石油銷售公司下轄油庫均采取煉廠直輸進(jìn)庫,管道、鐵路、公路出庫的“一進(jìn)三出”方式,是中國石油在多省份成品油資源的重要集散地,承擔(dān)著保障油庫所在地區(qū)的后路暢通和成品油市場穩(wěn)定供應(yīng)的重任,配送范圍覆蓋半個中國。經(jīng)過“十五”以來近十五年信息化建設(shè),實現(xiàn)了從“集中”到“集成”的飛躍,促進(jìn)了“兩化”的深度融合。目前,銷售信息化已完成大規(guī)模全局性信息系統(tǒng)建設(shè)和系統(tǒng)集成,逐漸完成系統(tǒng)提升與集成應(yīng)用工作,正在邁向商業(yè)智能、決策支持方向發(fā)展,提高信息利用與共享能力,通過信息化建設(shè)促進(jìn)油庫主營業(yè)務(wù)轉(zhuǎn)型升級。原來相對分散、獨立的裝置通過內(nèi)部網(wǎng)絡(luò)連接到一起,數(shù)據(jù)耦合程度增加,使得來自于外部和內(nèi)部的網(wǎng)絡(luò)安全風(fēng)險增加,油庫生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)迫在眉睫。
本方案結(jié)合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)要求,采用“白環(huán)境” 的縱深防御安全防護(hù)技術(shù)體系架構(gòu),積極開展網(wǎng)絡(luò)安全升級改造建設(shè),提升自身網(wǎng)絡(luò)安全防護(hù)能力。
一、 項目概況
石油銷售公司借鑒相關(guān)安全管理規(guī)定,參照等級保護(hù)以及指導(dǎo)方案要求,結(jié)合部署在總部數(shù)據(jù)中心系統(tǒng)和部署在庫站系統(tǒng)的實際,制定了基于“行為白名單”的“縱深安全防御”技術(shù)方案,滿足等保2.0“一個中心、三重防護(hù)”以及中石油信息處規(guī)劃總院的《銷售工控系統(tǒng)安全防護(hù)指導(dǎo)方案》要求,進(jìn)而構(gòu)筑油庫生產(chǎn)系統(tǒng)“安全可信環(huán)境”,達(dá)到“只有可信任的設(shè)備,才能接入控制網(wǎng)絡(luò)”、“只有可信任的消息,才能在網(wǎng)絡(luò)上傳輸”、“只有可信任的軟件,才允許被執(zhí)行”的防護(hù)效果。并且在此項目中創(chuàng)新應(yīng)用基于“行為白名單”建立的面向工控PLC設(shè)備的行為模型固化技術(shù),結(jié)合油庫生產(chǎn)系統(tǒng)業(yè)務(wù)流程,利用智能技術(shù),以時間周期維度作為判斷,發(fā)現(xiàn)工控指令隱藏的多重復(fù)雜周期模式,建立工控指令復(fù)雜周期場景指紋模型。通過該模型對工控指令和生產(chǎn)工藝行為進(jìn)行更加精細(xì)化的解析和管控,解決“傳統(tǒng)白名單”只能靜態(tài)對工業(yè)控制協(xié)議指令識別的劣勢,避免因指令時間錯誤引起異常,有效識別誤操作、網(wǎng)絡(luò)攻擊、惡意操作等,保證工控業(yè)務(wù)穩(wěn)定運行。
項目建設(shè)完成后全面提升了油庫生產(chǎn)系統(tǒng)的整體安全性,確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的高效運行,減少運維人員的工作量,提高了安全生產(chǎn)管理水平、工作效率以及管理效率。并且此項目在國內(nèi)石油銷售板塊具有“標(biāo)桿”意義,能夠在國內(nèi)其它銷售公司進(jìn)行廣泛推廣。
1. 項目背景
