中标易云vWall工控系统安全解决方案

方案背景
总体思路
解决方案(上)
解决方案(中)
解决方案(下)
案例分析

前言

随着我国工业化和信息化的深度融合以及物联网的快速发展,SCADADCSPLC等工业控制系统面临的信息安全问题日益严重。为保证能源和基础设施行业控制系统的安全稳定运行,需要建立有针对性的安全防护体系。

背景

近十年来,随着信息技术的迅猛发展,信息化在我们企业中的应用取得了飞速发展,工控网络具备如下特点:一是互联网技术的出现,使得工业控制网络中大量采用通用TCP/IP 技术,ICS 网络和企业管理网的联系越来越紧密。二是传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通所必须考虑的通信安全问题。三是企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能,因此在工控系统开放的同时,也减弱了控制系统与外界的隔离,近期“勒索病毒”的爆发,企业信息网是重灾区,同时有从企业信息网蔓延到工控网络的趋势,给全球工控网络造成巨大的损失,工控系统的安全隐患问题日益严峻。


  从总体结构上来讲,工业控制系统网络可分为三个层次:企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统,一般使用通用以太网,可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设汁,完成数据采集、A/D 转换、数字滤波、温度压力补偿、PID 控制等各种功能。系统架构如右图所示:

工控系统特点

工业控制系统在发展之初与传统IT系统并无相似之处,随着工业控制系统采用广泛使用的、低成本的互联网协议设备取代专有的解决方案,以促进企业连接和远程访问能力,并正在使用行业标准的计算机、操作系统(OS)和网络协议进行设计和实施,已经和传统IT系统非常相似了。但是,工业控制系统有许多区别于传统IT系统的特点,下面进行简要分析:

1、  实时性通信

与传统IT系统相比,工业控制系统要求更高的实时性通讯,虽不需要非常大的吞吐量,但系统的高延时与抖动是不可接受的。

2、  系统不允许重启

与传统IT系统相比,工业控制系统对重新启动这种无计划的响应是不能接受的,系统的高可用以及容错是优先级最高的需求。

3、  人和控制过程安全

与传统IT系统相比,工业控制系统更注重人身安全,主要风险是不合规,环境影响,生命或者设备与财产损失。

4、  加入安全后,不影响控制流程

与传统IT系统相比,工业控制系统不能因为安全措施影响紧急交互响应,工控系统虽然需要严格控制对系统的访问,但不能妨碍或者干扰人机交互。

5、  资源限制

与传统IT系统相比,工业控制系统设计是可以支持预期的工业过程,没有足够的内存和计算资源支持安全组件,任何安全防护手段都可能对其可用性造成风险。

6、  变更管理

与传统IT相比,工控系统软件变更必须经过严格测试,以递增的方式部署到整个系统,以确保控制系统的稳定性,工控系统的中断是有计划的,而且厂商不再支持的系统也是可以使用的。

7、  设备生命周期

与传统IT系统3-5年生命周期相比,工业控制系统的设备生命周期要长很多,一般是15-20年。

通过上面的分析可知, 工业控制系统安全是信息安全研究领域的一个新课题,随着信息化的发展,传统封堵查杀的安全措施已经无法适应安全的新趋势。

工控系统的安全风险

工业控制系统对可用性的安全要求远高于机密性,业务的连续运行是工控系统的首要保障的目标,在这个目标指导下,造成安全措施的缺失,工业控制系统中的安全风险如下:

1、   操作系统的安全漏洞问题

由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。

2、   杀毒软件安装及升级更新问题

用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。

3、  使用U、光盘导致的病毒传播问题。

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。

4、  设备维修时笔记本电脑的随便接入问题

工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。

5、  存在工业控制系统被有意或无意控制的风险问题

如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。

6、  工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题

由于工业控制系统管理终端的安全防护技术措施十分薄弱,所以病毒、木马、黑客等攻击行为都利用这些安全弱点,在终端上发生、发起,并通过网络感染或破坏其他系统。

终端安全成为工业控制系统的重要一环,传统的封堵查杀IT系统的应用效果并不尽如人意,新IT架构的出现,新技术的引入,是否能改变这一状况?

