★ 烽台科技(北京)有限公司
1 项目概况
1.1 项目背景
随着国家“两化融合”的不断深入,以往“封闭、受限”的工业控制系统现场网络环境已经被打破,面临日益严重的网络攻击和入侵威胁,且由于病毒技术的不断革新、获取病毒与相关技术知识的门槛及成本不断降低,该油田工业控制系统在面临网络安全风险的同时,还正面临由U盘、移动硬盘、光盘等移动存储介质使用导致的病毒入侵和危害风险。
在此背景下该油田信息技术公司组织开展了工控安全态势感知平台建设项目,为油田建立有效的工控安全监测、防护体系,实时监测工控安全威胁,整体把握油田下属库站安全风险,维护油田工控系统安全。
1.2 项目目标
(1)技术目标
通过本项目建设,有效解决储运销售分公司工业控制系统存在的安全隐患,对工业主机、网络设备、安全设备、控制设备、网络流量等多维度进行安全防护。通过多元安全信息进行收集、处理、分析,以及定制研发、环境测试等方式采用合理的技术手段和规范化的管控措施,对风险点实施有效控制,将安全风险降到最低,为储运销售分公司的稳定发展和数字化转型建设提供安全、可靠的环境空间。
(2)经济目标
项目建成后应取得安全监测、防护效果,有效提升监控水平和应急效率,在行业内形成良好的示范效应,促进工业信息安全市场在石油行业内的加速发展。工控安全态势感知平台建设在采油、采气、供水、储运与管道等石油行业内多个领域推广应用,在石油行业内形成数亿元的应用规模。
(3)社会效益
全面提升该油田储运销售分公司及下属多个站库的工控安全监测防护水平,保障该油田储运分公司及下属多个站库的安全稳定生产,杜绝由于信息安全问题引发原油泄漏、低温凝管、火灾爆炸等生产事故。
2 项目实施
2.1 需求分析
2.1.1 该油田工业信息安全痛点
(1)油田工控系统内工业主机、网络设备及控制器工控系统资产管理统计薄弱,工控系统安全状况监测与联动防护手段缺失;
(2)工控系统与工业协议缺乏身份认证和访问控制,无法限制非法用户远程控制。油田部分工控系统与互联网存在连接情况,外部人员可以轻易从互联网发现生产单位工业控制设备,利用工具和漏洞便可发起攻击或入侵,存在严重的安全隐患;
(3)在多数生产单位中,与工业控制设备连接的工控主机(上位机、工程师站)由于无法安装杀毒软件、U盘插入管控缺失等原因,致使工控主机感染大量病毒,容易导致工控主机功能失效。这些病毒长期潜伏,使工控网络运行就像“骑在飞行的炸弹上”,给工控网络长期稳定运行和油田生产安全带来严重的安全隐患;
(4)油田内多个站库缺乏统一安全监测和管理措施,对储运销售公司及下属站库内工业主机、网络、工业应用软件等各类设备的安全状况及公司整体合规性状况无法掌握;未对工业主机、PLC等工控软硬件状态故障和信息安全事件进行实时监控,导致设备故障或信息安全事件发生后可能影响该油田储运销售公司及下属站库业务。
2.1.2 该油田工业信息安全建设难点
(1)行业危险系数高,实施精度要求高。该油田储运销售分公司及下属多个站库负责石油的存储、运输、转储等关键环节,均属于高危生产环境。实施中涉及关键控制环节的工控机与PLC数据采集,对实施精度要求极高,需确保采集各类设备安全信息时不影响设备稳定运行。
(2)信息采集软件和设备厂商型号庞杂。根据储运销售公司及各下属站库实际情况,平台数据采集需支持多厂商、多型号的工业主机、控制设备、工业网络设备及不同厂商的安全设备,需支持对西门子、施耐德、罗克韦尔、通用电气、三菱、欧姆龙、MOXA、研华等100余个厂商的工控设备的软硬件进行发现与识别。
(3)通讯协议种类较多,其中工业协议需支持工业控制系统主流通讯协议(包括Modbus TCP、MMS、DNP3、OPC DA、OPC UA、Modbus RTU、IEC 104、EthernetIP、Siemens S7、CANBUS协议)的识别和深度解析检测,达到读取至指令、功能码和具体线圈/键位数值。
2.1.3 项目解决实际问题