油庫是國家重要的能源基礎(chǔ)設(shè)施,應(yīng)做為安全防護(hù)的重點對象。由于燃油的易燃、易爆特性,在其儲存及運輸?shù)倪^程中面臨著諸多風(fēng)險,一旦管理不當(dāng),將有可能引發(fā)重大安全事故,其中因油庫生產(chǎn)控制系統(tǒng)異常所導(dǎo)致的安全事故已屢見不鮮。攻擊者基于對目標(biāo)系統(tǒng)所使用的工控協(xié)議及工業(yè)流程的深入了解,通過更改控制命令,導(dǎo)致安全事件的發(fā)生,甚至影響到廣大人民群眾的生命財產(chǎn)安全。比如,惡意下發(fā)非法工控指令,控制油庫壓力升高、停止發(fā)油業(yè)務(wù)等。
油庫生產(chǎn)系統(tǒng)在銷售系統(tǒng)的應(yīng)用流程中屬于關(guān)鍵業(yè)務(wù)模塊,通過油庫中庫級系統(tǒng)與工控系統(tǒng)集成,共同協(xié)作完成進(jìn)銷存自動管理。在油庫生產(chǎn)場景中,石油銷售公司生產(chǎn)系統(tǒng)的主要威脅來自于上位機(jī)和下位機(jī)的通信,因為上位機(jī)就是普通的計算機(jī),由人操作,很容易感染病毒、木馬入侵或人為惡意破壞,形成惡劣影響。在勒索病毒爆發(fā)時,石油銷售公司部分油庫庫級系統(tǒng)出現(xiàn)不同程度病毒感染,導(dǎo)致生產(chǎn)系統(tǒng)無法正常運行。因此需要依據(jù)網(wǎng)絡(luò)安全法、等保2.0以及中石油公司下發(fā)的指導(dǎo)方案要求積極開展網(wǎng)絡(luò)安全升級改造建設(shè),提升自身網(wǎng)絡(luò)安全防護(hù)能力。
2. 項目簡介
石油銷售公司油庫庫級生產(chǎn)系統(tǒng)與工控系統(tǒng)集成,完成油庫進(jìn)銷存的自動管理。油庫一般以專線方式接入到廣域網(wǎng),目前大部分油庫與廣域網(wǎng)邊界無安全防護(hù)措施,信息網(wǎng)與工控網(wǎng)之間未作有效隔離,工控主機(jī)無有效安全防護(hù)措施,工控軟件及操作系統(tǒng)存在漏洞,設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障,業(yè)務(wù)及用戶行為無有效審計手段,組網(wǎng)混亂。因此需開展油庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全改造推廣項目,削弱或根除安全風(fēng)險,提高油庫生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力。
3. 項目目標(biāo)
油庫是協(xié)調(diào)原油生產(chǎn)、原油加工、成品油供應(yīng)及運輸?shù)募~帶,是國家石油儲備和供應(yīng)的基地,它對于保障國防和促進(jìn)國民經(jīng)濟(jì)高速發(fā)展具有相當(dāng)重要的意義。本次油庫網(wǎng)絡(luò)安全改造推廣項目旨在全面提升石油銷售公司油庫生產(chǎn)系統(tǒng)的整體安全防護(hù)水平,保障設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性及穩(wěn)定性,提高安全生產(chǎn)管理水平和工作效率,滿足我國等級保護(hù)相應(yīng)等級的防護(hù)要求及國家相關(guān)政策法規(guī)、標(biāo)準(zhǔn)要求,從而實現(xiàn)以下項目目標(biāo):
