国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★ 烽臺科技（北京）有限公司

1 項目概況

1.1 項目背景

隨著國家“兩化融合”的不斷深入，以往“封閉、受限”的工業(yè)控制系統(tǒng)現(xiàn)場網絡環(huán)境已經被打破，面臨日益嚴重的網絡攻擊和入侵威脅，且由于病毒技術的不斷革新、獲取病毒與相關技術知識的門檻及成本不斷降低，該油田工業(yè)控制系統(tǒng)在面臨網絡安全風險的同時，還正面臨由U盤、移動硬盤、光盤等移動存儲介質使用導致的病毒入侵和危害風險。

在此背景下該油田信息技術公司組織開展了工控安全態(tài)勢感知平臺建設項目，為油田建立有效的工控安全監(jiān)測、防護體系，實時監(jiān)測工控安全威脅，整體把握油田下屬庫站安全風險，維護油田工控系統(tǒng)安全。

1.2 項目目標

（1）技術目標

通過本項目建設，有效解決儲運銷售分公司工業(yè)控制系統(tǒng)存在的安全隱患，對工業(yè)主機、網絡設備、安全設備、控制設備、網絡流量等多維度進行安全防護。通過多元安全信息進行收集、處理、分析，以及定制研發(fā)、環(huán)境測試等方式采用合理的技術手段和規(guī)范化的管控措施，對風險點實施有效控制，將安全風險降到最低，為儲運銷售分公司的穩(wěn)定發(fā)展和數(shù)字化轉型建設提供安全、可靠的環(huán)境空間。

（2）經濟目標

項目建成后應取得安全監(jiān)測、防護效果，有效提升監(jiān)控水平和應急效率，在行業(yè)內形成良好的示范效應，促進工業(yè)信息安全市場在石油行業(yè)內的加速發(fā)展。工控安全態(tài)勢感知平臺建設在采油、采氣、供水、儲運與管道等石油行業(yè)內多個領域推廣應用，在石油行業(yè)內形成數(shù)億元的應用規(guī)模。

（3）社會效益

全面提升該油田儲運銷售分公司及下屬多個站庫的工控安全監(jiān)測防護水平，保障該油田儲運分公司及下屬多個站庫的安全穩(wěn)定生產，杜絕由于信息安全問題引發(fā)原油泄漏、低溫凝管、火災爆炸等生產事故。

2 項目實施

2.1 需求分析

2.1.1 該油田工業(yè)信息安全痛點

（1）油田工控系統(tǒng)內工業(yè)主機、網絡設備及控制器工控系統(tǒng)資產管理統(tǒng)計薄弱，工控系統(tǒng)安全狀況監(jiān)測與聯(lián)動防護手段缺失；

（2）工控系統(tǒng)與工業(yè)協(xié)議缺乏身份認證和訪問控制，無法限制非法用戶遠程控制。油田部分工控系統(tǒng)與互聯(lián)網存在連接情況，外部人員可以輕易從互聯(lián)網發(fā)現(xiàn)生產單位工業(yè)控制設備，利用工具和漏洞便可發(fā)起攻擊或入侵，存在嚴重的安全隱患；

（3）在多數(shù)生產單位中，與工業(yè)控制設備連接的工控主機（上位機、工程師站）由于無法安裝殺毒軟件、U盤插入管控缺失等原因，致使工控主機感染大量病毒，容易導致工控主機功能失效。這些病毒長期潛伏，使工控網絡運行就像“騎在飛行的炸彈上”，給工控網絡長期穩(wěn)定運行和油田生產安全帶來嚴重的安全隱患；

（4）油田內多個站庫缺乏統(tǒng)一安全監(jiān)測和管理措施，對儲運銷售公司及下屬站庫內工業(yè)主機、網絡、工業(yè)應用軟件等各類設備的安全狀況及公司整體合規(guī)性狀況無法掌握；未對工業(yè)主機、PLC等工控軟硬件狀態(tài)故障和信息安全事件進行實時監(jiān)控，導致設備故障或信息安全事件發(fā)生后可能影響該油田儲運銷售公司及下屬站庫業(yè)務。

