今日頭條
官方微信
官方抖音
資訊頻道1 方案背景與目標
根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》及公安部《信息安全等級保護管理辦法》等相關(guān)標準規(guī)范,以及煉化公司2017年9月下發(fā)的《中國石油煉化企業(yè)工業(yè)控制系統(tǒng)信息安全等級保護及定級指導意見》和煉化板塊2022年工信息化管理的要求,促進煉油化工總廠的網(wǎng)絡(luò)安全發(fā)展,夯實等級保護作為國家信息安全國策的成果,依據(jù)國家等級保護相關(guān)標準并結(jié)合廠站系統(tǒng)的實際情況,根據(jù)測評過程中發(fā)現(xiàn)的安全問題,結(jié)合某某油田分公司煉油化工總廠網(wǎng)絡(luò)安全建設(shè)的具體情況,提出網(wǎng)絡(luò)安全建設(shè)工作的整改建議,從而提升信息系統(tǒng)的安全防護能力。
落實《關(guān)于信息安全等級保護工作的實施意見》和《關(guān)于開展網(wǎng)絡(luò)系統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作的通知》,實施符合國家標準的安全等級保護體系建設(shè),重點確保中國石油天然氣股份有限公司某某油田分公司煉油化工總廠的業(yè)務(wù)信息資產(chǎn)的安全性,從而使重要網(wǎng)絡(luò)系統(tǒng)的安全威脅最小化,達到中國石油天然氣股份有限公司某某油田分公司煉油化工總廠信息安全投入的最優(yōu)化。同時滿足國家、網(wǎng)信辦、公安對信息化建設(shè)的相關(guān)要求。在此設(shè)計中實現(xiàn)如下總體安全目標:
(1)通過信息安全需求分析,判斷中國石油天然氣股份有限公司某某油田分公司煉油化工總廠網(wǎng)絡(luò)系統(tǒng)的安全保護現(xiàn)狀與國家等級保護基本要求之間的差距,確定安全需求,然后根據(jù)網(wǎng)絡(luò)系統(tǒng)的劃分情況、網(wǎng)絡(luò)系統(tǒng)定級情況、網(wǎng)絡(luò)系統(tǒng)承載業(yè)務(wù)情況和安全需求等,設(shè)計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施規(guī)劃,以指導后續(xù)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)工程實施。
(2)達到公安部關(guān)于網(wǎng)絡(luò)系統(tǒng)安全等級保護相關(guān)要求。
(3)達到網(wǎng)信辦關(guān)于重要網(wǎng)絡(luò)系統(tǒng)安全保障的要求。
2 方案詳細介紹
2.1互聯(lián)網(wǎng)出口邊界隔離
在互聯(lián)網(wǎng)出口部署防火墻,實現(xiàn)訪問控制及對來自外部的攻擊行為進行檢測、阻斷,對進出網(wǎng)絡(luò)的所有流量和連接進行實時檢測監(jiān)控,審核不同網(wǎng)絡(luò)或區(qū)域之間的訪問請求,實時基于會話狀態(tài)檢測訪問控制機制,確保只有合法的訪問才能通過,保護網(wǎng)絡(luò)中尤其是重要服務(wù)器系統(tǒng)不受來自外部網(wǎng)絡(luò)或非可信用戶的非法訪問,保障整個網(wǎng)絡(luò)及內(nèi)部各類業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行。同時防火墻具備入侵防御和防病毒及應(yīng)用管控等功能,實現(xiàn)對應(yīng)用層的攻擊防范和流量管控。
2.2區(qū)域邊界流量安全
2.2.1工業(yè)安全審計
