今日頭條
官方微信
官方抖音
案例頻道★賈志鵬(北京貝諾電子科技發展有限公司,甘肅慶陽745100)
★崔強(中國石油長慶油田分公司第一采油廠,甘肅慶陽716000)
★余杰,周婷,宋創(北京貝諾電子科技發展有限公司,甘肅慶陽745100)
關鍵詞:油氣田生產監控系統;安全分區;邊界防護;網絡安全監控;終端安全加固;安全管理中心;安全運維
1 引言
油氣行業的生產調度通過生產監控系統進行有效管理與控制,生產監控系統的安全穩定是采油采氣工作順利開展的前提,關系到國家經濟發展,是國家重要的基礎設施。隨著兩化融合技術的發展,油氣田企業不斷提升生產技術裝備的自動化水平和運營管理手段的信息化能力,快速提升了生產效率,但信息互聯互通的同時也給油氣田生產監控系統帶來了更多的網絡安全隱患。
油氣田企業所在的能源行業是關乎國計民生的特殊行業,而近年來針對能源行業網絡安全的攻擊事件頻發,對油氣田安全防護問題的重視程度也必須隨之提升。隨著相應法律法規的發布,對油氣田安全防護提出了更高的要求,因此,如何提升油氣田生產監控系統的網絡安全防護能力,成為亟需研究解決的問題。
2 油氣田生產監控系統存在的安全問題
通過對多個油氣田生產監控系統調研,發現當前油氣田普遍缺乏邊界防護、安全審計、入侵檢測、主機防護等安全防護措施,其安全形勢十分嚴峻,結合等級保護基本要求,典型問題總結如下:
2.1 安全技術方面的典型問題[1]
(1)安全通信網絡方面
生產監控系統與其他網絡區域之間未采取可靠的技術隔離手段。
(2)安全區域邊界方面
· 系統邊界或區域未設置嚴格的訪問控制策略及訪問控制規則;
· 關鍵網絡節點處未部署入侵檢測設備,未根據最小權限原則配置訪問控制策略,不能檢測、防止或限制從內部發起的網絡攻擊行為;
· 未在安全區域配置安全審計系統,無法對網絡行為進行安全審計、記錄。
(3)安全計算環境方面
· 部分設備在遠程管理時采用http方式,未采用加密措施;
· 網絡設備、服務器賬戶未采用三權分立,存在賬戶共用的情況;
· 系統未重命名默認賬戶,未修改默認賬戶口令;
· 系統無登錄失敗處理功能;
· 未授予不同賬戶所需的最小權限;
· 默認共享和高危端口管理不到位;
· 主機未采取安全防護措施;
· 操作系統未最小化安裝,存在多余的組件或服務;
· 系統審計日志功能未開啟等。
(4)安全管理中心方面
缺乏安全管理中心的建設,無法對設備狀態、惡意代碼、安全審計等安全相關事項進行集中管理。
2.2 安全管理方面的典型問題
· 安全管理制度缺失;
· 安全管理機構、人員等不完善;
· 對介質(USB、光驅等)等運維管理不全面。
3 油氣田生產監控系統網絡安全整體解決方案
從生產監控系統安全角度出發,以等級保護2.0為設計依據,按照“一個中心,三重防護”的原則,構建安全通信網絡、安全區域邊界、安全計算環境[2]等多重防護機制,在整體上保證各種安全措施的組合從外到內構成一個縱深的安全防御體系。
3.1 整體方案設計思路
(1)從網絡邊界劃分和防護技術著手,改造網絡拓撲、劃分網絡區域、清晰網絡結構、規范網絡邊界,在各個邊界有層次地實施邊界防護措施,包括使用網閘、工業防火墻等各種隔離技術。
(2)對網絡流量進行監控分析,及時檢測和發現網絡中存在的網絡風險和攻擊行為,并分析和記錄生產監控系統中的操作行為和異常網絡行為,便于事后進行事件取證和定責。
(3)所有操作站、工程師站、服務器上通過部署工業主機安全防護軟件(白名單)對應用程序、移動存儲介質、特定對象完整性等進行防護,阻止非法程序的運行。同時對主機、服務器、SCADA軟件、網絡設備、安全設備等終端的賬戶、權限、口令、審計、漏洞等進行安全加固。