2.1.2 該油田工業(yè)信息安全建設難點

（1）行業(yè)危險系數(shù)高，實施精度要求高。該油田儲運銷售分公司及下屬多個站庫負責石油的存儲、運輸、轉儲等關鍵環(huán)節(jié)，均屬于高危生產環(huán)境。實施中涉及關鍵控制環(huán)節(jié)的工控機與PLC數(shù)據采集，對實施精度要求極高，需確保采集各類設備安全信息時不影響設備穩(wěn)定運行。

（2）信息采集軟件和設備廠商型號龐雜。根據儲運銷售公司及各下屬站庫實際情況，平臺數(shù)據采集需支持多廠商、多型號的工業(yè)主機、控制設備、工業(yè)網絡設備及不同廠商的安全設備，需支持對西門子、施耐德、羅克韋爾、通用電氣、三菱、歐姆龍、MOXA、研華等100余個廠商的工控設備的軟硬件進行發(fā)現(xiàn)與識別。

（3）通訊協(xié)議種類較多，其中工業(yè)協(xié)議需支持工業(yè)控制系統(tǒng)主流通訊協(xié)議（包括Modbus TCP、MMS、DNP3、OPC DA、OPC UA、Modbus RTU、IEC 104、EthernetIP、Siemens S7、CANBUS協(xié)議）的識別和深度解析檢測，達到讀取至指令、功能碼和具體線圈/鍵位數(shù)值。

2.1.3 項目解決實際問題

（1）實現(xiàn)對該油田儲運銷售分公司及下屬多個站庫內工業(yè)主機、控制設備、服務器、PC、網絡設備、安全設備等各類軟硬件與安全設備的全面信息采集，以及對多類資產運行狀態(tài)和安全狀態(tài)的全面實時監(jiān)測，確保各類設備以良好的健康度和安全性運行。

（2）實現(xiàn)對該油田儲運銷售分公司及下屬多個站庫內網絡行為的安全監(jiān)控，以及對系統(tǒng)內、系統(tǒng)間存在的非合規(guī)訪問行為和非法外聯(lián)訪問行為的實時發(fā)現(xiàn)。

（3）通過工業(yè)防火墻、工業(yè)網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施的部署，實現(xiàn)對該油田儲運銷售分公司及下屬多個站庫內工控系統(tǒng)的安全防護。

（4）實現(xiàn)對該油田儲運銷售分公司及下屬多個站庫安全告警的統(tǒng)一管理，提高安全運維人員工作效率，包括對各系統(tǒng)內工業(yè)防火墻、工業(yè)網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施產生告警的統(tǒng)一管理及關聯(lián)分析，呈現(xiàn)全網安全告警態(tài)勢及趨勢分析。

2.2 對策與措施

2.2.1 建設思路

按照該油田工控系統(tǒng)網絡現(xiàn)狀，本項目中工控安全態(tài)勢感知平臺建設為三層管理架構，如圖1所示，最下一層為被保護的工業(yè)控制及管理環(huán)境設備對象，包括從生產管理層、MES層到控制層的各類設備，比如操作員站、工程師站、RTU、PLC、服務器、PC等等。

圖1 工控安全態(tài)勢感知平臺三層管理架構圖

系統(tǒng)通過采集層對所有被保護對象進行集中的信息采集，包括收集網絡中所部署的各類安全設備的事件及告警信息。該層提供豐富的數(shù)據接口，所采集的信息包括：資產、拓撲、性能、事件、漏洞、流量及工控指令等。同時，信息采集裝置可以在復雜網絡中分布式部署，并且對網絡性能影響極小甚至無影響。采集到的所有信息都會進行預處理，將其轉換為統(tǒng)一的內部格式，并提交給上層的核心功能處理層的相應組件進行處理和分析。

采集層之上是數(shù)據處理與展示層，該層提供了系統(tǒng)的核心處理功能，主要包括了設備監(jiān)控、安全信息管理、工控威脅管理和統(tǒng)一接口四大功能組塊。設備監(jiān)控功能組塊主要提供了被監(jiān)控對象的識別梳理和基礎信息支撐，主要包括設備管理、工控拓撲構建、設備及鏈路性能狀態(tài)監(jiān)控以及識別監(jiān)測各工控設備的能力；安全信息管理組塊提供了工控網中安全事件信息與漏洞信息的綜合管理功能，主要包括安全事件的集中管理和查詢服務、漏洞信息的集中管理、防護產品的安全信息管理及安全知識庫功能；工控威脅管理組塊綜合了設備鏈路的監(jiān)控以及各類安全信息的展現(xiàn)和分析功能，主要提供了風險管理、工控業(yè)務健康度分析、關聯(lián)分析以及KPI威脅分析等功能；統(tǒng)一接口組塊綜合了對外的各種接口，主要提供了對企業(yè)集中監(jiān)控輸出的告警接口、第三方防護產品信息采集接口及國家層面監(jiān)控系統(tǒng)的探針管理與信息交換接口。

