今日頭條
官方微信
官方抖音
案例頻道★季俊北京康吉森自動(dòng)化技術(shù)股份有限公司
關(guān)鍵詞:工業(yè)控制系統(tǒng);信息安全;安全儀表系統(tǒng);網(wǎng)絡(luò)安全等級(jí)保護(hù)
1 項(xiàng)目概況
1.1 項(xiàng)目背景
石油化工行業(yè)是關(guān)系到國(guó)計(jì)民生的重要支柱行業(yè)。因此,石化企業(yè)的信息系統(tǒng)、工控系統(tǒng)長(zhǎng)期以來(lái)一直是網(wǎng)絡(luò)攻擊的重要目標(biāo),企業(yè)的安全運(yùn)營(yíng)面臨著一系列的痛點(diǎn)與難點(diǎn)。
面對(duì)嚴(yán)峻的信息安全環(huán)境,國(guó)家高度重視工控信息安全相關(guān)工作的建設(shè)和發(fā)展水平,各相關(guān)部門(mén)已陸續(xù)出臺(tái)相關(guān)政策和文件,強(qiáng)化頂層設(shè)計(jì),對(duì)工控信息安全防護(hù)工作進(jìn)行監(jiān)督和指導(dǎo)。網(wǎng)絡(luò)安全建設(shè)與運(yùn)維已經(jīng)成為石化行業(yè)信息化建設(shè)過(guò)程中不可忽視的建設(shè)內(nèi)容,如何在石油化工企業(yè)信息化建設(shè)與使用過(guò)程中,尤其針對(duì)石油化工企業(yè)的工業(yè)控制系統(tǒng)組網(wǎng)應(yīng)用環(huán)境構(gòu)建工控安全防護(hù)體系,提高全網(wǎng)工控安全動(dòng)態(tài)管理能力,已經(jīng)被行業(yè)主管單位、公司領(lǐng)導(dǎo)高度重視,網(wǎng)絡(luò)安全體系化建設(shè)已經(jīng)成為當(dāng)前重要的建設(shè)任務(wù)。
1.2 項(xiàng)目簡(jiǎn)介
本項(xiàng)目是中國(guó)石化鎮(zhèn)海煉化分公司中石化鎮(zhèn)海基地項(xiàng)目,包括如下生產(chǎn)裝置、公用工程及輔助設(shè)施:120萬(wàn)噸/年乙烯裝置、60萬(wàn)噸/年裂解汽油加氫裝置、40萬(wàn)噸/年芳烴抽提裝置、16萬(wàn)噸/年丁二烯抽提裝置、10/4萬(wàn)噸/年MTBE/丁烯-1裝置、80萬(wàn)噸/年乙二醇裝置、30萬(wàn)噸/年氣相法高密度聚乙烯裝置、30萬(wàn)噸/年淤漿法高密度聚乙烯裝置、30萬(wàn)噸/年聚丙烯裝置、27.4/60.2萬(wàn)噸/年P(guān)O/SM裝置(含乙苯裝置)、煤/焦制氣聯(lián)合(POX)裝置、公用工程及輔助設(shè)施等。
本項(xiàng)目采用中心控制室(Central Control Room,CCR)和現(xiàn)場(chǎng)機(jī)柜室(Field Auxiliary Room,F(xiàn)AR)分離設(shè)置方式。原則上生產(chǎn)裝置、公用工程及輔助設(shè)施等控制系統(tǒng)操作站設(shè)置在相應(yīng)的中心控制室,控制站設(shè)置在相應(yīng)的現(xiàn)場(chǎng)機(jī)柜室,現(xiàn)場(chǎng)儀表信號(hào)通過(guò)電纜連接到現(xiàn)場(chǎng)機(jī)柜室,從現(xiàn)場(chǎng)機(jī)柜室到中心控制室的信號(hào)傳輸采用冗余光纜。操作管理人員在中心控制室完成生產(chǎn)裝置的控制、監(jiān)測(cè)、報(bào)警及報(bào)表等操作。現(xiàn)場(chǎng)機(jī)柜室設(shè)置工程師站,用于開(kāi)車(chē)前的系統(tǒng)調(diào)試和系統(tǒng)維護(hù)等工作。
中心控制室設(shè)置各控制系統(tǒng)的工程師站和操作員站,用于系統(tǒng)組態(tài)維護(hù)和日常操作。
1.3 項(xiàng)目目標(biāo)
