今日頭條
官方微信
官方抖音
資訊頻道1 方案背景與目標
根據《中華人民共和國網絡安全法》及公安部《信息安全等級保護管理辦法》等相關標準規范,以及煉化公司2017年9月下發的《中國石油煉化企業工業控制系統信息安全等級保護及定級指導意見》和煉化板塊2022年工信息化管理的要求,促進煉油化工總廠的網絡安全發展,夯實等級保護作為國家信息安全國策的成果,依據國家等級保護相關標準并結合廠站系統的實際情況,根據測評過程中發現的安全問題,結合某某油田分公司煉油化工總廠網絡安全建設的具體情況,提出網絡安全建設工作的整改建議,從而提升信息系統的安全防護能力。
落實《關于信息安全等級保護工作的實施意見》和《關于開展網絡系統安全等級保護基礎調查工作的通知》,實施符合國家標準的安全等級保護體系建設,重點確保中國石油天然氣股份有限公司某某油田分公司煉油化工總廠的業務信息資產的安全性,從而使重要網絡系統的安全威脅最小化,達到中國石油天然氣股份有限公司某某油田分公司煉油化工總廠信息安全投入的最優化。同時滿足國家、網信辦、公安對信息化建設的相關要求。在此設計中實現如下總體安全目標:
(1)通過信息安全需求分析,判斷中國石油天然氣股份有限公司某某油田分公司煉油化工總廠網絡系統的安全保護現狀與國家等級保護基本要求之間的差距,確定安全需求,然后根據網絡系統的劃分情況、網絡系統定級情況、網絡系統承載業務情況和安全需求等,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施規劃,以指導后續的網絡系統安全建設工程實施。
(2)達到公安部關于網絡系統安全等級保護相關要求。
(3)達到網信辦關于重要網絡系統安全保障的要求。
2 方案詳細介紹
2.1互聯網出口邊界隔離
在互聯網出口部署防火墻,實現訪問控制及對來自外部的攻擊行為進行檢測、阻斷,對進出網絡的所有流量和連接進行實時檢測監控,審核不同網絡或區域之間的訪問請求,實時基于會話狀態檢測訪問控制機制,確保只有合法的訪問才能通過,保護網絡中尤其是重要服務器系統不受來自外部網絡或非可信用戶的非法訪問,保障整個網絡及內部各類業務系統的安全穩定運行。同時防火墻具備入侵防御和防病毒及應用管控等功能,實現對應用層的攻擊防范和流量管控。
2.2區域邊界流量安全
2.2.1工業安全審計
在各DCS系統核心交換機部署工業審計系統對網絡進行深度檢測,基于威脅特征庫實時檢測來自內部和外部的各種攻擊行為,實時檢測網絡流量中隱藏的病毒、蠕蟲、木馬溢出攻擊和漏洞攻擊等惡意行為。對不合規行為進行實時的告警,留存網絡數據,對溯源分析提供依據,利用黑名單、白名單、自定義規則等多種安全策略,通過內置的工控協議(如Modbus、OPC、IEC104、Ethernet/IP等)深度解析引擎,實時監測工控網絡中違規行為、異常流量和不明設備接入,可實時全面掌握工控網絡安全運行狀況。
2.2.2高級威脅檢測系統
通過對網絡內全流量的采集,實現未知威脅和高級威脅的精準發現和檢測。
高級威脅檢測系統基于大數據平臺,聚焦于高級威脅和未知威脅檢測兩大客戶痛點,實現威脅檢測、資產發現、朔源取證、攻擊場景還原、威脅處置及智能防御。幫助用戶看見全部資產,看清全部行為、看到全部威脅、看懂全部攻擊。
2.3網絡空間安全管理
2.3.1工業級輕量級態勢感知
通過部署工業安全監管平臺,對所有工控安全設備進行統一管理。實現設備資產管理、自動生成拓撲、設備運行狀態監控、統一配置下發安全策略,安全設備的日志統一收集呈現等。實現日志統一手機,留存6個月以上。
2.3.2工業運維網關
部署運維安全網關(堡壘機)實現對運維人員的操作行為進行管控和記錄,通過設置嚴格的資源訪問策略,并且采用強身份認證手段,全面保障系統資源的安全;并且詳細記錄用戶對資源的訪問及操作,對用戶運維操作行為審計記錄。
2.3.3數據庫審計
在生產執行層部署數據庫審計,對數據庫用戶操作行為、操作語句進行審計記錄,日志記錄存留期大于六個月。過解析端口鏡像過來的報文信息,記錄用戶訪問數據庫行為的記錄、匯總分析所有的用戶操作行為,通過大數據分區搜索技術提供高效檢索審計記錄能力,快速定位事件原因,幫助用戶事后生成合規報告、提供有效電子取證信息,用于數據安全事故的追根溯源,實現加強內外部數據庫網絡行為的監控與審計,提高數據資產安全。
2.4計算機環境安全管控
2.4.1工業主機衛士
通過工控主機衛士解決工控業務系統終端安全加固、惡意攻擊防護、USB等外設防護和訪問控制,實現最大程度地提高工控業務終端乃至生產網絡的安全性,對工控業務終端提供全方位的保護。
(1)終端安全加固在不需要經常更新終端的補丁和病毒庫的基礎上,對工控業務系統終端提供額外的保護。
(2)工控業務系統終端軟件白名單從源頭上遏制了惡意代碼的運行。
(3)工控業務系統終端進程網絡訪問白名單確保終端中只有許可的進程才能進行許可的網絡訪問,進一步限制惡意代碼的感染和傳播。
(4)終端外設管理消除了病毒或惡意代碼通過終端外設進入工控業務系統終端及生產網絡的可能性。