终端的管理、运维以及安全配置一直是传统IT的焦点问题,大量的企业资源被这些问题占据,安全风险也腾出不穷。

相对于传统IT终端个性化应用较多,工业控制系统终端最大特点是应用业务相对固定,终端主要安装工业控制系统程序。所以,构建一个拥有标准安全基线的操作系统来防范传统方式的病毒或木马等恶意软件是最有效的安全手段,虚拟化技术恰恰可以做到这一点。虚拟化技术可以为工业控制系统网络提供标准的安全配置桌面,实现终端桌面统一配置管理、统一安全管理、统一运维管理。

桌面虚拟化技术特点

传统Wintel的计算模式是将操作系统直接运行在Ring0层,实现对主机硬件的直接访问。这种访问方式极大的提高了软件的功能、性能,但安全性却存在天然隐患。一旦操作系统被攻破,黑客就可以获得极大的控制权,对已入侵主机以及网络中其它主机的攻击都是灾难性的。

虚拟化技术将运行系统分为宿主机以及虚拟机两个层面,用户操作系统运行在虚拟机层面,不能直接访问硬件,由宿主机提供的各种虚拟服务模拟物理硬件为虚拟机提供服务,即便是虚拟机被攻破,如果采取比较好的隔离手段,防止虚拟机逃逸,这种黑客行为对系统的影响也是有限的。

虚拟化技术的另外一个特征就是集中提供服务。桌面虚拟化在数据中心端为用户提供整体计算环境,到达用户桌面的仅仅是桌面影像,本地用户对运行数据没有直接控制的权限,这样就极大的减小了数据失窃的安全风险。

虚拟化技术还具备快速响应的特点。传统PC机在运行过程中出现了安全事故,只能通过“救火”方式进行,仅仅能在减小损失层面上进行补救。而虚拟化技术可以进行更快捷的“熔断”响应,将事故系统完整的保留下来,一旦找出解决方案,再激活并快速修复系统。比如勒索病毒会加密用户数据,但密钥在内存中却是明文,这时管理员只要将系统暂停,通过反汇编找到密钥的所在地,将密钥取出,即可实现解密。更重要的是这种操作可以无限重复,就像“月光宝盒”一样,直到彻底找到应对措施。

桌面虚拟化适用于工控系统

工业控制系统网络架构是依托网络技术,将控制计算节点构建成为工业生产过程控制的计算环境,工业控制系统可以理解成典型的业务流程相对稳定与固定的一种计算环境,特别适合虚拟化技术。运用虚拟化技术,为工业控制系统提供标准的,具备安全基线的操作系统桌面,可以大幅提升工控系统的整体安全性,实现工业控制系统的云化管理,可行性分析如下:

1、  可以支持实时性要求高的网络环境

随着虚拟化技术的发展,网络虚拟化技术也不断深入,网络虚拟化技术允许管理员将多个物理网络整合进更大的逻辑网络中。反之,一个物理网络也可以被划分为多个逻辑网络。或者在虚拟机之间创建纯软件的网络。网络虚拟化为实现提高速度和自动化,加强网络管理,降低成本的目标提借的新的方法,满足工业控制网络对于低延时低抖动的要求。

2、  利用服务器基础架构构建的桌面环境更加稳定

终端采用工作站(工控机)架构可以使得计算环境更加稳定,规避重启宕机的系统可用性的安全风险。但对于不断扩展的工业控制系统网络,采用大量的工作站替换普通PC的成本过高,而且分布式计算环境维护量也会更加繁重。桌面虚拟化构建于服务器架构之上,支持热迁移等高可用方案,每个用户桌面都会获得更稳定的运行预期,安全可用性可以大幅提高。

3、  桌面虚拟化技术可以规范用户桌面环境

传统分布式终端维护困难,面对大量的分布在不同区域的终端安全策略与安全制度很难落实,员工的使用习惯与安全意识达不到企业安全要求,合规性风险成为终端重要的安全隐患。通过桌面虚拟化可以构建统一的安全合规桌面,统一制定企业与行业安全制度与策略,提升工业控制网络的整体安全性。

4、  桌面虚拟化可以实现更快捷的流程响应

工业控制系统加入安全元素后,访问控制更加严格,随之而来的访问流程也会更加繁琐,针对工业控制网络的实时性要求高,应急响应快捷的特点,安全防护的手段势必要进行简化,安全防护力度也会随之变弱。在桌面虚拟化环境下,桌面系统集中管控,管理力度与安全方案与分布式终端不同,可以在不降低整体安全性的同时为用户的应急响应提供快捷方便的通道,提高企业事件处理能力。

5、  桌面虚拟化可以动态提供用户计算资源

工业控制系统在建设初期很难规划出全面的资源冗余配置,虽然可以支持预期的工业控制过程,但附加的安全防护措施并不在其资源冗余的规划之内,过多的封堵查杀安全技术手段可能会造成系统的宕机风险。桌面虚拟化技术可以动态的实时为用户分配相关资源,为用户的安全防护提供资源。同时,基于集中管控的计算方式,统一的安全策略与终端配置,也会减少传统安全防护的力度,减少对用户资源的占用。