(1)实现对该油田储运销售分公司及下属多个站库内工业主机、控制设备、服务器、PC、网络设备、安全设备等各类软硬件与安全设备的全面信息采集,以及对多类资产运行状态和安全状态的全面实时监测,确保各类设备以良好的健康度和安全性运行。
(2)实现对该油田储运销售分公司及下属多个站库内网络行为的安全监控,以及对系统内、系统间存在的非合规访问行为和非法外联访问行为的实时发现。
(3)通过工业防火墙、工业网闸、主机安全软件、安全审计、安全检测等各类安全基础设施的部署,实现对该油田储运销售分公司及下属多个站库内工控系统的安全防护。
(4)实现对该油田储运销售分公司及下属多个站库安全告警的统一管理,提高安全运维人员工作效率,包括对各系统内工业防火墙、工业网闸、主机安全软件、安全审计、安全检测等各类安全基础设施产生告警的统一管理及关联分析,呈现全网安全告警态势及趋势分析。
2.2 对策与措施
2.2.1 建设思路
按照该油田工控系统网络现状,本项目中工控安全态势感知平台建设为三层管理架构,如图1所示,最下一层为被保护的工业控制及管理环境设备对象,包括从生产管理层、MES层到控制层的各类设备,比如操作员站、工程师站、RTU、PLC、服务器、PC等等。
图1 工控安全态势感知平台三层管理架构图
系统通过采集层对所有被保护对象进行集中的信息采集,包括收集网络中所部署的各类安全设备的事件及告警信息。该层提供丰富的数据接口,所采集的信息包括:资产、拓扑、性能、事件、漏洞、流量及工控指令等。同时,信息采集装置可以在复杂网络中分布式部署,并且对网络性能影响极小甚至无影响。采集到的所有信息都会进行预处理,将其转换为统一的内部格式,并提交给上层的核心功能处理层的相应组件进行处理和分析。
采集层之上是数据处理与展示层,该层提供了系统的核心处理功能,主要包括了设备监控、安全信息管理、工控威胁管理和统一接口四大功能组块。设备监控功能组块主要提供了被监控对象的识别梳理和基础信息支撑,主要包括设备管理、工控拓扑构建、设备及链路性能状态监控以及识别监测各工控设备的能力;安全信息管理组块提供了工控网中安全事件信息与漏洞信息的综合管理功能,主要包括安全事件的集中管理和查询服务、漏洞信息的集中管理、防护产品的安全信息管理及安全知识库功能;工控威胁管理组块综合了设备链路的监控以及各类安全信息的展现和分析功能,主要提供了风险管理、工控业务健康度分析、关联分析以及KPI威胁分析等功能;统一接口组块综合了对外的各种接口,主要提供了对企业集中监控输出的告警接口、第三方防护产品信息采集接口及国家层面监控系统的探针管理与信息交换接口。
在该油田储运销售分公司及下属多个站库内工控系统部署工业防火墙、工业网闸、主机安全软件、安全审计、安全检测等各类安全基础设施,进行工控系统的基础防护。
2.2.2 建设内容
实际建设中,在储运销售分公司信息中心部署态势感知平台,通过各站库部署的态势感知数据收集服务器收集感知工控资产详细信息,绘制网络拓扑结构,识别工控系统现存漏洞,实现从总体上对储运销售分公司工业资产、生产网络及脆弱性的统计管理,并基于国家安全预警和威胁情况对已识别的资产信息作出安全风险预警,使应急联动生产网安全防护设备及时应对安全风险和威胁。
图2 储运销售分公司-信息中心设备拓扑
储运销售分公司信息中心部署态势感知平台于安全运维区,可收集调度中心生产网内实时库服务器、培训系统服务器、报表系统服务器、力控组态服务器等主机信息和工业交换机、网闸、安全审计、安管平台的网络、安全数据,以及网络流量数据。
在储运销售分公司信息中心与上联网络连接处部署工业网闸,进行信息中心与上层网络的物理隔离;在储运销售分公司信息中心工业交换机旁路部署安全审计设备与安全管理平台,通过工业安全审计分析工控系统网络流量,建立符合正常业务运行的网络行为基线,有效识别超出基线的网络通信行为,对网络行为异常、工业协议攻击、工业控制关键事件进行实时检测与报警;记录工业控制网络通信行为,为安全故障/事故调查提供详实的记录;查看网络中各个设备之间的实时连接情况和流量情况,快速发现和解决网络问题。
