隨著國家“兩化融合”的不斷深入，以往“封閉、受限”的工業(yè)控制系統(tǒng)現(xiàn)場網(wǎng)絡(luò)環(huán)境已經(jīng)被打破，面臨日益嚴(yán)重的網(wǎng)絡(luò)攻擊和入侵威脅，且由于病毒技術(shù)的不斷革新、獲取病毒與相關(guān)技術(shù)知識的門檻及成本不斷降低，該油田工業(yè)控制系統(tǒng)在面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的同時(shí)，還正面臨由U盤、移動(dòng)硬盤、光盤等移動(dòng)存儲介質(zhì)使用導(dǎo)致的病毒入侵和危害風(fēng)險(xiǎn)。

在此背景下該油田信息技術(shù)公司組織開展了工控安全態(tài)勢感知平臺建設(shè)項(xiàng)目，為油田建立有效的工控安全監(jiān)測、防護(hù)體系，實(shí)時(shí)監(jiān)測工控安全威脅，整體把握油田下屬庫站安全風(fēng)險(xiǎn)，維護(hù)油田工控系統(tǒng)安全。

用戶痛點(diǎn)

(1)油田工控系統(tǒng)內(nèi)工業(yè)主機(jī)、網(wǎng)絡(luò)設(shè)備、控制器工控系統(tǒng)資產(chǎn)管理統(tǒng)計(jì)薄弱，工控系統(tǒng)安全狀況監(jiān)測與聯(lián)動(dòng)防護(hù)手段缺失;

(2)工控系統(tǒng)與工業(yè)協(xié)議缺乏身份認(rèn)證和訪問控制，無法限制非法用戶遠(yuǎn)程控制，存在嚴(yán)重的安全隱患;

(3)在多數(shù)生產(chǎn)單位中，與工業(yè)控制設(shè)備連接的工控主機(jī)(上位機(jī)、工程師站)由于無法安裝殺毒軟件、U盤插入管控缺失等原因，致使工控主機(jī)感染大量病毒，容易導(dǎo)致工控主機(jī)功能失效，使工控網(wǎng)絡(luò)運(yùn)行就像“騎在飛行的炸彈”上，給工控網(wǎng)絡(luò)長期穩(wěn)定運(yùn)行和油田生產(chǎn)安全帶來嚴(yán)重的安全隱患;

(4)油田內(nèi)多個(gè)站庫缺乏統(tǒng)一安全監(jiān)測和管理措施，對于儲運(yùn)銷售公司及下屬站庫內(nèi)工業(yè)主機(jī)、網(wǎng)絡(luò)、工業(yè)應(yīng)用軟件等各類設(shè)備安全狀況及公司整體合規(guī)性狀況無法掌握;未對工控軟硬件狀態(tài)故障和信息安全事件進(jìn)行實(shí)時(shí)監(jiān)控，導(dǎo)致設(shè)備故障或信息安全事件發(fā)生后可能影響該油田儲運(yùn)銷售公司及下屬站庫業(yè)務(wù)。

建設(shè)難點(diǎn)

(1)行業(yè)危險(xiǎn)系數(shù)高，實(shí)施精度要求高。該油田儲運(yùn)銷售分公司及下屬多個(gè)站庫負(fù)責(zé)石油的存儲、運(yùn)輸、轉(zhuǎn)儲等關(guān)鍵環(huán)節(jié)，均屬于高危生產(chǎn)環(huán)境。實(shí)施中涉及關(guān)鍵控制環(huán)節(jié)的工控機(jī)與PLC數(shù)據(jù)采集，對實(shí)施精度要求極高，需確保采集各類設(shè)備安全信息時(shí)不影響設(shè)備穩(wěn)定運(yùn)行。

(2)信息采集軟件和設(shè)備廠商型號龐雜。根據(jù)該油田儲運(yùn)銷售公司及各下屬站庫實(shí)際情況，平臺數(shù)據(jù)采集需支持多廠商、多型號的工業(yè)主機(jī)、控制設(shè)備、工業(yè)網(wǎng)絡(luò)設(shè)備及不同廠商的安全設(shè)備，需支持對100余個(gè)廠商工控設(shè)備的軟硬件進(jìn)行發(fā)現(xiàn)與識別。