(4)建立安全管理中心,對安全設備進行集中管控,通過單點登錄、雙因素認證、過程審計記錄等實現運維過程的安全可控,此外,通過態勢感知平臺構建工控企業級安全大數據中心,為用戶呈現企業內全面的工控網絡態勢環境,并對網絡整體威脅概況提供可視化展示等。
(5)進行安全運維能力建設,指導油氣田公司及時、有效、有序處置網絡安全事件,提高應對網絡安全事件能力,建立健全網絡安全事件應急工作機制,預防和減少網絡安全事件造成的損失。
3.2 安全分區與邊界防護
油氣田生產監控系統網絡安全域是指根據生產監控系統的業務劃分、應用的不同流程和系統等而劃分的不同的安全區域。根據每個安全區域業務的重要程度使用不同的安全防護手段。因此可以將整個生產監控系統網絡劃分為比較小的安全區域,建設基于安全區域的安全防護體系。
(1)安全分區
安全分區是工控安全防護體系的結構基礎。油氣田生產監控系統可以劃分為井場、管理區、采油廠級和公司級。
(2)邊界防護
· 在公司級與采油廠級之間部署工業網閘實現單向隔離[3],保證應用數據的單向傳輸,即從采油廠向公司級的生產數據單向上報;
· 在采油廠級與管理區之間部署工業防火墻,滿足內部安全區域之間的網絡隔離防護;
· 在各井場與管理區之間部署工業防火墻實現對井場生產監控系統的安全防護;
· 無線接入應采用自建的專用無線基站或采用邊界隔離技術和加密技術,保證無線網絡通過受控的邊界設備接入內部網絡[2]。
油氣田生產監控系統安全分區及邊界防護部署如圖1所示。
圖1 油氣田生產監控系統安全分區及邊界防護部署圖
3.3 網絡安全監控
當生產監控系統出現安全事故后很難確定是誤操作、惡意操作還是系統自身故障所導致,因此需要通過對通信流量進行檢測、對操作行為進行審計,才能從全局分析安全事件所產生的原因。
(1)在采油廠以及管理區部署網絡入侵檢測系統,便于及時檢測和發現網絡中存在的網絡風險和攻擊行為。
(2)在采油廠以及管理區旁路部署工業網絡安全審計系統,檢測和記錄工控系統中的操作行為和異常網絡行為,便于事后進行事件取證和定責。工業網絡安全審計系統對工控網絡中的網絡流量(管理區系統與各井場之間的通信、廠級系統與管理區之間的通信)進行采集、監測和分析,對流經的數據流量進行實時解析并分析安全風險。
油氣田生產監控系統網絡安全監控部署如圖2所示。
圖2 油氣田生產監控系統網絡安全監控部署圖
3.4 終端安全加固
(1)主機防護
生產監控系統中會部署工程師站、操作員站等主機設備。大部分網絡安全威脅比如病毒以及操作人員誤操作等主要都是通過主機設備進入生產監控系統,使之成為系統中潛在的風險點。因此,必須對主機設備進行安全防護,可以通過部署主機白名單防護軟件,對應用程序、移動存儲介質、特定對象完整性等進行防護,阻止非法程序的運行。
(2)終端安全加固
針對終端除了部署白名單防護軟件之外,還需要進行安全加固才能滿足等級保護的要求,具體的措施主要體現在以下幾個方面:
· 身份鑒別:對登錄的用戶進行身份標識和鑒別,配置登錄失敗處理功能,采用加密方式進行遠程管理等;
· 訪問控制:對登錄的用戶分配賬戶和權限,重命名或刪除默認賬戶,及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在等[2];
· 安全審計:啟用安全審計功能,并進行定期備份,避免受到未預期的刪除、修改或覆蓋等,對審計進程進行保護,防止未經授權的中斷[2],審計記錄保留在本地或者上傳到日志中心,且日志留存6個月以上;
