今日頭條
官方微信
官方抖音
案例頻道★ 于慧超 中國石油天然氣股份有限公司西北銷售分公司
1 油儲行業(yè)數(shù)字化轉型發(fā)展的需求
2020年,國務院國有資產監(jiān)督管理委員會頒發(fā)《關于加快國有企業(yè)數(shù)字化升級轉型的通知》[1],明確指出:突出重點,打造行業(yè)數(shù)字化轉型的樣本工程,尤其是針對能源行業(yè)的油儲行業(yè),加快建設智慧油儲等智能現(xiàn)場,著力提高集成調度、遠程操作、智能運維水平,強化能源資產資源規(guī)劃、建設和運營全周期運營管控能力,實現(xiàn)能源企業(yè)全業(yè)務鏈的協(xié)同創(chuàng)新、高效運營和價值提升。與此同時,物聯(lián)網(wǎng)、5G、人工智能、區(qū)塊鏈、北斗等新技術的發(fā)展和廣泛應用促進油儲物流智慧化,推動以“集中共享、全面感知、過程可視、智能調度、互動協(xié)同、自主決策、學習提升”的數(shù)字化升級進程。使智慧油儲實現(xiàn)“智慧分析決策、智能優(yōu)化協(xié)同、數(shù)據(jù)共享可視、作業(yè)自動完成”的“智慧化”功能的同時,必須:(1)加快構建數(shù)據(jù)治理體系建設,明確企業(yè)數(shù)據(jù)治理歸口管理部門,加強數(shù)據(jù)標準化、元數(shù)據(jù)和主數(shù)據(jù)管理工作,創(chuàng)新數(shù)據(jù)融合分析與共享交換機制,強化業(yè)務場景數(shù)據(jù)建模,深入挖掘數(shù)據(jù)價值,提升數(shù)據(jù)洞察能力。(2)提升安全防護水平,建設態(tài)勢感知平臺,加強平臺、系統(tǒng)、數(shù)據(jù)等安全管理,提升本質安全,加強安全資源儲備,強化安全檢測評估,開展攻防演練,提升實戰(zhàn)化的網(wǎng)絡安全防護能力。
2 數(shù)字化轉型中智慧油儲的網(wǎng)絡安全威脅分析
2.1 數(shù)字化升級轉型聯(lián)網(wǎng)后的網(wǎng)絡安全威脅分析
數(shù)字化轉型促進智慧油儲進入跨越式的發(fā)展,物聯(lián)網(wǎng)、云平臺和數(shù)據(jù)中臺等新型數(shù)字基建平臺的建設,使網(wǎng)絡邊界從物理邊界向物理和虛擬邊界混合的模式演變。網(wǎng)絡安全是一個動態(tài)的過程,攻擊者手段、攻擊方法等不斷改變,新漏洞不斷出現(xiàn),加劇了智慧油儲生產經(jīng)營網(wǎng)絡安全威脅態(tài)勢,幾大威脅主要表現(xiàn)為:
(1)自身硬件安全隱患:存量的發(fā)油生產控制系統(tǒng)大多數(shù)為成套進口設備,如西門子、ABB等SCADA系統(tǒng),其I/O卡件可拆卸,一些控制程序可以被逆向編譯,極易被不法人員篡改,存在關鍵工藝參數(shù)和控制程序被泄露、篡改的數(shù)據(jù)安全隱患。
(2)操作系統(tǒng)的安全問題:發(fā)油生產控制系統(tǒng)的工程師站、操作站多采用Windows系統(tǒng),運行的控制流程系統(tǒng)均為西門子等國外廠商平臺,很難獲得有效的升級更新,供應鏈的安全隱患極大。
(3)勒索病毒的威脅:目前的生產系統(tǒng)與OA系統(tǒng)采用了物理隔離,通過U盤、刻錄光盤擺渡信息的需求十分普遍,由于U盤的濫用、刻錄軟件攜帶病毒,導致針對生產工控系統(tǒng)的勒索病毒感染事件每年層出不窮,聯(lián)網(wǎng)后極易受網(wǎng)內已感染病毒計算機攻擊,而且一旦被攻擊,破壞性巨大。
(4)工業(yè)應用軟件的安全問題:工控生產系統(tǒng)專用軟件大部分由設備原廠提供,極有可能存在系統(tǒng)后門、漏洞等,一旦聯(lián)網(wǎng)就導致工控軟件自身漏洞、后門等被利用后,可對特定工控設備進行入侵和攻擊。
