“新質(zhì)生產(chǎn)力賦能浙江城鄉(xiāng)水務(wù)高質(zhì)量發(fā)展”研討會(huì)暨浙江省城市水業(yè)協(xié)會(huì)2024年年會(huì)于2024年9月4-6日在浙江寧波舉辦。會(huì)議精心邀請(qǐng)60余位行業(yè)專(zhuān)家與會(huì)交流,來(lái)自浙江省水務(wù)企業(yè)、高等院校、設(shè)計(jì)院、研究院、政府部門(mén)及國(guó)內(nèi)友好交流單位等近千位水務(wù)同仁、專(zhuān)家、學(xué)者參加會(huì)議。會(huì)議主題精心挑選,內(nèi)容精心策劃,專(zhuān)家精準(zhǔn)匹配。設(shè)城鎮(zhèn)水務(wù)行業(yè)發(fā)展高層論壇1個(gè)、主論壇1個(gè)、分論壇4個(gè)、專(zhuān)題研討會(huì)4個(gè),F(xiàn)將會(huì)議精彩重現(xiàn)!
寧波水務(wù)集團(tuán)工控系統(tǒng)網(wǎng)絡(luò)安全案例分享
劉青友
寧波市水務(wù)環(huán)境集團(tuán)智慧水務(wù)運(yùn)營(yíng)中心
城市水務(wù)工控網(wǎng)絡(luò)安全大家都知道很重要,基本要做到“萬(wàn)無(wú)一失”,因?yàn)?ldquo;一失萬(wàn)無(wú)”,但是在實(shí)際操作層面上很多人感覺(jué)無(wú)從下手,只會(huì)干著急,表現(xiàn)在護(hù)網(wǎng)行為期間就去“拔網(wǎng)線”,這種掩耳盜鈴的做法是錯(cuò)誤的,護(hù)網(wǎng)是公安幫我們找問(wèn)題,“拔網(wǎng)線”其實(shí)就是拒絕公安幫我們找問(wèn)題,面對(duì)黑客,你能即時(shí)“拔網(wǎng)線”了么?在這里我對(duì)四個(gè)層面來(lái)進(jìn)行工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù),即“人手不足的問(wèn)題、怎么建的問(wèn)題、怎么管理的問(wèn)題、出了問(wèn)題怎么快速處理”,做到對(duì)網(wǎng)絡(luò)安全真正的有底、放心。
工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的目標(biāo)主要就兩點(diǎn),“對(duì)內(nèi)安全管理、對(duì)外安全防護(hù)”。對(duì)內(nèi)的就是要求我們自已能看得清、防得住、管得勞、可恢復(fù)、查得準(zhǔn),對(duì)外就是做到黑客“看不見(jiàn)、攻不進(jìn)、拿不走、毀不掉、抓得住”,最終實(shí)現(xiàn)內(nèi)部安全與外部安全的技術(shù)措施相結(jié)合。
如何做到內(nèi)部“看得清”,這就要求我們對(duì)工控系統(tǒng)網(wǎng)絡(luò)資產(chǎn)進(jìn)行充分識(shí)別、清查,比如說(shuō):網(wǎng)絡(luò)內(nèi)是否存在啞資產(chǎn)?有沒(méi)有人新接入網(wǎng)絡(luò)?網(wǎng)絡(luò)邊界在哪?這是在整個(gè)安全建設(shè)要點(diǎn)中要做的第一步。