首先,按照生產(chǎn)系統(tǒng)重要程度,按照不同流程規(guī)劃不同安全區(qū)域,通過技術(shù)手段實現(xiàn)安全區(qū)域邊界的“白環(huán)境”,實現(xiàn)訪問控制白名單固化、工業(yè)協(xié)議白名單固化、業(yè)務(wù)白名單固化;其次,針對油庫生產(chǎn)系統(tǒng)的安全計算環(huán)境載體實現(xiàn)應(yīng)用鎖定、系統(tǒng)鎖定、外設(shè)鎖定、網(wǎng)絡(luò)鎖定,建立工控主機(jī)的安全管理中心、安全狀態(tài)監(jiān)測中心;再次,通過監(jiān)測生產(chǎn)系統(tǒng)內(nèi)關(guān)鍵網(wǎng)絡(luò)節(jié)點的業(yè)務(wù)流量,實現(xiàn)工控網(wǎng)絡(luò)異常流量監(jiān)測、異常事件監(jiān)測。
在油庫過程監(jiān)控層建設(shè)工業(yè)安全運營中心,實現(xiàn)工業(yè)資產(chǎn)的主動發(fā)現(xiàn)、漏洞無損掃描、網(wǎng)絡(luò)攻擊檢測、安全運維、日志記錄。通過統(tǒng)一安全管理平臺實現(xiàn)工控網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)一策略下發(fā),提高運維效率,降低維護(hù)成本,構(gòu)建“一個中心、三重防護(hù)”的安全體系架構(gòu)。
二、項目實施概況
本項目采用“行為白名單”核心技術(shù),結(jié)合石油銷售公司油庫生產(chǎn)系統(tǒng)業(yè)務(wù)流程,建立精準(zhǔn)的安全防護(hù)模型,實現(xiàn)了辦公網(wǎng)與生產(chǎn)網(wǎng)物理隔離、主機(jī)加固及防護(hù)等,最終通過項目驗收,達(dá)到預(yù)期防護(hù)效果。
1. 項目總體架構(gòu)和主要內(nèi)容
項目以GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》、工信部信軟〔2016〕338號《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等國家標(biāo)準(zhǔn)為依據(jù),采用“行為白名單”的縱深防御安全防護(hù)技術(shù)體系,從“一個中心、三重防護(hù)”的角度出發(fā)對油庫生產(chǎn)系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),進(jìn)而構(gòu)筑油庫生產(chǎn)控制系統(tǒng)安全“可信環(huán)境”,確保:
(1)只有可信任的設(shè)備,才能接入系統(tǒng)網(wǎng)絡(luò);
(2)只有可信任的消息,才能在系統(tǒng)網(wǎng)絡(luò)上傳輸;
(3)只有可信任的軟件,才允許被執(zhí)行。
圖2-1項目總體架構(gòu)設(shè)計
項目主要建設(shè)內(nèi)容涉及以下方面:
ü 構(gòu)建區(qū)域邊界“白環(huán)境”,在油庫現(xiàn)場設(shè)備層和現(xiàn)場監(jiān)控層之間部署工業(yè)防火墻,建立訪問控制白名單和工業(yè)協(xié)議白名單,實現(xiàn)“值域級”的細(xì)粒度訪問控制;在過程監(jiān)控層和生產(chǎn)管理層部署安全隔離與信息交換系統(tǒng),實現(xiàn)油庫生產(chǎn)網(wǎng)環(huán)境中不同安全級別網(wǎng)絡(luò)之間數(shù)據(jù)安全交換的隔離,防止內(nèi)部機(jī)密信息的泄露,實現(xiàn)網(wǎng)間安全隔離和信息交換;
ü 構(gòu)建通信網(wǎng)絡(luò)“白環(huán)境”,在油庫生產(chǎn)系統(tǒng)關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署工控安全監(jiān)測與審計系統(tǒng),建立全流量行為模型,實現(xiàn)工業(yè)網(wǎng)絡(luò)異常流量監(jiān)測、工業(yè)網(wǎng)絡(luò)關(guān)鍵事件監(jiān)測、工控協(xié)議規(guī)約檢測、工控網(wǎng)絡(luò)通信記錄回溯等;