在各DCS系統(tǒng)核心交換機部署工業(yè)審計系統(tǒng)對網(wǎng)絡(luò)進行深度檢測,基于威脅特征庫實時檢測來自內(nèi)部和外部的各種攻擊行為,實時檢測網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬溢出攻擊和漏洞攻擊等惡意行為。對不合規(guī)行為進行實時的告警,留存網(wǎng)絡(luò)數(shù)據(jù),對溯源分析提供依據(jù),利用黑名單、白名單、自定義規(guī)則等多種安全策略,通過內(nèi)置的工控協(xié)議(如Modbus、OPC、IEC104、Ethernet/IP等)深度解析引擎,實時監(jiān)測工控網(wǎng)絡(luò)中違規(guī)行為、異常流量和不明設(shè)備接入,可實時全面掌握工控網(wǎng)絡(luò)安全運行狀況。
2.2.2高級威脅檢測系統(tǒng)
通過對網(wǎng)絡(luò)內(nèi)全流量的采集,實現(xiàn)未知威脅和高級威脅的精準發(fā)現(xiàn)和檢測。
高級威脅檢測系統(tǒng)基于大數(shù)據(jù)平臺,聚焦于高級威脅和未知威脅檢測兩大客戶痛點,實現(xiàn)威脅檢測、資產(chǎn)發(fā)現(xiàn)、朔源取證、攻擊場景還原、威脅處置及智能防御。幫助用戶看見全部資產(chǎn),看清全部行為、看到全部威脅、看懂全部攻擊。
2.3網(wǎng)絡(luò)空間安全管理
2.3.1工業(yè)級輕量級態(tài)勢感知
通過部署工業(yè)安全監(jiān)管平臺,對所有工控安全設(shè)備進行統(tǒng)一管理。實現(xiàn)設(shè)備資產(chǎn)管理、自動生成拓撲、設(shè)備運行狀態(tài)監(jiān)控、統(tǒng)一配置下發(fā)安全策略,安全設(shè)備的日志統(tǒng)一收集呈現(xiàn)等。實現(xiàn)日志統(tǒng)一手機,留存6個月以上。
2.3.2工業(yè)運維網(wǎng)關(guān)
部署運維安全網(wǎng)關(guān)(堡壘機)實現(xiàn)對運維人員的操作行為進行管控和記錄,通過設(shè)置嚴格的資源訪問策略,并且采用強身份認證手段,全面保障系統(tǒng)資源的安全;并且詳細記錄用戶對資源的訪問及操作,對用戶運維操作行為審計記錄。
2.3.3數(shù)據(jù)庫審計
在生產(chǎn)執(zhí)行層部署數(shù)據(jù)庫審計,對數(shù)據(jù)庫用戶操作行為、操作語句進行審計記錄,日志記錄存留期大于六個月。過解析端口鏡像過來的報文信息,記錄用戶訪問數(shù)據(jù)庫行為的記錄、匯總分析所有的用戶操作行為,通過大數(shù)據(jù)分區(qū)搜索技術(shù)提供高效檢索審計記錄能力,快速定位事件原因,幫助用戶事后生成合規(guī)報告、提供有效電子取證信息,用于數(shù)據(jù)安全事故的追根溯源,實現(xiàn)加強內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為的監(jiān)控與審計,提高數(shù)據(jù)資產(chǎn)安全。
2.4計算機環(huán)境安全管控
2.4.1工業(yè)主機衛(wèi)士
通過工控主機衛(wèi)士解決工控業(yè)務(wù)系統(tǒng)終端安全加固、惡意攻擊防護、USB等外設(shè)防護和訪問控制,實現(xiàn)最大程度地提高工控業(yè)務(wù)終端乃至生產(chǎn)網(wǎng)絡(luò)的安全性,對工控業(yè)務(wù)終端提供全方位的保護。
(1)終端安全加固在不需要經(jīng)常更新終端的補丁和病毒庫的基礎(chǔ)上,對工控業(yè)務(wù)系統(tǒng)終端提供額外的保護。
(2)工控業(yè)務(wù)系統(tǒng)終端軟件白名單從源頭上遏制了惡意代碼的運行。
(3)工控業(yè)務(wù)系統(tǒng)終端進程網(wǎng)絡(luò)訪問白名單確保終端中只有許可的進程才能進行許可的網(wǎng)絡(luò)訪問,進一步限制惡意代碼的感染和傳播。