另外我們還需要基于看得清這個(gè)點(diǎn)去做到如何讓黑客“看不見(jiàn)”,那就是需要通過(guò)相應(yīng)技術(shù)手段;如端口最小化、服務(wù)禁止訪問(wèn)、業(yè)務(wù)通信精細(xì)化策略等,讓外部人員想入侵但卻無(wú)法找到路徑。相應(yīng)技術(shù)措施對(duì)應(yīng)的設(shè)備有邊界的網(wǎng)閘、防火墻,可通過(guò)這些設(shè)備來(lái)實(shí)現(xiàn)對(duì)外服務(wù)/端口最小化,主機(jī)的加固可以做到對(duì)一些不必要的服務(wù)和端口進(jìn)行關(guān)閉,專(zhuān)項(xiàng)的隔離裝置可以將資產(chǎn)的通信標(biāo)識(shí)進(jìn)行隱匿。
做到“看得清”、“看不見(jiàn)”,其實(shí)是成本最低一種最有效的做法,大部分也是一次性工作,卻是大家最容易忽視的工作,如果切實(shí)做到了“看得清”、“看不見(jiàn)”,你的工控系統(tǒng)網(wǎng)絡(luò)安全水平就跑贏了國(guó)內(nèi)99%工控系統(tǒng)網(wǎng)絡(luò)安全水平,基本上不用擔(dān)心會(huì)被黑客入侵。工控系統(tǒng)無(wú)須對(duì)互聯(lián)網(wǎng)服務(wù),客戶(hù)群基本上是內(nèi)部員工,所以允許訪問(wèn)的“白名單”是確定,因此相對(duì)辦公網(wǎng)的網(wǎng)絡(luò)安全,“看得清”和“看不見(jiàn)”更容易做到。
在實(shí)現(xiàn)“看得清與看不見(jiàn)”的之后,“攻不進(jìn)與防得住”也很重要。安全建設(shè)怎么才能讓外部的攻擊進(jìn)不來(lái),并且怎么防止內(nèi)部突破。當(dāng)前從整個(gè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)來(lái)看,由邊界攻擊入侵和利用系統(tǒng)內(nèi)部弱密碼、遠(yuǎn)程桌面等手段入侵的概率在水務(wù)層面是比較突出的。由此我們需要做的事情分兩步:一如何讓外部攻擊進(jìn)不來(lái),就在與辦公網(wǎng)的邊界防護(hù)上做文章,工控系統(tǒng)的數(shù)據(jù)要上傳到辦公網(wǎng)上,這個(gè)業(yè)務(wù)需求不可避免,那我們就在這個(gè)邊界上設(shè)置單向網(wǎng)閘,只允許工控網(wǎng)的數(shù)據(jù)上傳到辦公網(wǎng)指定的服務(wù)器,不允許辦公網(wǎng)的任何數(shù)據(jù)反傳到工控網(wǎng)。二如何防止內(nèi)部突破,管理手段上可采用強(qiáng)口令、遠(yuǎn)程桌面禁用等,技術(shù)手段上可采用對(duì)主機(jī)進(jìn)程的管控,拒絕惡意代碼的運(yùn)行。三是要做到讓內(nèi)部攻擊不會(huì)縱向擴(kuò)散到PLC控制網(wǎng),這就需要在工控管理網(wǎng)和PLC控制網(wǎng)之間設(shè)置內(nèi)部防火墻,并且在管理網(wǎng)計(jì)算機(jī)和服務(wù)器上安裝主機(jī)衛(wèi)士防止惡意進(jìn)程。四是對(duì)針對(duì)PLC指令和組態(tài)程序篡改做進(jìn)一步防護(hù),安裝PLC防護(hù)器。四層防護(hù)如同四道鐵桶,切實(shí)做到“攻不進(jìn)與防得住”,若考慮到預(yù)算不足,可以按“一、二、三、四”的順序來(lái)逐步投資。