ü 構(gòu)建主機(jī)業(yè)務(wù)“白環(huán)境”,在油庫裝車監(jiān)控主機(jī)、罐區(qū)監(jiān)控主機(jī)、消防監(jiān)控主機(jī)、安全監(jiān)控主機(jī)以及數(shù)據(jù)管理平臺服務(wù)器部署工控主機(jī)衛(wèi)士,利用非法外聯(lián)、網(wǎng)絡(luò)白名單、雙因子認(rèn)證、訪問控制、安全基線、程序白名單和外設(shè)管理等功能,有效阻止工控惡意程序或代碼在工控主機(jī)上的感染、執(zhí)行和擴(kuò)散;
ü 構(gòu)建安全管理中心,實時對采集到的不同類型日志信息進(jìn)行標(biāo)準(zhǔn)化處理和實時關(guān)聯(lián)分析,幫助用戶滿足安全審計的合規(guī)要求;制定嚴(yán)格的資源訪問策略,并采用強(qiáng)身份認(rèn)證手段,全面保障系統(tǒng)資源安全;安全設(shè)備集中管理,對安全策略集中管控、安全事件集中分析,為油庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)監(jiān)控、故障快速定位等提供技術(shù)支撐。
2. 具體應(yīng)用場景和安全應(yīng)用模式
具體應(yīng)用場景:采用“行為白名單”技術(shù)形成“三重固化、三種防護(hù)模式”下的縱深防御安全防護(hù)技術(shù)體系架構(gòu),適用于油庫控制系統(tǒng)和油庫綜合自動化系統(tǒng)的安全防護(hù),保障泵站監(jiān)控系統(tǒng),罐區(qū)(庫區(qū))監(jiān)控系統(tǒng),裝車系統(tǒng)、油品檢驗系統(tǒng)的高效、穩(wěn)定運行。亦可為石油石化、電力、軌道交通、煙草、市政、智能制造、冶金及軍工等國家重點工控行業(yè)構(gòu)筑工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系,保障工控系統(tǒng)平穩(wěn)、高效運行。
安全應(yīng)用模式: 現(xiàn)場控制層核心控制設(shè)備的正常運行對整個生產(chǎn)控制系統(tǒng)起到關(guān)鍵性的作用,因此在核心控制設(shè)備前端部署工業(yè)防火墻,采用白名單機(jī)制確保只有可信的消息才允許傳輸;在過程監(jiān)控層,對工程師站、操作站、服務(wù)器等工控主機(jī)上部署工控主機(jī)衛(wèi)士,采用程序白名單確保有可信的程序才允許運行;在生產(chǎn)管理層邊界部署工業(yè)防火墻,利用防火墻的訪問控制功能,提高生產(chǎn)控制系統(tǒng)的邊界防護(hù)能力;在生產(chǎn)管理層建立安全管理中心,通過統(tǒng)一安全管理平臺實現(xiàn)對所有安全設(shè)備的集中管控、安全事件的集中分析以及全網(wǎng)安全態(tài)勢的可視化展示,從而實現(xiàn)一體化的安全防護(hù)體系。
3. 安全及可靠性
項目從區(qū)域邊界安全、通信網(wǎng)絡(luò)安全、計算環(huán)境安全以及安全管理中心(簡稱一個中心、三重防護(hù)),4個方面為油庫生產(chǎn)系統(tǒng)提供安全防護(hù),從而保障業(yè)務(wù)系統(tǒng)的高可靠性。
