石油銷售公司油庫生產系統網絡安全能力升級改造項目
引言:
石油銷售公司下轄油庫均采取煉廠直輸進庫,管道、鐵路、公路出庫的“一進三出”方式,是中國石油在多省份成品油資源的重要集散地,承擔著保障油庫所在地區的后路暢通和成品油市場穩定供應的重任,配送范圍覆蓋半個中國。經過“十五”以來近十五年信息化建設,實現了從“集中”到“集成”的飛躍,促進了“兩化”的深度融合。目前,銷售信息化已完成大規模全局性信息系統建設和系統集成,逐漸完成系統提升與集成應用工作,正在邁向商業智能、決策支持方向發展,提高信息利用與共享能力,通過信息化建設促進油庫主營業務轉型升級。原來相對分散、獨立的裝置通過內部網絡連接到一起,數據耦合程度增加,使得來自于外部和內部的網絡安全風險增加,油庫生產系統的網絡安全建設迫在眉睫。
本方案結合相關國家標準、行業要求,采用“白環境” 的縱深防御安全防護技術體系架構,積極開展網絡安全升級改造建設,提升自身網絡安全防護能力。
一、 項目概況
石油銷售公司借鑒相關安全管理規定,參照等級保護以及指導方案要求,結合部署在總部數據中心系統和部署在庫站系統的實際,制定了基于“行為白名單”的“縱深安全防御”技術方案,滿足等保2.0“一個中心、三重防護”以及中石油信息處規劃總院的《銷售工控系統安全防護指導方案》要求,進而構筑油庫生產系統“安全可信環境”,達到“只有可信任的設備,才能接入控制網絡”、“只有可信任的消息,才能在網絡上傳輸”、“只有可信任的軟件,才允許被執行”的防護效果。并且在此項目中創新應用基于“行為白名單”建立的面向工控PLC設備的行為模型固化技術,結合油庫生產系統業務流程,利用智能技術,以時間周期維度作為判斷,發現工控指令隱藏的多重復雜周期模式,建立工控指令復雜周期場景指紋模型。通過該模型對工控指令和生產工藝行為進行更加精細化的解析和管控,解決“傳統白名單”只能靜態對工業控制協議指令識別的劣勢,避免因指令時間錯誤引起異常,有效識別誤操作、網絡攻擊、惡意操作等,保證工控業務穩定運行。
項目建設完成后全面提升了油庫生產系統的整體安全性,確保設備、系統、網絡的高效運行,減少運維人員的工作量,提高了安全生產管理水平、工作效率以及管理效率。并且此項目在國內石油銷售板塊具有“標桿”意義,能夠在國內其它銷售公司進行廣泛推廣。
1. 項目背景
油庫是國家重要的能源基礎設施,應做為安全防護的重點對象。由于燃油的易燃、易爆特性,在其儲存及運輸的過程中面臨著諸多風險,一旦管理不當,將有可能引發重大安全事故,其中因油庫生產控制系統異常所導致的安全事故已屢見不鮮。攻擊者基于對目標系統所使用的工控協議及工業流程的深入了解,通過更改控制命令,導致安全事件的發生,甚至影響到廣大人民群眾的生命財產安全。比如,惡意下發非法工控指令,控制油庫壓力升高、停止發油業務等。
油庫生產系統在銷售系統的應用流程中屬于關鍵業務模塊,通過油庫中庫級系統與工控系統集成,共同協作完成進銷存自動管理。在油庫生產場景中,石油銷售公司生產系統的主要威脅來自于上位機和下位機的通信,因為上位機就是普通的計算機,由人操作,很容易感染病毒、木馬入侵或人為惡意破壞,形成惡劣影響。在勒索病毒爆發時,石油銷售公司部分油庫庫級系統出現不同程度病毒感染,導致生產系統無法正常運行。因此需要依據網絡安全法、等保2.0以及中石油公司下發的指導方案要求積極開展網絡安全升級改造建設,提升自身網絡安全防護能力。
2. 項目簡介