(5)其他幾種常見的威脅:工業(yè)協(xié)議在設計上因缺少必要認證導致的協(xié)議與數(shù)據(jù)安全問題;工控生產系統(tǒng)的USB、串口、網(wǎng)口等物理外設接口以及139等通信端口帶來的安全隱患;部分信息系統(tǒng)升級擴容時會采用無線信號,很少采用數(shù)據(jù)加密和認證手段,對工控系統(tǒng)和辦公網(wǎng)絡產生的安全隱患。
2.2 數(shù)字化轉型后IT與OT的安全威脅相互影響
(1)IT與OT的相互影響:經(jīng)過等保1.0階段的合規(guī)建設,公司IT側的網(wǎng)絡安全建設比較成熟,但是油儲重要的生產發(fā)油控制的OT網(wǎng)絡安全建設相對比較滯后,數(shù)字化轉型后,一旦IT與OT互聯(lián),原本比較脆弱的工控生產系統(tǒng)OT網(wǎng)絡由于其自身漏洞多、病毒防護能力不足、身份鑒別和訪問控制手段缺乏,就會導致未授權用戶能夠向工控系統(tǒng)投放病毒或實施攻擊,并利用OT網(wǎng)絡與IT網(wǎng)絡的連接,入侵到IT網(wǎng)絡。
(2)企業(yè)核心數(shù)據(jù)出境風險:2021年工信部等部委聯(lián)合發(fā)布了《工業(yè)與信息化領域數(shù)據(jù)安全管理條例》,明確規(guī)定“核心數(shù)據(jù)不得出境”,聯(lián)網(wǎng)后企業(yè)重大敏感信息有可能從IT網(wǎng)絡向OT網(wǎng)絡傳遞,而OT的部分設備可能有后門,通過GPS或者衛(wèi)星通信泄密出境。
(3)IT和OT網(wǎng)絡病毒相互滲透:IT和OT的深度融合互聯(lián)后,IT網(wǎng)內的網(wǎng)絡攻擊或病毒可以直接滲透到OT網(wǎng)絡,破壞工控設備的數(shù)據(jù),對運行和效率產生擾動,影響正常生產。
3 智慧油儲網(wǎng)絡安全主動防御研究與設計
5G、工業(yè)物聯(lián)網(wǎng)等新信息技術在數(shù)字化轉型過程中的深入應用,智慧油儲對工業(yè)互聯(lián)網(wǎng)逐漸的高度依賴,以及外部動態(tài)的嚴峻網(wǎng)絡攻擊態(tài)勢,加劇了智慧油儲的網(wǎng)絡攻擊風險。數(shù)字化轉型浪潮下,多層面的安全威脅正發(fā)生新的變化,由此導致的損失愈發(fā)難以估量。不謀全局者,不足謀一域。僅單憑一種或幾種安全設備堆積,各自為戰(zhàn)的單一思路已很難應對復雜的安全問題。“見其所未見、察其所未察、管其所未管”才能織就牢不可破的安全密網(wǎng),為智慧油儲的進一步發(fā)展賦予安全能力的實質性提升。
3.1 首要舉措:加強網(wǎng)絡安全意識培養(yǎng)與安全管理體系建設
智慧油儲是信息化和網(wǎng)絡化高度融合發(fā)展的環(huán)境,對于安全風險的認知和防控必須提升高度,首要舉措是加強全員的網(wǎng)絡安全及保密意識,把網(wǎng)絡安全分責深耕到油儲企業(yè)的安全與分析管控體系之中,切實做到“同步規(guī)劃、同步建設、同步運行”三同步,完善與落實網(wǎng)絡安全管理體系。
3.2 IT和OT深度融合的網(wǎng)絡安全設計
數(shù)字化轉型首要任務是IT和OT的深度融合,在網(wǎng)絡安全建設的過程中,必須IT與OT網(wǎng)絡安全融合開發(fā)思路和一體化的設計與運營,以此實現(xiàn)IT和OT網(wǎng)絡安全的關聯(lián)分析和綜合態(tài)勢感知,如圖1所示。建立形成覆蓋IT和OT系統(tǒng)的“感知-預警-評估-處置”閉環(huán)管控機制,實現(xiàn)從全網(wǎng)攻擊鏈、攻擊源以及時間關聯(lián)性等角度進行二次分析,為全網(wǎng)實現(xiàn)網(wǎng)絡安全威脅聯(lián)動處理機制的綜合態(tài)勢提供數(shù)據(jù)支撐,提升網(wǎng)絡安全整體防御能力。同時,利用數(shù)字孿生技術的策略驗證和實戰(zhàn)化的攻防實訓平臺建立完備的應急體系,以備在危機時刻,主動防御系統(tǒng)能快速聯(lián)動以及應急補救,將攻擊事件造成的損失降到最低。
