工业控制系统安全检查方案
工业控制系统安全检查方案
四川XX科技股份有限公司
二O二O年四月
目录
1、安全检查概述 (3)
2、检查依据 (4)
3、检查流程 (5)
4、检查计划 (6)
4.1、安全检查的组织 (6)
4.1.1、自查 (6)
4.1.2、抽查 (6)
4.2、安全检查方法 (7)
4.3.1、问卷调查表 (7)
4.3.2、人员访谈 (7)
4.3.3、现场技术性检查方法 (7)
4.3、安全检查时间 (8)
5、工控系统安全检查内容 (10)
5.1、工控系统安全组织机构 (10)
5.2、工控系统安全管理制度 (10)
5.3、工控资产识别 (11)
5.4、工控系统网络架构分析 (11)
5.5、集团明令禁止的项目 (11)
5.6、设备安全配置检查 (12)
5.6.1、工控系统用户身份管理 (12)
5.6.2、工控系统安全审计 (12)
5.6.3、工控系统入侵防范 (13)
5.6.4、工控系统防病毒 (13)
5.6.5、工控系统远程访问资源控制 (14)
5.6.6、工控系统备份与恢复 (14)
5.6.7、工控系统日志审计 (14)
5.7.8、工控系统漏洞检查 (15)
5.6.9、工控系统网络数据流量分析 (15)
5.6.10、工控系统渗透测试 (16)
5.6.11、工控系统安全威胁评估 (17)
6、检查工具 (17)
7、安全检查结果分析与整改 (19)
1、安全检查概述
工业互联网作为新一代信息技术与工业系统深度融合形成的产业和应用生态,是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过机器间智能模块提供的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力,让工业世界更美好、更快速、更安全、更清洁且更经济。
工业互联网广泛应用于能源、交通以及市政等关系国计民生的重要行业和领域,已成为国家关键信息基础设施的重要组成部分。工业互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保障。
为加强工业控制系统的安全管理和技术防护,促进安全防护能力和水平的提升,预防和减少重大信息安全事件的发生,切实保障企业内工业控制网络与信息安全,根据集团公司网络安全管理办法以及相关制度规范,结合公司工业控制系统网络与信息安全管理实际情况,制定本工业控制系统安全检查方案。
本次工业控制系统安全检查主要参考以下相关规范:《中国石油网络安全管理办法》
《XX安全管理办法》
信息系统安全基线:
《Windows server 服务器操作系统安全配置基线》《Windows 操作系统安全配置基线》
《Redhat 操作系统安全配置基线》
《CentOS操作系统安全配置基线》
《路由器、交换机安全配置基线》
《工业控制系统信息安全检查表》
根据工业控制系统现场的情况,结合工业现场的特性,一般来说检查流程主要包括方案制定、准备、现场核查和总结分析等阶段,详细步骤如下图所示。
4.1、安全检查的组织
工业控制系统安全检查分为自查阶段与抽查阶段。
4.1.1、自查
自查阶段由各单位自行组织,在规定的时间内完成,并输出检查报告与检查记录。
具体检查内容参见第5章。各单位根据自身工业控制系统建设情况与检查表格逐项比对,按照实际情况填写,并输出检查报告。
4.1.2、抽查
抽查阶段,由XX公司安排安全检查工作组,将深入具有工业控制系统的单位开展专项检查工作。
服务器、工作站、网络设备、数据库等基础设施的安全配置情况,通过登录查看和工具检查两种方式交换进行。检查过程中涉及到的检查项请参照安全基线要求。
有关设备的抽查比例参见下表:
4.2、安全检查方法
工业控制系统安全检查方法主要包括问卷调查法、人员访谈法、技术性验证方法。
4.3.1、问卷调查表
通过问卷调查表可以对企业资产、业务类型、历史安全事件、管理制度等各方面的信息进行搜集和统计。
4.3.2、人员访谈
通过访谈掌握安全制度、人员安全意识、安全流程等信息,也可以了解一些没有记录在案的历史信息。
4.3.3、现场技术性检查方法
(1)设备配置合规性检查,主要包括服务器、路由器、交换机、工业防火
墙的配置信息,需要符合设备安全配置基线的规定。
