,消除安全孤岛,提升安全运维效率。同时,管理平台可对主机卫士客户端上传的可疑文件实现基于最新特征库的病毒查杀,从而更全面地提升对工业现场主机终端实时威胁的分析及预警能力。如图7所示。
图7 统一安全管理平台功能示意图
经过整改建设,取得以下成效:
发现系统与国家安全标准之间存在的差距,查明目前系统存在的安全隐患和不足。
完成了6 000+漏洞整改加固,最终将高危漏洞的数量降为0。
20多个厂的安全管理制度落地,明确了网络安全主体与责任。
整改之后,网络在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,能抵抗较为严重的自然灾害,以及防范计算机病毒和恶意代码危害。具有检测、发现、报警及记录入侵行为的能力。
具有对安全事件进行响应处置,并追踪安全责任的能力。遭到损害后,具有较快恢复正常运行状态的能力。
对于服务保障性要求高的网络,能快速恢复正常运行状态。
具有对网络资源、用户、安全机制等进行集中控管的能力。
该项目在规划和建设过程中,采用符合最新国家标准增强级要求的网络安全产品,最大程度保障网络系统的安全可控,使系统满足了等保2.0第三级安全防护要求,最终顺利通过了等保测评。
3.2.4 产品运行维护阶段
(1)对产品进行运行维护,保证产品符合标准要求持续运行。
(2)加强安全培训,通过培训和沟通,确保员工持续遵守安全政策和标准要求。
(3)定期对系统进行安全评估和风险分析,以识别新的安全威胁和漏洞,不断更新和升级安全控制措施,以应对新的安全挑战。
(4)持续跟踪相关标准的制修订情况,及时对产品进行升级迭代。
04.标准实施成效
4.1 保证了相关产品质量
GB/T 37933—2019、GB/T 37941—2019、GB 42250—2022的实施应用,保证了相关产品的设计研发、检测认证工作有据可依,极大促进了产品安全功能、性能的提升。对于“合标”产品的使用,有效保证了相关工业控制系统满足等级保护2.0中对于网络边界安全和网络安全审计的要求,有效支撑了网络安全等级保护制度的贯彻落实。
4.2 产生了突出的企业管理效益
该集团通过部署满足GB/T 37933—2019和GB 42250—2022 要求的工控防火墙产品、满足GB/T 37941—2019和GB 42250—2022 要求的工控网络审计产品,以及其他网络安全产品,开启工控协议深度检测、工控漏洞检测、分布式拒绝服务攻击防护、入侵防御、病毒防护等多种安全功能。项目基于可信白名单机制,通过工控协议白名单、人工智能等技术、及时高效地检测已知和未知安全威胁,构建起事前预防、事中监测、事后审计的主动式纵深防御体系,为工业控制系统正常工作环境建立起安全基线,对业务零影响的同时,使安全运维更简便,安全检测和响应的效率也大大提高,有效实现了“防外”及“安内”,显著降低了水务系统网络安全风险,提高了工业控制系统的安全防护能力,有效提升了企业的管理效率及水平,降低了企业运营成本。
4.3 产生了显著的行业示范效应
本案例为水务行业自等保2.0标准实施以来业内首家按照等保2.0三级安全要求进行统一规划、产品设计、方案设计及建设并通过测评的案例。项目中,对于满足GB 42250—2022 、GB/T 37933—2019、GB/T 37941—2019等网络安全标准的产品的使用,是项目建设成功的有效保证。
该项目的实施,不仅对该水务集团本身意义重大,同时还为其他集团型水务企业工业控制系统深度安全防护提供了样板参考,在水务行业形成工业控制网络安全监管示范效应,对提升水务行业工业控制系统网络安全防护能力、监测能力,降低网络安全风险,减少网络安全事件和经济损失具有重要的借鉴意义。
05.标准实施经验及相关建议
自GB/T 37933—2019、GB/T 37941—2019、GB 42250—2022 等网络安全产品标准制定、发布、实施以来,市场上的相关产品质量得到普遍提升,有效保证了工业控制系统的网络安全。本项目中,对于该三项标准的应用实施取得良好成效,标准内容科学、先进,适用性强,符合产业发展。
建议加强对网络安全产品标准的宣贯力度,充分发挥国家标准的指导和引领作用,使业界充分认识到标准对于保障相关产品功能、性能,进而保障系统安全稳定运行的必要性和迫切性,促使更多产品的设计、研发满足标准要求,更多的项目建设采用符合国家标准的产品。
另外,建议加快推进网络安全标准体系建设,理清相关标准之间的关系,这不仅有助于标准制修订工作的开展,也有助于为标准使用者提供更加清晰明确的指导。
来源:《信息技术与标准化》2024年5月增刊