油库发油生产控制系统主要以Siemens、Honeywell、Rockwell、Yokogawa等SCADA系统，面临的主要网络安全威胁为：

(一)黑客恶意攻击和恶意程序植入。一些敌对组织、不法分子通过远程修改发油生产控制策略与测控参数等手段攻击；也可能会在SCADA系统内恶意植入危险程序，造成工艺装置发生事故，甚至造成停产损失。

(二)通用Windows操作系统、编译系统、IEC61131设计软件等安全漏洞。

(三)发油生产工控网络WinCC服务器、TAS服务器、排队主机、门禁主机等工业主机、油管服务器与操作站等防病毒及恶意软件的管控漏洞。

(四)违规使用U盘、光盘等外接设备，导致病毒通过网络、USB口或服务商远程运维服务过程等方式侵入SCADA系统。

(五)控制设备第三方维修时，移动设备存在随意接入的情况，或VPN远程运维接入时，无安全防护措施与记录。

(六)信息化建设的同时，发油生产网与其他网络边界越来越模糊且防护不充分。

面向安全运营的工业互联网安全态势感知系统在自身高效的安全事件分析处理能力基础上，与安全智能运维深度融合，方便运维人员全面了解资产的安全状态，也为安全运维人员故障处理提供更多决策支持，从而更加全面细致的了解整个业务的实际状态，形成全景业务运维管控视图，能够快速查看发油生产业务系统的基础设施运行状态、应用程序执行效率、安全态势的关键数据信息，也为油库生产信息化与网络化未来业务优化方向提供决策辅助。

(一)一体化网络安全态势感知体系

基于发油生产工控系统网络可能发生的异常行为进行安全监测研究，对使用的工控协议深度解析，并利用基于白名单的业务行为基线和基于黑名单的入侵检测规则匹配，以信息资产管理、大数据收集与关联分析、安全管理与运营等三大核心技术，采用基于智能学习与业务感知的工控安全一体化的安全威胁监测体系。

(1)多要素采集融合：实时采集包括设备和端点的日志、流量数据、资产数据、漏洞和配置等脆弱性数据以及包括情报、身份、业务在内的各种情境数据等多源异构的安全要素信息，通过包括日志、流量、资产、漏洞、情报信息的各自融合在内的大数据技术进行融合、交叉融合和数据治理、动态建模，并对要素信息采集、传输、存储、利用的全程质量监控。

(2)纵深化智能安全分析：将基于规则匹配的关联分析、基于机器学习的行为分析和可以自定义算子的专项分析三种分析引擎深度融合，并集成情报分析、攻击链分析和用户及实体行为分析（UEBA）功能，形成一个纵深化、立体式的分析网络，综合发挥各种分析能力的优势。

(3)多方位态势感知：系统强调从资产、用户、运行、弱点、攻防、威胁、风险等多个角度进行多方位的态势评估、预测与呈现，实现全面地掌控发油生产网络安全态势。

(4)安全编排与自动化：内置SOAR（安全编排自动化与响应）功能，通过分诊与智能关联能力的告警管理、案件管理和安全编排自动化模块，实现快速核实告警、自动响应处置、持续事件调查，实现积极安全响应。

(二)工控资产主动发现与威胁深度无损扫描

基于工控系统已知的安全漏洞特征（如SCADA/HMI软件漏洞，PLC、DCS控制器嵌入式软件漏洞，Modbus、Profibus等主流现场总线漏洞、SCADA/HMI软件漏洞等），对油库的SCADA、PLC等工业控制系统中的控制设备、应用或系统进行扫描、识别，为工业控制系统提供完善的全方位的漏洞分析检测。

(1)采用渐进式扫描模式：在扫描过程中先识别存活主机，然后识别存活主机的端口、服务、操作系统，同时融合最新的操作系统指纹识别、智能端口服务识别等技术，准确识别被扫描对象的各种信息，如操作系统、网络名、用户信息、非常规端口上开放的服务等；在此基础上根据探测结果选择合适的扫描策略进行针对性的扫描，从而高效、及时、准确地发现目标对象存在的安全漏洞，有效提升漏洞扫描的效率。

(2)基于漏洞上下文探测的无损扫描技术：漏扫作为软件资产的安全扫描角色，最大的目标是能有效的检测出软件资产的安全问题，通过对重点漏洞的深入研究，确定了漏洞的上下文的相关逻辑，从中找出有效确定相关漏洞的关键路径，从而确保扫描的准确性以及无损性。

(三)隐形网络攻击行为感知

在油库发油工控系统中的流量异常以及应用服务异常，常常潜伏着一些攻击行为或安全事件，系统通过对发油工业控制系统进行全流量数据采集分析并智能调用安全规则库，对异常行为进行报警。通过对告警信息、异常流量以及异常服务的综合分析，结合大数据挖掘和智能化分析技术将攻击者的整个攻击过程归纳为侦察扫描、定向攻击、攻陷入侵、工具安装、恶意行为五个阶段。将告警事件映射到不同的阶段，展示整个动态攻击过程和攻击效果，实现基于全网络的流量安全监测分析。另外，系统内置了漏洞库，并且支持资产扫描探测功能，系统结合漏洞库对扫描到的各类资产进行漏洞分析，对发现的资产漏洞进行告警；利用高速率报文存储检索系统完成对历史网络流量的回放和追溯快速还原攻击过程，回溯网络行为，对攻击关键会话进行解码还原，为网络管理人员及时调整管理策略提供技术支撑。

(四)持续化安全威胁监测与大数据分析

持续智能化工控安全监测和基于安全大数据形成的安全分析能力，实现发油生产系统的基于AI技术的工业安全态势感知平台，从而实现全方位的工业安全态势感知能力，提供可管理、可控制的安全保障能力。油库安全运营中心通过与安全服务的结合，进一步加强了安全中心对安全管理的支撑，构建了监控服务中心、自评估服务中心、西北销售公司的安全服务体系以及知识管理系统等，能够实现网络安全风险管理、事件管理、网络管理、实时关联分析、实时事件监测、安全预警管理、安全告警与响应、用户管理、安全策略管理、知识库管理、辅助决策管理等相关信息安全策略。

2019年，中国石油天然气集团公司针对西北销售公司管辖下的代表性油库进行实战攻防，面向安全运营的工业互联网态势感知系统能够实时感知威胁攻击，并对某些隐蔽的、未知类型的攻击进行实时跟踪与取证，有效拦截，有力阻断了针对实际生产环境的工业控制系统的定向攻击，达到了智能安全运营的目的。

在智慧油库的信息化建设过程中，建立了一套面向安全运营的工业互联网态势感知系统，并创新使用了边缘计算、AI大数据安全分析、多源异构等关键技术，实现了对工控安全风险的实时感知和对威胁的精准研判，对行业工业信息安全防护具有参考价值。

来源：网络整理