在該油田儲運銷售分公司及下屬多個站庫內工控系統(tǒng)部署工業(yè)防火墻、工業(yè)網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施，進行工控系統(tǒng)的基礎防護。

2.2.2 建設內容

實際建設中，在儲運銷售分公司信息中心部署態(tài)勢感知平臺，通過各站庫部署的態(tài)勢感知數(shù)據收集服務器收集感知工控資產詳細信息，繪制網絡拓撲結構，識別工控系統(tǒng)現(xiàn)存漏洞，實現(xiàn)從總體上對儲運銷售分公司工業(yè)資產、生產網絡及脆弱性的統(tǒng)計管理，并基于國家安全預警和威脅情況對已識別的資產信息作出安全風險預警，使應急聯(lián)動生產網安全防護設備及時應對安全風險和威脅。

圖2 儲運銷售分公司-信息中心設備拓撲

儲運銷售分公司信息中心部署態(tài)勢感知平臺于安全運維區(qū)，可收集調度中心生產網內實時庫服務器、培訓系統(tǒng)服務器、報表系統(tǒng)服務器、力控組態(tài)服務器等主機信息和工業(yè)交換機、網閘、安全審計、安管平臺的網絡、安全數(shù)據，以及網絡流量數(shù)據。

在儲運銷售分公司信息中心與上聯(lián)網絡連接處部署工業(yè)網閘，進行信息中心與上層網絡的物理隔離；在儲運銷售分公司信息中心工業(yè)交換機旁路部署安全審計設備與安全管理平臺，通過工業(yè)安全審計分析工控系統(tǒng)網絡流量，建立符合正常業(yè)務運行的網絡行為基線，有效識別超出基線的網絡通信行為，對網絡行為異常、工業(yè)協(xié)議攻擊、工業(yè)控制關鍵事件進行實時檢測與報警；記錄工業(yè)控制網絡通信行為，為安全故障/事故調查提供詳實的記錄；查看網絡中各個設備之間的實時連接情況和流量情況，快速發(fā)現(xiàn)和解決網絡問題。

在NY油庫機關核心工業(yè)交換機部署態(tài)勢感知收集服務器，收集油庫機關、加熱爐崗、計量崗、化驗崗、變電崗、輸油崗和陰極保護崗內服務器、PC、工控機以及工業(yè)交換機的各類信息，并上傳至信息中心態(tài)勢感知平臺。

圖3 NY油庫機關關鍵設備部署架構

2.3 建設效果

（1）實現(xiàn)對系統(tǒng)合規(guī)能力監(jiān)控

依據工信部頒布的《工業(yè)控制系統(tǒng)信息安全防護指南》，為該油田儲運銷售分公司各系統(tǒng)逐項予以安全評估，并最終給予評分。參考防護指南評估引擎，對來源于靜態(tài)防護指南日志以及動態(tài)評估的防護指南相關日志予以評估。

圖4 儲運銷售分公司合規(guī)能力監(jiān)控&評估

（2）實現(xiàn)對系統(tǒng)內各類告警監(jiān)控統(tǒng)一管理

對該油田儲運銷售分公司整體告警進行監(jiān)控，通過告警行為發(fā)現(xiàn)系統(tǒng)的異常。為免系統(tǒng)中重復告警導致待處理告警數(shù)目過多，對告警數(shù)據做了聚合，同時兼顧了時間要素，保持最新觸發(fā)的告警排序靠前。告警需進行確認后才會消失。

圖5 資產安全狀態(tài)告警與監(jiān)控分析

（3）實現(xiàn)對系統(tǒng)內各類資產監(jiān)控

對該油田儲運銷售分公司內資產進行畫像，力圖對所管控資產就資產的基礎屬性、運行信息、日志信息和異常信息建立全面的知識庫。資產的歷史及當前信息狀態(tài)一目了然。