6、  桌面虚拟化可以提高终端使用周期

工业控制系统拥有大量的PC终端计算环境,操作系统也会因为业务系统的要求进行选择,大量的老旧操作系统依旧应用,使得新购买的终端系统硬件与软件的兼容性问题层出。采用桌面虚拟化技术,操作系统与支撑硬件耦合度降低,操作系统仅仅作为一个虚拟化平台的应用存在,软硬件兼容性问题迎刃而解的同时,更延长了系统的生命周期,简化了系统管理成本。

IT架构正处在一个重要的变革时期,越来越多的企业关注到了传统PC在生产经营中的局限性,特别是工业控制系统与传统IT结合比较深入的环境,需要新的计算框架解决已有的安全问题,虚拟化技术的出现,使得终端管理转向更高层次的云架构成为可能。

  工业控制系统有着与传统IT系统不同的特点,而这些特点通过桌面虚拟化技术可以很好的支撑,桌面虚拟化在工业控制系统中的应用成为可能。


中标易云vWall工控安全解决方案采用整体防护以及安全免疫体系的建设,克服“封堵查杀”被动局面。总体建设思路如下:

1、加强信息系统整体防护,构建基于自主可控体系的桌面虚拟化云平台及统一安全管理平台,打造区域隔离、集中管控的安全计算节点环境,以提高工业控制系统终端的整体安全防护能力。

2、利用安全审计组件控制操作人员对终端操作行为,把控攻击发起的源头关,做到操作使用安全。

3、使用软可信技术加强计算节点环境的免疫能力,减少“封堵查杀”类的安全组件应用,减少资源占用以及运维成本,提高防护有效性。

4、加强事前预防、事中保护、事后审计的体系化建设,一体化的解决工控系统计算环境的安全。

5、加强云平台系统层面安全机制,构建自主可控、合规安全的系统支撑平台,减少应用层面的改动,实现安全可靠的总体目标。

总体来说,为工业控制系统打造一体化的虚拟桌面计算环境,并内嵌高效的终端安全防护手段,提升工业控制系统的整体安全水平,减少运维成本,加强事故响应速度。

安全模型

  针对传统分布式PC环境的固有问题,结合虚拟化技术的先进特性,中标易云推出基于云计算与桌面虚拟化的vWall工控安全解决方案,该方案以工控系统中的计算节点环境为核心防护对象,通过云计算与桌面虚拟化技术构造了集中管控的安全计算环境,创建了企业事前预防、事中防护、事后响应的PPR Prevent ProtectRespond  )工业控制系统计算环境安全防护模型,实现了工业控制系统全生命周期的安全管理。

中标易云vWall工业控制系统安全解决方案关注事前预防、事中保护以及事后审计等三个阶段的安全管理,并将这三个阶段有机的结合在一起,确保工业控制网络的安全。

事前预防

为工业控制系统指定预防策略,包括:

操作系统的还原机制。为可以进行重启的企业管理层桌面提供完整全新安全合规的桌面系统。

静态模板校验机制。对启动的桌面系统进行度量,实现桌面不被木马病毒侵害。

计算与存储分离机制。采取异构冗余的方法为桌面系统提供存储环境,避免数据与计算同时遭到木马病毒侵害的可能。

事中保护

工控软件白名单。可以指定进程白名单策略,管控启动的进程,确保不必要的进程与程序无法运行。

用户行为审计。可以对用户的各种操作行为集中审计,阻止从终端的攻击。

网络准入控制。瘦客户端支持准人认证,实现网络边界的安全,为一体化构建网络安全边界提供有力支撑。

事后响应

安全事故熔断响应。依托虚拟化技术,可以对中毒桌面采用熔断措施,直至事故排除并恢复数据。

补丁模板快速分发。支持快速补丁安装,并支持一键式镜像模板分发,节省了用户运维成本。

系统0延时容灾。虚拟桌面操作系统支持快速动态迁移,实现0延时容灾,确保工业控制系统可用性的安全目标。

  中标易云vWall工业控制系统安全解决方案基于虚拟化环境以及可信机制打造出比实体环境更全面的预防机制、更完善的防护手段以及更快速的事故响应,具备更强大的安全免疫能力,确保工控系统计算环境的安全。


中标易云vWall工业控制系统安全解决方案构建三层云桌面系统,将现场控制计算节点、数采信息计算节点、企业管理计算节点与互联网分别隔离,构建纵深防御的安全防护体系。

中标易云vWall工业控制系统安全解决方案分为安全管理平台、桌面虚拟化子系统、计算节点安全防护子系统、终端接入子系统。

统一管理平台

中标易云vWall工业控制系统安全解决方案为工控系统构建统一的安全管理平台,该平台分为安全管理中心、系统管理中心与审计管理中心等三大安全组件,并为这些组件构建统一的基于三权分立的认证授权模式,保证整个系统的安全。


