在当今数字化时代,石油石化行业作为国家重要的支柱产业,其工控系统的安全稳定运行至关重要。然而,随着物联网、云计算、边缘计算、大数据、5G、人工智能等新一代信息技术在工业领域的不断渗透,石油石化行业的信息安全问题日益凸显。为了应对这些挑战,博智安全公司推出了一套全面的石油石化行业工控安全解决方案,旨在帮助企业提升工控系统的安全防护能力,满足等保2.0、工业控制系统网络安全防护指南等政策要求。
一、引言
石油石化行业是不法分子意图窃取敏感信息、破坏生产运行或造成社会混乱的重要目标。该行业的高温、高压、易燃、易爆、易腐蚀等特殊性增加了生命风险,一旦工控系统遭受攻击,可能不仅仅是暴露信息或影响生产,还可能对设备甚至人员造成物理损害。进入21世纪后,中国石油石化行业飞速发展,但信息安全问题也随之而来。因此,构建强大的工控安全保障体系已成为当务之急。
石油工业主要包括石油的开采、油气存储、练化加工、油气输送等环节。其中,石油炼化是将原油通过一系列炼制过程转化为多种石油产品的过程。石油炼化常用的工艺流程为常减压蒸馏、催化裂化、延迟焦化、加氢裂化、溶剂脱沥青、加氢氧制、催化重整等。通过炼化将原油加工成各种产品,如汽油、喷气燃料、煤油、柴油、燃料油、润滑油、石油蜡、石油沥青、石油焦,以及用于进一步化工加工的各种原料。
二、现状分析
(一)安全事件频发
石油石化行业的工业控制系统信息安全攻击事件具有目标明确、隐蔽性强、破坏严重等特点。近年来,国内外发生了多起针对石油石化企业的安全事件,如Conficker病毒感染、Flame病毒潜伏、土耳其石油管道爆炸等,这些事件给企业带来了巨大的损失。
(二)国家重视
国家高度重视石油石化工控系统安全,发布了一系列政策文件,如《关于开展重要工业控制系统基本情况调查的通知》《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》《中国石化工业仪表控制系统安全防护实施规定》等,要求加强工业控制系统安全监管,定期开展安全检查和风险评估,规范工控系统安全配置,保障安全稳定运行。
(三)安全问题普遍
石油石化行业工控系统安全问题十分普遍,主要包括网络节点间无有效隔离、通信协议漏洞、工程师站无身份认证和访问控制、Windows平台漏洞及主机防护不足、APC自身无防护措施等。这些问题使得企业的工控系统在面对网络风险时不堪一击,急需加强安全防护体系建设。
三、方案设计
解决方案以满足等级保护2.0合规性要求为基础,综合运用边界防护、身份认证、威胁监测、风险评估等手段,构建以工业安全管理平台为中心,安全计算环境、安全区域边界、安全通信网络的三重防御体系,帮助建立企业一体化工控安全综合管控体系。
(一)安全风险评估
部署工控漏洞扫描系统,对炼化企业PLC、工程师站、操作员站、APC服务器等进行扫描,涵盖系统内工控软件的漏洞检测、工控设备脆弱性检测、工控设备信息收集、工控设备未知漏洞探测等内容。利用资产管理功能,深入了解资产安全状态,为后续的安全防护提供依据。
(二)安全分区分域
在炼化企业资源层与生产管理层边界、企业过程控制层与过程监控层边界、过程监控层与生产管理层边界以及过程监控层不同的功能区域边界上部署工控安全隔离网闸及工控防火墙,实现功能区域间、不同层级边界间的隔离控制,保障各个功能区域内部系统的干净和稳定运行,对业务操作进行严格的访问控制。
(三)网络实时监测
通过在不同产线装置的网络交换机旁镜像部署工控安全审计系统和工控入侵检测系统,实现对工业控制协议通信报文的深度解析,实时检测网络攻击、用户误操作、违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时对工业网络系统的运行状况进行监视,发现并阻断各种入侵攻击、异常流量、非法操作或异常行为。
(四)安全计算环境
在炼化企业内操作员站、工程师站、服务器等设备上部署工控主机卫士,以白名单的技术方式,全方位地保护主机的资源使用,监控本地设备安全基线配置,禁止非法进程的运行、非法网络的访问连接和非法USB设备的接入,从而切断病毒和木马的传播与破坏路径。
(五)安全集中管理