計算環(huán)境安全:基于“白名單”防護(hù)方式的工控主機(jī)衛(wèi)士,具備非法外聯(lián)檢測功能,可檢測非法網(wǎng)絡(luò)連接,日志記錄和告警;具備網(wǎng)絡(luò)白名單功能,只允許工業(yè)主機(jī)與特定服務(wù)器進(jìn)行通信;具備雙因子認(rèn)證功能,提供USB-key的組合認(rèn)證,提升工業(yè)主機(jī)登錄安全;具備訪問控制功能,提供強(qiáng)制訪問控制模型,保護(hù)注冊表、系統(tǒng)文件、關(guān)鍵進(jìn)程;具備安全基線功能,提供安全基線檢查和加固功能,提升操作系統(tǒng)安全等級;具備程序白名單功能,可自動掃描、跟蹤軟件安裝及升級生成可執(zhí)行程序白名單;具備外設(shè)管理功能,只允許經(jīng)過認(rèn)證的特定USB設(shè)備才在工業(yè)主機(jī)上運行。通過以上主機(jī)衛(wèi)士7大核心安全功能,構(gòu)成了安全計算環(huán)節(jié)的基石,進(jìn)而保障工控業(yè)務(wù)系統(tǒng)的高效、穩(wěn)定運行。
通信網(wǎng)絡(luò)安全:采用“白環(huán)境”為核心技術(shù)的工業(yè)防火墻,可有效解決傳統(tǒng)“黑名單”技術(shù)在解決工控網(wǎng)絡(luò)安全問題時存在的兼容性、易用性、日常工作量大等問題,同時可對工控網(wǎng)絡(luò)中的工業(yè)協(xié)議進(jìn)行深度識別及有效管控,從而提升整個工控系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全性,保障業(yè)務(wù)運行的可靠性。
區(qū)域邊界安全:結(jié)合業(yè)務(wù)系統(tǒng)的類型及其重要性,開展業(yè)務(wù)系統(tǒng)區(qū)域劃分,不同業(yè)務(wù)系統(tǒng)區(qū)域邊界采用工業(yè)防火墻進(jìn)行有效的管控。防火墻具備傳統(tǒng)下一代防火墻IPS、AV等功能的同時,亦可對工控協(xié)議進(jìn)行深度識別以及有效管控,從而保障了區(qū)域邊界的安全性,提升業(yè)務(wù)系統(tǒng)的穩(wěn)定性。
安全管理中心:部署統(tǒng)一安全管理平臺,滿足等保標(biāo)準(zhǔn)中“一個中心”的防護(hù)建設(shè)要求,同時解決了安全日志和時間管理分散、難以掌控全局風(fēng)險等問題。實現(xiàn)了對工業(yè)網(wǎng)絡(luò)中的安全產(chǎn)品及安全事件進(jìn)行統(tǒng)一管理的軟硬件一體化,通過對控制網(wǎng)絡(luò)中的邊界隔離、網(wǎng)絡(luò)監(jiān)測、主機(jī)防護(hù)等安全產(chǎn)品進(jìn)行集中管理,實現(xiàn)對全網(wǎng)中各安全設(shè)備、系統(tǒng)及主機(jī)的統(tǒng)一配置、全面監(jiān)控、實時告警、流量分析等,降低運維成本、提高事件響應(yīng)效率。
4. 其他亮點
(1)針對工控領(lǐng)域的隱蔽攻擊發(fā)現(xiàn)問題,本項目采用了基于多視角報警融合的隱蔽攻擊發(fā)現(xiàn)技術(shù)。
研究網(wǎng)絡(luò)流和物理流信息提取算法,從工控網(wǎng)絡(luò)中,一方面提取資產(chǎn)信息、漏洞信息、拓?fù)湫畔⒌刃畔⒘魈卣?,上述特征均是采用主被動結(jié)合的方式探測到的;另一方面提取控制流程、能量信息、業(yè)務(wù)信息等物理流特征,上述特征是從控制程序和現(xiàn)場傳感器獲取的。