(2)漏洞扫描,通常是指用于工业控制系统的专业漏洞扫描工具,其内置的漏洞库既包含传统IT系统的漏洞,更重要的是需要包含工控系统相关的漏洞(3)漏洞挖掘,通常是指用于工控设备的专业漏洞挖掘工具,该类工具是基于模糊测试的理论发现设备的未知漏洞。
(4)网络流量分析,通过部署专家流量分析工具,镜像工控网内的全部流量,在此基础上进行分析,发现工业控制系统中异常流量,以及木马病毒等。
(5)渗透测试,利用工具模拟黑客行为的漏洞探测活动,既要发现漏洞,也要利用漏洞来展现某些攻击的场景。
(6)日志审计,通过日志审计工作人员可以随时了解整个工控系统的运行情况,及时发现系统异常事件以方便高效地对信息系统进行有针对性的安全审计。
4.3、安全检查时间
5、工控系统安全检查内容
针对工业控制系统的检查,将主要从以下几个方面进行:
5.1、工控系统安全组织机构
工业控制系统安全管理,首先要健全安全管理的组织机构。即使有规范化的安全保护措施,但是没有规范的安全管理规范,安全保护措施也是无法执行到位的。检查各单位是否具有健全的安全管理机构,是否设置了专职安全管理人员是非常必要的。
5.2、工控系统安全管理制度
工业控制系统安全首先要提升管理人员、工作人员的安全意识。相关人员的意识薄弱也是工业控制系统产生脆弱性的一个主要原因。因此,需要建立一整套的安全管理制度、规范、操作指南等,来规范工业控制系统相关人员的操作,并且通过相关培训、教育来提升安全管理意识。
追求可用性而牺牲安全是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统安全带来了一定的威胁。例如,工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
检查各单位的安全管理制度规范建立情况,可以了解单位对安全生产管理的重视程度。通过不断的建立健全安全生产管理制度规范,促进工业控制系统安全管理不断提升。
5.3、工控资产识别
安全检查的根本目标就是为了保护工控资产,避免遭受威胁攻击。为了开展好评估工作,需要对资产进行合理分类,并对资产的管理情况进行详细掌握。
1、确定好工控检查的项目范围,然后对资产进行识别并加以分类,包括人员、资料文档、以及软硬件资产等。
2、进行资产识别、分类并赋值。做资产等级划分的过程,需要与生产部门相关人员进行沟通,了解资产的重要程序,从专业角度最看重的软、硬件资产、数据资产分别是什么。安全检查人员才能熟悉、了解该地区的业务、业务对应的软硬件资产、业务对应的数据、以及不同数据的重要程度,为后续的安全评估过程指明方向。
5.4、工控系统网络架构分析
网络架构分析是通过对目标工控系统的网络拓扑及网络层面细节架构的评估,主要从网络建设的规范性,网络的可靠性,网络边界安全等几个方面进行分析。工控系统一般分生产管理层、过程监控层、现场设备层,为确保工控系统的安全性,应对生产控制网进行安全域的划分,包括网络安全管理域,过程监控域和工业控制域等,不同安全域之间应采用技术隔离手段。
5.5、集团明令禁止的项目
1、自建互联网出口
根据集团公司相关规定,不允许各单位自建互联网出口。通过登录相关边界设备检查各单位是否存在自建互联网出口的情况。
2、自建VPN
根据集团公司相关规定,不允许各单位自建VPN连接。通过登录相关边界设备检查各单位是否存在自建VPN的情况。
5.6、设备安全配置检查
通过人工查看或使用工具的方式对检查范围内的系统、数据库、设备(含工作站、服务器、安全防护设备等)进行检查,发现账号、口令、授权、日志、服务、规则等功能和配置方面的缺陷和脆弱性等。
5.6.1、工控系统用户身份管理
1、对操作系统和数据库管理系统的登录用户做一般用户和系统管理用户标识和鉴别。
2、用户标识:在用户初次注册到系统时,需对用户名和用户标识符进行标识,确保标识信息在工控系统整个生存周期的唯一性和完整性。
3、用户鉴别:在系统登录时,采用复杂的口令规则或具有相关安全强度的密码机制,并保护鉴别所用数据信息的保密性或完整性,并具有登录失败处理功能。
5.6.2、工控系统安全审计
1、设置主机操作系统安全审计和数据库管理系统安全审计;
2、审计内容应包括重要用户行为,系统资源的异常使用和重要系统命令的使用等类型的重要安全相关事件。用户的添加和删除,启动和关闭审计功能,调整审计策略,变更权限,以及重要的操作(登陆、退出)等;
3、审计日志应包括审计事件的日期和时间、用户名、事件类型、事件成功与否等;
4、审计功能可分为按照安全审计分类、安全审计事件,可进行安全审计查阅并可生成安全审计报表;
