国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★ 于慧超 中國石油天然氣股份有限公司西北銷售分公司

1 油儲行業數字化轉型發展的需求

2020年，國務院國有資產監督管理委員會頒發《關于加快國有企業數字化升級轉型的通知》[1]，明確指出：突出重點，打造行業數字化轉型的樣本工程，尤其是針對能源行業的油儲行業，加快建設智慧油儲等智能現場，著力提高集成調度、遠程操作、智能運維水平，強化能源資產資源規劃、建設和運營全周期運營管控能力，實現能源企業全業務鏈的協同創新、高效運營和價值提升。與此同時，物聯網、5G、人工智能、區塊鏈、北斗等新技術的發展和廣泛應用促進油儲物流智慧化，推動以“集中共享、全面感知、過程可視、智能調度、互動協同、自主決策、學習提升”的數字化升級進程。使智慧油儲實現“智慧分析決策、智能優化協同、數據共享可視、作業自動完成”的“智慧化”功能的同時，必須：（1）加快構建數據治理體系建設，明確企業數據治理歸口管理部門，加強數據標準化、元數據和主數據管理工作，創新數據融合分析與共享交換機制，強化業務場景數據建模，深入挖掘數據價值，提升數據洞察能力。（2）提升安全防護水平，建設態勢感知平臺，加強平臺、系統、數據等安全管理，提升本質安全，加強安全資源儲備，強化安全檢測評估，開展攻防演練，提升實戰化的網絡安全防護能力。

2 數字化轉型中智慧油儲的網絡安全威脅分析

2.1　數字化升級轉型聯網后的網絡安全威脅分析

數字化轉型促進智慧油儲進入跨越式的發展，物聯網、云平臺和數據中臺等新型數字基建平臺的建設，使網絡邊界從物理邊界向物理和虛擬邊界混合的模式演變。網絡安全是一個動態的過程，攻擊者手段、攻擊方法等不斷改變，新漏洞不斷出現，加劇了智慧油儲生產經營網絡安全威脅態勢，幾大威脅主要表現為：

（1）自身硬件安全隱患：存量的發油生產控制系統大多數為成套進口設備，如西門子、ABB等SCADA系統，其I/O卡件可拆卸，一些控制程序可以被逆向編譯，極易被不法人員篡改，存在關鍵工藝參數和控制程序被泄露、篡改的數據安全隱患。

（2）操作系統的安全問題：發油生產控制系統的工程師站、操作站多采用Windows系統，運行的控制流程系統均為西門子等國外廠商平臺，很難獲得有效的升級更新，供應鏈的安全隱患極大。

（3）勒索病毒的威脅：目前的生產系統與OA系統采用了物理隔離，通過U盤、刻錄光盤擺渡信息的需求十分普遍，由于U盤的濫用、刻錄軟件攜帶病毒，導致針對生產工控系統的勒索病毒感染事件每年層出不窮，聯網后極易受網內已感染病毒計算機攻擊，而且一旦被攻擊，破壞性巨大。

（4）工業應用軟件的安全問題：工控生產系統專用軟件大部分由設備原廠提供，極有可能存在系統后門、漏洞等，一旦聯網就導致工控軟件自身漏洞、后門等被利用后，可對特定工控設備進行入侵和攻擊。

（5）其他幾種常見的威脅：工業協議在設計上因缺少必要認證導致的協議與數據安全問題；工控生產系統的USB、串口、網口等物理外設接口以及139等通信端口帶來的安全隱患；部分信息系統升級擴容時會采用無線信號，很少采用數據加密和認證手段，對工控系統和辦公網絡產生的安全隱患。

2.2 數字化轉型后IT與OT的安全威脅相互影響

（1）IT與OT的相互影響：經過等保1.0階段的合規建設，公司IT側的網絡安全建設比較成熟，但是油儲重要的生產發油控制的OT網絡安全建設相對比較滯后，數字化轉型后，一旦IT與OT互聯，原本比較脆弱的工控生產系統OT網絡由于其自身漏洞多、病毒防護能力不足、身份鑒別和訪問控制手段缺乏，就會導致未授權用戶能夠向工控系統投放病毒或實施攻擊，并利用OT網絡與IT網絡的連接，入侵到IT網絡。

