摘要:为了进一步指导做好工控系统信息安全事件应急管理相关工作,保障工控系统信息安全,国家工业和信息化部在2017年5月31日印发了《工业控制系统信息安全事件应急管理工作指南》,在总则、组织机构与职责、工作机制、监测通报、应急管理、应急处置、保障措施等方面提出了工作指南,要求坚持政府指导、企业主体,坚持预防为主、平战结合,坚持快速反应、科学处置,充分发挥各方力量,共同做好工控安全事件的预防和处置工作。本文对电厂工控系统组成及其功能进行研究,结合技术手段,提出一种电厂网络安全事件应急处置思路,完成电厂网络安全应急处置工作。
近年来,随着信息技术和工业技术的不断发展与融合,工业互联网应运而生,成为制造业数字化、网络化、智能化的重要载体,工业互联网给工业企业带来高效、高质、便捷等优势的同时,也将工控系统暴露在互联网上,因此工控系统的安全隐患日益增多。为了进一步指导做好工控系统信息安全事件应急管理相关工作,保障工控系统信息安全,国家工业和信息化部在2017年5月31日印发了《工业控制系统信息安全事件应急管理工作指南》,在总则、组织机构与职责、工作机制、监测通报、应急管理、应急处置、保障措施等方面提出了工作指南,要求坚持政府指导、企业主体,坚持预防为主、平战结合,坚持快速反应、科学处置,充分发挥各方力量,共同做好工控安全事件的预防和处置工作。
因此,本文对电厂工控系统组成及其功能进行研究,结合技术手段,提出一种电厂网络安全事件应急处置方法,完成电厂网络安全应急处置工作。
首先,针对电厂的信息安全事件应急处置,结合网络安全事件的应急处置过程与电厂网络管理实际情况,研制贴合电厂网络环境的应急处置方案。
其次,对安全事件进行统一管理、收集安全事件信息、处置过程数据,并在平台的协助下对这些数据进行分析形成处置模型,使得处置经验得以固化。
最后,依靠应急处置经验模型引入应急处置实践过程可以直接提高应急处置效率、精准度,将应急处置工作带入良性循环当中。
DCS控制系统的网络结构和设备配置,系统遭受网络攻击、病毒感染造成的信息安全事件可分为以下三大类:DCS网络故障、工程师站/操作员站故障、DPU控制器组态逻辑破坏,具体如表1所示。
表1 DCS控制系统三类信息安全事件
SIS系统的网络结构和设备配置,系统遭受网络攻击、病毒感染造成的信息安全事件可分为以下三大类:系统网络故障、工程师站/操作员站故障、DPU控制器组态逻辑破坏,具体如表2所示。
表2 SIS系统三类信息安全事件
调度数据网系统根据网络结构和设备配置,系统遭受网络攻击、病毒感染造成的信息安全事件,具体如表3所示。
表3 调度数据网系统信息安全事件
工控安全事件是指由于人为、软硬件缺陷或故障、自然灾害等原因,对工控系统、工控系统数据造成或者可能造成严重危害,影响正常工业生产的事件。近年来,工控安全事件频发,网络安全事件是网络安全风险的最终结果体现。在新的网络安全管理工作格局下,网络安全事件应急工作的重要性日益凸显,覆盖面日趋广泛,业务流的成熟度和复杂度日益提高,对信息化手段的依赖程度也将进一步增强。但是目前制约应急处置工作实现全面上水平、行业领先的最突出问题就是信息化水平低。
电厂由于其系统环境的严苛性,在部分事件中要保证生产的顺利进行,无法外接设备达到处置的目的,传统的应急手段存在一定的限制。另外,网络攻击方法日益新颖,攻击手段复杂,技术人员在操作的过程中,也会面临“数据采集困难”、“大量数据分析困难”、“分析准确度偏低”等一系列问题。
通过对电厂可能出现的网络安全事件进行研究,提出一种“平台+制度+工具”的应急处置管理执行体系。采用引导式应急管理、处理流程。通过建立应急处置管理平台,对电厂环境中可能发生的安全事件进行预置,细分电厂工控安全事件应急处置场景,设置相应的应急处置步骤。根据事件现象,在界面上根据引导完成事件类型的判定。并在每个步骤上提供处置反馈的录入,从数据上实现应急处置过程、数据的可追溯、可统计。在平台提供的应急处置自动化引导过程中,结合现场电厂网络安全应急处置专用工具,实现电厂网络安全事件应急处置取证、分析工作。在现场电厂网络安全应急处置工具中,提供适应电厂操作站主机环境的专用取证工具与分析工具。实现主机操作系统日志的自动提取,实现中间件日志文件的获取。在信息提取的同时,对取证数据进行哈希登记,以备取证数据的完整性检查。特别地可以通过操作系统内存、硬盘的镜像Dump,实现对主机操作系统实时运行进程状态的提取。在分析方面,结合所获取的日志、所发现的恶意代码等取证数据,通过内置的安全事件分析模型实现了安全事件的自动分析。