安全管理中心

安全管理中心是信息系统的控制中枢,主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略,并且强制桌面虚拟化子系统、计算节点安全防护子系统及终端接入子系统执行,从而实现了对整个信息系统的集中管理,为工业控制系统的安全提供了有力保障。

安全审计中心

安全审计中心是系统的监督中枢,安全审计员通过制定审计策略,强制桌面虚拟化子系统、计算节点安全防护子系统及终端接入子系统执行执行,从而实现对整个信息系统的行为审计,确保用户无法抵赖违背系统安全策略的行为,同时为应急处理提供依据。

系统管理中心

系统管理中心负责对安全保护环境中的计算节点、接入终端、安全防护系统实施集中管理和维护,包括用户身份管理、资源管理、应急处理等,为工控系统的安全提供基础保障。

桌面虚拟化子系统


中标易云vWall工业控制系统安全解决方案为工控系统计算节点构建基于自主可控安全的桌面虚拟化平台,实现桌面系统云端管理,满足工控系统对终端的高可用及安全要求。

桌面虚拟化子系统满足分级保护的涉密安全需求,通过9大功能体系实现自身安全性。为工控系统计算节点提供安全的底层支撑平台。


桌面虚拟化子系统具体功能如下:


虚拟桌面与桌面池

中标易云支持虚拟桌面池管理功能,这些功能可以方便快捷的部署和管理虚拟桌面。中标易云支持下列桌面类型:

·        标准桌面。标准桌面是由桌面池动态生成的桌面,用户在每次连接时均连接到池中不同的桌面,且会话之间没有任何永久性的环境或用户数据。标准桌面适合工作环境单一的场景,如呼叫中心等环境。

·        个性化桌面。个性化桌面是指由TC终端进行远程访问的个性化的虚拟机。有权使用此类桌面的用户,将在每次连接时始终访问同一系统。个性化桌面适用于那些需要唯一专用桌面的用户,如办公等场所。

·        共享桌面。共享桌面是指由一个或多个Windows终端服务器(Terminal Servers)提供的终端服务(TS),一个终端服务桌面资源可以同时交付多个会话(用户)使用。共享桌面适合轻量级负载场景,如教育行业云教室等场所。

桌面发布

对于标准桌面与共享桌面,管理员可以将其直接发布给一个或多个用户组,其中的用户与虚拟桌面的匹配由系统自动完成或用户自行手工选择。

对于个性化桌面,管理员必须将其中的每个虚拟桌面与可使用该桌面的用户进行明确指定,不允许系统自动分配或用户自行选择。一个虚拟桌面可以分配给多个用户,一个用户也可以分配获得多个虚拟桌面的使用权。

只有在桌面发布给用户后,用户才有权限登录使用该桌面。如果一个用户同时获得权限访问多个桌面,则在用户登录成功后会向用户提示可访问的所有桌面的列表,由用户选择其中一个桌面使用。

存储优化与克隆链接

中标易云桌面虚拟化使用链接克隆技术,允许从主映像快速创建桌面映像,批量快速部署虚拟机,无论何时在主映像上实施更新,都可以在数分钟内推送到任意数量的虚拟桌面,极大地简化了部署和修补工作,并降低了成本。此过程不会影响用户设置、数据或应用程序,因此用户仍然可以高效地使用工作桌面。

部署与升级

标准桌面与个性化桌面都可以采用模板克隆的方式创建,即先在后台创建一个虚拟机模板,在该模板中完成所有操作系统、应用系统的安装和相关配置。然后在创建桌面池时,以该模板为母体,批量克隆出多个完全相同的桌面,从而实现快速大规模部署。当对桌面池的虚拟机模板进行修改时,由于桌面池内的其他虚拟机和该虚拟机共用主镜像文件,因此当其他虚拟机重新启动时,就会自动获取更新后的虚拟机模板,从而提供给用户更新后的桌面环境。这样,管理员只需要修改桌面池的模板,就可简单实现该桌面池内的所有桌面的统一升级。

                      

                                                 升级与部署                                                                                     负载均衡

负载均衡

当桌面池中的虚拟机分布于多台服务器上时,可以对桌面的分配进行负载均衡。负载均衡可以根据服务器的连接数、CPU负载和内存负载来进行。以连接数负载为例,当第一个用户来申请桌面时,系统从服务器A上为其分配一个桌面;而当下一个用户来申请同一桌面池上的桌面时,系统发现服务器B上的连接数少于A,因而从服务器B上为其分配一个桌面。

高可用性与扩展

为满足高可用性和高可扩展性的要求,在部署中标易云桌面虚拟化服务器时可使用多台物理服务器级联。要部署的第一台虚拟化服务器为主控管理服务器(安装过程中选择安装为Manager Server或ALL IN ONE),在此情况下,将安装一个控制云桌面分配和负载均的主控实例。

