摘要:本文通過對數字油田專用的油氣工業控制系統(OICS)進行風險分析,提出了分層分域、確定性行為預測的縱深防御方法,可有效解決油田OICS面臨的網絡安全問題。
關鍵詞:工業控制系統;工業控制系統安全;數據采集與監視控制系統;縱深防御
Abstract:In this paper,based on the risk analysis of the OICS(Oilfield Industrial Control System)dedicated to digita loilfields,adefense-in-depth method of layered and domain-specific and deterministic behavior prediction is proposed,which can effectively solve the network security problems faced by OICS.
Key words:Industrial control system;Security of industrial control system;SCADA;Defense in depth
1 引言
隨著中國經濟的快速發展,石油、天然氣等能源產業在國家經濟中的地位愈加顯著。近年來國家大力倡導國家能源安全與能源儲備,客觀上向中國的能源產業提出了更高的要求,同時也提供了更多的發展空間。因此通過數字化遠程管理,有效控制生產過程中的關鍵技術環節,實現遠程調度指揮、監管、控制的大規模生產是目前眾多大型企業所企盼的。
技術在飛速發展的同時,不可避免的帶來了系統安全的各類風險和威脅,在數字油田的構建中,存在著如系統終端平臺安全防護弱點、系統配置和軟件安全漏洞、工控協議安全問題、私有協議的安全問題、隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權限控制的接入、網絡安全邊界防護、內部人員非法操作以及密鑰管理等各種信息安全風險和漏洞。
數字油田系統一旦遭到破壞或入侵,會直接危害到原油的開采和運輸,繼而影響到國家能源安全問題,造成直接或間接的巨大經濟損失,更會影響社會的安定團結。
油田自動化利用自動化手段對油水井站、計量間、閥組、聯合站(集氣站)、原油外輸系統、油罐及油田其他分散設施進行自動檢測、自動控制,從而實現生產自動化和管理自動化。但是采油現場常常分布在人煙稀少的偏僻地區,交通通訊不便,分布地域廣泛,現場人員較少,大部分地區處于無人或少人職守狀態。一旦現場控制系統發生異常,可能導致發現晚、排查難、影響大等一系列問題。
2 數字油田OICS風險分析
2.1 網絡結構分析
油田網絡結構龐大,采油廠以下按照管理區劃分為多個管理區,管理區與采油廠通過專用光纖進行通訊。
現場基本控制單元包括油井、配注站、注水站等不同的單元,包含的主要網絡設備和控制設備為RTU、PLC系統及攝像頭,現場基本控制單元通過無線傳輸的模式,將數據與匯聚點進行通信,無線匯聚點通過專用光纖將數據上送到管理區生產指揮中心。注水站PLC系統通過專用光纖將數據上傳到管理區生產指揮中心,管理區生產指揮中心通過光纖將生產數據發送至辦公網絡。
管理區的網絡可以以三層兩網的模型進行分析。兩網是指現場無線網絡和光纖網絡,三層分別是下層現場控制設備層、中間匯聚層、上層管理層,本文依據網絡和層次結構對威脅與脆弱性進行分析。油田管理區網絡拓撲圖如圖1所示。
圖1 油田OICS網絡拓撲圖
2.2 整體風險分析
依據網絡拓撲圖以及網絡結構并結合目前已有的技術安全措施,現有的安全隱患包括以下幾個方面。
(1)網絡設備準入控制隱患
整個油田的網絡終端設備部署在野外現場,難以有效地采用門禁等措施來管控整個網絡,生產網較容易被外來人員接入其他網絡設備,難以對第三方非法接入進行報警和阻斷,存在較大安全隱患。
(2)無線通信缺乏認證
現場設備如油井、配注站等以無線方式與匯聚塔通訊,工控數據也通過無線方式與OICS服務器通訊,缺乏有效的身份認證。
(3)生產網和辦公網接口
生產網包含了工控網絡與視頻網絡,數據量龐大,目前未做任何的防護措施,給生產安全帶來巨大的風險。
(4)工控網與視頻網合用威脅
生產網包含了工控網絡與視頻網絡,工控網與視頻網合用,數據量龐大,數據的格式、協議、保密性要求與傳輸延時要求等均存在巨大差異,業務差別大、安全需求差別也很大。兩網使用同一根光纖傳輸存在較大安全隱患。