圖1 IT和OT網(wǎng)絡安全的關聯(lián)分析和綜合態(tài)勢感知
3.3 構建IT和OT一體化的縱深的主動防御體系
分別從油儲生產系統(tǒng)運營網(wǎng)絡的物理安全、網(wǎng)絡安全、主機安全、資產安全、訪問控制、數(shù)據(jù)安全及管理體系等七大方面進行技術防范和管理措施的設計,實現(xiàn)生產網(wǎng)系統(tǒng)業(yè)務應用的可用性、完整性和保密性保護[2~4],并在此基礎上充分考慮各種技術的組合和功能的互補性,采用自適應安全架構、主動防御安全體系,從外到內形成一個縱深的安全防御體系,保障IT和OT系統(tǒng)一體化的安全保護能力。圖2為數(shù)字化轉型背景下智慧油儲的網(wǎng)絡安全運營架構。
圖2 數(shù)字化轉型背景下智慧油儲的網(wǎng)絡安全運營架構
第一階段,以系統(tǒng)防護為核心思想,通過開展檢測、評估、實施和運維等工作,并配套應用工控資產清單、業(yè)務數(shù)據(jù)流、風險管理、脆弱性管理、PKI管理等工具,保證防護措施的有效性。
第二階段,以檢查、響應和應急恢復為抓手,全面加強對安全事件管理的能力,同時輔以威脅情報、安全運營中心(SOC)集成、協(xié)同管理等運營管理工具,實現(xiàn)全網(wǎng)的一體化的安全運營。
3.4 基于業(yè)務安全防御的誘捕系統(tǒng)
智慧油儲網(wǎng)絡安全防御首要保障發(fā)油生產系統(tǒng)的連續(xù)性,防護重點是發(fā)油生產的設備及其物聯(lián)網(wǎng)系統(tǒng)(也是網(wǎng)絡攻擊的主要對象),為切實保護生產系統(tǒng)的業(yè)務安全,在每一分部的發(fā)油生產經(jīng)營網(wǎng)的入口、生產控制系統(tǒng)網(wǎng)絡入口分別部署仿真業(yè)務流程且具有特征誘餌的誘捕系統(tǒng)(蜜罐網(wǎng)),分別真實模擬發(fā)油生產運營與控制業(yè)務系統(tǒng),吸引真實攻擊者,捕獲勒索、后門、黑客等攻擊行為,溯源身份信息。根據(jù)實際需要,在油庫現(xiàn)場的發(fā)油生產運營的網(wǎng)絡入口部署現(xiàn)行針對IT系統(tǒng)較為成熟的中度交互的蜜罐。而在生產控制系統(tǒng)網(wǎng)內需要部署針對仿真油儲生產控制業(yè)務流程的中高交互的蜜罐,在工控蜜罐部署時,首先需要對控制生產網(wǎng)絡內部設備端口進行掃描,對于生產系統(tǒng)需要開放的設備端口,采用主動防御技術,將工控誘捕系統(tǒng)主動與此類設備端口建立連接,并發(fā)送具有控制系統(tǒng)必要的一些特征探測包,如在探測包頭的option字段中加載一些特征值,便于辨識是蜜罐還是攻擊者的訪問等。工控蜜罐通過端口掃描、探測數(shù)據(jù)包發(fā)送和攻擊痕跡記錄分析等特征,與誘捕系統(tǒng)的分析中心交互,得到相關的誘捕策略,與潛伏在發(fā)油生產控制系統(tǒng)中的木馬、病毒和后門程序、攻擊者等進行更好地交互,通過預設的蜜罐誘餌對其造成誤導,使其攻擊目標轉向蜜罐,以此主動地挖掘在內網(wǎng)潛伏的攻擊威脅。在這些威脅竊取關鍵數(shù)據(jù)之前,實現(xiàn)早期預警防護,并與運營中心交互,啟動必要的防護設備聯(lián)動策略,以此保護發(fā)油生產控制系統(tǒng)的資產。同時,通過攻擊者的設備指紋、位置信息、社交指紋、反向探測-漏洞信息、資產登記信息等快速、精準、直接定位攻擊者信息。
3.5 基于UEBA和SOAR技術的精確預警
建設與上線運行中的“面向油庫安全運營的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺”更強調“態(tài)”(攻擊數(shù)量)和“勢”(攻擊烈度、趨勢),其安全運營的能力局限于需要由安全專家預先創(chuàng)建的關聯(lián)規(guī)則,同時范圍局限于與系統(tǒng)或應用程序相關的網(wǎng)絡信息的聯(lián)系。面對攻擊技術日益更新的網(wǎng)絡態(tài)勢,本身對安全運營人員在分析適應性上提出了高要求。為精確預警,減少誤報、錯判、漏判,采用UEBA(用戶實體行為分析)和SOAR(安全編排自動化響應)融合技術,其中UEBA進行用戶行為分析,以用戶為視角利用無監(jiān)督學習和半監(jiān)督學習進行自我演化進而不斷貼合服務的業(yè)務場景和流程,而SOAR則是在識別后,對于威脅事件的處理,解決復雜邏輯編排、安全設備聯(lián)動的問題。
