今日頭條
官方微信
官方抖音
案例頻道★ 烽臺科技(北京)有限公司
1 項目概況
1.1 項目背景
隨著國家“兩化融合”的不斷深入,以往“封閉、受限”的工業控制系統現場網絡環境已經被打破,面臨日益嚴重的網絡攻擊和入侵威脅,且由于病毒技術的不斷革新、獲取病毒與相關技術知識的門檻及成本不斷降低,該油田工業控制系統在面臨網絡安全風險的同時,還正面臨由U盤、移動硬盤、光盤等移動存儲介質使用導致的病毒入侵和危害風險。
在此背景下該油田信息技術公司組織開展了工控安全態勢感知平臺建設項目,為油田建立有效的工控安全監測、防護體系,實時監測工控安全威脅,整體把握油田下屬庫站安全風險,維護油田工控系統安全。
1.2 項目目標
(1)技術目標
通過本項目建設,有效解決儲運銷售分公司工業控制系統存在的安全隱患,對工業主機、網絡設備、安全設備、控制設備、網絡流量等多維度進行安全防護。通過多元安全信息進行收集、處理、分析,以及定制研發、環境測試等方式采用合理的技術手段和規范化的管控措施,對風險點實施有效控制,將安全風險降到最低,為儲運銷售分公司的穩定發展和數字化轉型建設提供安全、可靠的環境空間。
(2)經濟目標
項目建成后應取得安全監測、防護效果,有效提升監控水平和應急效率,在行業內形成良好的示范效應,促進工業信息安全市場在石油行業內的加速發展。工控安全態勢感知平臺建設在采油、采氣、供水、儲運與管道等石油行業內多個領域推廣應用,在石油行業內形成數億元的應用規模。
(3)社會效益
全面提升該油田儲運銷售分公司及下屬多個站庫的工控安全監測防護水平,保障該油田儲運分公司及下屬多個站庫的安全穩定生產,杜絕由于信息安全問題引發原油泄漏、低溫凝管、火災爆炸等生產事故。
2 項目實施
2.1 需求分析
2.1.1 該油田工業信息安全痛點
(1)油田工控系統內工業主機、網絡設備及控制器工控系統資產管理統計薄弱,工控系統安全狀況監測與聯動防護手段缺失;
(2)工控系統與工業協議缺乏身份認證和訪問控制,無法限制非法用戶遠程控制。油田部分工控系統與互聯網存在連接情況,外部人員可以輕易從互聯網發現生產單位工業控制設備,利用工具和漏洞便可發起攻擊或入侵,存在嚴重的安全隱患;
(3)在多數生產單位中,與工業控制設備連接的工控主機(上位機、工程師站)由于無法安裝殺毒軟件、U盤插入管控缺失等原因,致使工控主機感染大量病毒,容易導致工控主機功能失效。這些病毒長期潛伏,使工控網絡運行就像“騎在飛行的炸彈上”,給工控網絡長期穩定運行和油田生產安全帶來嚴重的安全隱患;
(4)油田內多個站庫缺乏統一安全監測和管理措施,對儲運銷售公司及下屬站庫內工業主機、網絡、工業應用軟件等各類設備的安全狀況及公司整體合規性狀況無法掌握;未對工業主機、PLC等工控軟硬件狀態故障和信息安全事件進行實時監控,導致設備故障或信息安全事件發生后可能影響該油田儲運銷售公司及下屬站庫業務。
2.1.2 該油田工業信息安全建設難點
(1)行業危險系數高,實施精度要求高。該油田儲運銷售分公司及下屬多個站庫負責石油的存儲、運輸、轉儲等關鍵環節,均屬于高危生產環境。實施中涉及關鍵控制環節的工控機與PLC數據采集,對實施精度要求極高,需確保采集各類設備安全信息時不影響設備穩定運行。
(2)信息采集軟件和設備廠商型號龐雜。根據儲運銷售公司及各下屬站庫實際情況,平臺數據采集需支持多廠商、多型號的工業主機、控制設備、工業網絡設備及不同廠商的安全設備,需支持對西門子、施耐德、羅克韋爾、通用電氣、三菱、歐姆龍、MOXA、研華等100余個廠商的工控設備的軟硬件進行發現與識別。
(3)通訊協議種類較多,其中工業協議需支持工業控制系統主流通訊協議(包括Modbus TCP、MMS、DNP3、OPC DA、OPC UA、Modbus RTU、IEC 104、EthernetIP、Siemens S7、CANBUS協議)的識別和深度解析檢測,達到讀取至指令、功能碼和具體線圈/鍵位數值。
2.1.3 項目解決實際問題
(1)實現對該油田儲運銷售分公司及下屬多個站庫內工業主機、控制設備、服務器、PC、網絡設備、安全設備等各類軟硬件與安全設備的全面信息采集,以及對多類資產運行狀態和安全狀態的全面實時監測,確保各類設備以良好的健康度和安全性運行。