· 入侵防范:遵循最小安裝的原則,關閉不需要的系統服務、默認共享和高危端口,對通過網絡進行管理的[2]管理終端進行限制、定期進行漏洞修補等;
· 數據備份恢復:定期對重要業務數據和審計數據進行備份,重要業務數據要進行異地備份;
· 控制設備安全:PLC、RTU等控制設備開啟身份鑒別、訪問控制和安全審計功能,封閉控制設備的USB接口、串行口或多余網口等。
3.5 建立安全管理中心
盡管有了邊界防護、網絡安全監控、終端安全加固等安全措施,但是安全設備獨立運維、無法從全局了解整體網絡安全狀態,會導致當出現安全問題時需要逐一排查安全設備、網絡設備、服務器等日志和事件,極大地影響效率,因此需要建設安全管理中心來解決上述問題,具體如下:
(1)在采油廠級部署工業安全管理平臺,實現對工業防火墻、安全審計、主機白名單防護等分布在網絡中的安全設備或安全組件進行集中管控。
(2)采用安全運維審計技術對重要設備集中運維,實現集中賬號管理、認證、授權、審計,并滿足雙因素認證的要求。
(3)在公司級部署態勢感知平臺,實時匯聚生產網絡各種設備產生的日志告警數據、網絡流量數據,構建工控企業級安全大數據中心。通過對安全大數據的深度挖掘和機器學習智能的分析,為用戶呈現企業內全面的工控網絡態勢環境,并對網絡整體威脅概況提供可視化展示等功能。
油氣田生產監控系統安全管理中心建設如圖3所示。
圖3 油氣田生產監控系統安全管理中心建設圖
3.6 安全運維能力建設
油氣田生產監控系統的安全防護離不開日常的使用和運維,如何最大化地發揮安全設備的安全防護能力,如何面對突發的安全事件,為生產系統長期安全穩定的運行提供持續支持,都依賴于安全運維的建設。
(1)安全規劃
從業務需求出發,結合合規性要求,提取安全需求,從策略、組織、管理、技術、資源等多方面綜合考慮,對生產系統的安全目標、任務、措施和步驟進行整體規劃。
(2)安全設備運維
根據業務需求及變動,對安全設備策略進行更新、配置進行優化等。
(3)安全事件管理
對安全事件提供分析及處理能力,并且依據各類各級安全事件,編制應急預案和指導應急演練。
(4)日常安全運維
依據國家和行業相關標準,評估生產監控系統資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并進行相應的日常安全運維,包括日志信息的備份、安全培訓、資產安全分析、主機安全加固、網絡設備整改等。
4 油氣田生產監控系統網絡安全方案應用
在某油氣田生產監控系統中,由于地域范圍太廣,大部分底層井場以及站場(處理站、集輸站、計量站、中轉油庫等)的生產數據通過分布在生產區域的無線通訊裝置(如通訊鐵塔)進行匯聚(到匯聚通訊塔、中心通訊塔等),再通過光纖接入主干網核心交換機;部分近距離大型站場(聯合站)的生產數據則通過光纖直接接入主干網核心交換機,生產管理中心的生產監控系統實時數據服務器通過核心交換機獲取相應的生產數據。
根據油氣田生產監控系統網絡安全整體解決方案的思路,我們進行了網絡安全建設,網絡安全系統部署如圖4所示。
圖4 網絡安全系統部署圖
(1)安全分區
將生產監控系統劃分為井場、站場、生產管理中心和生產指揮中心四個安全區域。
(2)邊界防護
在井場與生產管理中心之間、站場與生產管理中心之間,部署工業防火墻,通過白名單功能對正常通信行為學習后,生成指令級防護策略,對井場、站場與生產管理中心間的工控指令攻擊、控制參數修改等進行有效防護;同時在生產管理中心和生產指揮中心之間部署了工業網閘,僅允許實時數據庫的生產數據和流媒體服務器的視頻數據單向傳輸,具體到雙方的IP地址、MAC地址、端口、協議等。