石油銷售公司油庫庫級生產系統與工控系統集成,完成油庫進銷存的自動管理。油庫一般以專線方式接入到廣域網,目前大部分油庫與廣域網邊界無安全防護措施,信息網與工控網之間未作有效隔離,工控主機無有效安全防護措施,工控軟件及操作系統存在漏洞,設備聯網機制缺乏安全保障,業務及用戶行為無有效審計手段,組網混亂。因此需開展油庫生產系統網絡安全改造推廣項目,削弱或根除安全風險,提高油庫生產系統的網絡安全防護能力。
3. 項目目標
油庫是協調原油生產、原油加工、成品油供應及運輸的紐帶,是國家石油儲備和供應的基地,它對于保障國防和促進國民經濟高速發展具有相當重要的意義。本次油庫網絡安全改造推廣項目旨在全面提升石油銷售公司油庫生產系統的整體安全防護水平,保障設備、系統、網絡的可靠性及穩定性,提高安全生產管理水平和工作效率,滿足我國等級保護相應等級的防護要求及國家相關政策法規、標準要求,從而實現以下項目目標:
首先,按照生產系統重要程度,按照不同流程規劃不同安全區域,通過技術手段實現安全區域邊界的“白環境”,實現訪問控制白名單固化、工業協議白名單固化、業務白名單固化;其次,針對油庫生產系統的安全計算環境載體實現應用鎖定、系統鎖定、外設鎖定、網絡鎖定,建立工控主機的安全管理中心、安全狀態監測中心;再次,通過監測生產系統內關鍵網絡節點的業務流量,實現工控網絡異常流量監測、異常事件監測。
在油庫過程監控層建設工業安全運營中心,實現工業資產的主動發現、漏洞無損掃描、網絡攻擊檢測、安全運維、日志記錄。通過統一安全管理平臺實現工控網絡安全產品的統一策略下發,提高運維效率,降低維護成本,構建“一個中心、三重防護”的安全體系架構。
二、項目實施概況
本項目采用“行為白名單”核心技術,結合石油銷售公司油庫生產系統業務流程,建立精準的安全防護模型,實現了辦公網與生產網物理隔離、主機加固及防護等,最終通過項目驗收,達到預期防護效果。
1. 項目總體架構和主要內容
項目以GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》、工信部信軟〔2016〕338號《工業控制系統信息安全防護指南》等國家標準為依據,采用“行為白名單”的縱深防御安全防護技術體系,從“一個中心、三重防護”的角度出發對油庫生產系統進行統一規劃、統一建設,進而構筑油庫生產控制系統安全“可信環境”,確保:
(1)只有可信任的設備,才能接入系統網絡;
(2)只有可信任的消息,才能在系統網絡上傳輸;
(3)只有可信任的軟件,才允許被執行。
圖2-1項目總體架構設計
項目主要建設內容涉及以下方面:
ü 構建區域邊界“白環境”,在油庫現場設備層和現場監控層之間部署工業防火墻,建立訪問控制白名單和工業協議白名單,實現“值域級”的細粒度訪問控制;在過程監控層和生產管理層部署安全隔離與信息交換系統,實現油庫生產網環境中不同安全級別網絡之間數據安全交換的隔離,防止內部機密信息的泄露,實現網間安全隔離和信息交換;
ü 構建通信網絡“白環境”,在油庫生產系統關鍵網絡節點處部署工控安全監測與審計系統,建立全流量行為模型,實現工業網絡異常流量監測、工業網絡關鍵事件監測、工控協議規約檢測、工控網絡通信記錄回溯等;
ü 構建主機業務“白環境”,在油庫裝車監控主機、罐區監控主機、消防監控主機、安全監控主機以及數據管理平臺服務器部署工控主機衛士,利用非法外聯、網絡白名單、雙因子認證、訪問控制、安全基線、程序白名單和外設管理等功能,有效阻止工控惡意程序或代碼在工控主機上的感染、執行和擴散;
ü 構建安全管理中心,實時對采集到的不同類型日志信息進行標準化處理和實時關聯分析,幫助用戶滿足安全審計的合規要求;制定嚴格的資源訪問策略,并采用強身份認證手段,全面保障系統資源安全;安全設備集中管理,對安全策略集中管控、安全事件集中分析,為油庫生產系統網絡安全狀態監控、故障快速定位等提供技術支撐。