（2）企業核心數據出境風險：2021年工信部等部委聯合發布了《工業與信息化領域數據安全管理條例》，明確規定“核心數據不得出境”，聯網后企業重大敏感信息有可能從IT網絡向OT網絡傳遞，而OT的部分設備可能有后門，通過GPS或者衛星通信泄密出境。

（3）IT和OT網絡病毒相互滲透：IT和OT的深度融合互聯后，IT網內的網絡攻擊或病毒可以直接滲透到OT網絡，破壞工控設備的數據，對運行和效率產生擾動，影響正常生產。

3 智慧油儲網絡安全主動防御研究與設計

5G、工業物聯網等新信息技術在數字化轉型過程中的深入應用，智慧油儲對工業互聯網逐漸的高度依賴，以及外部動態的嚴峻網絡攻擊態勢，加劇了智慧油儲的網絡攻擊風險。數字化轉型浪潮下，多層面的安全威脅正發生新的變化，由此導致的損失愈發難以估量。不謀全局者，不足謀一域。僅單憑一種或幾種安全設備堆積，各自為戰的單一思路已很難應對復雜的安全問題?！耙娖渌匆?、察其所未察、管其所未管”才能織就牢不可破的安全密網，為智慧油儲的進一步發展賦予安全能力的實質性提升。

3.1　首要舉措：加強網絡安全意識培養與安全管理體系建設

智慧油儲是信息化和網絡化高度融合發展的環境，對于安全風險的認知和防控必須提升高度，首要舉措是加強全員的網絡安全及保密意識，把網絡安全分責深耕到油儲企業的安全與分析管控體系之中，切實做到“同步規劃、同步建設、同步運行”三同步，完善與落實網絡安全管理體系。

3.2 IT和OT深度融合的網絡安全設計

數字化轉型首要任務是IT和OT的深度融合，在網絡安全建設的過程中，必須IT與OT網絡安全融合開發思路和一體化的設計與運營，以此實現IT和OT網絡安全的關聯分析和綜合態勢感知，如圖1所示。建立形成覆蓋IT和OT系統的“感知-預警-評估-處置”閉環管控機制，實現從全網攻擊鏈、攻擊源以及時間關聯性等角度進行二次分析，為全網實現網絡安全威脅聯動處理機制的綜合態勢提供數據支撐，提升網絡安全整體防御能力。同時，利用數字孿生技術的策略驗證和實戰化的攻防實訓平臺建立完備的應急體系，以備在危機時刻，主動防御系統能快速聯動以及應急補救，將攻擊事件造成的損失降到最低。

圖1 IT和OT網絡安全的關聯分析和綜合態勢感知

3.3 構建IT和OT一體化的縱深的主動防御體系

分別從油儲生產系統運營網絡的物理安全、網絡安全、主機安全、資產安全、訪問控制、數據安全及管理體系等七大方面進行技術防范和管理措施的設計，實現生產網系統業務應用的可用性、完整性和保密性保護[2~4]，并在此基礎上充分考慮各種技術的組合和功能的互補性，采用自適應安全架構、主動防御安全體系，從外到內形成一個縱深的安全防御體系，保障IT和OT系統一體化的安全保護能力。圖2為數字化轉型背景下智慧油儲的網絡安全運營架構。

圖2 數字化轉型背景下智慧油儲的網絡安全運營架構

第一階段，以系統防護為核心思想，通過開展檢測、評估、實施和運維等工作，并配套應用工控資產清單、業務數據流、風險管理、脆弱性管理、PKI管理等工具，保證防護措施的有效性。

第二階段，以檢查、響應和應急恢復為抓手，全面加強對安全事件管理的能力，同時輔以威脅情報、安全運營中心（SOC）集成、協同管理等運營管理工具，實現全網的一體化的安全運營。