前面我們說(shuō)的“看得清與看不見(jiàn)、攻不進(jìn)與防得住”,都是建立在網(wǎng)絡(luò)攻擊前期階段的一些措施,也相當(dāng)于水務(wù)網(wǎng)絡(luò)安全的第一道防護(hù)屏障,那這里我們可以設(shè)想如果第一屏障被突破后,接下我們我們能夠做些什么,那就是我們講的“管得牢與拿不走”,如果黑客真進(jìn)來(lái)了,那我們還是要采取一系列的管控措施(如運(yùn)維審計(jì)賬號(hào)授權(quán)、違規(guī)外聯(lián)的準(zhǔn)入控制、數(shù)據(jù)的拷貝等操作識(shí)別),對(duì)其攻擊以及數(shù)據(jù)拷貝等惡意行為進(jìn)行監(jiān)控?cái)r截。比如:水務(wù)常見(jiàn)的第三方運(yùn)維,不法分子可以利用運(yùn)維通道進(jìn)入內(nèi)部從而進(jìn)行各種操作,包括現(xiàn)場(chǎng)運(yùn)維操作,筆記本的隨意接入網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備的隨意接入。這一系列的高危行為,我們可以通過(guò)建設(shè)運(yùn)維審計(jì)、準(zhǔn)入、主機(jī)管控等設(shè)備進(jìn)行防護(hù),起到“管得牢與拿不走”的效果。
我們知道針對(duì)水務(wù)的網(wǎng)絡(luò)攻擊真正有影響后果的是在控制層面,尤其是對(duì)工控PLC的攻擊,如:篡改PLC程序,嚴(yán)重的可能導(dǎo)致物理設(shè)備的損毀。這也是我們常說(shuō)工控網(wǎng)絡(luò)攻擊與傳統(tǒng)網(wǎng)絡(luò)攻擊的最大差別所在,所以我們?cè)诎踩ㄔO(shè)過(guò)程中應(yīng)當(dāng)要關(guān)注到怎么才能阻止并及時(shí)發(fā)現(xiàn)黑客的這種毀滅性破壞操作,這里就涉及到對(duì)PLC組態(tài)程序備份管理和恢復(fù),通過(guò)對(duì)關(guān)鍵程序的監(jiān)測(cè)能夠在第一時(shí)間發(fā)現(xiàn)程序是否被修改,修改的內(nèi)容是什么。并基于快速恢復(fù)的技術(shù)手段及時(shí)的進(jìn)行恢復(fù)操作。避免造成設(shè)備的損傷。
在經(jīng)過(guò)前面講的一系列技術(shù)和管理措施,但最后工控系統(tǒng)還是被破壞了,怎么辦?這就需要有溯源能力,這個(gè)無(wú)論是在平時(shí)的網(wǎng)絡(luò)安全防護(hù)過(guò)程中,還是HW行動(dòng)中,都是在網(wǎng)絡(luò)安全建設(shè)中必須要具備的能力,“抓得住,查得準(zhǔn)”怎么抓,怎么查?
首先我們從入侵角度來(lái)看,黑客攻入進(jìn)來(lái)必然會(huì)留下痕跡,但很多時(shí)候黑客在入侵之后會(huì)做一個(gè)操作,那就是痕跡清理,它會(huì)刪除各類(lèi)操作日志,這樣對(duì)于我們后續(xù)的溯源工作是帶來(lái)比較大的挑戰(zhàn),反過(guò)來(lái)我們也沒(méi)有辦法及時(shí)發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)的脆弱性問(wèn)題。
前面一開(kāi)始我們講了幾個(gè)核心問(wèn)題挑戰(zhàn),其中就有“怎么建,套標(biāo)準(zhǔn)”的問(wèn)題,在這里我們主要強(qiáng)調(diào)大多水務(wù)人員在網(wǎng)絡(luò)安全建設(shè)時(shí)容易產(chǎn)生的一個(gè)誤區(qū),認(rèn)為等保測(cè)評(píng)通過(guò)的證書(shū)拿到后,就可以高枕無(wú)憂了,首先我們要知道等保是有一個(gè)體系化流程的,需要經(jīng)過(guò)常態(tài)化檢查問(wèn)題-整改問(wèn)題-復(fù)查問(wèn)題,常規(guī)檢查整改每月要求1次,重大安保前單獨(dú)1次,而且檢查單位和整改單位要求是不能為同一家,所以拿到等保測(cè)評(píng)證書(shū),并不完全意味著網(wǎng)絡(luò)安全建設(shè)的結(jié)束,持續(xù)的安全管理必不可少。
