石油石化行業(yè)安全防護方案淺析
石油不僅可以提供汽車、飛機等交通設(shè)備所用燃料,還可以加工成口罩核心材料熔噴布、服裝材料合成纖維等,所以石油石化行業(yè)在我國的工業(yè)體系中有著至關(guān)重要的作用,是我國的支柱產(chǎn)業(yè)之一。黨的十九大明確提出,要支持傳統(tǒng)產(chǎn)業(yè)優(yōu)化升級,全面的推進石油石化企業(yè)信息化和工業(yè)化深度融合,進一步提升石油石化企業(yè)自動化、數(shù)字化、網(wǎng)絡(luò)化和智能化水平,加快推進“智慧油田”、“智慧工廠”、“智慧管道”和“智慧加油站”的建設(shè),但是在信息化和工業(yè)化深度融合,有效提高工業(yè)生產(chǎn)力的同時,也意味著越來越多的工業(yè)控制系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)上,潛在的威脅也會越來越大,給石油石化行業(yè)的網(wǎng)絡(luò)防護帶來了巨大挑戰(zhàn)。
風(fēng)險分析
在我國石油石化行業(yè)中,主要工業(yè)控制系統(tǒng)包括集散控制系統(tǒng)(DCS) 、數(shù)據(jù)采集與監(jiān)控(SCADA)、安全儀表系統(tǒng)(SIS)、壓縮機控制系統(tǒng)(CCS)、可燃氣報警系統(tǒng)(GDS)、各種可編程邏輯器件(PLC)等,基于對石油石化行業(yè)的深度調(diào)研和自身對石油石化行業(yè)防護建設(shè)的經(jīng)驗積累,總結(jié)了在石油石化行業(yè)中,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)存在的幾個主要風(fēng)險問題:
操作系統(tǒng)安全漏洞
企業(yè)中工業(yè)控制系統(tǒng)的工程師站、操作員站等PC系統(tǒng)多采用比較老舊的Windows系統(tǒng),存在大量系統(tǒng)漏洞,出于穩(wěn)定運行的考慮,系統(tǒng)從未進行過升級,存在極大安全隱患,全球范圍內(nèi),每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)事件。
應(yīng)用軟件安全漏洞
很多廠商設(shè)計之初,缺乏安全意識,在設(shè)計和開發(fā)軟件的時候并未做安全考慮,導(dǎo)致軟件存在編碼或者邏輯方面的安全漏洞和缺陷,部分廠商為了節(jié)約成本,直接用的網(wǎng)上的開源代碼做開發(fā)、設(shè)計,給設(shè)備帶來了極大的安全風(fēng)險。移動存儲介質(zhì)濫用移動存儲介質(zhì)的使用,給用戶帶來便捷的同時,也給企業(yè)的內(nèi)部網(wǎng)絡(luò)帶來安全風(fēng)險。
移動存儲介質(zhì)
缺乏相應(yīng)的管控機制,一旦由于有意的或者無意的將感染的移動存儲介質(zhì)用到企業(yè)網(wǎng)絡(luò)中,后果不堪設(shè)想,極易造成企業(yè)數(shù)據(jù)泄露風(fēng)險,還有可能使網(wǎng)絡(luò)造成感染,如Stuxnet震網(wǎng)病毒即通過此種途徑傳播,一旦病毒入侵,就會在內(nèi)網(wǎng)迅速復(fù)制傳播,感染整個網(wǎng)絡(luò),對企業(yè)造成極大損害。
缺乏審計監(jiān)測機制
工控系統(tǒng)網(wǎng)絡(luò)中缺少安全監(jiān)控審計和入侵檢測機制,不能實時的檢測網(wǎng)絡(luò)中的安全威脅,日志記錄不充分,對于網(wǎng)絡(luò)攻擊也無法很好的進行追根溯源。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全威脅
石油石化的一些企業(yè)在網(wǎng)絡(luò)規(guī)劃設(shè)計階段,工業(yè)控制網(wǎng)絡(luò)在內(nèi)部安全區(qū)域之間沒有進行合理化的隔離手段,工業(yè)控制網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)之間缺乏相應(yīng)的安全管控,使得許多控制網(wǎng)絡(luò)都是“敞開的”,不同的接入網(wǎng)絡(luò)之間沒有效的隔離,一旦某處區(qū)域遭受病毒攻擊,將會迅速蔓延整個工業(yè)內(nèi)網(wǎng),給企業(yè)造成巨大損失。
解決方案
方案政策、規(guī)范依據(jù)
● 《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 可編程序控制器(PLC)》 GBT33008.1-2016
● 《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第1部分:防護要求》 GBT33009.1-2016