(5)缺乏有效的防病毒措施
工程師站、操作站、視頻監控站、數據庫服務器、數采及視頻服務器等都在同一網絡中,與上層辦公網絡等無隔離防護,雖然安裝了360防病毒軟件,但360防病毒軟件本身只能針對常規的病毒并不適用工控網絡,對工控系統的病毒防護存在誤殺風險。
(6)針對特定工控系統的攻擊
黑客可能利用木馬、病毒(如最近的勒索病毒以及針對工控系統的震網病毒)、文件擺渡或其他手段進入工控網絡,對工控系統控制器發出惡意指令(如控制器啟停指令、修改系統時間、修改工藝參數、對動設備進行啟停操作等),導致工控系統宕機停產或出現嚴重的安全事故。
(7)對網絡流量缺乏有效的監控措施
現場生產網絡分布位置廣泛,設備多(如一個匯聚點連接了幾十口油井,每個油井上包含了眾多的儀表及設備),網絡結構復雜,缺少有效的網絡流量監控措施,在危險發生時難以有效發現威脅來源及可能造成的影響,難以有效地對威脅進行快速響應來降低對生產的影響。
(8)未進行分區域隔離
匯聚點之間、注水站之間以及匯聚點與注水站之間只是通過劃分VLAN來分區,但是VLAN方式并不能防范病毒的擴散以及黑客的入侵行為。
(9)漏洞利用風險
事實證明,99%以上攻擊都是利用已公布并有修補措施、但用戶未修補的漏洞。操作系統和應用漏洞能夠直接威脅數據的完整性和機密性,流行蠕蟲的傳播通常也依賴于嚴重的安全漏洞,黑客的主動攻擊往往離不開對漏洞的利用。
(10)行為抵賴風險
如何有效監控業務系統訪問行為和敏感信息傳播,準確掌握網絡系統的安全狀態,及時發現違反安全策略的事件并實時告警、記錄,同時進行安全事件定位分析,事后追查取證,滿足合規性審計要求,是迫切需要解決的問題。
3 數字油田OICS縱深防御建設
3.1 安全建設基本原則
對于工控安全建設,應當以適度安全為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統,在方案設計中應當遵循以下幾項原則。
(1)適度安全
任何系統都不能做到絕對的安全,在進行工控安全等級保護規劃中,要在安全需求、安全風險和安全成本之間進行平衡和折中,過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷,因此在進行等級保護設計的過程中,一方面要嚴格遵循基本要求,從物理、網絡、主機、應用、數據等層面加強防護措施,保障信息系統的機密性、完整性和可用性,另外也要綜合成本的角度,針對系統的實際風險,提出對應的保護強度,并按照保護強度進行安全防護系統的設計和建設,從而有效控制成本。
(2)技術管理并重
工控安全問題從來就不是單純的技術問題,把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的,僅僅通過部署安全產品很難完全覆蓋所有的工控安全問題,因此必須要把技術措施和管理措施結合起來,更有效地保障信息系統的整體安全性,形成技術和管理兩個部分的建設方案。
(3)分區分域建設
對工控系統進行安全保護的有效方法就是分區分域,由于工控系統中各個資產的重要性是不同的,并且訪問特點也不盡相同,因此需要把具有相似特點的資產集合起來,進行總體防護,從而可更好地保障安全策略的有效性和一致性;另外分區分域還有助于對網絡系統進行集中管理,一旦其中某些安全區域內發生安全事件,可通過嚴格的邊界安全防護限制事件在整網蔓延。
(4)合規性
安全保護體系應當同時考慮與其他標準的符合性,技術部分參考《GBT25070-2019 信息安全技術網絡安全等級保護安全設計技術要求》進行設計,管理方面同時參考《GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求》以及IEC 27001安全管理指南,使建成后的等級保護體系更具有廣泛的實用性。
(5)動態調整
工控安全問題不是靜態的,它總是隨著管理相關的組織策略、組織架構、信息系統和操作流程的改變而改變,因此必須要跟蹤信息系統的變化情況,調整安全保護措施。
3.2 安全防御方案
3.2.1 分層分域構建縱深防御體系