为增加云桌面实例,可将后续服务器作为Virtualization Server用户承载云桌面实例运行。在此安装过程中,Virtualization Server将加入到Manager Server服务器上作为其计算节点,并继承其配置数据,两台服务器由高可用的负载均衡的实现,在分配云桌面实例时,将自动将云桌面分配的负载地的服务器上。这两台服务器都提供了承载云桌面计算的功能,一旦一台服务器发生故障,另外一台服务器将继续单独运行,并承载所有的云桌面的运行,直到服务器故障修复或新的计算节点加入。要添加第三台或更多的Virtualization Server,各个服务器之间都将加入负载均衡序列,在分配云桌面实例时,自动选择负载低的服务器运行实例,一旦有服务器出现故障,其他服务器将承载其运行的实例。

虚拟桌面迁移

中标易云支持虚拟机桌面的迁移功能,确保在虚拟化服务器出现故障或要更换服务器时保存用户数据,主要有动态迁移、静态迁移、故障迁移。

动态迁移是所有的虚拟机化服务器使用共享存储,在虚拟机桌面运行过程中,将其从一个虚拟化服务器上迁移到另外一台虚拟化服务器上,保持虚拟机桌面的数据和运行状态不变,虚拟机桌面在迁移过程中只有一个短暂的停顿过程,保证虚拟机桌面中的所有任务状态不变,迁移完成后继续可继续运行。

静态迁移是每个虚拟化服务器有单独的存储,在虚拟机桌面未运行时,将其从一台服务器迁移到另外一台服务器上。

故障迁移是在所有的虚拟化服务器使用共享存储,当一台服务器出现故障无法启动时,通过故障迁移,将其承载的所有的虚拟机桌面迁移到其他服务器上。

                      动态迁移                                              静态迁移



信息安全合规性

基于以下安全防护组件,可以清晰的实现桌面虚拟化的安全目标——确保数据的存储安全、数据的使用安全、数据的传输安全。

身份鉴别

中标易云桌面虚拟化支持用户身份唯一性标识、用户身份的鉴别、支持管理员身份鉴别、重鉴别、鉴别失败处理和登录限制等技术。

访问控制

中标易云桌面虚拟化支持主体依据安全控制策略对客体资源进行访问,确保只有授权用户或者主体才可能对受保护的资源进行访问。访问控制范围包括主体、客体及他们之间的操作规则。访问控制确保被访问的资源与内容不能超出策略的预定义。访问客体资源包括但不限于存储资源、网络带宽、虚拟机资源、宿主机资源等。

安全审计
   审计项

中标易云桌面虚拟化支持用户及管理员在运行过程中的登录,操作,资源访问,对服务器与存储的配置,对虚拟化系统操作,对虚拟机的资源调度,虚拟资源分配,虚拟机资源的异常使用,虚拟机之间的网络访问等行为的审计。通过对上述审计项的审计,尽可能的还原用户及管理员的操作轨迹,杜绝安全操作盲点。

审计内容

中标易云桌面虚拟化支持审计所应该包含的审计要素,包括:主体,客体,时间,操作项,成功与否,分类等,尽可能的通过审计准确取证。

审计日志保护

中标易云桌面虚拟化支持利用可信计算TCM的可信报告根对审计日志进行完整性保护,确保审计内容不被非法篡改。并通过访问控制手段确保审计日志不被删除。

审计日志使用

中标易云桌面虚拟化支持利用大数据分析技术从海量事件日志中抽取出事故并上报等机制。

资源管控

中标易云桌面虚拟化支持VLAN划分、带宽管理及网络层控制等,实现全方位的资源管控。

客体安全重用

中标易云桌面虚拟化支持存储空间残留信息擦除、内存空间残留信息擦除,确保机密信息不被非法重用。

通讯的完整性与保密性

中标易云桌面虚拟化支持传输加密、传输完整性保护、连接资源的控制等功能,实现通信安全。

数据完整性与保密性研究

中标易云桌面虚拟化支持数据机密性防护,关键文件完整性校验、关键信息防护等功能,确保数据安全。

入侵检测

中标易云桌面虚拟化支持通过可信计算白名单技术实现入侵检测的相关防护,提高入侵检测响应速度。

备份与恢复

业务型容灾备份

中标易云桌面虚拟化支持工作站点和灾备站点都给指定用户分配虚拟机,当灾难发生时,由客户自主切换到灾备站点。

数据型容灾备份

中标易云桌面虚拟化支持远程复制数据容灾,从主数据中心的虚拟机的数据盘复制到灾备站点对应虚拟机的数据盘。

运维与管理

中标易云桌面虚拟化方案提供了全中文的Web管理界面,管理员可以从任何地点通过Web登录访问桌面虚拟化的Web管理界面,方便地进行配置和管理。

日志与事件管理

中标易云桌面虚拟化方案支持日志与事件管理,记录用户登录、退出、启动桌面会话等用户操作行为,同时能够及时报告系统故障和错误的警告,从而为管理员的日常维护和故障排查工作提供可靠的支持。