基于協(xié)作式學(xué)習(xí)模型和標(biāo)準(zhǔn)正則化模型,研究多視角學(xué)習(xí)算法,從信息流和物理流特征中挖掘其中隱含的依存關(guān)系。工控環(huán)境由各個不同的組件(HMI、PLC、SCADA等)協(xié)作完成某個具體業(yè)務(wù)流程,且組件內(nèi)也存在多個服務(wù)共同完成某個具體任務(wù)。因此,在物理流和信息流中必然隱含著某種符合自然規(guī)律的依存關(guān)系,挖掘其中隱含的依存關(guān)系,從異常檢測報警數(shù)據(jù)中發(fā)現(xiàn)隱蔽式攻擊。
基于異常檢測報警數(shù)據(jù),采用數(shù)據(jù)挖掘算法提取攻擊時間、攻擊序列、攻擊屬性等特征,并依據(jù)上述特征構(gòu)建工控網(wǎng)絡(luò)攻擊樹,從攻擊樹中建立物理流與信息流映射關(guān)系。若從異常檢測報警數(shù)據(jù)中實時提取的物理流與信息流間的映射關(guān)系,與歷史的物理流與信息流內(nèi)在依存關(guān)系存在沖突,且前者的特征符合威脅情報的某類特征,則表示發(fā)現(xiàn)了隱蔽攻擊。
(2)項目中使用的安全防護(hù)類產(chǎn)品均設(shè)計有多種防護(hù)模式,結(jié)合業(yè)務(wù)實際需求可調(diào)整至不同的應(yīng)用模式。
ü 學(xué)習(xí)模式:安全防護(hù)類設(shè)備初次接入工控系統(tǒng)網(wǎng)絡(luò)時,默認(rèn)安全應(yīng)用模式為學(xué)習(xí)模式,處于該模式下可通過智能學(xué)習(xí)建立3類白名單(訪問控制白名單、工業(yè)協(xié)議白名單以及業(yè)務(wù)白名單),實現(xiàn)訪問控制白名單固化、工業(yè)協(xié)議白名單固化、業(yè)務(wù)白名單固化(簡稱三重固化)。學(xué)習(xí)模式下的安全防護(hù)設(shè)備只具備學(xué)習(xí)功能,無告警及防護(hù)功能;
ü 告警模式:告警模式下可針對違法白名單異常操作行為實時告警,同時安全運維人員可針對異常告警行為進(jìn)行識別、結(jié)合實際業(yè)務(wù)情況對白名單防護(hù)規(guī)則進(jìn)行優(yōu)化調(diào)整;
ü 防護(hù)模式:經(jīng)過學(xué)習(xí)模式、告警模式后,進(jìn)入防護(hù)模式。處于防護(hù)模式下的安全防護(hù)設(shè)備可對違反白名單異常操作進(jìn)行實時阻斷并產(chǎn)生告警,從而保障業(yè)務(wù)的高效、穩(wěn)定運行。
三、下一步實施計劃
優(yōu)化提升:不斷優(yōu)化提升項目中所采用的新技術(shù)、新方法,結(jié)合工控領(lǐng)域各行業(yè)不同工控系統(tǒng)業(yè)務(wù)流程,建立工控系統(tǒng)精準(zhǔn)防護(hù)模型,對工控指令和生產(chǎn)工藝行為進(jìn)行更加精細(xì)化的解析和管控,解決當(dāng)下工控系統(tǒng)安全防護(hù)技術(shù)的困境。建立油庫生產(chǎn)系統(tǒng)工控網(wǎng)絡(luò)安全態(tài)勢感知平臺,整合各油庫內(nèi)部設(shè)備資產(chǎn)、網(wǎng)絡(luò)流量、安全漏洞、安全配置、安全日志、設(shè)備運行狀態(tài)、業(yè)務(wù)故障日志等信息,通過智能關(guān)聯(lián)分析獲取油庫生產(chǎn)系統(tǒng)的安全風(fēng)險和態(tài)勢,指導(dǎo)安全告警的事件處置工作。
復(fù)制推廣:在我國工業(yè)向數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)型升級的大環(huán)境下,在我國高舉“核心技術(shù)是國之重器”的旗幟下,推薦其他石油銷售公司借鑒本案例的經(jīng)驗,加強(qiáng)油庫生產(chǎn)系統(tǒng)的安全防護(hù)能力。
四、項目創(chuàng)新點和實施效果