3.4 基于業務安全防御的誘捕系統

智慧油儲網絡安全防御首要保障發油生產系統的連續性，防護重點是發油生產的設備及其物聯網系統（也是網絡攻擊的主要對象），為切實保護生產系統的業務安全，在每一分部的發油生產經營網的入口、生產控制系統網絡入口分別部署仿真業務流程且具有特征誘餌的誘捕系統（蜜罐網），分別真實模擬發油生產運營與控制業務系統，吸引真實攻擊者，捕獲勒索、后門、黑客等攻擊行為，溯源身份信息。根據實際需要，在油庫現場的發油生產運營的網絡入口部署現行針對IT系統較為成熟的中度交互的蜜罐。而在生產控制系統網內需要部署針對仿真油儲生產控制業務流程的中高交互的蜜罐，在工控蜜罐部署時，首先需要對控制生產網絡內部設備端口進行掃描，對于生產系統需要開放的設備端口，采用主動防御技術，將工控誘捕系統主動與此類設備端口建立連接，并發送具有控制系統必要的一些特征探測包，如在探測包頭的option字段中加載一些特征值，便于辨識是蜜罐還是攻擊者的訪問等。工控蜜罐通過端口掃描、探測數據包發送和攻擊痕跡記錄分析等特征，與誘捕系統的分析中心交互，得到相關的誘捕策略，與潛伏在發油生產控制系統中的木馬、病毒和后門程序、攻擊者等進行更好地交互，通過預設的蜜罐誘餌對其造成誤導，使其攻擊目標轉向蜜罐，以此主動地挖掘在內網潛伏的攻擊威脅。在這些威脅竊取關鍵數據之前，實現早期預警防護，并與運營中心交互，啟動必要的防護設備聯動策略，以此保護發油生產控制系統的資產。同時，通過攻擊者的設備指紋、位置信息、社交指紋、反向探測-漏洞信息、資產登記信息等快速、精準、直接定位攻擊者信息。

3.5 基于UEBA和SOAR技術的精確預警

建設與上線運行中的“面向油庫安全運營的工業互聯網安全態勢感知平臺”更強調“態”（攻擊數量）和“勢”（攻擊烈度、趨勢），其安全運營的能力局限于需要由安全專家預先創建的關聯規則，同時范圍局限于與系統或應用程序相關的網絡信息的聯系。面對攻擊技術日益更新的網絡態勢，本身對安全運營人員在分析適應性上提出了高要求。為精確預警，減少誤報、錯判、漏判，采用UEBA（用戶實體行為分析）和SOAR（安全編排自動化響應）融合技術，其中UEBA進行用戶行為分析，以用戶為視角利用無監督學習和半監督學習進行自我演化進而不斷貼合服務的業務場景和流程，而SOAR則是在識別后，對于威脅事件的處理，解決復雜邏輯編排、安全設備聯動的問題。

引入UEBA技術，使用用戶畫像技術對比分析用戶的行為是否偏離具有相同角色的用戶整體的行為，以減少異常檢測中虛警過高的問題，從而從相同用戶角色的角度進一步分析異常行為，提高異常判斷的置信度。同時依據實時的流處理基礎，把具有相同角色的用戶整體構建安全基線，當被分析用戶的操作偏離預先定義好的正常行為模式，或與安全基線產生超出裕度的偏離時，可以初步判定該用戶行為異常，并產生相應的聯動動作，可直接降低MTTI（平均識別時間）和MTTR（平均修復時間），完成對異常行為、異常用戶的精準定位。在發生疑似安全攻擊時，需要利用SOAR技術進行聯動安全防護，具體步驟：（1）針對不同資產、事件級別、事件類型選擇聯動范圍；（2）針對不同場景、事件級別的安全事件，選擇不同的響應手段，一旦事件被觸發，則自動執行相應的編排策略；（3）針對不同響應手段，選擇不同的聯動設備，同時還可以選擇策略生效時間段。充分利用威脅情報，實現全網全信息的監測、安全資產的風險管控、快速情報共享，以此降低油儲網絡安全的平均建設成本。由此以識別為基礎，以防護、檢測為核心，以響應恢復和常態化保障為支撐，最終建立“事前—事中—事后”的全過程支撐能力，變被動為主動，直至達到完全的動態自適應安全能力和態勢感知的能力。圖3為告警事件與SOAR之間的協同。

圖3 告警事件與SOAR之間的協同

4 基于業務安全的智慧油儲的主動防御策略與實踐

針對數字化升級轉型的智慧油儲的網絡安全主動防御的建設和應用，需構建集安全技術、安全管理、安全運營等一體化體系。建立油儲公司總部、分部油庫以及發油生產的上下級級聯架構，實現安全事件、告警、威脅、預警等數據的實時自動逐級上報、匯總、呈現，構建集常態化、實戰化與系統化的IT和OT一體化的網絡安全風險動態監測、分析、檢查、安全事件處置等機制為一體的安全運營體系，提升整體網絡安全能力。該系統上線運行近兩年，每年在逐步完善與改進，充分利用5G、工業物聯網、AI等新一代信息技術加速“工業互聯網+智能生產”的進程。