(3)網絡安全監控
在生產管理中心部署工業網絡安全審計系統和入侵檢測系統以及部分重要大型站場(處理站、集輸站、計量站、中轉油庫等)部署工業安全審計系統,實現生產監控系統的運行期行為模型分析,包括已知行為模型分析(工業安全審計系統)和未知行為模型分析(入侵檢測系統)。
通過對油氣田生產監控系統網絡結構特征、設備和協議類型信息采集(如網絡拓撲、設備清冊、協議清冊、業務數據流等),并將其導入工業安全審計系統以及入侵檢測系統,可進行生產監控系統中設備和協議脆弱性關聯分析和行為模型分析,進而實現系統的威脅影響度量分析。
(4)終端安全加固
對生產監控系統內工程師站、操作員站和服務器采用主機衛士(主機白名單防護軟件)進行安全防護,僅允許上位機監控軟件、數據庫等必要的進程運行,禁止一切未知程序和腳本的執行,從根本上保障主機運行環境的安全。
(5)安全運維審計
在生產管理中心運維區域部署堡壘機,采用安全運維審計技術對服務器、網絡交換、網絡安全等設備集中運維,可以實現單點登錄、集中賬號管理、身份認證、資源授權、訪問控制以及操作審計等功能。
(6)集中安全管理
在生產管理中心部署工業安全管理平臺,對工業防火墻、工業網絡安全審計系統以及主機衛士等進行統一策略管理和實時監控,提升對整個生產監控系統網絡的安全監控和管理效率。
(7)態勢感知
在生產指揮中心部署態勢感知平臺,收集生產監控系統網絡內的日志及告警信息,對多源異構數據進行關聯和識別,發現潛在漏洞、預測未知攻擊,對當前工業系統全局網絡安全狀況進行綜合分析與評估;并對惡意代碼、漏洞、攻擊方法等進行搜集、整理和分析后,與權威漏洞庫進行關聯評測,進行預警與展示,提高全局網絡安全防御能力。
5 方案意義
油氣田生產監控系統網絡安全整體解決方案在油氣行業領域具有很高的應用價值和指導意義。
(1)依據國家信息安全等級保護制度結合業務情況實現了生產監控系統的安全防護,滿足國家合規性要求。
(2)滿足集團公司網絡安全管理辦法對所屬企事業單位工控安全防護要求。
(3)提高了生產監控系統運行穩定性,加強了系統的安全管理和技術防護能力,防范黑客及惡意代碼等對生產監控系統的攻擊及侵害,保障企業生產系統的安全穩定運行,提高維護工作速度,提升工作效率。
6 結論
隨著工業化與信息化的深度融合,油氣田原有的生產監控系統的封閉環境逐步被打破,網絡安全問題日益突出,安全威脅不斷升級。實際應用證明,通過安全分區、邊界防護、網絡安全監控、終端安全加固、安全管理中心建立等方面形成的整體解決方案,可以切實提高油氣田生產監控系統的安全防護能力,同時通過安全運維能力的建設,可以逐步提升應對安全威脅的能力。
然而在當前工業互聯網新形勢下,隨著攻擊手段的多樣化,對安全防護技術、安全防護方案及安全運維能力提出了更高要求,需要更多的應用來促進方案的不斷成熟。
作者簡介:
賈志鵬 (1984-),男,甘肅慶陽人,信息工程工程師,學士,現就職于北京貝諾電子科技發展有限公司,主要從事智能化、數字化、信息化方面的建設管理工作。
參考文獻:
[1]常季成,賈政,姜路.油田工控系統網絡安全現狀與發展趨勢[J].儀器儀表標準化與計量,2021,(2):21-25.
[2]GB/T22239-2019,信息安全技術網絡安全等級保護基本要求[S].
[3]楊斌.淺談油氣田行業工控安全防御體系建設[J].通信管理與技術,2021,(8):53-67.
摘自《自動化博覽》2022年7月刊
北京市公安局海淀分局備案號:11010802023656號