1. 項目創(chuàng)新點
項目通過建立可信任網(wǎng)絡(luò)“白環(huán)境”和“白名單”防護(hù)理念,以自主可控的核心技術(shù)投入,以完全符合工業(yè)企業(yè)的產(chǎn)品設(shè)計,為工業(yè)企業(yè)構(gòu)筑“安全白環(huán)境”整體防護(hù)體系,保護(hù)工業(yè)企業(yè)設(shè)施的穩(wěn)定運行。
ü 基于“硬件級”的安全設(shè)備配置文件保護(hù)強(qiáng)化防護(hù)能力
面對復(fù)雜的網(wǎng)絡(luò)安全威脅與多樣的攻擊方式,在對油庫生產(chǎn)業(yè)務(wù)系統(tǒng)構(gòu)建邊界安全的同時,也要考慮安全設(shè)備配置文件級的安全防護(hù),避免由于突破邊界防線,或內(nèi)部攻擊導(dǎo)致的配置文件修改,對工業(yè)控制系統(tǒng)實施破壞,造成不可預(yù)計的危險、損失等。本項目選用威努特自主研發(fā)的工業(yè)防火墻系列產(chǎn)品自帶硬件級安全策略寫保護(hù)功能,一旦設(shè)備完成策略配置投產(chǎn)運行,在開啟本地硬件配置寫保護(hù)功能后,將會阻斷一切非法配置修改請求。極端情況下,即使統(tǒng)一安全管理平被“攻破”,通過集中管理平臺也無法修改工業(yè)防火墻的現(xiàn)行配置策略。
ü 基于“硬件級”的單向流量接收消除潛在安全隱患
工業(yè)控制系統(tǒng)的安全建設(shè)要考慮到接入的設(shè)備對當(dāng)前系統(tǒng)零影響,保證油庫生產(chǎn)業(yè)務(wù)系統(tǒng)平穩(wěn)運行,本項目選用威努特自主研發(fā)工控安全監(jiān)測與審計系列產(chǎn)品,具備獨創(chuàng)的基于硬件級的僅單向接收鏡像工控網(wǎng)絡(luò)通信流量,設(shè)備采用純物理單向設(shè)計,從網(wǎng)卡芯片級對數(shù)據(jù)發(fā)送進(jìn)行閹割處理,所以設(shè)備僅接收流量不會發(fā)送任何通信信息,真正做到對油庫生產(chǎn)控制系統(tǒng)無影響。極端情況,管理平臺被攻陷也不會通過設(shè)備影響控制網(wǎng)。
ü 基于“行為白名單”建立的面向工控PLC設(shè)備的行為模型固化技術(shù)
為快速適用油庫生產(chǎn)業(yè)務(wù)系統(tǒng)的安全防護(hù)需求,解決傳統(tǒng)白名單使用中面臨的問題,本項目采用了基于“行為白名單”的“三重固化”技術(shù)。針對工控設(shè)備的屬性及行為進(jìn)行描述,通過分析和抽象工控設(shè)備自身屬性、行為及與其它設(shè)備的交互特征,構(gòu)建工控設(shè)備行為模型描述框架,實現(xiàn)行為白名單的識別與固化;通過分析和抽象工控協(xié)議的狀態(tài)機(jī)及交互特征,構(gòu)建工控協(xié)議行為特征解碼引擎,實現(xiàn)協(xié)議白名單的識別與固化;結(jié)合油庫生產(chǎn)系統(tǒng)實際業(yè)務(wù)訪問需求,創(chuàng)建并實現(xiàn)訪問控制白名單的固化。
ü 基于時間維度判定的智能復(fù)雜周期模型檢測技術(shù)
在傳統(tǒng)白名單技術(shù)的基礎(chǔ)上,結(jié)合油庫生產(chǎn)系統(tǒng)業(yè)務(wù)流程,利用智能技術(shù),以時間周期維度作為判斷,發(fā)現(xiàn)工控指令隱藏的多重復(fù)雜周期模式,建立工控指令復(fù)雜周期場景指紋模型。通過該模型對工控指令和生產(chǎn)工藝行為進(jìn)行更加精細(xì)化的解析和管控,解決傳統(tǒng)白名單只能靜態(tài)對工業(yè)控制協(xié)議指令識別劣勢,避免因指令時間錯誤引起的異常,有效識別誤操作、網(wǎng)絡(luò)故障、惡意操作等引起的工控指令異常,保證工控業(yè)務(wù)的安全正常運行。