(3)通訊協(xié)議種類較多。其中工業(yè)協(xié)議需支持工業(yè)控制系統(tǒng)主流通訊協(xié)議(包括Modbus TCP、MMS、DNP3、OPC DA、OPC UA、Modbus RTU、IEC 104、EthernetIP、Siemens S7、CANBUS 協(xié)議)的識別和深度解析檢測，達(dá)到讀取至指令、功能碼、具體線圈/鍵位數(shù)值。

建設(shè)思路

按照該油田工控系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，本項(xiàng)目中工控安全態(tài)勢感知平臺建設(shè)分為三層管理架構(gòu)，如圖1所示，最下一層為被保護(hù)的工業(yè)控制及管理環(huán)境設(shè)備對象，包括從生產(chǎn)管理層、MES層到控制層的各類設(shè)備，比如操作員站、工程師站、RTU、PLC等。

圖1 工控安全態(tài)勢感知平臺三層管理架構(gòu)圖

系統(tǒng)通過采集層對所有被保護(hù)對象進(jìn)行集中的信息采集，包括收集網(wǎng)絡(luò)中所部屬的各類安全設(shè)備的事件及告警信息。同時(shí)，信息采集裝置可以在復(fù)雜網(wǎng)絡(luò)中分布式部署，并且對網(wǎng)絡(luò)性能影響極小甚至無影響。采集到的所有信息都會進(jìn)行預(yù)處理，將其轉(zhuǎn)換為統(tǒng)一的內(nèi)部格式，并提交給上層的核心功能處理層的相應(yīng)組件進(jìn)行處理和分析。

采集層之上是數(shù)據(jù)處理與展示層，該層提供了系統(tǒng)的核心處理功能，主要包括了設(shè)備監(jiān)控、安全信息管理、工控威脅管理和統(tǒng)一接口四大功能組塊。設(shè)備監(jiān)控功能組塊主要提供了被監(jiān)控對象的識別梳理和基礎(chǔ)信息支撐，安全信息管理組塊提供了工控網(wǎng)中安全事件信息、漏洞信息的綜合管理功能，工控威脅管理組塊綜合了設(shè)備鏈路的監(jiān)控以及各類安全信息的展現(xiàn)和分析功能，統(tǒng)一接口組塊主要綜合了企業(yè)集中監(jiān)控輸出的告警接口、第三方防護(hù)產(chǎn)品信息采集接口及國家層面監(jiān)控系統(tǒng)的探針管理與信息交換接口等各種對外接口。

建設(shè)效果

(1)實(shí)現(xiàn)對系統(tǒng)合規(guī)能力監(jiān)控：依據(jù)工信部頒布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，對該油田儲運(yùn)銷售分公司各系統(tǒng)逐項(xiàng)予以安全評估，并最終給予評分。參考防護(hù)指南評估引擎，對來源于靜態(tài)防護(hù)指南日志以及動(dòng)態(tài)評估的防護(hù)指南相關(guān)日志予以評估。

圖2 儲運(yùn)銷售分公司合規(guī)能力監(jiān)控&評估

(2)實(shí)現(xiàn)對系統(tǒng)內(nèi)各類告警監(jiān)控統(tǒng)一管理：對該油田儲運(yùn)銷售分公司整體告警進(jìn)行監(jiān)控，通過告警行為發(fā)現(xiàn)系統(tǒng)的異常。為免系統(tǒng)中重復(fù)告警數(shù)目過多，對告警數(shù)據(jù)做了聚合，同時(shí)兼顧了時(shí)間要素，保持最新觸發(fā)的告警排序靠前。告警需進(jìn)行確認(rèn)后才會消失。

圖3 資產(chǎn)安全狀態(tài)告警與監(jiān)控分析

(3)實(shí)現(xiàn)對系統(tǒng)內(nèi)各類資產(chǎn)監(jiān)控：對該油田儲運(yùn)銷售分公司內(nèi)資產(chǎn)進(jìn)行畫像，力圖對所管控資產(chǎn)的基礎(chǔ)屬性、運(yùn)行信息、日志信息、異常信息建立全面的知識庫。資產(chǎn)的歷史及當(dāng)前信息狀態(tài)一目了然。