(2)實現對該油田儲運銷售分公司及下屬多個站庫內網絡行為的安全監控,以及對系統內、系統間存在的非合規訪問行為和非法外聯訪問行為的實時發現。
(3)通過工業防火墻、工業網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施的部署,實現對該油田儲運銷售分公司及下屬多個站庫內工控系統的安全防護。
(4)實現對該油田儲運銷售分公司及下屬多個站庫安全告警的統一管理,提高安全運維人員工作效率,包括對各系統內工業防火墻、工業網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施產生告警的統一管理及關聯分析,呈現全網安全告警態勢及趨勢分析。
2.2 對策與措施
2.2.1 建設思路
按照該油田工控系統網絡現狀,本項目中工控安全態勢感知平臺建設為三層管理架構,如圖1所示,最下一層為被保護的工業控制及管理環境設備對象,包括從生產管理層、MES層到控制層的各類設備,比如操作員站、工程師站、RTU、PLC、服務器、PC等等。
圖1 工控安全態勢感知平臺三層管理架構圖
系統通過采集層對所有被保護對象進行集中的信息采集,包括收集網絡中所部署的各類安全設備的事件及告警信息。該層提供豐富的數據接口,所采集的信息包括:資產、拓撲、性能、事件、漏洞、流量及工控指令等。同時,信息采集裝置可以在復雜網絡中分布式部署,并且對網絡性能影響極小甚至無影響。采集到的所有信息都會進行預處理,將其轉換為統一的內部格式,并提交給上層的核心功能處理層的相應組件進行處理和分析。
采集層之上是數據處理與展示層,該層提供了系統的核心處理功能,主要包括了設備監控、安全信息管理、工控威脅管理和統一接口四大功能組塊。設備監控功能組塊主要提供了被監控對象的識別梳理和基礎信息支撐,主要包括設備管理、工控拓撲構建、設備及鏈路性能狀態監控以及識別監測各工控設備的能力;安全信息管理組塊提供了工控網中安全事件信息與漏洞信息的綜合管理功能,主要包括安全事件的集中管理和查詢服務、漏洞信息的集中管理、防護產品的安全信息管理及安全知識庫功能;工控威脅管理組塊綜合了設備鏈路的監控以及各類安全信息的展現和分析功能,主要提供了風險管理、工控業務健康度分析、關聯分析以及KPI威脅分析等功能;統一接口組塊綜合了對外的各種接口,主要提供了對企業集中監控輸出的告警接口、第三方防護產品信息采集接口及國家層面監控系統的探針管理與信息交換接口。
在該油田儲運銷售分公司及下屬多個站庫內工控系統部署工業防火墻、工業網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施,進行工控系統的基礎防護。
2.2.2 建設內容
實際建設中,在儲運銷售分公司信息中心部署態勢感知平臺,通過各站庫部署的態勢感知數據收集服務器收集感知工控資產詳細信息,繪制網絡拓撲結構,識別工控系統現存漏洞,實現從總體上對儲運銷售分公司工業資產、生產網絡及脆弱性的統計管理,并基于國家安全預警和威脅情況對已識別的資產信息作出安全風險預警,使應急聯動生產網安全防護設備及時應對安全風險和威脅。
圖2 儲運銷售分公司-信息中心設備拓撲
儲運銷售分公司信息中心部署態勢感知平臺于安全運維區,可收集調度中心生產網內實時庫服務器、培訓系統服務器、報表系統服務器、力控組態服務器等主機信息和工業交換機、網閘、安全審計、安管平臺的網絡、安全數據,以及網絡流量數據。
在儲運銷售分公司信息中心與上聯網絡連接處部署工業網閘,進行信息中心與上層網絡的物理隔離;在儲運銷售分公司信息中心工業交換機旁路部署安全審計設備與安全管理平臺,通過工業安全審計分析工控系統網絡流量,建立符合正常業務運行的網絡行為基線,有效識別超出基線的網絡通信行為,對網絡行為異常、工業協議攻擊、工業控制關鍵事件進行實時檢測與報警;記錄工業控制網絡通信行為,為安全故障/事故調查提供詳實的記錄;查看網絡中各個設備之間的實時連接情況和流量情況,快速發現和解決網絡問題。