2. 具體應用場景和安全應用模式
具體應用場景:采用“行為白名單”技術形成“三重固化、三種防護模式”下的縱深防御安全防護技術體系架構,適用于油庫控制系統和油庫綜合自動化系統的安全防護,保障泵站監控系統,罐區(庫區)監控系統,裝車系統、油品檢驗系統的高效、穩定運行。亦可為石油石化、電力、軌道交通、煙草、市政、智能制造、冶金及軍工等國家重點工控行業構筑工控系統的網絡安全防護體系,保障工控系統平穩、高效運行。
安全應用模式: 現場控制層核心控制設備的正常運行對整個生產控制系統起到關鍵性的作用,因此在核心控制設備前端部署工業防火墻,采用白名單機制確保只有可信的消息才允許傳輸;在過程監控層,對工程師站、操作站、服務器等工控主機上部署工控主機衛士,采用程序白名單確保有可信的程序才允許運行;在生產管理層邊界部署工業防火墻,利用防火墻的訪問控制功能,提高生產控制系統的邊界防護能力;在生產管理層建立安全管理中心,通過統一安全管理平臺實現對所有安全設備的集中管控、安全事件的集中分析以及全網安全態勢的可視化展示,從而實現一體化的安全防護體系。
3. 安全及可靠性
項目從區域邊界安全、通信網絡安全、計算環境安全以及安全管理中心(簡稱一個中心、三重防護),4個方面為油庫生產系統提供安全防護,從而保障業務系統的高可靠性。
計算環境安全:基于“白名單”防護方式的工控主機衛士,具備非法外聯檢測功能,可檢測非法網絡連接,日志記錄和告警;具備網絡白名單功能,只允許工業主機與特定服務器進行通信;具備雙因子認證功能,提供USB-key的組合認證,提升工業主機登錄安全;具備訪問控制功能,提供強制訪問控制模型,保護注冊表、系統文件、關鍵進程;具備安全基線功能,提供安全基線檢查和加固功能,提升操作系統安全等級;具備程序白名單功能,可自動掃描、跟蹤軟件安裝及升級生成可執行程序白名單;具備外設管理功能,只允許經過認證的特定USB設備才在工業主機上運行。通過以上主機衛士7大核心安全功能,構成了安全計算環節的基石,進而保障工控業務系統的高效、穩定運行。
通信網絡安全:采用“白環境”為核心技術的工業防火墻,可有效解決傳統“黑名單”技術在解決工控網絡安全問題時存在的兼容性、易用性、日常工作量大等問題,同時可對工控網絡中的工業協議進行深度識別及有效管控,從而提升整個工控系統網絡環境的安全性,保障業務運行的可靠性。
區域邊界安全:結合業務系統的類型及其重要性,開展業務系統區域劃分,不同業務系統區域邊界采用工業防火墻進行有效的管控。防火墻具備傳統下一代防火墻IPS、AV等功能的同時,亦可對工控協議進行深度識別以及有效管控,從而保障了區域邊界的安全性,提升業務系統的穩定性。
安全管理中心:部署統一安全管理平臺,滿足等保標準中“一個中心”的防護建設要求,同時解決了安全日志和時間管理分散、難以掌控全局風險等問題。實現了對工業網絡中的安全產品及安全事件進行統一管理的軟硬件一體化,通過對控制網絡中的邊界隔離、網絡監測、主機防護等安全產品進行集中管理,實現對全網中各安全設備、系統及主機的統一配置、全面監控、實時告警、流量分析等,降低運維成本、提高事件響應效率。
4. 其他亮點
(1)針對工控領域的隱蔽攻擊發現問題,本項目采用了基于多視角報警融合的隱蔽攻擊發現技術。
研究網絡流和物理流信息提取算法,從工控網絡中,一方面提取資產信息、漏洞信息、拓撲信息等信息流特征,上述特征均是采用主被動結合的方式探測到的;另一方面提取控制流程、能量信息、業務信息等物理流特征,上述特征是從控制程序和現場傳感器獲取的。