2. 實施效果
(1)經(jīng)濟(jì)效益
1)安全建設(shè)周期縮短,業(yè)務(wù)運行穩(wěn)定保障:
相比傳統(tǒng)IT安全項目建設(shè)周期,本次基于工業(yè)白環(huán)境理念的縱深防御安全防護(hù)建設(shè)項目由于采用“白名單”的相關(guān)技術(shù)原理,其不過度依賴于黑名單類型的規(guī)則庫、病毒庫等,其上線周期相比傳統(tǒng)安全建設(shè)項目縮短,業(yè)務(wù)系統(tǒng)安全風(fēng)險同比建設(shè)初期降低,間接避免整體生產(chǎn)經(jīng)濟(jì)損失。
2)安全能力自動化,人力運維效率提升大:
通過采用自動化的統(tǒng)一運維管理平臺以及配套產(chǎn)品自身的安全可視化管理界面,為人為管理相關(guān)安全設(shè)備提供便捷。相比與以往人工手動運維和故障排查的方式,運維效率提升,進(jìn)而人員結(jié)構(gòu)優(yōu)化帶來的經(jīng)濟(jì)效益表現(xiàn)為人力成本節(jié)約,企業(yè)整體運轉(zhuǎn)效率得到提升。
3)被動+主動的立體安全模式,避免大額勒索事件經(jīng)濟(jì)損失:
2017年勒索病毒Wannacry爆發(fā)至今,全球仍然每年會有不少制造企業(yè)遭受其勒索大額贖金,就已知的大額贖金事件當(dāng)中,最高的可達(dá)千萬美元級別。本次建設(shè)項目所提供的白環(huán)境技術(shù)理念以及配套專業(yè)設(shè)備,在針對工業(yè)安全場景勒索事件的防護(hù)上具備健壯的防護(hù)能力,可幫助企業(yè)避免百萬美元級別的損失,每年幫助企業(yè)挽回間接的經(jīng)濟(jì)損失。
(2)社會效益
1)樹立工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全建設(shè)的風(fēng)向標(biāo):
本次基于工業(yè)白環(huán)境理念的縱深防御安全防護(hù)建設(shè)項目所采用的的白環(huán)境技術(shù)理念,是貼合工業(yè)場景高可靠、低時延等相關(guān)特點設(shè)計和研發(fā)的技術(shù)體系,開創(chuàng)了有別于傳統(tǒng)黑名單機(jī)制網(wǎng)絡(luò)防護(hù)手段的工業(yè)安全防護(hù)體系,同時也彰顯了該石油銷售公司社會主角的擔(dān)當(dāng)。
2)促進(jìn)工業(yè)互聯(lián)網(wǎng)領(lǐng)域安全建設(shè)氛圍的形成:
石油銷售油庫工業(yè)安全相關(guān)建設(shè)的落地,將首先在其所屬石油石化行業(yè)針對工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級建設(shè)起到示范作用,為其相關(guān)行業(yè)的其他工業(yè)互聯(lián)網(wǎng)企業(yè)提供安全建設(shè)的寶貴經(jīng)驗,也將在整個工業(yè)互聯(lián)網(wǎng)領(lǐng)域形成企業(yè)網(wǎng)絡(luò)安全建設(shè)的良好氛圍,以促進(jìn)更多工業(yè)互聯(lián)網(wǎng)企業(yè)(含232家聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、標(biāo)識解析企業(yè)試點單位)貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)和政策要求。