引入UEBA技術,使用用戶畫像技術對比分析用戶的行為是否偏離具有相同角色的用戶整體的行為,以減少異常檢測中虛警過高的問題,從而從相同用戶角色的角度進一步分析異常行為,提高異常判斷的置信度。同時依據(jù)實時的流處理基礎,把具有相同角色的用戶整體構建安全基線,當被分析用戶的操作偏離預先定義好的正常行為模式,或與安全基線產生超出裕度的偏離時,可以初步判定該用戶行為異常,并產生相應的聯(lián)動動作,可直接降低MTTI(平均識別時間)和MTTR(平均修復時間),完成對異常行為、異常用戶的精準定位。在發(fā)生疑似安全攻擊時,需要利用SOAR技術進行聯(lián)動安全防護,具體步驟:(1)針對不同資產、事件級別、事件類型選擇聯(lián)動范圍;(2)針對不同場景、事件級別的安全事件,選擇不同的響應手段,一旦事件被觸發(fā),則自動執(zhí)行相應的編排策略;(3)針對不同響應手段,選擇不同的聯(lián)動設備,同時還可以選擇策略生效時間段。充分利用威脅情報,實現(xiàn)全網(wǎng)全信息的監(jiān)測、安全資產的風險管控、快速情報共享,以此降低油儲網(wǎng)絡安全的平均建設成本。由此以識別為基礎,以防護、檢測為核心,以響應恢復和常態(tài)化保障為支撐,最終建立“事前—事中—事后”的全過程支撐能力,變被動為主動,直至達到完全的動態(tài)自適應安全能力和態(tài)勢感知的能力。圖3為告警事件與SOAR之間的協(xié)同。
圖3 告警事件與SOAR之間的協(xié)同
4 基于業(yè)務安全的智慧油儲的主動防御策略與實踐
針對數(shù)字化升級轉型的智慧油儲的網(wǎng)絡安全主動防御的建設和應用,需構建集安全技術、安全管理、安全運營等一體化體系。建立油儲公司總部、分部油庫以及發(fā)油生產的上下級級聯(lián)架構,實現(xiàn)安全事件、告警、威脅、預警等數(shù)據(jù)的實時自動逐級上報、匯總、呈現(xiàn),構建集常態(tài)化、實戰(zhàn)化與系統(tǒng)化的IT和OT一體化的網(wǎng)絡安全風險動態(tài)監(jiān)測、分析、檢查、安全事件處置等機制為一體的安全運營體系,提升整體網(wǎng)絡安全能力。該系統(tǒng)上線運行近兩年,每年在逐步完善與改進,充分利用5G、工業(yè)物聯(lián)網(wǎng)、AI等新一代信息技術加速“工業(yè)互聯(lián)網(wǎng)+智能生產”的進程。
4.1 構建了基于油儲智能化生產的網(wǎng)絡安全防護
數(shù)字化轉型下的油儲生產經(jīng)營網(wǎng)絡呈現(xiàn)出IP化、無線化、組網(wǎng)靈活與全局化的特點,逐步向“工業(yè)互聯(lián)網(wǎng)+智能化生產”轉型,滿足業(yè)務安全的主動防護,網(wǎng)絡安全防護主要采取的安全措施包括網(wǎng)絡邊界安全、網(wǎng)絡接入認證、通信和傳輸保護、安全監(jiān)測審計,同時考慮供應鏈安全。
4.2 基于協(xié)議深度解析的控制安全防護
智慧油儲的生產經(jīng)營網(wǎng)絡逐步向扁平、開放、全局方向發(fā)展,針對其生產控制系統(tǒng)內網(wǎng)的安全防護,以分層隔離的技術手段縮小網(wǎng)絡安全的作用域,提升網(wǎng)絡區(qū)域之間的通訊安全,加強協(xié)議異常和零流量等監(jiān)測與預警。針對關鍵設施的發(fā)油生產設備的安全防護通過解析各個工藝流程控制指令要求,發(fā)現(xiàn)SCADA等系統(tǒng)存在安全隱患,避免設備指令被非法篡改,采用包括漏洞發(fā)現(xiàn)與風險規(guī)避、設備接入認證、運維管控等安全機制。