基于協作式學習模型和標準正則化模型,研究多視角學習算法,從信息流和物理流特征中挖掘其中隱含的依存關系。工控環境由各個不同的組件(HMI、PLC、SCADA等)協作完成某個具體業務流程,且組件內也存在多個服務共同完成某個具體任務。因此,在物理流和信息流中必然隱含著某種符合自然規律的依存關系,挖掘其中隱含的依存關系,從異常檢測報警數據中發現隱蔽式攻擊。
基于異常檢測報警數據,采用數據挖掘算法提取攻擊時間、攻擊序列、攻擊屬性等特征,并依據上述特征構建工控網絡攻擊樹,從攻擊樹中建立物理流與信息流映射關系。若從異常檢測報警數據中實時提取的物理流與信息流間的映射關系,與歷史的物理流與信息流內在依存關系存在沖突,且前者的特征符合威脅情報的某類特征,則表示發現了隱蔽攻擊。
(2)項目中使用的安全防護類產品均設計有多種防護模式,結合業務實際需求可調整至不同的應用模式。
ü 學習模式:安全防護類設備初次接入工控系統網絡時,默認安全應用模式為學習模式,處于該模式下可通過智能學習建立3類白名單(訪問控制白名單、工業協議白名單以及業務白名單),實現訪問控制白名單固化、工業協議白名單固化、業務白名單固化(簡稱三重固化)。學習模式下的安全防護設備只具備學習功能,無告警及防護功能;
ü 告警模式:告警模式下可針對違法白名單異常操作行為實時告警,同時安全運維人員可針對異常告警行為進行識別、結合實際業務情況對白名單防護規則進行優化調整;
ü 防護模式:經過學習模式、告警模式后,進入防護模式。處于防護模式下的安全防護設備可對違反白名單異常操作進行實時阻斷并產生告警,從而保障業務的高效、穩定運行。
三、下一步實施計劃
優化提升:不斷優化提升項目中所采用的新技術、新方法,結合工控領域各行業不同工控系統業務流程,建立工控系統精準防護模型,對工控指令和生產工藝行為進行更加精細化的解析和管控,解決當下工控系統安全防護技術的困境。建立油庫生產系統工控網絡安全態勢感知平臺,整合各油庫內部設備資產、網絡流量、安全漏洞、安全配置、安全日志、設備運行狀態、業務故障日志等信息,通過智能關聯分析獲取油庫生產系統的安全風險和態勢,指導安全告警的事件處置工作。
復制推廣:在我國工業向數字化、網絡化和智能化轉型升級的大環境下,在我國高舉“核心技術是國之重器”的旗幟下,推薦其他石油銷售公司借鑒本案例的經驗,加強油庫生產系統的安全防護能力。
四、項目創新點和實施效果
1. 項目創新點
項目通過建立可信任網絡“白環境”和“白名單”防護理念,以自主可控的核心技術投入,以完全符合工業企業的產品設計,為工業企業構筑“安全白環境”整體防護體系,保護工業企業設施的穩定運行。
ü 基于“硬件級”的安全設備配置文件保護強化防護能力
面對復雜的網絡安全威脅與多樣的攻擊方式,在對油庫生產業務系統構建邊界安全的同時,也要考慮安全設備配置文件級的安全防護,避免由于突破邊界防線,或內部攻擊導致的配置文件修改,對工業控制系統實施破壞,造成不可預計的危險、損失等。本項目選用威努特自主研發的工業防火墻系列產品自帶硬件級安全策略寫保護功能,一旦設備完成策略配置投產運行,在開啟本地硬件配置寫保護功能后,將會阻斷一切非法配置修改請求。極端情況下,即使統一安全管理平被“攻破”,通過集中管理平臺也無法修改工業防火墻的現行配置策略。
ü 基于“硬件級”的單向流量接收消除潛在安全隱患