(4)終端外設(shè)管理消除了病毒或惡意代碼通過終端外設(shè)進入工控業(yè)務(wù)系統(tǒng)終端及生產(chǎn)網(wǎng)絡(luò)的可能性。
(5)終端接入控制確保了工業(yè)網(wǎng)絡(luò)的接入設(shè)備都是可信任的,確保惡意代碼和病毒不會通過局域網(wǎng)感染工業(yè)網(wǎng)絡(luò)。
(6)對組態(tài)軟件及配置的保護從根本上杜絕了惡意生產(chǎn)參數(shù)或指令下發(fā)到自動控制設(shè)備,從而保證生產(chǎn)安全。
(7)終端身份認證確保終端只能由授權(quán)的人員進行操作,消除惡意人員利用社會工程的方案破壞工控生產(chǎn)網(wǎng)絡(luò)。
2.5核心技術(shù)優(yōu)勢
2.5.1惡意加密流量人工智能檢測分析
近年來,工業(yè)互聯(lián)網(wǎng)的發(fā)展推動傳統(tǒng)工業(yè)控制系統(tǒng)升級,但也增加了惡意攻擊風險。攻擊多樣化、專業(yè)化和復雜化,威脅工控系統(tǒng)穩(wěn)定。因此,我們聚焦于工控網(wǎng)絡(luò)惡意加密流量檢測技術(shù)。相比于傳統(tǒng)的IT系統(tǒng)安全問題,工控系統(tǒng)安全存在顯著差異。首先,工控系統(tǒng)的工業(yè)網(wǎng)絡(luò)環(huán)境更加復雜,涉及各種控制設(shè)備的通信協(xié)議和交互方式,這增加了安全防護的難度。其次,工控網(wǎng)絡(luò)安全的核心在于確保生產(chǎn)過程的穩(wěn)定與可靠,對系統(tǒng)可用性的要求頗為嚴格。然而,相較于數(shù)據(jù)完整性和機密性的保護,其重視程度相對較低,這或?qū)⒊蔀闈撛诎踩L險的誘因。由于工控系統(tǒng)與傳統(tǒng)IT系統(tǒng)的差異較大,傳統(tǒng)的入侵檢測解決方案無法直接應(yīng)用于工控網(wǎng)絡(luò)環(huán)境,需要開發(fā)專門的惡意加密流量監(jiān)測技術(shù)來應(yīng)對這些挑戰(zhàn)。因此,如何高效地檢測這些工業(yè)控制網(wǎng)絡(luò)中惡意攻擊成為亟待解決的問題。
為了解決工業(yè)互聯(lián)網(wǎng)惡意攻擊行為檢測困難的問題,我們研發(fā)出高級威脅檢測系統(tǒng)應(yīng)用于本方案中,相較于傳統(tǒng)的安全技術(shù)依賴于靜態(tài)基于簽名的或基于列表的模式匹配技術(shù),無法對許多零日和定向型威脅進行監(jiān)測。高級威脅檢測系統(tǒng)可以使用有監(jiān)督機器學習融合模型和深度學習模型進行流量監(jiān)測,通過神經(jīng)網(wǎng)絡(luò)、機器學習、知識圖譜等人工智能技術(shù)對網(wǎng)絡(luò)流量的特征進行提取、聚類和建模,可以有效檢測出加密流量和惡意代碼的基因圖譜。類似于人類的DNA,無論外觀如何變化,也能夠精準和快速進行識別。
2.5.2輕量級的工控系統(tǒng)終端智能管控技術(shù)
工控主機衛(wèi)士基于AI智能算法,開發(fā)如白名單、惡意代碼入侵檢測、和外設(shè)安全防護技術(shù)等,支持進程級白名單自學習算法,基于深度學習的惡意代碼網(wǎng)絡(luò)行為檢測技術(shù)和外設(shè)安全管控技術(shù),應(yīng)用于整個工控系統(tǒng)終端主機安全防護當中。
2.5.2.1白名單自學習
工控主機衛(wèi)士通過機器學習的模式,全盤掃描,智能分析主機程序、進程,對于可以進程放置到隔離沙箱,保護主機的安全。對于偽造簽名和身份的“合法”訪問的識別,利用AI算法等技術(shù),建立白名單基線以及業(yè)務(wù)特性基線,對白名單再次驗證,同時對相應(yīng)端口的流量、行為做安全監(jiān)護,出現(xiàn)異常流量,行為突變時,及時告警處理。