在NY油库机关核心工业交换机部署态势感知收集服务器,收集油库机关、加热炉岗、计量岗、化验岗、变电岗、输油岗和阴极保护岗内服务器、PC、工控机以及工业交换机的各类信息,并上传至信息中心态势感知平台。
图3 NY油库机关关键设备部署架构
2.3 建设效果
(1)实现对系统合规能力监控
依据工信部颁布的《工业控制系统信息安全防护指南》,为该油田储运销售分公司各系统逐项予以安全评估,并最终给予评分。参考防护指南评估引擎,对来源于静态防护指南日志以及动态评估的防护指南相关日志予以评估。
图4 储运销售分公司合规能力监控&评估
(2)实现对系统内各类告警监控统一管理
对该油田储运销售分公司整体告警进行监控,通过告警行为发现系统的异常。为免系统中重复告警导致待处理告警数目过多,对告警数据做了聚合,同时兼顾了时间要素,保持最新触发的告警排序靠前。告警需进行确认后才会消失。
图5 资产安全状态告警与监控分析
(3)实现对系统内各类资产监控
对该油田储运销售分公司内资产进行画像,力图对所管控资产就资产的基础属性、运行信息、日志信息和异常信息建立全面的知识库。资产的历史及当前信息状态一目了然。
体现关注的资产信息,例如Windows主机关注的系统是否在线、健康,负载是否合理,开启的网络服务是否合规正常,是否有规则允许的资产间互联,是否有非法用户登录,对系统配置进行变更,重要的应用软件是否发生故障,是否有系统漏洞,并遭受恶意攻击,被种植木马,是否有违规的外设接入并未被禁止,是否有安装的防护软件帮助阻止恶意软件的影响,设备及应用软件是否中断了网络连接等等。
图6 储运销售分公司资产画像采集分类
(4)实现对网络互联行为监控
实现对该油田储运销售分公司不同系统间及系统内部不同资产间的互联访问关系进行监控。资产互联展示的为所监控资产间的网络互联关系,并且可根据统计信息决策为黑名单(禁止)访问或白名单(允许)访问;区域互联展示的为所监控逻辑区域间的网络互联关系,并且可根据统计信息决策为黑名单(禁止)访问或白名单(允许)访问。
图7 储运销售分公司资产互联状态分析
(5)多元安全信息综合分析
对该油田储运销售分公司内工控机、网络设备、控制设备、安全设备等各类设备日志进行审计,并通过日志查询系统可以查询到资产名、资产IP、资产类型、事件时间、分类、等级、摘要等的日志信息。
图8 监控资产多元化信息分析与展示
(6)多维度工控系统综合安全防护
通过在该油田储运销售分公司及下属多个站库内工控系统部署工业防火墙、工业网闸、主机安全软件、安全审计、安全检测等各类安全基础设施,实现不同网络区域及部分重要PLC的网络隔离;对系统内网络行为异常、工业协议攻击、工业控制关键事件进行实时检测与报警;对工业主机的主机移动存储介质、工控主机运行加载的程序进行管控,保证工业主机安全。
3 案例亮点及应用价值
3.1 案例亮点
工控安全态势感知平台从日常运维人员视角出发,以工控系统内资产为核心,可协助运维人员对工控系统相关设备、软件及组件进行预维护,提前防范安全隐患。
工控安全态势感知平台可从多种事件和具有上下文信息的安全日志中收集和分析安全事件。该平台对提高该油田储运销售分公司管理效率和安全监管力度具有重要的作用,可实现安全保障的关口前移,防患于未然。
工控安全态势感知平台数据采集范围覆盖油田储运销售全流程工业控制工艺,对石油生产的存储、运输、转储等多个特有工艺流程及流程内部锅炉岗、计量岗、输油岗、化验岗、消防岗多类岗位控制过程中数百台设备进行全方位、多维度安全监测,管理人员通过工控安全态势感知平台可掌握油田储运销售全流程工业信息安全状态及合规状况。
3.2 应用价值
项目建成后增强了该油田储运销售分公司及下属多个站库安全监测与防护能力,有效提升了监控水平和应急效率,在行业内形成了良好的示范效应,促进了工业信息安全市场在石油行业内的加速发展。工控安全态势感知平台建设在采油、采气、供水、储运与管道等石油行业内多个领域被推广应用,在石油行业内形成了数亿元的应用规模。
《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊(第九辑)》