石化行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施的安全建設(shè),應(yīng)著眼于解決系統(tǒng)的架構(gòu)安全、建立被動(dòng)防御體系、形成積極防御力量,再到基于威脅情報(bào)的保障體系,需要逐步動(dòng)態(tài)完善。企業(yè)應(yīng)逐漸認(rèn)識(shí)到安全是相對(duì)的、動(dòng)態(tài)的和持續(xù)投入的,單純的、靜態(tài)的安全防護(hù)體系不是一條有效的解決途徑。在與業(yè)務(wù)緊密貼合的前提下,現(xiàn)階段企業(yè)需要正視工控系統(tǒng)架構(gòu)安全的脆弱性,建立智能的縱深防御系統(tǒng),采取數(shù)據(jù)采集、監(jiān)控和應(yīng)急處置的聯(lián)動(dòng)方式,快速、及時(shí)地保障生產(chǎn)安全。
按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等國(guó)家/行業(yè)相關(guān)網(wǎng)絡(luò)安全防護(hù)的政策與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求,針對(duì)石油化工企業(yè)控制及調(diào)度技術(shù)發(fā)展,本項(xiàng)目全面評(píng)估當(dāng)前中石化鎮(zhèn)海基地項(xiàng)目SIS系統(tǒng)的網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng)、控制系統(tǒng)及自動(dòng)化設(shè)備可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),并形成分析報(bào)告。本項(xiàng)目圍繞當(dāng)前企業(yè)技改與未來(lái)“一張網(wǎng)”發(fā)展規(guī)劃,按照國(guó)家網(wǎng)絡(luò)安全法提出的“同步規(guī)劃、同步建設(shè)、同步使用”的三同步原則,利用當(dāng)前先進(jìn)的網(wǎng)絡(luò)安全防護(hù)理念、技術(shù)與產(chǎn)品,有序地開(kāi)展石油化工企業(yè)生產(chǎn)控制系統(tǒng)中安全防護(hù)體系的頂層設(shè)計(jì)、分期設(shè)計(jì)與建設(shè)工作,構(gòu)建網(wǎng)絡(luò)安全立體的防護(hù)體系,滿(mǎn)足標(biāo)準(zhǔn)合規(guī)性要求。同時(shí),按照企業(yè)多級(jí)管理職能,本項(xiàng)目設(shè)計(jì)構(gòu)建全網(wǎng)工控安全管控與運(yùn)營(yíng)體系,形成多級(jí)聯(lián)動(dòng)機(jī)制,實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)安全監(jiān)測(cè)、風(fēng)險(xiǎn)可視、通報(bào)預(yù)警與聯(lián)動(dòng)處置,提高網(wǎng)絡(luò)安全綜合管控與防護(hù)能力。
本項(xiàng)目針對(duì)中石化鎮(zhèn)海基地項(xiàng)目SIS系統(tǒng)實(shí)際需求,通過(guò)設(shè)計(jì)建設(shè)一套穩(wěn)定、先進(jìn)、高效、可靠的全生命周期工控安全技術(shù)防御體系,集中展現(xiàn)了石油化工企業(yè)生產(chǎn)控制系統(tǒng)的整體工控安全態(tài)勢(shì),提升了整體工控安全監(jiān)管水平和防御能力,形成了技術(shù)+管理的綜合安全防護(hù)體系,滿(mǎn)足了實(shí)際安全防護(hù)需求。
(1)安全通信網(wǎng)絡(luò):對(duì)鎮(zhèn)海煉化生產(chǎn)控制系統(tǒng)的訪問(wèn)邏輯進(jìn)行梳理,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),按照網(wǎng)絡(luò)資產(chǎn)的屬性與訪問(wèn)邏輯,合理劃分網(wǎng)絡(luò)安全域,在石油化工企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)的邊界部署安全隔離與訪問(wèn)控制措施,實(shí)現(xiàn)必要的邊界安全防護(hù),同時(shí)按照業(yè)務(wù)組網(wǎng)應(yīng)用特點(diǎn),酌情增加鏈路加密措施,保障鏈路通信的數(shù)據(jù)安全性。