5、具有安全审计事件报警,安全审计事件记录存储等功能,审计事件记录保存应至少6个月;
6、安全审计磁盘剩余空间,提醒剩余空间不足并要求采取相应的防止数据丢失的措施;
7、为第三方软件、设备连接安全审计设备数据提供接口。
5.6.3、工控系统入侵防范
1、遵循最小安装的原则,对操作系统仅安装需要的组件和实用程序;
2、通过设置升级服务器等方式,持续跟踪厂商提供的系统升级更新补丁,在经过充分测试评估后,按正式发布的补丁及时进行系统修补。
5.6.4、工控系统防病毒
1、选配满足安全要求的主机防病毒软件,原则上所有主机均应安装防病毒软件,对由于系统不支持而未安装防病毒软件的主机,用采取其他措施进行病毒防范;
2、及时更新防病毒软件版本和病毒库;
3、支持防病毒软件服务器对客户端统一管理。
5.6.5、工控系统远程访问资源控制
1、通过安全堡垒机登录核心工控相关应用系统,如SCADA,DCS等;
2、通过设定终端接入方式、网络地址范围等限制终端登录;
3、根据安全策略设置登录终端的操作超时锁定;
4、根据人员角色不同设置相应的权限,不能共用账号,只有系统管理员具有root权限,其他操作用户分配最小权限;
5、限制单个用户对系统资源的最大或最小使用限度。
5.6.6、工控系统备份与恢复
1、对重要设备和软件应设置有备份机制,当相关设备或软件发生故障时,用备份设备或软件替换故障设备或更换软件;
2、定期(每月至少一次)进行软件备份,当相关软件发生故障时,进行系统恢复。
3、定期(每周至少一次)进行业务数据备份,当相关系统(软件、硬件等)发生故障时,能够进行数据恢复,减小对后续生产的影响。
5.6.7、工控系统日志审计
应设置统一日志管理平台,通过集中采集工控系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对工控系统日志的全面审计。
通过日志审计系统,工作人员可以随时了解整个IT系统的运行情况,及时
发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以帮助管理员进行故障快速定位,并提供客观依据进行追查和恢复。
5.7.8、工控系统漏洞检查
工控漏洞扫描系统实现对SCADA、DCS系统、PLC硬件等工控资产的漏洞扫描,能够支持多种主流的工控协议,具备了发现漏洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞管理能力。
漏洞扫描系统采用了无损扫描技术,通过对支持的工控资产进行梳理和信息收集,漏洞扫描系统可以实现远程,非接触式的安全评估,在不影响生产业务的前提下完成漏洞扫描。
具备完善的漏洞管理流程,安全管理流程制度一般包括预警、检测、分析管理、修补、验证等几个环节,结合安全流程中的预警、检测、分析管理、审计环节,并通过事件告警督促安全管理人员进行风险修补。
5.6.9、工控系统网络数据流量分析
流量分析是对工控网络中各类设备间信息交互时的通信数据流进行风险评估的方式。将智能流量分析设备接入工控网络主交换机的镜像端口,实时深度解析工控协议流量,并把数据与病毒特征库进行对比,及时发现网络中的异常流量并对异常流量进行分析。
5.6.10、工控系统渗透测试
渗透测试是指渗透工作人员在外网等利用不同的渗透手段对企业工控系统网络进行渗透测试,用于发现和挖掘工控系统中存在的漏洞以及风险。渗透测试通常使用的方法是模拟黑客使用的攻击手段对目标企业的工控网络进行入侵,暴露此系统的弱点,可以让管理人员以及工作人员了解系统所面临的威胁,并作出相应的应急方案。
渗透测试具有一定的风险,可能影响企业生产系统正常运行,需要谨慎执行。
渗透测试执行步骤:
5.6.11、工控系统安全威胁评估
使用自动化的威胁评估工具对企业工控系统现状进行整体性安全威胁评估。从资产、漏洞、威胁等多个角度综合评判,并根据指定的算法开展适用于石油行业工控系统安全检查的对标打分研究、实验、并输出一份威胁评估检查报告。6、检查工具
各单位在检查工作中建议通过使用专业设备提高检查效率和准确性。本次安全检查工作提供部分检查工具,包括密码安全自查工具和中国石油基线配置核查工具,各单位在进行检查的过程中,可通过集团公司统一部署的安全检查工具协助检查工作的开展。
7、安全检查结果分析与整改
安全检查需要输出过程记录,检查报告。报告中需要对检查结果进行分析,针对发现的问题进行整改。