在NY油庫機關核心工業交換機部署態勢感知收集服務器,收集油庫機關、加熱爐崗、計量崗、化驗崗、變電崗、輸油崗和陰極保護崗內服務器、PC、工控機以及工業交換機的各類信息,并上傳至信息中心態勢感知平臺。
圖3 NY油庫機關關鍵設備部署架構
2.3 建設效果
(1)實現對系統合規能力監控
依據工信部頒布的《工業控制系統信息安全防護指南》,為該油田儲運銷售分公司各系統逐項予以安全評估,并最終給予評分。參考防護指南評估引擎,對來源于靜態防護指南日志以及動態評估的防護指南相關日志予以評估。
圖4 儲運銷售分公司合規能力監控&評估
(2)實現對系統內各類告警監控統一管理
對該油田儲運銷售分公司整體告警進行監控,通過告警行為發現系統的異常。為免系統中重復告警導致待處理告警數目過多,對告警數據做了聚合,同時兼顧了時間要素,保持最新觸發的告警排序靠前。告警需進行確認后才會消失。
圖5 資產安全狀態告警與監控分析
(3)實現對系統內各類資產監控
對該油田儲運銷售分公司內資產進行畫像,力圖對所管控資產就資產的基礎屬性、運行信息、日志信息和異常信息建立全面的知識庫。資產的歷史及當前信息狀態一目了然。
體現關注的資產信息,例如Windows主機關注的系統是否在線、健康,負載是否合理,開啟的網絡服務是否合規正常,是否有規則允許的資產間互聯,是否有非法用戶登錄,對系統配置進行變更,重要的應用軟件是否發生故障,是否有系統漏洞,并遭受惡意攻擊,被種植木馬,是否有違規的外設接入并未被禁止,是否有安裝的防護軟件幫助阻止惡意軟件的影響,設備及應用軟件是否中斷了網絡連接等等。
圖6 儲運銷售分公司資產畫像采集分類
(4)實現對網絡互聯行為監控
實現對該油田儲運銷售分公司不同系統間及系統內部不同資產間的互聯訪問關系進行監控。資產互聯展示的為所監控資產間的網絡互聯關系,并且可根據統計信息決策為黑名單(禁止)訪問或白名單(允許)訪問;區域互聯展示的為所監控邏輯區域間的網絡互聯關系,并且可根據統計信息決策為黑名單(禁止)訪問或白名單(允許)訪問。
圖7 儲運銷售分公司資產互聯狀態分析
(5)多元安全信息綜合分析
對該油田儲運銷售分公司內工控機、網絡設備、控制設備、安全設備等各類設備日志進行審計,并通過日志查詢系統可以查詢到資產名、資產IP、資產類型、事件時間、分類、等級、摘要等的日志信息。
圖8 監控資產多元化信息分析與展示
(6)多維度工控系統綜合安全防護
通過在該油田儲運銷售分公司及下屬多個站庫內工控系統部署工業防火墻、工業網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施,實現不同網絡區域及部分重要PLC的網絡隔離;對系統內網絡行為異常、工業協議攻擊、工業控制關鍵事件進行實時檢測與報警;對工業主機的主機移動存儲介質、工控主機運行加載的程序進行管控,保證工業主機安全。
3 案例亮點及應用價值
3.1 案例亮點
工控安全態勢感知平臺從日常運維人員視角出發,以工控系統內資產為核心,可協助運維人員對工控系統相關設備、軟件及組件進行預維護,提前防范安全隱患。
工控安全態勢感知平臺可從多種事件和具有上下文信息的安全日志中收集和分析安全事件。該平臺對提高該油田儲運銷售分公司管理效率和安全監管力度具有重要的作用,可實現安全保障的關口前移,防患于未然。
工控安全態勢感知平臺數據采集范圍覆蓋油田儲運銷售全流程工業控制工藝,對石油生產的存儲、運輸、轉儲等多個特有工藝流程及流程內部鍋爐崗、計量崗、輸油崗、化驗崗、消防崗多類崗位控制過程中數百臺設備進行全方位、多維度安全監測,管理人員通過工控安全態勢感知平臺可掌握油田儲運銷售全流程工業信息安全狀態及合規狀況。
3.2 應用價值
項目建成后增強了該油田儲運銷售分公司及下屬多個站庫安全監測與防護能力,有效提升了監控水平和應急效率,在行業內形成了良好的示范效應,促進了工業信息安全市場在石油行業內的加速發展。工控安全態勢感知平臺建設在采油、采氣、供水、儲運與管道等石油行業內多個領域被推廣應用,在石油行業內形成了數億元的應用規模。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號