电力工控系统应急处置向导:预设置电力工控系统重要节点可能发生的安全事件及其相应的应急处置步骤方法。提示应急处置人员操作步骤及操作方法,及时恢复生产。
现场取证工具:现场处置工具之一,为应急处置实施单位现场调查取证用工具,收集信息包括人员访谈、证据固定、痕迹提取、系统采样、安全检查等功能。
事件管理分析工具:现场处置工具之一,根据应急预案指导处置人员现场按步骤实施,并对现场取证工具提取到的信息进行整理分析的专用工具,功能包括样本分析、痕迹分析、溯源分析。
取证是为了尽可能多地获取现场相关数据信息,涉及工作站、网络设备、安全设备、控制设备等工业控制系统现场相关设备。所有的取证数据均以哈希码进行登记,在最后的完整性、可靠性校验时提供必要的比对数据。
现场取证通过对应的数据取证、采样软件自动完成文件数据提取工作。取证功能包括人员访谈、证据固定、痕迹提取、系统采样、安全检查等,如图1所示。
图1 现场取证要点
-
证据固定功能包括:磁盘证据固定、内存证据固定;
-
痕迹提取功能包括:系统日志提取、中间件日志提取、数据库日志提取、组态工作日志提取;
-
系统采样功能包括:登录记录采样、文件使用记录采样、网络连接状态采样、启动项采样、工控流量采样等;
-
安全检查功能包括:病毒木马检测、漏洞检测、安全配置检测等。
对现场取证工具获取的日志信息、系统采样信息、后门信息、现场访谈数据等进行汇总,同时与应急处置管理平台联动,获取事件相匹配的应急处置经验模型。在进行数据整合关联分析的过程中,提出采用“回旋分析法”分析安全事件过程,并串联关键事件,达到安全事件分析的目的。在本地分析算法与平台应急处置经验模型的作用下完成样本分析、痕迹分析、溯源分析,最终形成包含攻击源、攻击手法、攻击路径、攻击过程在内的应急处置事件分析结果,如图2所示。
图2 回旋分析法
应急处置实施人员,在得到事件分析结果后上报上级部门,由上级部门确认应急处置结果。同时分析结果通过接口上传至应急处置管理平台。
( 1 ) 电力工控系统病毒木马检查、电力监控系统流量异常分析与应急处置结合
将电力工控系统病毒木马检查、电力监控系统流量异常分析与应急处置结合。取证工具除支持常见的木马病毒外,该模块的病毒检测引擎支持检测震网病毒、火焰病毒等工控病毒及其变种。将电力监控系统流量分析终端以旁路部署的方式接入生产控制层中的核心交换机,采用流量镜像、高效网络包重组、流重组、协议解析、会话内容识别的方法进行分析,在完全不影响现有系统的生产运行的前提下,发现异常设备和运行情况。在协议识别上,使用已建立的三维规则协议特征信息链表进行检测,识别电力监控系统工业控制协议。通过对原始数据的建模分析,深入挖掘异常信息。结合“回旋分析法”,从而有效发现和界定异常设备及风险操作,进而开展有效的应急处置工作。
将所发现的病毒、木马结合流量威胁发现结果进行了综合分析。结合流量分析结果威胁的五元组信息,和本地数据取证时所获取的端口、进程信息,标记风险进程同时进行进程文件反查定位恶意文件。
( 2 ) 设备可恢复性设计
考虑到在应急响应处置过程中可能出现的恶意软件,以及应急处置设备的使用场景,为避免恶意软件在下次使用时感染其他电力工控系统设备,对应急处置设备进行可恢复性设计。将设备磁盘进行分区,设为数据区与恢复区。数据区为设备工作应用,恢复区为初始备份且不可更改。在应急处置设备完成一次应急处置工作后,通过恢复区对数据区内容进行替换,保障数据区安全性,从而达到保障设备高安全性的目的。
综上所述,针对电厂工控系统中的安全事件,结合电厂工控系统特点,建立一套有效的“平台+制度+工具”的应急处置体系。以取证、分析、管理等手段,实现电厂工控网络安全事件的应急处置过程的管理与操作指引,达到应急处置工作的实际落地目的。针对电力工控系统环境中实行应急处置的自动化程度低、操作难度大、可靠性不足等问题,使用本文所述方法可以得到很好解决。
原文始发于微信公众号(老马玩工控安全):浅析电厂工控系统网络安全应急处置