圖4 儲運(yùn)銷售分公司資產(chǎn)畫像采集分類

(4)實(shí)現(xiàn)對網(wǎng)絡(luò)互聯(lián)行為監(jiān)控：實(shí)現(xiàn)該油田儲運(yùn)銷售分公司不同系統(tǒng)間及系統(tǒng)內(nèi)部不同資產(chǎn)間的互聯(lián)訪問關(guān)系進(jìn)行監(jiān)控。資產(chǎn)互聯(lián)展示的為所監(jiān)控資產(chǎn)間的網(wǎng)絡(luò)互聯(lián)關(guān)系，并且可根據(jù)統(tǒng)計(jì)信息決策為黑名單(禁止)訪問或白名單(允許)訪問;區(qū)域互聯(lián)展示的為所監(jiān)控邏輯區(qū)域間的網(wǎng)絡(luò)互聯(lián)關(guān)系，并且可根據(jù)統(tǒng)計(jì)信息決策為黑名單(禁止)訪問或白名單(允許)訪問。

圖5 儲運(yùn)銷售分公司資產(chǎn)互聯(lián)狀態(tài)分析

(5)多元安全信息綜合分析：對該油田儲運(yùn)銷售分公司內(nèi)工控機(jī)、網(wǎng)絡(luò)設(shè)備、控制設(shè)備、安全設(shè)備等各類設(shè)備日志進(jìn)行審計(jì)，并通過日志查詢系統(tǒng)可以查詢到資產(chǎn)名、資產(chǎn)IP、資產(chǎn)類型、事件時(shí)間、分類、等級、摘要等日志信息。

圖6 監(jiān)控資產(chǎn)多元化信息分析與展示

(6)多維度工控系統(tǒng)綜合安全防護(hù)：通過在該油田儲運(yùn)銷售分公司及下屬多個(gè)站庫內(nèi)工控系統(tǒng)部署工業(yè)防火墻、工業(yè)網(wǎng)閘、主機(jī)安全軟件、安全審計(jì)、安全檢測等各類安全基礎(chǔ)設(shè)施，實(shí)現(xiàn)不同網(wǎng)絡(luò)區(qū)域及部分重要PLC的網(wǎng)絡(luò)隔離;對于系統(tǒng)內(nèi)網(wǎng)絡(luò)行為異常、工業(yè)協(xié)議攻擊、工業(yè)控制關(guān)鍵事件的實(shí)時(shí)檢測與報(bào)警;對工業(yè)主機(jī)的主機(jī)移動(dòng)存儲介質(zhì)、工控主機(jī)運(yùn)行加載的程序進(jìn)行管控，保證工業(yè)主機(jī)安全。

案例亮點(diǎn)

工控安全態(tài)勢感知平臺從日常運(yùn)維人員視角出發(fā)，以工控系統(tǒng)內(nèi)資產(chǎn)為核心，可協(xié)助運(yùn)維人員對工控系統(tǒng)相關(guān)設(shè)備、軟件及組件進(jìn)行預(yù)維護(hù)，提前防范安全隱患。

工控安全態(tài)勢感知平臺可從多種事件和具有上下文信息的安全日志中收集和分析安全事件。該平臺對提高該油田儲運(yùn)銷售分公司管理效率和安全監(jiān)管力度具有重要的作用，可實(shí)現(xiàn)安全保障的關(guān)口前移，防患于未然。

工控安全態(tài)勢感知平臺數(shù)據(jù)采集范圍覆蓋油田儲運(yùn)銷售全流程工業(yè)控制工藝，對石油生產(chǎn)的存儲、運(yùn)輸、轉(zhuǎn)儲等多個(gè)特有工藝流程及流程內(nèi)部鍋爐崗、計(jì)量崗、輸油崗、化驗(yàn)崗、消防崗多類崗位控制過程中數(shù)百臺設(shè)備進(jìn)行全方位、多維度安全監(jiān)測，管理人員通過工控安全態(tài)勢感知平臺可掌握油田儲運(yùn)銷售全流程工業(yè)信息安全狀態(tài)及合規(guī)狀況。

應(yīng)用價(jià)值

項(xiàng)目建成后增強(qiáng)了該油田儲運(yùn)銷售分公司及下屬多個(gè)站庫安全監(jiān)測、防護(hù)能力，有效提升了監(jiān)控水平和應(yīng)急效率，在行業(yè)內(nèi)形成了良好的示范效應(yīng)，促進(jìn)了工業(yè)信息安全市場在石油行業(yè)內(nèi)的加速發(fā)展。工控安全態(tài)勢感知平臺建設(shè)在采油、采氣、供水、儲運(yùn)與管道等石油行業(yè)內(nèi)多個(gè)領(lǐng)域推廣應(yīng)用，在石油行業(yè)內(nèi)形成了數(shù)億元的應(yīng)用規(guī)模。