计算节点安全防护子系统

计算节点安全防护子系统通过在操作系统核心层、系统层设置以了一个严密牢固的安全审计及基于白名单的防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性安全,从而为工业控制系统的正常运行和免遭恶意破坏提供支撑和保障。具体功能如下:

主机状态监控与审计

自动发现和收集计算机上的软硬件资产信息,跟踪软硬件资产信息变化情况,对非授权的软硬件资产的变更产生报警。具体功能项如下:

资产信息查看,自动收集计算机用户的软硬件资产信息。其中硬件信息包括处理器、硬盘、内存、BIOS、光驱、显卡、声卡、网卡、显示器、输入设备、接口控制器、调制解调器、系统端口和插槽共计14种类型的硬件资产;软件资产包括系统软件、应用软件两种类型;还包括有操作系统信息和客户端信息。

软件管理策略,规范用户使用软件的范围,通过设置安装程序黑白名单或基线方式保证用户启动进程的合法性。获取计算机用户的软件安装情况,并能对全网的软件安装情况进行统计。

硬件管理策略,定义非法硬件名单,可定义的非法硬件包括:调制解调器、无线网卡、打印机、采集卡、刻录机、软驱、移动存储器、键盘和鼠标。系统一旦识别出非法硬件后立即向服务器发送告警信息。

硬件基线设置,定义硬件设备的运行基线,当发现硬件设备与运行基线不一致时,系统立即向服务器发送告警信息。能定义为基线的硬件设备有CPU、BIOS、硬盘、网卡、显卡、光驱、内存和声卡。

系统资源监测,监测CPU、内存的使用情况,当CPU、内存超过管理员设置的监测阈值时,系统向服务器发送告警信息;监测硬盘的使用情况,当硬盘空闲空间小于管理员设置的阈值时,系统向服务器发送告警信息。

非法开机事件监测,对用户非指定时间段内开机事件进行监测,并告警。

配置信息监控与审计

实时监测计算机的资源使用情况,当发现系统资源超过管理员设定的监测阈值时,根据管理员预定义的响应策略阻止用户行为或向服务器发送告警,具体所能监控的信息如下:

关键注册表项的监控,对操作系统重要的配置信息进行黑/白名单式的管理和监控,主要包括自动运行项、系统服务项。

计算机名称监控,禁止计算机用户修改计算机名称的行为。

网络配置,监控系统网络配置的变化情况,禁止用户修改IP地址。

帐户监控与审计

实时监测用户和组的添加、删除和属性改变的用户操作行为,包括用户和组的权限变更。

进程监控与审计

对主机上的进程进行黑/白名单式的管理和监控。主机监控系统能够自动收集受控终端的运行进程信息,并对收集的进程信息实施分类管理。通过可信计算策略控制,防范关键进程的重命名行为;另外,主机监控系统对操作系统文件进行完整性校验,并实现强制访问控制,确保操作系统核心系统文件的安全,保证操作系统免被病毒或木马侵袭,实现操作系统的可信。

可信计算管理,通过添加、删除、导入、导出和批量更改分类等操作,对“应用程序库”和“核心文件库”中收集到的进程信息和核心文件信息进行统一管理。

可信计算策略,通过下发“程序控制策略”,监控程序的执行变化情况,阻止非法程序的运行,并记录日志;通过下发“核心文件策略”,监控核心文件的正常运行,防止被非法程序篡改。如果核心文件有变化,系统将会报警,并通过消息方式通知用户。

服务监控与审计

对主机上的系统服务进行黑/白名单式的管理和监控,监控项包括服务名称、服务描述、启动或关闭、计算机账户、计算机IP地址、MAC地址、服务启动或终止的时间等,并将以上信息记入审计日志。

系统漏洞的监控与审计

统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等微软产品的补丁,具体功能如下:

制定统一的补丁管理策略,通过设置补丁来源确定补丁服务器WSUS的地址,按照补丁检测周期定期检测客户端补丁安装状况。

实现统一的补丁更新管理,通过设置终端策略实现系统补丁更新,更新模式有两种:手动更新补丁和自动更新补丁。

o 手动更新补丁模式,通过下发获取补丁命令来对客户端的补丁安装情况进行检测,如果存在客户端未安装的补丁,则可手动触发下载安装补丁。

o 自动更新补丁模式,通过补丁管理策略可实现定期检测客户端的补丁安装情况,对于未安装的补丁支持后台自动的下载安装修复。

主机流量监控和审计

对主机上产生的数据流量进行监测和统计,能够按照进程名称、上传流量、下载流量等进行流量统计分析,对超过策略所设定的流量阈值的行为采取告警、阻断等监控措施,并记入审计日志。