體現(xiàn)關注的資產信息，例如Windows主機關注的系統(tǒng)是否在線、健康，負載是否合理，開啟的網絡服務是否合規(guī)正常，是否有規(guī)則允許的資產間互聯(lián)，是否有非法用戶登錄，對系統(tǒng)配置進行變更，重要的應用軟件是否發(fā)生故障，是否有系統(tǒng)漏洞，并遭受惡意攻擊，被種植木馬，是否有違規(guī)的外設接入并未被禁止，是否有安裝的防護軟件幫助阻止惡意軟件的影響，設備及應用軟件是否中斷了網絡連接等等。

圖6 儲運銷售分公司資產畫像采集分類

（4）實現(xiàn)對網絡互聯(lián)行為監(jiān)控

實現(xiàn)對該油田儲運銷售分公司不同系統(tǒng)間及系統(tǒng)內部不同資產間的互聯(lián)訪問關系進行監(jiān)控。資產互聯(lián)展示的為所監(jiān)控資產間的網絡互聯(lián)關系，并且可根據統(tǒng)計信息決策為黑名單（禁止）訪問或白名單（允許）訪問；區(qū)域互聯(lián)展示的為所監(jiān)控邏輯區(qū)域間的網絡互聯(lián)關系，并且可根據統(tǒng)計信息決策為黑名單（禁止）訪問或白名單（允許）訪問。

圖7 儲運銷售分公司資產互聯(lián)狀態(tài)分析

（5）多元安全信息綜合分析

對該油田儲運銷售分公司內工控機、網絡設備、控制設備、安全設備等各類設備日志進行審計，并通過日志查詢系統(tǒng)可以查詢到資產名、資產IP、資產類型、事件時間、分類、等級、摘要等的日志信息。

圖8 監(jiān)控資產多元化信息分析與展示

（6）多維度工控系統(tǒng)綜合安全防護

通過在該油田儲運銷售分公司及下屬多個站庫內工控系統(tǒng)部署工業(yè)防火墻、工業(yè)網閘、主機安全軟件、安全審計、安全檢測等各類安全基礎設施，實現(xiàn)不同網絡區(qū)域及部分重要PLC的網絡隔離；對系統(tǒng)內網絡行為異常、工業(yè)協(xié)議攻擊、工業(yè)控制關鍵事件進行實時檢測與報警；對工業(yè)主機的主機移動存儲介質、工控主機運行加載的程序進行管控，保證工業(yè)主機安全。

3 案例亮點及應用價值

3.1 案例亮點

工控安全態(tài)勢感知平臺從日常運維人員視角出發(fā)，以工控系統(tǒng)內資產為核心，可協(xié)助運維人員對工控系統(tǒng)相關設備、軟件及組件進行預維護，提前防范安全隱患。

工控安全態(tài)勢感知平臺可從多種事件和具有上下文信息的安全日志中收集和分析安全事件。該平臺對提高該油田儲運銷售分公司管理效率和安全監(jiān)管力度具有重要的作用，可實現(xiàn)安全保障的關口前移，防患于未然。

工控安全態(tài)勢感知平臺數(shù)據采集范圍覆蓋油田儲運銷售全流程工業(yè)控制工藝，對石油生產的存儲、運輸、轉儲等多個特有工藝流程及流程內部鍋爐崗、計量崗、輸油崗、化驗崗、消防崗多類崗位控制過程中數(shù)百臺設備進行全方位、多維度安全監(jiān)測，管理人員通過工控安全態(tài)勢感知平臺可掌握油田儲運銷售全流程工業(yè)信息安全狀態(tài)及合規(guī)狀況。

3.2 應用價值

項目建成后增強了該油田儲運銷售分公司及下屬多個站庫安全監(jiān)測與防護能力，有效提升了監(jiān)控水平和應急效率，在行業(yè)內形成了良好的示范效應，促進了工業(yè)信息安全市場在石油行業(yè)內的加速發(fā)展。工控安全態(tài)勢感知平臺建設在采油、采氣、供水、儲運與管道等石油行業(yè)內多個領域被推廣應用，在石油行業(yè)內形成了數(shù)億元的應用規(guī)模。

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全?？ǖ诰泡嫞?/span>