在企业安全运维区域部署工业安全管理平台,对工控防火墙、工控安全审计系统、工控主机卫士、工控漏洞扫描系统等工控安全产品及第三方设备进行统一监控、日志采集、安全分析、策略下发,为工控网络安全运营提供决策支持,加强安全事件响应速度与安全运维能力,提升工控网络整体信息安全水平。
四、设备功能需求
(一)工控安全审计系统
支持对多种工控协议通信报文深度解析,能够检测出数据包的有效内容特征、负载和可用匹配信息。采用机器学习方式对网络中资产与流量进行检测,及时发现网络威胁。对工控信息设备进行恶意代码检查,对工控网络攻击进行监测预警,同时能够根据日志和数据包对工控网络通信记录进行回溯。
(二)工控防火墙
内置工业协议深度解析引擎,支持对多种主流工控协议的深度解析,具备协议精准识别、数据包合规性检查功能。内置工业ISP规则库,能全方位防御DDOS攻击、注入攻击、XSS 攻击、目录遍历攻击、操作系统漏洞利用等攻击行为。内置工业病毒库,可对文件进行病毒检测并拦截。支持自定义配置访问控制策略,访问控制策略更加精细化。具备高可用性,支持BYPASS、双机热备、负载均衡等功能。
(三)工控入侵检测系统
内置强大的攻击特征库,涵盖通用和工控两部分攻击规则,并保持不断更新。支持多种工业协议类型的入侵检测,包括功能码合法性、功能码访问地址合法性及寄存器值设定合法性等多个层次的检测。支持会话及流量分析,支持工控协议自学习白名单体系,用户可以根据自身实际的网络情况自由选择部署方式。
(四)工控主机卫士
采用可信应用白名单,禁止白名单以外的程序加载运行,有效防御未知恶意程序和木马。具备可信USB白名单,规范USB设备使用,防止USB作为媒介的攻击行为。可自动学习工控终端设备与其它设备发启的网络连接,发现非法连接可即时阻断。对特定的对象提供文件完整性保护,具备系统基线保护功能,可对设备本地安全中多项策略进行监控配置。兼容性强,支持多种操作系统。
(五)工业安全管理平台
具备设备统一安全管理功能,可集中管理设备信息,统一导入、导出,方便用户进行安全管理。能够绘制资产拓扑,以拓扑形式展示资产信息,方便用户查看网络关系结构进行分析。提供网络拓扑、实时消息、图表分析、安全报告等全面的可视化手段,支持数据钻取分析,可对异常数据进行跟踪溯源,提升安全运维工作效率。支持对工控安全设备统一管理,设备统一监控,安全策略批量下发,同时提供标准接口,支持对第三方设备进行实时监控。具备安全日志管理功能,支持对安全日志进行统一收集与归一化,内置高效大数据引擎,提供强大的数据查询处理能力,满足日志存储合规性要求。
(六)工控漏洞扫描系统
支持对Windows、Linux、Vxworks等工业常见操作系统进行端口扫描、服务探测及脆弱性检测。支持对多种类型的工控系统或设备进行漏洞扫描,准确定位其脆弱点和潜在威胁。能够通过工业协议对各类工业资产进行精确识别。支持对主流数据库进行漏洞检测,具备 Web 应用扫描、安全配置核查功能。
(七)运维管理系统
加强对运维人员的行为管理,包括运维人员身份鉴别、操作授权和行为审计。通过对运维人员的行为进行全程监控和记录,及时发现和阻止异常行为,确保工控系统的安全稳定运行。
五、用户收益
(一)显著提升存量工控系统安全防护水平
通过优化结构,强化边界防护,减少对威胁的暴露面,降低脆弱性的可利用性,设置多道防线,重点防护实时控制系统。在确保结构安全的前提下,规范内部物理和环境、网络和通信、设备和计算、应用和数据安全,加强安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理,提高系统整体安全防护能力,保证石油石化工业控制系统运行及重要数据的安全。
(二)安全响应处置能力不断提高
通过“评”“防”“溯”“维”的信息安全防护理念,在石油石化信息安全建设、事件处置、应急演练的过程中,逐步提升信息安全防护、应急处置能力,形成一套涵盖石油石化各系统的完备响应处置流程和响应处置预案。
总之,博智安全公司的石油石化行业工控安全解决方案能够有效提升企业的工控系统安全防护水平,满足国家政策要求,为企业的稳定发展提供有力保障。在未来,博智安全将继续致力于工控安全领域的技术创新和服务提升,为石油石化行业的发展保驾护航。