2.5.2.2基于深度學習的惡意攻擊行為檢測
深度學習的惡意攻擊行為檢測能在內(nèi)容、環(huán)境、應(yīng)用層感知入侵,通過人工智能檢測技術(shù)對惡意代碼的主機行為和網(wǎng)絡(luò)行為進行深入分析,對異常網(wǎng)絡(luò)行為進行告警和阻斷。
2.5.2.3基于驅(qū)動源智能識別的外設(shè)防護
針對主機USB、光驅(qū)、無線等設(shè)備的防護,利用驅(qū)動級的過濾技術(shù)理能夠靈活控制和監(jiān)控終端外設(shè)使用情況,比如控制終端的并口、串口、移動存儲設(shè)備、藍牙、USB等外設(shè)的使用情況,能夠自動收集主機曾經(jīng)使用過的USB設(shè)備的歷史記錄,并能夠單獨禁用無法確定其用途的USB設(shè)備,能夠通過對未知設(shè)備進行自動檢測和采樣,實現(xiàn)對未知和新增設(shè)備的有效控制和管理。
3 代表性及推廣價值
3.1 代表性
行業(yè)示范作用:石油天然氣行業(yè)在國民經(jīng)濟中占據(jù)重要地位,某某油田分公司作為行業(yè)內(nèi)的重要企業(yè),本方案工控等保建設(shè)的成功實踐可以為整個石油天然氣行業(yè)乃至其他工業(yè)領(lǐng)域提供可借鑒的范例和標準,為石油化工行業(yè)類似應(yīng)用場景做了成功示例,展示了如何在煉油化工總廠生產(chǎn)環(huán)境中構(gòu)建有效的工控安全防護體系。
技術(shù)應(yīng)用典型性:油田的工控系統(tǒng)通常涉及多種復雜的技術(shù)和設(shè)備,如分布式控制系統(tǒng)(DCS)、安全儀表系統(tǒng)(SIS)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)等。在本方案等保建設(shè)過程中,需要針對這些系統(tǒng)的特點和安全需求,采用相應(yīng)的安全技術(shù)和產(chǎn)品,工業(yè)防火墻、高級威脅檢測系統(tǒng)、工業(yè)網(wǎng)絡(luò)審計系統(tǒng)、工業(yè)主機衛(wèi)士等對這些技術(shù)的應(yīng)用和集成,可以代表石油天然氣行業(yè)在工控安全技術(shù)應(yīng)用方面的先進水平和典型做法。
業(yè)務(wù)場景復雜性:在本方案的設(shè)計建設(shè)種涉及到大量的工業(yè)控制系統(tǒng)和數(shù)據(jù)交互。本方案充分考慮這些業(yè)務(wù)場景的復雜性,實現(xiàn)對不同環(huán)節(jié)和系統(tǒng)的安全防護和協(xié)同管理。本方案在某某油田分公司等保建設(shè)對業(yè)務(wù)場景的深入理解和安全解決方案的定制化,可以為其他企業(yè)在應(yīng)對復雜業(yè)務(wù)環(huán)境下的工控安全問題提供參考。
3.2 推廣性
針對中國石油天然氣股份有限公司某某油田分公司煉油化工總廠信息安全對工控安全背景及必要性,在此基礎(chǔ)上對標等保2.0的要求對工控網(wǎng)絡(luò)現(xiàn)狀及安全隱患進行分析,從實際存在的安全隱患中考慮總體的工控安全防護管理策略及相應(yīng)的技術(shù)管理手段。本方案按照油田工業(yè)控制系統(tǒng)安全防護的總體要求,遵循中國石油天然氣股份有限公司工業(yè)網(wǎng)絡(luò)"橫向分區(qū)、縱向分層、安全隔離、適度防護"的安全防護總體原則,建成敏捷、高效、安全的工控專網(wǎng),實現(xiàn)廠級工控安全防護體系,為用戶業(yè)務(wù)系統(tǒng)帶來持續(xù)保護的安全價值。可以為石油天然氣行業(yè)的等保建設(shè)方案提供參考和示范。
北京市公安局海淀分局備案號:11010802023656號