分層分域的目的是通過分層劃分不同的系統集合,根據不同系統的特點采取相應的防護手段,例如工控區域的特點是以高可用性為優先原則,而管理區應以機密性為優先原則;分域則是依據最小業務系統的原則避免安全風險的擴散。對于處于生產管理區但需要和OICS實時服務器通訊的功能服務器建議設立工控DMZ區,將這些功能服務器單獨部署在工控DMZ區內,分層分域部署如圖2所示。
圖2 油田OICS分層分域圖
在生產管理層與工控DMZ層的邊界設置帶有入侵檢測裝置的下一代防火墻,依據訪問控制關系配置訪問控制列表(ACL),同時可以對入侵行為進行監測報警。
在工控DMZ層與監控層的邊界設置工業單向網閘,防止工控DMZ層感染的病毒滲透到監控層,由于單向網閘采用2+1架構,可以阻斷兩個網絡的實時連接,防止黑客的入侵行為。
在監控層與設備控制層邊界依據業務特點劃分最小業務單元設置工業防火墻,由于工業防火墻采用白名單機制,可以阻斷所有非白名單的流量,同時具備BYPASS功能,可以用于要求高可用性的工控網絡中。監視站與服務器之間也可設置工業防火墻,實現確定性的指令級控制,由于每臺監視站的監視范圍和控制功能的不同,可以依據控制范圍和控制功能設置可監視和控制的位號的白名單,實現精準的控制防止誤操作以及人為破壞。
3.2.2 確定性的可預測行為監視
油田OICS是實時的工業控制系統,按照掃描周期完成數據的采集、數據的模數轉換、應用控制策略的執行、數據的數模轉換、控制型號的執行,因而網絡中的流量的大小、協議的類型、控制的點位等均為確定性的。通過分析工控核心交換機的鏡像流量,結合生產業務關系的關聯分析,對行為建模預測性判斷,并對風險報警。行為監測設備部署如圖3所示。
圖3 工控安全監測審計設備位置圖
主要實現以下功能:
(1)資產數量的確定性,對入侵設備的可預測分析;
(2)資產訪問關系的確定性,對異常的訪問行為的可預測分析;
(3)流量特征的確定性,對惡意文件、入侵的可預測分析;
(4)業務行為(組態的下載、上傳、對設備的操作)的確定性,對入侵檢測的可預測分析;
(5)變更計劃的確定性,對入侵或工控專有病毒(如:火焰、震網)研判的可預測性分析;
(6)生產運維計劃的確定性,對入侵等異常行為的可預測分析。
3.2.3 確定性的可預測主機加固
油田OICS的操作站、服務器、工程師站由于高可用性的要求無法安裝系統補丁及殺毒軟件,存在巨大的安全隱患,成為了病毒的中轉站,同時也是黑客入侵的主要攻擊對象。對于工控的主機防護可以采用基于白名單進程管控的工控主機衛士來實現。
主要實現功能如下:
(1)主機進程的確定性,惡意進程的可預測性防護,結合業務流程阻止非預測的額外進程運行;
(2)主機服務端口的確定性,異常行為的可預測性防護,結合相關程序的日常端口行為阻止非預期端口開放;
(3)主機訪問關系的確定性,異常訪問的可預測性防護,通過流量畫像精準展示異常連接;
(4)主機運維的確定性,異常行為的可預測性發現,結合運維日志發現非預期的主機行為。
3.2.4 可視化的安全運營
在數字油田OICS中建設了一些安全設備后,會產生眾多的事件和日志,為統一管理工業控制的系統設備、安全設備及日志信息,將多個設備日志信息關聯分析,需要建設一套工控安全運營中心,此平臺與傳統管理網的平臺不同之處有如下幾點:
(1)該平臺應該能夠直接收集工業交換機及工控應用系統的信息;
(2)該平臺能夠分析工控網絡中的設備互聯狀況,包括流量、時間、工控協議等元素建立白名單規則,及時有效發現異常并報警;
(3)該平臺的關聯分析與傳統事件關聯分析模型不同;
(4)適應工控網絡的特性,工控安全運營中心不再以日志為主要分析手段,而是采用流量行為分析為主、事件分析為輔的技術路線,通過安全監控、風險分析、流量秩序監控三大方面來描述當前的安全狀況。
該平臺產品是面向工控環境的安全管理解決方案,結合工業控制協議的深度解析工作,實現工業控制環境下流量行為的合規審計,減輕運維人員的維護工作量,讓風險及網絡行為直觀展示,讓入侵和病毒無所遁形。
4 結語
數字油田的OICS是油田的大腦,一旦受到破壞其影響不僅限于直觀的經濟損失,還會直接影響普通民眾的日常生活甚至造成人員傷亡,更為嚴重的是會影響到國家的安全和社會的穩定。國外敵對勢力的破壞仍然存在,不法分子的滲透與日俱增,加強油田企業OICS的網絡安全防護已經勢在必行。
作者簡介:
魯玉慶(1966- ),男,山東濰坊人,高級工程師,現就職于中石化股份有限公司勝利油田分公司,研究方向為油田板塊工業控制系統及油氣生產信息化核心技術研究及應用。
摘自《自動化博覽》2020年6月刊