今日頭條
官方微信
官方抖音
資訊頻道一 實(shí)施背景
為深入貫徹《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,落實(shí)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求,進(jìn)一步提升油庫發(fā)油生產(chǎn)系統(tǒng)的安全防護(hù)能力,中國石油天然氣股份有限公司西北銷售公司加緊推進(jìn)自身工業(yè)信息安全建設(shè),于2018年成功申報(bào)了工業(yè)和信息化部工業(yè)互聯(lián)網(wǎng)試點(diǎn)示范項(xiàng)目《面向油庫安全運(yùn)營的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統(tǒng)》(工業(yè)互聯(lián)網(wǎng)安全集成創(chuàng)新應(yīng)用試點(diǎn)示范項(xiàng)目),并通過項(xiàng)目實(shí)施實(shí)現(xiàn)細(xì)粒度的實(shí)時(shí)監(jiān)控和全景式網(wǎng)絡(luò)視圖保障,維護(hù)核心業(yè)務(wù)的穩(wěn)定運(yùn)營和智能化的安全運(yùn)營,達(dá)到安全防護(hù)與安全運(yùn)維一體化運(yùn)作的目的。
二 威脅分析
油庫發(fā)油生產(chǎn)控制系統(tǒng)主要以Siemens、Honeywell、Rockwell、Yokogawa等SCADA系統(tǒng),面臨的主要網(wǎng)絡(luò)安全威脅為:
(一)黑客惡意攻擊和惡意程序植入。一些敵對組織、不法分子通過遠(yuǎn)程修改發(fā)油生產(chǎn)控制策略與測控參數(shù)等手段攻擊;也可能會在SCADA系統(tǒng)內(nèi)惡意植入危險(xiǎn)程序,造成工藝裝置發(fā)生事故,甚至造成停產(chǎn)損失。
(二)通用Windows操作系統(tǒng)、編譯系統(tǒng)、IEC61131設(shè)計(jì)軟件等安全漏洞。
(三)發(fā)油生產(chǎn)工控網(wǎng)絡(luò)WinCC服務(wù)器、TAS服務(wù)器、排隊(duì)主機(jī)、門禁主機(jī)等工業(yè)主機(jī)、油管服務(wù)器與操作站等防病毒及惡意軟件的管控漏洞。
(四)違規(guī)使用U盤、光盤等外接設(shè)備,導(dǎo)致病毒通過網(wǎng)絡(luò)、USB口或服務(wù)商遠(yuǎn)程運(yùn)維服務(wù)過程等方式侵入SCADA系統(tǒng)。
(五)控制設(shè)備第三方維修時(shí),移動設(shè)備存在隨意接入的情況,或VPN遠(yuǎn)程運(yùn)維接入時(shí),無安全防護(hù)措施與記錄。
(六)信息化建設(shè)的同時(shí),發(fā)油生產(chǎn)網(wǎng)與其他網(wǎng)絡(luò)邊界越來越模糊且防護(hù)不充分。
三 面向安全運(yùn)營態(tài)勢感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
油庫安全運(yùn)營的核心是提升油庫安全智能運(yùn)維的水平,提高西北銷售公司的安全應(yīng)急處理的能力,實(shí)現(xiàn)對油庫“監(jiān)、管、控、服”一體化功能的安全運(yùn)營,從系統(tǒng)安全運(yùn)維視角出發(fā),采用態(tài)勢感知技術(shù),將網(wǎng)絡(luò)安全技術(shù)與安全運(yùn)維技術(shù)深度融合,實(shí)現(xiàn)油庫的安全運(yùn)維和網(wǎng)絡(luò)安全防護(hù)、預(yù)警與應(yīng)急等功能,幫助運(yùn)維人員更高效的判斷故障原因、分析業(yè)務(wù)隱患。
面向安全運(yùn)營的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)在自身高效的安全事件分析處理能力基礎(chǔ)上,與安全智能運(yùn)維深度融合,方便運(yùn)維人員全面了解資產(chǎn)的安全狀態(tài),也為安全運(yùn)維人員故障處理提供更多決策支持,從而更加全面細(xì)致的了解整個(gè)業(yè)務(wù)的實(shí)際狀態(tài),形成全景業(yè)務(wù)運(yùn)維管控視圖,能夠快速查看發(fā)油生產(chǎn)業(yè)務(wù)系統(tǒng)的基礎(chǔ)設(shè)施運(yùn)行狀態(tài)、應(yīng)用程序執(zhí)行效率、安全態(tài)勢的關(guān)鍵數(shù)據(jù)信息,也為油庫生產(chǎn)信息化與網(wǎng)絡(luò)化未來業(yè)務(wù)優(yōu)化方向提供決策輔助。
