石油天然氣管道工控系統(tǒng)安全監(jiān)測與態(tài)勢感知 保障國家關(guān)鍵基礎(chǔ)設(shè)施安全
引言:
奇安信科技集團(tuán)股份有限公司(以下簡稱“奇安信”)是中國最大的網(wǎng)絡(luò)安全公司之一,專門為政府、軍隊(duì)、企業(yè),教育、金融等機(jī)構(gòu)和組織提供企業(yè)級網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù),已覆蓋90%以上的中央政府部門、中央企業(yè)和大型銀行,已在印度尼西亞、新加坡、加拿大、中國香港等國家和地區(qū)開展了安全業(yè)務(wù)。
奇安信工業(yè)互聯(lián)網(wǎng)安全事業(yè)部基于自身在大數(shù)據(jù)、威脅情報(bào)、防病毒、安全攻防、態(tài)勢感知等方面的突出優(yōu)勢,創(chuàng)新性的提出了“數(shù)據(jù)驅(qū)動工業(yè)安全”的技術(shù)發(fā)展理念,構(gòu)建了層次清晰、定位明確、融合聯(lián)動的工業(yè)信息安全產(chǎn)品體系。
石油天然氣管道承擔(dān)國家戰(zhàn)略物資的傳輸任務(wù),其工控系統(tǒng)屬于國家關(guān)鍵基礎(chǔ)設(shè)施。奇安信通過本項(xiàng)目的實(shí)施,幫助客戶對管道工控系統(tǒng)整體安全態(tài)勢進(jìn)行監(jiān)測和響應(yīng)處置,提升了其安全與可靠性運(yùn)營水平。
一、 項(xiàng)目概況
1. 項(xiàng)目背景
近年來石油天然氣基礎(chǔ)設(shè)施已經(jīng)成為黑客組織的攻擊目標(biāo),2017年發(fā)生的針對沙特某石油天然氣裝置功能安全儀表系統(tǒng)(SIS)的攻擊為各國網(wǎng)絡(luò)安全主管機(jī)構(gòu)和基礎(chǔ)設(shè)施運(yùn)營企業(yè)敲響了警鐘。
本項(xiàng)目用戶負(fù)責(zé)長距離輸油氣管道的運(yùn)營管理、建設(shè)和科研, 承載著國家重大戰(zhàn)略物資輸送的任務(wù),擁有集油氣管道輸送技術(shù)研發(fā)、服務(wù)、培訓(xùn)、檢測和監(jiān)測為一體的專業(yè)科研機(jī)構(gòu),科研力量雄厚,科研設(shè)施完備,擁有管道核心技術(shù)研發(fā)能力,在油氣儲運(yùn)工藝、管道完整性管理 、管道化學(xué)添加劑、管道規(guī)劃、信息與經(jīng)濟(jì)等研究領(lǐng)域整體處于國內(nèi)領(lǐng)先水平。
2. 項(xiàng)目簡介
本項(xiàng)目實(shí)現(xiàn)對客戶轄區(qū)內(nèi)工業(yè)網(wǎng)絡(luò)全方位、全天候的安全監(jiān)測,對工控系統(tǒng)的資產(chǎn)進(jìn)行實(shí)時發(fā)現(xiàn)和監(jiān)測,幫助用戶實(shí)現(xiàn)工控系統(tǒng)的“可視化”,及時發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及非法訪問事件,實(shí)現(xiàn)工業(yè)信息安全的閉環(huán)管理,全面提高管道公司工業(yè)安全防護(hù)的整體水平。
3. 項(xiàng)目目標(biāo)
用戶承擔(dān)著國家重大戰(zhàn)略物資輸送的任務(wù),其油氣調(diào)控系統(tǒng)屬于國家關(guān)鍵信息基礎(chǔ)設(shè)施,一旦遭受攻擊,損失極大。為貫徹、落實(shí)習(xí)總書記4.19講話精神,按照《網(wǎng)絡(luò)安全法》及相關(guān)標(biāo)準(zhǔn)要求,本項(xiàng)目建設(shè)油氣調(diào)控系統(tǒng)分控中心工控系統(tǒng)安全監(jiān)測與態(tài)勢感知平臺,協(xié)助運(yùn)營人員及時進(jìn)行處置響應(yīng),提升油氣傳輸可靠性。
二、項(xiàng)目實(shí)施概況
通過前期調(diào)研了解到,各廠站端的工業(yè)流量匯聚到分控中心。為能夠?qū)崟r采集流量、不影響現(xiàn)有工業(yè)網(wǎng)絡(luò),采取了在交換機(jī)旁路部署工業(yè)安全監(jiān)測系統(tǒng)(ISD)進(jìn)行安全監(jiān)測,在分控中心采用工業(yè)安全監(jiān)測控制平臺(ISDC)進(jìn)行整體態(tài)勢感知的解決方案。
1. 項(xiàng)目總體架構(gòu)和主要內(nèi)容
根據(jù)普渡模型,ISD和ISDC總體部署模式如下圖所示:
圖1 基于普渡模型的產(chǎn)品部署模式
工業(yè)安全監(jiān)測系統(tǒng)(ISD)是針對工控系統(tǒng)網(wǎng)絡(luò)環(huán)境進(jìn)行異常監(jiān)測、威脅發(fā)現(xiàn)和安全審計(jì)的一體化產(chǎn)品。產(chǎn)品通過旁路方式部署,對工控系統(tǒng)的運(yùn)行數(shù)據(jù)進(jìn)行被動無損采集,實(shí)時發(fā)現(xiàn)信息安全威脅和其造成的系統(tǒng)運(yùn)行異常。產(chǎn)品可部署于生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層,協(xié)助運(yùn)營人員及時發(fā)現(xiàn)問題并響應(yīng)處理,提升工業(yè)生產(chǎn)連續(xù)性水平。
工業(yè)安全監(jiān)測控制平臺(ISDC)采集分布式部署在工業(yè)控制系統(tǒng)中的工業(yè)安全監(jiān)測系統(tǒng)(ISD)、工業(yè)主機(jī)防護(hù),工控防火墻相關(guān)數(shù)據(jù),以可視化方式集中展示資產(chǎn)、拓?fù)洹⑼{、脆弱性和工控系統(tǒng)安全運(yùn)行狀況,對安全事件進(jìn)行場景化分析、集中管理和處置跟蹤。
2. 網(wǎng)絡(luò)、平臺或安全互聯(lián)架構(gòu)
本項(xiàng)目工控系統(tǒng)安全監(jiān)測與態(tài)勢感知平臺部署示意如下圖所示,工業(yè)安全監(jiān)測系統(tǒng)(ISD)采用交換機(jī)旁路部署模式,工業(yè)安全監(jiān)測控制平臺對系統(tǒng)安全進(jìn)行整體安全監(jiān)測與態(tài)勢感知。
圖2 現(xiàn)場工業(yè)安全監(jiān)測部署示意圖
3. 具體應(yīng)用場景和應(yīng)用模式
本項(xiàng)目在油氣調(diào)控行業(yè)背景下實(shí)現(xiàn)以下安全功能:
(1)自動資產(chǎn)發(fā)現(xiàn)
基于被動流量發(fā)現(xiàn)資產(chǎn),支持多種廠商型號控制器,包括西門子,施耐德,羅克韋爾等。通過自動學(xué)習(xí)建立工控通信模型,形成資產(chǎn)白名單,監(jiān)測非法設(shè)備接入。支持資產(chǎn)管理,可管理廠商名稱、設(shè)備類型、設(shè)備型號、IP地址、MAC地址、使用協(xié)議、重要性等。
(2)無損漏洞識別
對識別后的資產(chǎn)進(jìn)行脆弱性檢查,包括資產(chǎn)所對應(yīng)的漏洞信息、開放的端口和不安全的協(xié)議。其中漏洞識別支持3大漏洞庫CVE,CNVD,CNNVD,覆蓋220+廠商,3300+條漏洞。由于是被動的流量識別,相對于主動漏洞掃描的方式安全無損。
(3)網(wǎng)絡(luò)威脅檢測
系統(tǒng)內(nèi)嵌IDS入侵檢測引擎和AV反病毒引擎,實(shí)時檢測工控系統(tǒng)網(wǎng)絡(luò)中的威脅行為。IDS引擎支持緩沖區(qū)溢出、跨站腳本、拒絕服務(wù)、惡意掃描、SQL注入、WEB攻擊等。AV引擎支持對傳統(tǒng)IT協(xié)議中傳輸?shù)奈谋尽⒏郊?nèi)容進(jìn)行解析提取。對提取后的數(shù)據(jù)進(jìn)行病毒掃描,支持的協(xié)議包括HTTP、FTP、SMTP、POP3、IMAP、SMB等。
同時內(nèi)置攻擊檢測模塊,支持對Flood攻擊、掃描、畸形包攻擊、應(yīng)用層攻擊的實(shí)時檢測。用戶通過啟用對應(yīng)防護(hù)模塊,有效的檢測工控網(wǎng)絡(luò)中非正常報(bào)文,提升防護(hù)能力。
(4)異常操作監(jiān)測
通過搭載的數(shù)據(jù)包解析引擎對關(guān)鍵事件進(jìn)行檢測,如:工程師站組態(tài)變更、操控指令變更、PLC下裝、固件升級等。本功能同時支持對OPC、Modbus TCP、S7、IEC104、CIP協(xié)議的白名單檢測,可以針對各類數(shù)據(jù)包進(jìn)行快速有針對性的捕獲與深度解析,能夠檢測出數(shù)據(jù)包的有效指令、數(shù)據(jù)內(nèi)容和負(fù)載信息,并結(jié)合白名單對不符合規(guī)則的流量進(jìn)行告警。
(5)系統(tǒng)狀態(tài)監(jiān)測