4.3 基于輕量級零信任技術的應用安全防護
采用零信任技術針對IT系統(tǒng)的資產管控,而針對OT系統(tǒng)的空間資產則采用輕量級零信任技術,并將IT和OT與業(yè)務安全一體化設計,包括安全審計、認證授權、安全隔離、安全監(jiān)測、補丁升級、代碼審計、漏洞發(fā)現(xiàn)、審核測試、行為監(jiān)測和異常阻止等。
4.4 基于數(shù)據(jù)全生命周期的安全防護
智慧油儲的運行數(shù)據(jù)向大量、多維、雙向轉變,數(shù)據(jù)體量不斷增大、種類不斷增多、結構日趨復雜,并出現(xiàn)數(shù)據(jù)在工廠內部與外部網(wǎng)絡之間的雙向流動共享,其數(shù)據(jù)安全防護采取數(shù)據(jù)加密傳輸、數(shù)據(jù)加密存儲、數(shù)據(jù)脫敏處理等防護措施[5]。
4.5 基于全局態(tài)勢感知的協(xié)同安全管控
面對油儲生產經(jīng)營網(wǎng)絡的設備類型多、供應種類多、網(wǎng)絡攻擊來源復雜等問題,在構建智慧油儲的網(wǎng)絡安全針對防御體系時建立基于IT和OT一體化的統(tǒng)一安全監(jiān)測與管理中心,以實現(xiàn)對多類設備、多種數(shù)據(jù)、多類資產以及多種攻擊事件的統(tǒng)一管理。
5 結束語
數(shù)字化轉型是一個“艱巨性、長期性和系統(tǒng)性”的工程,以威脅行為識別為基礎,以防護、檢測為核心,以響應恢復和常態(tài)化保障作為支撐,最終建立“事前-事中-事后”的全過程支撐能力,變被動為主動,直至達到完全的動態(tài)自適應安全和態(tài)勢感知的能力,實施數(shù)字化轉型中智慧油儲生產經(jīng)營網(wǎng)絡的系統(tǒng)性的主動安全防護,滿足其對信息化和工業(yè)化建設的要求,有效地將網(wǎng)絡安全事件及生產安全事件聯(lián)成有機整體,不僅能節(jié)省人力、物力、財力,更為重要的是能及時、高效、準確地為安全管理決策提供依據(jù),助力我國成品油流通體系建設與行業(yè)的高質量、可持續(xù)發(fā)展。
★基金項目:工信部2018年工業(yè)互聯(lián)網(wǎng)安全集成創(chuàng)新應用試點示范項目:面向油庫安全運營的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統(tǒng)(TC180H04V)。
作者簡介
于慧超(1986-),男,山東威海人,中級工程師,學士,現(xiàn)就職于中國石油天然氣股份有限公司西北銷售分公司,長期從事于生產運營系統(tǒng)的自動化運維、網(wǎng)絡安全運營、安全規(guī)劃管理及重大項目管理工作。
參考文獻:
[1] 國務院國資委. 關于加快推進國有企業(yè)數(shù)字化轉型工作的通知[Z]. 2020.
[2] 陳釗, 曾凡平, 陳國柱, 張燕詠, 李向陽. 物聯(lián)網(wǎng)安全測評技術綜述[J]. 信息安全學報, 2019, 4 (03) : 2 -16.
[3] 石永杰, 于慧超, 呂峰, 等. 工業(yè)控制系統(tǒng)網(wǎng)絡安全的主動防御技術研究與實踐[J]. 信息技術與網(wǎng)絡安全,2020, 39 (5) : 13 - 18.
[4] 鐘劍. 企業(yè)網(wǎng)絡安全建設中的關鍵因素研究[J]. 網(wǎng)絡空間安全, 2019, 10 (4) : 23 - 30.
[5] 陳雪鴻, 楊帥鋒, 張雪瑩. 淺談工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護[J], 自動化博覽, 2021, 38 (01) : 15 - 17.
摘自《自動化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第八輯)》
北京市公安局海淀分局備案號:11010802023656號