非授权接入监控与审计

内网安全扫描是主机监控系统的一个组件,它的主要功能是扫描局域网内部的存活计算机信息,并对这些计算机进行合法性分析。通过子网配置、参数配置并启动扫描后,各个网段的代理向本网段发送探测数据,并收集数据提取存活主机信息,然后各网段代理分别将本网段数据信息发送至服务器。服务器在分析数据之后,通过控制台显示被探测到主机的相关信息。这些信息包括主机的IP地址、Mac地址、合法性、一致性、是否例外主机等。该组件可以通过交换机阻断功能或ARP欺骗阻断功能来阻断不合法主机,对扫描到的不合法主机采取告警措施,并记录扫描产生的日志信息。

多系统识别和监控

支持识别安装在主机上的多个操作系统及虚拟机软件,对于违规安装多操作系统或虚拟机软件的行为进行告警和禁用等监控措施,并记入审计日志。

文件校验审计

支持对移动存储介质和主机上关键目录内的重要文件操作进行日志记录,并采用文件校验算法进行完整性校验;对文件的非法篡改行为进行记录和告警。

网络监控与审计

规范计算机用户的网络访问行为,根据业务相关性和保密的重要程度建立可信任的虚拟安全局域网。网络防护有两个层面的含义:第一是防止用户误操作或蓄意泄漏企业的敏感信息;第二是防止黑客通过互联网透过防火墙非法获取客户端的敏感信息。实现了从网络层到应用层的多层次防护,具体功能如下:

网络层防护:IP地址访问控制、TCP/UDP/ICMP协议控制;

应用层防护:HTTP/FTP/TELNET/SMTP/WEBMAIL/BBS/NETBIOS控制;

控制策略有:禁止访问、自由访问。禁止访问时提供仅开放白名单功能,实现只开放白名单地址,其它地址全部禁止;自由访问时提供黑名单功能,实现只禁止黑名单地址,其它地址全部开放;同时提供三种日志记录模式:记录被禁止的访问、记录未知的访问和记录信任的访问,对FTP、SMTP访问控制和文件打印,可以记录文件内容。

打印监控与审计

根据企业的打印机管理制度和计算机用户业务关系统一制定打印机的管理策略,具体的功能控制项如下:

监控用户打印行为:统一制定计算机用户的打印管理策略,控制模式可以分为:自由使用打印机、禁止使用打印机和允许使用打印机并记录打印文件名称(可选项为备份文件内容-非标准要求)。使用打印机能够基于打印机名称、打印进程以及虚实打印机进行控制。

打印行为违规报警:在禁止打印机策略时如果用户执行打印操作,系统立即向服务器发送违规打印操作信息。

光盘刻录监控与审计

对光盘介质的访问进行统一的控制,。刻录机控制支持:禁止使用、只读使用等三种。同时,可以对刻录的文件进行审计。

共享监控与审计

支持记录受控终端的文件共享信息,并提供审计日志;支持监测共享文件夹的添加、删除和权限变更,当系统共享文件夹发生变化时,系统向服务器发送告警信息;支持阻断用户的非法共享行为,并告警。

文件和目录操作审计

能够监测用户在移动存储介质和主机上创建文件、读写文件、重命名文件和删除文件的操作行为,可以设置所监测的文件名、文件后缀和文件路径。

终端接入子系统

中标易云终端接入子系统是采用ARM架构并内置Linux操作系统的瘦客户端。本系统支持多种虚拟化接入协议,支持双网接入、支持802.1x安全准入、支持4K高清播放等。

安全网桥

确保各终端之间流量局限在本网段之中,不会影响其他终端。

双网络唤醒

由网络配合其他软硬件技术,实现远程启动。

802.1x身份认证

实现终端安全准入,确保网络边界安全。

双屏异显

可方便实现内外网隔离,双网接入,确保数据安全。

双网隔离

  可构建不同的网络接入方式,实现内外网信息安全隔离。

客户收益

中标易云vWall工业控制系统安全解决方案为用户打造了一体化的解决方案,确保计算节点环境的安全管理及运维管理的有效性。

1、计算上移,保障信息安全

在桌面虚拟化环境下,终端与信息分离,所有的数据以及运算都在服务器端进行,客户端只是显示其变化的影像而已,所以既不需要担心非法窃取资料也不用担心通过终端引入的安全问题。