進(jìn)行流量審計(jì),實(shí)時監(jiān)測工控系統(tǒng)網(wǎng)絡(luò)通信情況。可識別多種主流工業(yè)控制協(xié)議,支持2000+種IT常用應(yīng)用協(xié)議識別,可識別工控系統(tǒng)內(nèi)的違規(guī)IT應(yīng)用,例如游戲、視頻、社交應(yīng)用。基于網(wǎng)絡(luò)基線模塊監(jiān)測偏離基線的異常流量,識別設(shè)備斷線、非法連接等異常。
(6)響應(yīng)工單處置
在發(fā)現(xiàn)高危告警后,安全管理員可將告警內(nèi)容和響應(yīng)建議通過工單方式發(fā)送給指定的安全事件處置人員,對告警的處理進(jìn)行閉環(huán)管理、統(tǒng)計(jì)和分析。
(7)自動報(bào)表生成
提供靈活的報(bào)表管理功能,可以支持快速報(bào)表,實(shí)時的輸出期望的報(bào)表內(nèi)容,也可按照客戶指定的周期自動生成報(bào)表以幫助用戶周期回顧安全情況。同時系統(tǒng)提供了報(bào)表模板的靈活編輯,用戶可以根據(jù)自身需要在數(shù)十個預(yù)置報(bào)表展示內(nèi)容中選擇自身需要內(nèi)容,調(diào)整順序以形成自身需要的報(bào)表。對于用戶定制化的報(bào)表內(nèi)容,安全團(tuán)隊(duì)可以根據(jù)情況進(jìn)行報(bào)表定制以應(yīng)對中國式報(bào)表需要。
(8)動態(tài)大屏展示
為用戶提供了大屏展示模塊和儀表盤功能,提供全面實(shí)時的信息展示。從資產(chǎn)、協(xié)議流量、網(wǎng)絡(luò)威脅等多個視角,結(jié)合實(shí)時曲線、動態(tài)占比、動態(tài)排行等顯示模塊,對工控系統(tǒng)網(wǎng)絡(luò)安全狀況進(jìn)行直觀展示。
4. 方案特點(diǎn)
(1)以資產(chǎn)為中心
產(chǎn)品通過資產(chǎn)自動識別、資產(chǎn)管理、資產(chǎn)網(wǎng)絡(luò)關(guān)系圖繪制,提供了以資產(chǎn)為中心的安全管理視角。工業(yè)生產(chǎn)流程比較固定,相較于以告警事件為中心的威脅分析方案,以資產(chǎn)為中心的漏洞發(fā)現(xiàn)與風(fēng)險(xiǎn)分析更符合工業(yè)環(huán)境管理習(xí)慣。級聯(lián)無損部署方式,不影響生產(chǎn)。
(2)多功能合一
ISD集流量審計(jì)、AV檢測、IDS檢測、白名單監(jiān)測、工控關(guān)鍵操作監(jiān)測引擎于一體,全面檢測工業(yè)網(wǎng)絡(luò)的病毒傳播、入侵行為。兼?zhèn)鋫鹘y(tǒng)IT網(wǎng)絡(luò)與工控網(wǎng)絡(luò)安全檢測能力,適合IT/OT混合網(wǎng)絡(luò)環(huán)境。同時滿足合規(guī)要求和安全監(jiān)測的要求。
(3)直觀的可視化效果
工業(yè)安全監(jiān)測控制平臺ISDC利用可視化技術(shù),將收集的數(shù)據(jù)進(jìn)行直觀的可視化展現(xiàn),包括2D/3D地圖,條形統(tǒng)計(jì)圖等各種形式,通過對數(shù)據(jù)的直觀展示,用戶可以清晰的了解到當(dāng)前網(wǎng)絡(luò)安全態(tài)勢。
三、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果
1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)
(1)以“大數(shù)據(jù)分析”為核心的威脅發(fā)現(xiàn)和溯源技術(shù)
大數(shù)據(jù)時代的到來為工業(yè)信息安全提供了新的技術(shù)手段,對工業(yè)企業(yè)的業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)進(jìn)行統(tǒng)一管理,將工業(yè)大數(shù)據(jù)和信息安全分析技術(shù)相結(jié)合,實(shí)現(xiàn)對數(shù)據(jù)的采集、分析并從功能維度進(jìn)行匯總、查看、統(tǒng)計(jì)及處置。基于大數(shù)據(jù)處理的工業(yè)態(tài)勢感知成為對工控系統(tǒng)安全威脅和系統(tǒng)狀態(tài)異常分析的有力武器。利用大數(shù)據(jù)分析能夠?qū)Π踩珣B(tài)勢、攻擊源、攻擊事件和工控資產(chǎn)進(jìn)行可視化展示,并通過可視化界面進(jìn)行數(shù)據(jù)關(guān)聯(lián)查詢,及時對工控環(huán)境中未來風(fēng)險(xiǎn)進(jìn)行預(yù)測、預(yù)防。最終做到“四得”:看得清用戶、抓得住行為、報(bào)得準(zhǔn)風(fēng)險(xiǎn)和響應(yīng)得及時。
