随着国家“两化融合”的不断深入,以往“封闭、受限”的工业控制系统现场网络环境已经被打破,面临日益严重的网络攻击和入侵威胁,且由于病毒技术的不断革新、获取病毒与相关技术知识的门槛及成本不断降低,该油田工业控制系统在面临网络安全风险的同时,还正面临由U盘、移动硬盘、光盘等移动存储介质使用导致的病毒入侵和危害风险。
在此背景下该油田信息技术公司组织开展了工控安全态势感知平台建设项目,为油田建立有效的工控安全监测、防护体系,实时监测工控安全威胁,整体把握油田下属库站安全风险,维护油田工控系统安全。
用户痛点
(1)油田工控系统内工业主机、网络设备、控制器工控系统资产管理统计薄弱,工控系统安全状况监测与联动防护手段缺失;
(2)工控系统与工业协议缺乏身份认证和访问控制,无法限制非法用户远程控制,存在严重的安全隐患;
(3)在多数生产单位中,与工业控制设备连接的工控主机(上位机、工程师站)由于无法安装杀毒软件、U盘插入管控缺失等原因,致使工控主机感染大量病毒,容易导致工控主机功能失效,使工控网络运行就像“骑在飞行的炸弹”上,给工控网络长期稳定运行和油田生产安全带来严重的安全隐患;
(4)油田内多个站库缺乏统一安全监测和管理措施,对于储运销售公司及下属站库内工业主机、网络、工业应用软件等各类设备安全状况及公司整体合规性状况无法掌握;未对工控软硬件状态故障和信息安全事件进行实时监控,导致设备故障或信息安全事件发生后可能影响该油田储运销售公司及下属站库业务。
建设难点
(1)行业危险系数高,实施精度要求高。该油田储运销售分公司及下属多个站库负责石油的存储、运输、转储等关键环节,均属于高危生产环境。实施中涉及关键控制环节的工控机与PLC数据采集,对实施精度要求极高,需确保采集各类设备安全信息时不影响设备稳定运行。
(2)信息采集软件和设备厂商型号庞杂。根据该油田储运销售公司及各下属站库实际情况,平台数据采集需支持多厂商、多型号的工业主机、控制设备、工业网络设备及不同厂商的安全设备,需支持对100余个厂商工控设备的软硬件进行发现与识别。
(3)通讯协议种类较多。其中工业协议需支持工业控制系统主流通讯协议(包括Modbus TCP、MMS、DNP3、OPC DA、OPC UA、Modbus RTU、IEC 104、EthernetIP、Siemens S7、CANBUS 协议)的识别和深度解析检测,达到读取至指令、功能码、具体线圈/键位数值。
建设思路
按照该油田工控系统网络现状,本项目中工控安全态势感知平台建设分为三层管理架构,如图1所示,最下一层为被保护的工业控制及管理环境设备对象,包括从生产管理层、MES层到控制层的各类设备,比如操作员站、工程师站、RTU、PLC等。
图1 工控安全态势感知平台三层管理架构图
系统通过采集层对所有被保护对象进行集中的信息采集,包括收集网络中所部属的各类安全设备的事件及告警信息。同时,信息采集装置可以在复杂网络中分布式部署,并且对网络性能影响极小甚至无影响。采集到的所有信息都会进行预处理,将其转换为统一的内部格式,并提交给上层的核心功能处理层的相应组件进行处理和分析。
采集层之上是数据处理与展示层,该层提供了系统的核心处理功能,主要包括了设备监控、安全信息管理、工控威胁管理和统一接口四大功能组块。设备监控功能组块主要提供了被监控对象的识别梳理和基础信息支撑,安全信息管理组块提供了工控网中安全事件信息、漏洞信息的综合管理功能,工控威胁管理组块综合了设备链路的监控以及各类安全信息的展现和分析功能,统一接口组块主要综合了企业集中监控输出的告警接口、第三方防护产品信息采集接口及国家层面监控系统的探针管理与信息交换接口等各种对外接口。
建设效果
(1)实现对系统合规能力监控:依据工信部颁布的《工业控制系统信息安全防护指南》,对该油田储运销售分公司各系统逐项予以安全评估,并最终给予评分。参考防护指南评估引擎,对来源于静态防护指南日志以及动态评估的防护指南相关日志予以评估。
图2 储运销售分公司合规能力监控&评估
(2)实现对系统内各类告警监控统一管理:对该油田储运销售分公司整体告警进行监控,通过告警行为发现系统的异常。为免系统中重复告警数目过多,对告警数据做了聚合,同时兼顾了时间要素,保持最新触发的告警排序靠前。告警需进行确认后才会消失。
图3 资产安全状态告警与监控分析
(3)实现对系统内各类资产监控:对该油田储运销售分公司内资产进行画像,力图对所管控资产的基础属性、运行信息、日志信息、异常信息建立全面的知识库。资产的历史及当前信息状态一目了然。
图4 储运销售分公司资产画像采集分类
(4)实现对网络互联行为监控:实现该油田储运销售分公司不同系统间及系统内部不同资产间的互联访问关系进行监控。资产互联展示的为所监控资产间的网络互联关系,并且可根据统计信息决策为黑名单(禁止)访问或白名单(允许)访问;区域互联展示的为所监控逻辑区域间的网络互联关系,并且可根据统计信息决策为黑名单(禁止)访问或白名单(允许)访问。
图5 储运销售分公司资产互联状态分析
(5)多元安全信息综合分析:对该油田储运销售分公司内工控机、网络设备、控制设备、安全设备等各类设备日志进行审计,并通过日志查询系统可以查询到资产名、资产IP、资产类型、事件时间、分类、等级、摘要等日志信息。
图6 监控资产多元化信息分析与展示
(6)多维度工控系统综合安全防护:通过在该油田储运销售分公司及下属多个站库内工控系统部署工业防火墙、工业网闸、主机安全软件、安全审计、安全检测等各类安全基础设施,实现不同网络区域及部分重要PLC的网络隔离;对于系统内网络行为异常、工业协议攻击、工业控制关键事件的实时检测与报警;对工业主机的主机移动存储介质、工控主机运行加载的程序进行管控,保证工业主机安全。
案例亮点
工控安全态势感知平台从日常运维人员视角出发,以工控系统内资产为核心,可协助运维人员对工控系统相关设备、软件及组件进行预维护,提前防范安全隐患。
工控安全态势感知平台可从多种事件和具有上下文信息的安全日志中收集和分析安全事件。该平台对提高该油田储运销售分公司管理效率和安全监管力度具有重要的作用,可实现安全保障的关口前移,防患于未然。
工控安全态势感知平台数据采集范围覆盖油田储运销售全流程工业控制工艺,对石油生产的存储、运输、转储等多个特有工艺流程及流程内部锅炉岗、计量岗、输油岗、化验岗、消防岗多类岗位控制过程中数百台设备进行全方位、多维度安全监测,管理人员通过工控安全态势感知平台可掌握油田储运销售全流程工业信息安全状态及合规状况。
应用价值
项目建成后增强了该油田储运销售分公司及下属多个站库安全监测、防护能力,有效提升了监控水平和应急效率,在行业内形成了良好的示范效应,促进了工业信息安全市场在石油行业内的加速发展。工控安全态势感知平台建设在采油、采气、供水、储运与管道等石油行业内多个领域推广应用,在石油行业内形成了数亿元的应用规模。