2、业务连续性强,高可用技术保障系统可用性

桌面虚拟化构建于服务器架构的硬件之上,并放置于运行条件非常好的数据中心中,比一般系统具备更高的稳定性与更长的生命周期。同时,动态0延时迁移技术也可以保障工控业务的可用性。

3、桌面统一管理,方便运维,事故快速响应

在桌面虚拟化环境下,所有的业务和应用都在数据中心进行处理,通过一套标准模板就可支撑整个计算节点的运维,大大节省了运维的成本。在事故响应方面,可以快速的对应用或者操作系统进行加固及补丁修补,具备分布PC不具备的优势,有效降低了计算节点环境的管理维护成本,为事故的快速响应奠定了基础。

4、降低总体成本

在桌面虚拟化在硬件购买成本上,与PC成本几乎持平,但是在扩展成本等方面对比传统PC大大降低。瘦客户端小功率的硬件相比于传统PC能耗大大降低,在电力消耗成本和管理维护上有着明显的优势,使得总体成本大大降低。

5、电磁兼容性高,适用于工控环境

瘦客户端器件发热量小,使用生命周期长,符合工控环境的使用要求。

6、一体化方案

提供整体化的解决方案,本着为客户解决问题的态度,为客户提供基础建设,产品实施,以及更多硬件和软件服务,实现一体化解决用户所有的问题。

案例分析

某卷烟厂作为现代化卷烟工厂,信息化程度非常高。在工厂管理网中拥有终端700多台,数采信息网与控制网中有终端80多台。工控系统终端存在如下问题:

1、操作系统安全漏洞问题

大量的不同操作系统在体系内混用,补丁管理混乱,系统安全漏洞较多,虽定期会进行一些补丁管控,但整体上存在补丁更新不及时的问题。

2、杀毒软件安装及升级更新问题

相当一部分终端由于性能老旧,安装杀毒软件可能会影响工控业务,所以未安装软件,部分安装杀毒软件的终端由于无法测试升级对系统的影响,长期也未考虑升级。

3、U盘、光盘使用无法管控的问题

移动介质无控制使用,给摆渡病毒的传播带来了一定的机会,也对生产数据的安全造成了一定的隐患。

4、终端身份认证与密码管理问题

终端采用口令验证方式,口令短而简单,而且大多数终端采用一种口令且长期不进行更换。

5、维修笔记本随意接入问题

设备维修时会带笔记本接入工控系统的不同网络,给系统带来一定的风险。

通过调研分析,明确了该卷烟厂工业控制系统的安全防护不足之处,从卷烟厂的实际需求出发,按照工信部的相关要求,结合其他行业在工控系统安全防护的经验,结合云计算虚拟化技术,利用中标易云vWall工控安全解决方案为该卷烟厂制定一体化的解决方案。

1、将控制层、数采信息层、管理信息层的终端云化管理,并在不同层次采用不同的物理池进行隔离。管理信息层终端较多,内部根据业务不同划分不同的逻辑域。

2、为系统提供统一配置的标准桌面,涉及多个版本的操作系统,实现安全基线管理,关闭端口与不必要的服务,并进行最新的补丁更新。

3、桌面安装工控安全白名单软件,并通过业务系统智能识别确认合法的业务流,实现白名单安全管理。

4、瘦客户端的接入实现双向认证与加密功能,杜绝非法连接、旁路侦听以及重放攻击。

5、终端采用瘦客户端,禁止移动设备的接入,专门设置摆渡计算机,可对移动设备进行接入管理并在接入前查杀病毒。

6、对于接入移动设备采用准入机制,并进行健康检查,实现认证管理。

7、支持终端双因子认证,并对张浩进行权限划分,对口令的长度、强度、更换频率进行统一管理。

通过终端进行的虚拟化改造,可以解决烟草行业现场温湿度要求严酷,烟叶粉尘较多,工业设备震动对PC的影响等环境问题的同时,也可实现运行桌面的标准化、操作系统的统一加固、高可用性等安全目标,保障烟草行业工控系统的安全稳定持续运行。

总结

工业控制系统是定制的运行系统,其资源配置和运行流程具唯一性和排它性特点,用防火墙、杀病毒、漏洞扫描不仅效果不好,而且今引起新的安全问题。基于云计算与桌面虚拟化技术的安全防护体系可以很好的为工控系统分配资源,减少系统的运维成本,提高系统的整体安全防护力度。

  中标易云vWall工业控制系统解决方案完全实现自主可控,采用软可信白名单技术,使每个计算节点都有可信保障功能,确保系统资源不会被篡改,处理流程不会被干扰破坏,使工控系统能按预定的目标正确运行,达到病毒攻击不查即杀的防护目标。