(一)一體化網(wǎng)絡(luò)安全態(tài)勢感知體系
基于發(fā)油生產(chǎn)工控系統(tǒng)網(wǎng)絡(luò)可能發(fā)生的異常行為進(jìn)行安全監(jiān)測研究,對使用的工控協(xié)議深度解析,并利用基于白名單的業(yè)務(wù)行為基線和基于黑名單的入侵檢測規(guī)則匹配,以信息資產(chǎn)管理、大數(shù)據(jù)收集與關(guān)聯(lián)分析、安全管理與運(yùn)營等三大核心技術(shù),采用基于智能學(xué)習(xí)與業(yè)務(wù)感知的工控安全一體化的安全威脅監(jiān)測體系。
(1)多要素采集融合:實(shí)時(shí)采集包括設(shè)備和端點(diǎn)的日志、流量數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、漏洞和配置等脆弱性數(shù)據(jù)以及包括情報(bào)、身份、業(yè)務(wù)在內(nèi)的各種情境數(shù)據(jù)等多源異構(gòu)的安全要素信息,通過包括日志、流量、資產(chǎn)、漏洞、情報(bào)信息的各自融合在內(nèi)的大數(shù)據(jù)技術(shù)進(jìn)行融合、交叉融合和數(shù)據(jù)治理、動態(tài)建模,并對要素信息采集、傳輸、存儲、利用的全程質(zhì)量監(jiān)控。
(2)縱深化智能安全分析:將基于規(guī)則匹配的關(guān)聯(lián)分析、基于機(jī)器學(xué)習(xí)的行為分析和可以自定義算子的專項(xiàng)分析三種分析引擎深度融合,并集成情報(bào)分析、攻擊鏈分析和用戶及實(shí)體行為分析(UEBA)功能,形成一個(gè)縱深化、立體式的分析網(wǎng)絡(luò),綜合發(fā)揮各種分析能力的優(yōu)勢。
(3)多方位態(tài)勢感知:系統(tǒng)強(qiáng)調(diào)從資產(chǎn)、用戶、運(yùn)行、弱點(diǎn)、攻防、威脅、風(fēng)險(xiǎn)等多個(gè)角度進(jìn)行多方位的態(tài)勢評估、預(yù)測與呈現(xiàn),實(shí)現(xiàn)全面地掌控發(fā)油生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢。
(4)安全編排與自動化:內(nèi)置SOAR(安全編排自動化與響應(yīng))功能,通過分診與智能關(guān)聯(lián)能力的告警管理、案件管理和安全編排自動化模塊,實(shí)現(xiàn)快速核實(shí)告警、自動響應(yīng)處置、持續(xù)事件調(diào)查,實(shí)現(xiàn)積極安全響應(yīng)。
(二)工控資產(chǎn)主動發(fā)現(xiàn)與威脅深度無損掃描
基于工控系統(tǒng)已知的安全漏洞特征(如SCADA/HMI軟件漏洞,PLC、DCS控制器嵌入式軟件漏洞,Modbus、Profibus等主流現(xiàn)場總線漏洞、SCADA/HMI軟件漏洞等),對油庫的SCADA、PLC等工業(yè)控制系統(tǒng)中的控制設(shè)備、應(yīng)用或系統(tǒng)進(jìn)行掃描、識別,為工業(yè)控制系統(tǒng)提供完善的全方位的漏洞分析檢測。
(1)采用漸進(jìn)式掃描模式:在掃描過程中先識別存活主機(jī),然后識別存活主機(jī)的端口、服務(wù)、操作系統(tǒng),同時(shí)融合最新的操作系統(tǒng)指紋識別、智能端口服務(wù)識別等技術(shù),準(zhǔn)確識別被掃描對象的各種信息,如操作系統(tǒng)、網(wǎng)絡(luò)名、用戶信息、非常規(guī)端口上開放的服務(wù)等;在此基礎(chǔ)上根據(jù)探測結(jié)果選擇合適的掃描策略進(jìn)行針對性的掃描,從而高效、及時(shí)、準(zhǔn)確地發(fā)現(xiàn)目標(biāo)對象存在的安全漏洞,有效提升漏洞掃描的效率。