(5)終端接入控制確保了工業網絡的接入設備都是可信任的,確保惡意代碼和病毒不會通過局域網感染工業網絡。
(6)對組態軟件及配置的保護從根本上杜絕了惡意生產參數或指令下發到自動控制設備,從而保證生產安全。
(7)終端身份認證確保終端只能由授權的人員進行操作,消除惡意人員利用社會工程的方案破壞工控生產網絡。
2.5核心技術優勢
2.5.1惡意加密流量人工智能檢測分析
近年來,工業互聯網的發展推動傳統工業控制系統升級,但也增加了惡意攻擊風險。攻擊多樣化、專業化和復雜化,威脅工控系統穩定。因此,我們聚焦于工控網絡惡意加密流量檢測技術。相比于傳統的IT系統安全問題,工控系統安全存在顯著差異。首先,工控系統的工業網絡環境更加復雜,涉及各種控制設備的通信協議和交互方式,這增加了安全防護的難度。其次,工控網絡安全的核心在于確保生產過程的穩定與可靠,對系統可用性的要求頗為嚴格。然而,相較于數據完整性和機密性的保護,其重視程度相對較低,這或將成為潛在安全風險的誘因。由于工控系統與傳統IT系統的差異較大,傳統的入侵檢測解決方案無法直接應用于工控網絡環境,需要開發專門的惡意加密流量監測技術來應對這些挑戰。因此,如何高效地檢測這些工業控制網絡中惡意攻擊成為亟待解決的問題。
為了解決工業互聯網惡意攻擊行為檢測困難的問題,我們研發出高級威脅檢測系統應用于本方案中,相較于傳統的安全技術依賴于靜態基于簽名的或基于列表的模式匹配技術,無法對許多零日和定向型威脅進行監測。高級威脅檢測系統可以使用有監督機器學習融合模型和深度學習模型進行流量監測,通過神經網絡、機器學習、知識圖譜等人工智能技術對網絡流量的特征進行提取、聚類和建模,可以有效檢測出加密流量和惡意代碼的基因圖譜。類似于人類的DNA,無論外觀如何變化,也能夠精準和快速進行識別。
2.5.2輕量級的工控系統終端智能管控技術
工控主機衛士基于AI智能算法,開發如白名單、惡意代碼入侵檢測、和外設安全防護技術等,支持進程級白名單自學習算法,基于深度學習的惡意代碼網絡行為檢測技術和外設安全管控技術,應用于整個工控系統終端主機安全防護當中。
2.5.2.1白名單自學習
工控主機衛士通過機器學習的模式,全盤掃描,智能分析主機程序、進程,對于可以進程放置到隔離沙箱,保護主機的安全。對于偽造簽名和身份的“合法”訪問的識別,利用AI算法等技術,建立白名單基線以及業務特性基線,對白名單再次驗證,同時對相應端口的流量、行為做安全監護,出現異常流量,行為突變時,及時告警處理。
2.5.2.2基于深度學習的惡意攻擊行為檢測
深度學習的惡意攻擊行為檢測能在內容、環境、應用層感知入侵,通過人工智能檢測技術對惡意代碼的主機行為和網絡行為進行深入分析,對異常網絡行為進行告警和阻斷。
2.5.2.3基于驅動源智能識別的外設防護
針對主機USB、光驅、無線等設備的防護,利用驅動級的過濾技術理能夠靈活控制和監控終端外設使用情況,比如控制終端的并口、串口、移動存儲設備、藍牙、USB等外設的使用情況,能夠自動收集主機曾經使用過的USB設備的歷史記錄,并能夠單獨禁用無法確定其用途的USB設備,能夠通過對未知設備進行自動檢測和采樣,實現對未知和新增設備的有效控制和管理。
3 代表性及推廣價值
3.1 代表性
行業示范作用:石油天然氣行業在國民經濟中占據重要地位,某某油田分公司作為行業內的重要企業,本方案工控等保建設的成功實踐可以為整個石油天然氣行業乃至其他工業領域提供可借鑒的范例和標準,為石油化工行業類似應用場景做了成功示例,展示了如何在煉油化工總廠生產環境中構建有效的工控安全防護體系。
技術應用典型性:油田的工控系統通常涉及多種復雜的技術和設備,如分布式控制系統(DCS)、安全儀表系統(SIS)、數據采集與監控系統(SCADA)等。在本方案等保建設過程中,需要針對這些系統的特點和安全需求,采用相應的安全技術和產品,工業防火墻、高級威脅檢測系統、工業網絡審計系統、工業主機衛士等對這些技術的應用和集成,可以代表石油天然氣行業在工控安全技術應用方面的先進水平和典型做法。
業務場景復雜性:在本方案的設計建設種涉及到大量的工業控制系統和數據交互。本方案充分考慮這些業務場景的復雜性,實現對不同環節和系統的安全防護和協同管理。本方案在某某油田分公司等保建設對業務場景的深入理解和安全解決方案的定制化,可以為其他企業在應對復雜業務環境下的工控安全問題提供參考。
3.2 推廣性
針對中國石油天然氣股份有限公司某某油田分公司煉油化工總廠信息安全對工控安全背景及必要性,在此基礎上對標等保2.0的要求對工控網絡現狀及安全隱患進行分析,從實際存在的安全隱患中考慮總體的工控安全防護管理策略及相應的技術管理手段。本方案按照油田工業控制系統安全防護的總體要求,遵循中國石油天然氣股份有限公司工業網絡"橫向分區、縱向分層、安全隔離、適度防護"的安全防護總體原則,建成敏捷、高效、安全的工控專網,實現廠級工控安全防護體系,為用戶業務系統帶來持續保護的安全價值。可以為石油天然氣行業的等保建設方案提供參考和示范。
北京市公安局海淀分局備案號:11010802023656號