工業控制系統的安全建設要考慮到接入的設備對當前系統零影響,保證油庫生產業務系統平穩運行,本項目選用威努特自主研發工控安全監測與審計系列產品,具備獨創的基于硬件級的僅單向接收鏡像工控網絡通信流量,設備采用純物理單向設計,從網卡芯片級對數據發送進行閹割處理,所以設備僅接收流量不會發送任何通信信息,真正做到對油庫生產控制系統無影響。極端情況,管理平臺被攻陷也不會通過設備影響控制網。
ü 基于“行為白名單”建立的面向工控PLC設備的行為模型固化技術
為快速適用油庫生產業務系統的安全防護需求,解決傳統白名單使用中面臨的問題,本項目采用了基于“行為白名單”的“三重固化”技術。針對工控設備的屬性及行為進行描述,通過分析和抽象工控設備自身屬性、行為及與其它設備的交互特征,構建工控設備行為模型描述框架,實現行為白名單的識別與固化;通過分析和抽象工控協議的狀態機及交互特征,構建工控協議行為特征解碼引擎,實現協議白名單的識別與固化;結合油庫生產系統實際業務訪問需求,創建并實現訪問控制白名單的固化。
ü 基于時間維度判定的智能復雜周期模型檢測技術
在傳統白名單技術的基礎上,結合油庫生產系統業務流程,利用智能技術,以時間周期維度作為判斷,發現工控指令隱藏的多重復雜周期模式,建立工控指令復雜周期場景指紋模型。通過該模型對工控指令和生產工藝行為進行更加精細化的解析和管控,解決傳統白名單只能靜態對工業控制協議指令識別劣勢,避免因指令時間錯誤引起的異常,有效識別誤操作、網絡故障、惡意操作等引起的工控指令異常,保證工控業務的安全正常運行。
2. 實施效果
(1)經濟效益
1)安全建設周期縮短,業務運行穩定保障:
相比傳統IT安全項目建設周期,本次基于工業白環境理念的縱深防御安全防護建設項目由于采用“白名單”的相關技術原理,其不過度依賴于黑名單類型的規則庫、病毒庫等,其上線周期相比傳統安全建設項目縮短,業務系統安全風險同比建設初期降低,間接避免整體生產經濟損失。
2)安全能力自動化,人力運維效率提升大:
通過采用自動化的統一運維管理平臺以及配套產品自身的安全可視化管理界面,為人為管理相關安全設備提供便捷。相比與以往人工手動運維和故障排查的方式,運維效率提升,進而人員結構優化帶來的經濟效益表現為人力成本節約,企業整體運轉效率得到提升。
3)被動+主動的立體安全模式,避免大額勒索事件經濟損失:
2017年勒索病毒Wannacry爆發至今,全球仍然每年會有不少制造企業遭受其勒索大額贖金,就已知的大額贖金事件當中,最高的可達千萬美元級別。本次建設項目所提供的白環境技術理念以及配套專業設備,在針對工業安全場景勒索事件的防護上具備健壯的防護能力,可幫助企業避免百萬美元級別的損失,每年幫助企業挽回間接的經濟損失。
(2)社會效益
1)樹立工業互聯網企業網絡安全建設的風向標:
本次基于工業白環境理念的縱深防御安全防護建設項目所采用的的白環境技術理念,是貼合工業場景高可靠、低時延等相關特點設計和研發的技術體系,開創了有別于傳統黑名單機制網絡防護手段的工業安全防護體系,同時也彰顯了該石油銷售公司社會主角的擔當。
2)促進工業互聯網領域安全建設氛圍的形成:
石油銷售油庫工業安全相關建設的落地,將首先在其所屬石油石化行業針對工業互聯網企業安全分類分級建設起到示范作用,為其相關行業的其他工業互聯網企業提供安全建設的寶貴經驗,也將在整個工業互聯網領域形成企業網絡安全建設的良好氛圍,以促進更多工業互聯網企業(含232家聯網工業企業、平臺企業、標識解析企業試點單位)貫徹落實《中華人民共和國網絡安全法》等相關法律法規和政策要求。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號