● 《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第2部分:管理要求》 GBT33009.2-2016
● 《工業(yè)自動控制系統(tǒng)安全:構(gòu)建工業(yè)自動控制系統(tǒng)安全方案》ANSI/ISA-99.02.01-2009;
● 《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》工業(yè)和信息化部2011年10月
● 《工業(yè)控制系統(tǒng)安全防護指南》工業(yè)和信息化部2016年11月
● 《中華人民共和國網(wǎng)絡(luò)安全法》全國人大常委會2016年11月
● 《關(guān)于加強工業(yè)控制系統(tǒng)安全防護的指導(dǎo)意見》中國石化 2017年
● 《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》工業(yè)和信息化部2017年6月
● 《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》工業(yè)和信息化部2018年1月
● GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 2019年
● GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求 2019年
● GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求2019年
通過對石油石化行業(yè)存在的風(fēng)險進行分析,提出了一套安全防護方案。
邊界防護
在PLC、DCS和工程師站、操作員站之間,以及生產(chǎn)網(wǎng)控制層的各區(qū)域的邊界之間部署工業(yè)防火墻,實現(xiàn)分層級的安全防護,抵御已知的安全威脅,通過對工控協(xié)議的深度解析,來保障通信數(shù)據(jù)的合法性,實現(xiàn)對工業(yè)控制網(wǎng)絡(luò)的深度防護。
終端防護
在生產(chǎn)網(wǎng)、控制網(wǎng)和管理網(wǎng)的工程師站、操作員站、OPC服務(wù)器、能源服務(wù)器等終端安裝部署主機安全防護軟件,提高工作站的安全等級、抵御網(wǎng)絡(luò)攻擊,提升防病毒入侵能力,給予終端計算機全生命周期的安全防護。
網(wǎng)絡(luò)監(jiān)測
在生產(chǎn)網(wǎng)旁路部署入侵檢測系統(tǒng),可以快速識別出系統(tǒng)中存在的非法操作、異常事件、APT攻擊、蠕蟲木馬及外部攻擊。在生產(chǎn)網(wǎng)旁路部署監(jiān)測審計系統(tǒng),通過特定的安全策略,快速識別出企業(yè)控制系統(tǒng)網(wǎng)絡(luò)非法操作、異常事件、外部攻擊,并實時報警。
集中管理
在生產(chǎn)網(wǎng)部署工業(yè)統(tǒng)一行為安全管理平臺,實現(xiàn)對部署在整個工控系統(tǒng)的安全設(shè)備統(tǒng)一化的安全監(jiān)管和運維,作為系統(tǒng)中所有安全設(shè)備節(jié)點(工業(yè)防火墻、工控安全審計系統(tǒng)、工控主機防護等)的統(tǒng)一安管中心,工業(yè)統(tǒng)一行為安全管理平臺支持對工控安全設(shè)備的安全策略統(tǒng)一下發(fā)、安全事件的集中有效的管理,打破安全孤島,使他們成為一個有機體系統(tǒng)來抵御網(wǎng)絡(luò)中的各種威脅。
方案價值
通過工控安全防護體系的建設(shè),對石油石化行業(yè)各網(wǎng)絡(luò)邊界、區(qū)域邊界、重要控制設(shè)備進行隔離、防護,切斷病毒、木馬、惡意攻擊的傳播途徑,來保障網(wǎng)絡(luò)區(qū)域內(nèi)生產(chǎn)控制系統(tǒng)的安全;通過工控安全監(jiān)測體系的建設(shè),對工控網(wǎng)絡(luò)內(nèi)控制指令、操作行為、傳輸數(shù)據(jù)等進行實時的檢測,及時發(fā)現(xiàn)非法操作、惡意篡改、網(wǎng)絡(luò)攻擊等安全事件,來保障石油石化行業(yè)業(yè)務(wù)流程、生產(chǎn)數(shù)據(jù)的安全;通過統(tǒng)一管理體系的建設(shè),實現(xiàn)對工控網(wǎng)絡(luò)內(nèi)的安全設(shè)備進行統(tǒng)一的監(jiān)管和運維;通過工控安全防護體系、工控安全監(jiān)測體系和工控設(shè)備統(tǒng)一管理體系的建設(shè),形成符合石油石化行業(yè)業(yè)務(wù)特點的工控安全響應(yīng)體系,及時預(yù)警安全事件發(fā)現(xiàn)安全問題,做到安全防護、安全監(jiān)測、集中管理的可視化,最大限度的保障石油石化行業(yè)生產(chǎn)的安全運行。
原文來源:安帝Andisec