以上說(shuō)的這些內(nèi)容在寧波水務(wù)這邊我們是親身經(jīng)歷過(guò)的,包括整個(gè)安全建設(shè)理念都是基于水務(wù)業(yè)務(wù)安全角度出發(fā)。
首先寧波水務(wù)這次整體安全建設(shè),我們是以建設(shè)寧波水務(wù)集團(tuán)為統(tǒng)一安全運(yùn)營(yíng)中心,管控下面各水司及各廠的整體安全。這里我們采取了三級(jí)架構(gòu);集團(tuán)-公司-廠級(jí),構(gòu)建起安全協(xié)同處置體系,平時(shí)在運(yùn)維過(guò)程中,像集團(tuán)這邊基本就是安排一個(gè)人進(jìn)行日常監(jiān)測(cè)就足夠了,告警可以通過(guò)態(tài)勢(shì)感知清楚看到,是哪個(gè)廠,哪個(gè)設(shè)備,我們也會(huì)賦能到下面各個(gè)廠去處理相關(guān)安全事件,廠商也會(huì)在運(yùn)行過(guò)程中提供周期性的運(yùn)維,包括應(yīng)急支持,所以這套安全協(xié)同處置體系,給我們寧波水務(wù)集團(tuán)充分解決了人的問(wèn)題,管理的問(wèn)題,網(wǎng)絡(luò)安全能力不足的問(wèn)題。
落實(shí)到各個(gè)廠的安全建設(shè),其實(shí)就是我們前面講的兩大核心目標(biāo),采用管理和技術(shù)措施的相結(jié)合,在各節(jié)點(diǎn)該部署什么設(shè)備,采取什么策略,都有明確的要求。
整個(gè)項(xiàng)目在后期建設(shè)完,我們也寧波市公安的協(xié)調(diào)組織下,對(duì)安全建設(shè)的內(nèi)容進(jìn)行過(guò)實(shí)網(wǎng)攻防測(cè)試,不管是從內(nèi)部還是外部,攻擊的手段和路徑都能夠被安全設(shè)備發(fā)現(xiàn)出來(lái),真正做到了“看不見(jiàn)”“看得清”“防得住”“攻不進(jìn)”“管得牢”“拿不走”“可恢復(fù)”“毀不掉”“查得準(zhǔn)”“抓得住”。
在安全建設(shè)的同時(shí)我們也考慮到人員能力提升這塊的問(wèn)題,同時(shí)也在本次建設(shè)項(xiàng)目當(dāng)中開(kāi)展過(guò)多次相關(guān)安全技術(shù)培訓(xùn)及演練,包括設(shè)備的使用、基礎(chǔ)問(wèn)題的解決,安全意識(shí)水平的提高,日常操作行為的規(guī)范,目的就是為了更好的降低因“人”的脆弱性帶來(lái)的安全風(fēng)險(xiǎn)。
我們說(shuō)網(wǎng)絡(luò)安全不應(yīng)該是一成不變的,只有我們做的越完善,考慮的點(diǎn)越多,安全防護(hù)等級(jí)才能越高,所謂對(duì)癥下藥,所以我們建立常態(tài)化實(shí)網(wǎng)攻擊測(cè)試演練,一方面為發(fā)現(xiàn)問(wèn)題后續(xù)我們能夠有針對(duì)性的去防護(hù),另一方面旨在對(duì)寧波水務(wù)集團(tuán)網(wǎng)絡(luò)安全應(yīng)急處置能力的驗(yàn)證。最后總結(jié)一下:工控系統(tǒng)的網(wǎng)絡(luò)安全是完全可控的,不一定要投入大量的人力、財(cái)力,80%以上的工作是一次性的,謝謝大家聆聽(tīng)。
\ | /
END