(2)以“積極防御”為核心的縱深防御技術(shù)
為了實(shí)現(xiàn)持續(xù)的安全風(fēng)險(xiǎn)管理目標(biāo),企業(yè)需要建立能夠隨著時間不斷演進(jìn)的安全架構(gòu)和技術(shù)支撐體系。本平臺基于網(wǎng)絡(luò)安全滑動標(biāo)尺模型進(jìn)行安全防護(hù)。該標(biāo)尺模型共包含五大類別,分別為架構(gòu)安全、被動防御、積極防御、情報(bào)和進(jìn)攻。這五大類別之間具有連續(xù)性關(guān)系,并有效展示了防御逐步提升的理念,形成縱深防護(hù)體系。
圖3 網(wǎng)絡(luò)安全滑動標(biāo)尺模型
架構(gòu)安全:在系統(tǒng)規(guī)劃、建立和維護(hù)的過程中充分考慮安全防護(hù)。
被動防御:在無人員介入的情況下,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)。
積極防御: 分析人員對處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)(經(jīng)驗(yàn))和應(yīng)用知識(理解)的過程。
情報(bào):收集數(shù)據(jù)、將數(shù)據(jù)利用轉(zhuǎn)換為信息,并將信息生產(chǎn)加工為評估結(jié)果以填補(bǔ)已知知識缺口的過程。
進(jìn)攻:在友好網(wǎng)絡(luò)之外對攻擊者采取的直接行動(按照國內(nèi)網(wǎng)絡(luò)安全法要求,對于企業(yè)來說主要是通過法律手段對攻擊者進(jìn)行反擊)。
現(xiàn)階段大多數(shù)企業(yè)的信息安全工作都聚焦于“架構(gòu)安全”和“被動防御”對“積極防御”和“情報(bào)”則涉及較少,本項(xiàng)目建設(shè)以 “情報(bào)”驅(qū)動的“積極防御”縱深防御平臺,提高企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力。
(3)以“人+機(jī)器”為核心的安全運(yùn)營技術(shù)
新形勢下的網(wǎng)絡(luò)安全,本質(zhì)是“三人”的對抗:人與人的對抗、人與機(jī)器的對抗、人工智能的對抗。人工智能時代,機(jī)器人可以替代一切,但不能替代網(wǎng)絡(luò)安全工程師,因?yàn)榫W(wǎng)絡(luò)安全是逆向思維、是不走尋常路,而人工智能是經(jīng)驗(yàn)的決定。只有采用“人+機(jī)器”的方法,把人的知識驅(qū)動和機(jī)器的數(shù)據(jù)驅(qū)動結(jié)合起來,才能真正做到“誰進(jìn)來?做什么?拿了什么?”,從而掌控全局。
2. 實(shí)施效果
本項(xiàng)目采用奇安信工業(yè)安全監(jiān)測系統(tǒng)(ISD)和工業(yè)安全監(jiān)測控制平臺(ISDC)對油氣調(diào)控系統(tǒng)進(jìn)行集中監(jiān)測,該項(xiàng)目為中石油管道系統(tǒng)首套大型工控系統(tǒng)安全監(jiān)測與態(tài)勢感知平臺應(yīng)用,提升了油氣傳輸可靠性,降低安全運(yùn)營成本,為下一步在中石油及其它大型工業(yè)企業(yè)推進(jìn)奇安信倡導(dǎo)的工業(yè)安全監(jiān)測和響應(yīng)體系建設(shè)奠定基礎(chǔ)。
聲明
本報(bào)告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點(diǎn)、建議,不構(gòu)成法律建議,也不應(yīng)替代律師意見。本報(bào)告所有材料或內(nèi)容的知識產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有(注明是引自其他方的內(nèi)容除外),并受法律保護(hù)。如需轉(zhuǎn)載,需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可,任何人不得將報(bào)告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用,不得將報(bào)告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播,不得在任何公開場合使用報(bào)告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關(guān)法律責(zé)任。
AII微信公眾號
AII頭條號