4.1 構建了基于油儲智能化生產的網絡安全防護

數字化轉型下的油儲生產經營網絡呈現出IP化、無線化、組網靈活與全局化的特點，逐步向“工業互聯網+智能化生產”轉型，滿足業務安全的主動防護，網絡安全防護主要采取的安全措施包括網絡邊界安全、網絡接入認證、通信和傳輸保護、安全監測審計，同時考慮供應鏈安全。

4.2 基于協議深度解析的控制安全防護

智慧油儲的生產經營網絡逐步向扁平、開放、全局方向發展，針對其生產控制系統內網的安全防護，以分層隔離的技術手段縮小網絡安全的作用域，提升網絡區域之間的通訊安全，加強協議異常和零流量等監測與預警。針對關鍵設施的發油生產設備的安全防護通過解析各個工藝流程控制指令要求，發現SCADA等系統存在安全隱患，避免設備指令被非法篡改，采用包括漏洞發現與風險規避、設備接入認證、運維管控等安全機制。

4.3 基于輕量級零信任技術的應用安全防護

采用零信任技術針對IT系統的資產管控，而針對OT系統的空間資產則采用輕量級零信任技術，并將IT和OT與業務安全一體化設計，包括安全審計、認證授權、安全隔離、安全監測、補丁升級、代碼審計、漏洞發現、審核測試、行為監測和異常阻止等。

4.4 基于數據全生命周期的安全防護

智慧油儲的運行數據向大量、多維、雙向轉變，數據體量不斷增大、種類不斷增多、結構日趨復雜，并出現數據在工廠內部與外部網絡之間的雙向流動共享，其數據安全防護采取數據加密傳輸、數據加密存儲、數據脫敏處理等防護措施[5]。

4.5 基于全局態勢感知的協同安全管控

面對油儲生產經營網絡的設備類型多、供應種類多、網絡攻擊來源復雜等問題，在構建智慧油儲的網絡安全針對防御體系時建立基于IT和OT一體化的統一安全監測與管理中心，以實現對多類設備、多種數據、多類資產以及多種攻擊事件的統一管理。

5 結束語

數字化轉型是一個“艱巨性、長期性和系統性”的工程，以威脅行為識別為基礎，以防護、檢測為核心，以響應恢復和常態化保障作為支撐，最終建立“事前-事中-事后”的全過程支撐能力，變被動為主動，直至達到完全的動態自適應安全和態勢感知的能力，實施數字化轉型中智慧油儲生產經營網絡的系統性的主動安全防護，滿足其對信息化和工業化建設的要求，有效地將網絡安全事件及生產安全事件聯成有機整體，不僅能節省人力、物力、財力，更為重要的是能及時、高效、準確地為安全管理決策提供依據，助力我國成品油流通體系建設與行業的高質量、可持續發展。

★基金項目：工信部2018年工業互聯網安全集成創新應用試點示范項目：面向油庫安全運營的工業互聯網態勢感知系統（TC180H04V）。

作者簡介

于慧超（1986-），男，山東威海人，中級工程師，學士，現就職于中國石油天然氣股份有限公司西北銷售分公司，長期從事于生產運營系統的自動化運維、網絡安全運營、安全規劃管理及重大項目管理工作。

參考文獻：

[1] 國務院國資委. 關于加快推進國有企業數字化轉型工作的通知[Z]. 2020.

[2] 陳釗, 曾凡平, 陳國柱, 張燕詠, 李向陽. 物聯網安全測評技術綜述[J]. 信息安全學報, 2019, 4 (03) : 2 -16.

[3] 石永杰, 于慧超, 呂峰, 等. 工業控制系統網絡安全的主動防御技術研究與實踐[J]. 信息技術與網絡安全,2020, 39 (5) : 13 - 18．

[4] 鐘劍. 企業網絡安全建設中的關鍵因素研究[J]. 網絡空間安全, 2019, 10 (4) : 23 - 30．

[5] 陳雪鴻, 楊帥鋒, 張雪瑩. 淺談工業互聯網數據安全防護[J], 自動化博覽, 2021, 38 (01) : 15 - 17.

摘自《自動化博覽》2022年1月刊暨《工業控制系統信息安全?？ǖ诎溯嫞?/span>