(2)基于漏洞上下文探測的無損掃描技術(shù):漏掃作為軟件資產(chǎn)的安全掃描角色,最大的目標(biāo)是能有效的檢測出軟件資產(chǎn)的安全問題,通過對重點(diǎn)漏洞的深入研究,確定了漏洞的上下文的相關(guān)邏輯,從中找出有效確定相關(guān)漏洞的關(guān)鍵路徑,從而確保掃描的準(zhǔn)確性以及無損性。
(三)隱形網(wǎng)絡(luò)攻擊行為感知
在油庫發(fā)油工控系統(tǒng)中的流量異常以及應(yīng)用服務(wù)異常,常常潛伏著一些攻擊行為或安全事件,系統(tǒng)通過對發(fā)油工業(yè)控制系統(tǒng)進(jìn)行全流量數(shù)據(jù)采集分析并智能調(diào)用安全規(guī)則庫,對異常行為進(jìn)行報(bào)警。通過對告警信息、異常流量以及異常服務(wù)的綜合分析,結(jié)合大數(shù)據(jù)挖掘和智能化分析技術(shù)將攻擊者的整個(gè)攻擊過程歸納為偵察掃描、定向攻擊、攻陷入侵、工具安裝、惡意行為五個(gè)階段。將告警事件映射到不同的階段,展示整個(gè)動態(tài)攻擊過程和攻擊效果,實(shí)現(xiàn)基于全網(wǎng)絡(luò)的流量安全監(jiān)測分析。另外,系統(tǒng)內(nèi)置了漏洞庫,并且支持資產(chǎn)掃描探測功能,系統(tǒng)結(jié)合漏洞庫對掃描到的各類資產(chǎn)進(jìn)行漏洞分析,對發(fā)現(xiàn)的資產(chǎn)漏洞進(jìn)行告警;利用高速率報(bào)文存儲檢索系統(tǒng)完成對歷史網(wǎng)絡(luò)流量的回放和追溯快速還原攻擊過程,回溯網(wǎng)絡(luò)行為,對攻擊關(guān)鍵會話進(jìn)行解碼還原,為網(wǎng)絡(luò)管理人員及時(shí)調(diào)整管理策略提供技術(shù)支撐。
(四)持續(xù)化安全威脅監(jiān)測與大數(shù)據(jù)分析
持續(xù)智能化工控安全監(jiān)測和基于安全大數(shù)據(jù)形成的安全分析能力,實(shí)現(xiàn)發(fā)油生產(chǎn)系統(tǒng)的基于AI技術(shù)的工業(yè)安全態(tài)勢感知平臺,從而實(shí)現(xiàn)全方位的工業(yè)安全態(tài)勢感知能力,提供可管理、可控制的安全保障能力。油庫安全運(yùn)營中心通過與安全服務(wù)的結(jié)合,進(jìn)一步加強(qiáng)了安全中心對安全管理的支撐,構(gòu)建了監(jiān)控服務(wù)中心、自評估服務(wù)中心、西北銷售公司的安全服務(wù)體系以及知識管理系統(tǒng)等,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、事件管理、網(wǎng)絡(luò)管理、實(shí)時(shí)關(guān)聯(lián)分析、實(shí)時(shí)事件監(jiān)測、安全預(yù)警管理、安全告警與響應(yīng)、用戶管理、安全策略管理、知識庫管理、輔助決策管理等相關(guān)信息安全策略。
四 應(yīng)用及效果
2019年,中國石油天然氣集團(tuán)公司針對西北銷售公司管轄下的代表性油庫進(jìn)行實(shí)戰(zhàn)攻防,面向安全運(yùn)營的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統(tǒng)能夠?qū)崟r(shí)感知威脅攻擊,并對某些隱蔽的、未知類型的攻擊進(jìn)行實(shí)時(shí)跟蹤與取證,有效攔截,有力阻斷了針對實(shí)際生產(chǎn)環(huán)境的工業(yè)控制系統(tǒng)的定向攻擊,達(dá)到了智能安全運(yùn)營的目的。
在智慧油庫的信息化建設(shè)過程中,建立了一套面向安全運(yùn)營的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統(tǒng),并創(chuàng)新使用了邊緣計(jì)算、AI大數(shù)據(jù)安全分析、多源異構(gòu)等關(guān)鍵技術(shù),實(shí)現(xiàn)了對工控安全風(fēng)險(xiǎn)的實(shí)時(shí)感知和對威脅的精準(zhǔn)研判,對行業(yè)工業(yè)信息安全防護(hù)具有參考價(jià)值。
來源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號:11010802023656號