(2)安全區(qū)域邊界:在重要的安全域邊界設(shè)計(jì)部署安全隔離與訪問(wèn)控制措施,對(duì)重要安全域進(jìn)行必要的安全防護(hù),保證鎮(zhèn)海煉化生產(chǎn)控制系統(tǒng)的運(yùn)行安全。
(3)安全計(jì)算環(huán)境:對(duì)全網(wǎng)的服務(wù)器、操作員站、工程師站等主機(jī)系統(tǒng)設(shè)計(jì)安裝必要的安全管控措施,實(shí)現(xiàn)對(duì)主機(jī)系統(tǒng)必要的安全管控,保障主機(jī)系統(tǒng)運(yùn)行安全。主機(jī)安全管控措施包括主機(jī)進(jìn)程管控、主機(jī)USB口外界管理等,實(shí)現(xiàn)主機(jī)防病毒、防第三方軟件非授權(quán)安裝使用、防USB設(shè)備非法連接與數(shù)據(jù)拷貝等功能,可以提升人機(jī)交互界面必要的安全防控和主機(jī)系統(tǒng)的安全性。同時(shí),借助于在安全管理域內(nèi)部署的主機(jī)系統(tǒng)脆弱性?huà)呙韫ぞ撸梢詫?shí)現(xiàn)對(duì)主機(jī)系統(tǒng)弱口令、漏洞的安全管理,并通過(guò)主機(jī)加固措施提升主機(jī)系統(tǒng)的抗攻擊能力。
(4)安全管理中心:在鎮(zhèn)海煉化生產(chǎn)控制網(wǎng)絡(luò)中新建安全管理域,部署集中安全管理手段,實(shí)現(xiàn)對(duì)全網(wǎng)用戶(hù)集中認(rèn)證、權(quán)限管理與操作行為審計(jì),同時(shí)部署綜合日志審計(jì)與安全管理技術(shù)手段,建立全網(wǎng)安全風(fēng)險(xiǎn)的集中管理、分析、可視化與聯(lián)動(dòng)處置機(jī)制,部署安全威脅掃描與管理工具,全面實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)的集中管理與處置,保證風(fēng)險(xiǎn)的快速感知與處置,提升安全風(fēng)險(xiǎn)的管理與處置能力。
(5)安全管理體系:基于鎮(zhèn)海煉化現(xiàn)有的安全管理組織結(jié)構(gòu)與管理措施,由我方專(zhuān)業(yè)的安全服務(wù)人員以安全咨詢(xún)服務(wù)的形式,按照相關(guān)標(biāo)準(zhǔn)規(guī)范要求,為用戶(hù)梳理安全管理體系內(nèi)容,幫助用戶(hù)健全與完善安全管理體系相關(guān)內(nèi)容,從管理上完善安全管理的體系化建設(shè),包括日常管理以及應(yīng)急保障等相關(guān)內(nèi)容,以構(gòu)建綜合的安全防護(hù)體系,保障石油化工企業(yè)工控系統(tǒng)的安全穩(wěn)定運(yùn)行。
2 項(xiàng)目實(shí)施
2.1 安全通信網(wǎng)絡(luò)
鎮(zhèn)海煉化的工業(yè)控制網(wǎng)絡(luò)是相對(duì)獨(dú)立封閉的,生產(chǎn)裝置控制網(wǎng)絡(luò)一般只與企業(yè)管理需求的上層應(yīng)用MES系統(tǒng)進(jìn)行通訊,通過(guò)OPC數(shù)據(jù)采集實(shí)現(xiàn)生產(chǎn)業(yè)務(wù)數(shù)據(jù)的單向傳輸。除此以外,部分控制網(wǎng)絡(luò)在橫向上與SIS、ESD等其他專(zhuān)用控制系統(tǒng)也存在以Modbus協(xié)議或RS485、硬接線進(jìn)行數(shù)據(jù)傳輸?shù)男枨蟆?/p>
在本項(xiàng)目中SIS系統(tǒng)與上層生產(chǎn)經(jīng)營(yíng)管理系統(tǒng)等辦公信息系統(tǒng)通過(guò)DCS系統(tǒng)進(jìn)行通訊,SIS系統(tǒng)僅在現(xiàn)場(chǎng)控制器通過(guò)RS485串口形式與DCS產(chǎn)生數(shù)據(jù)交互,故本項(xiàng)目中不對(duì)SIS系統(tǒng)部署工業(yè)網(wǎng)閘等隔離設(shè)備與外網(wǎng)隔離。
為滿(mǎn)足等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范中對(duì)生產(chǎn)控制系統(tǒng)的安全要求,本項(xiàng)目對(duì)各裝置SIS系統(tǒng)的網(wǎng)絡(luò)進(jìn)行優(yōu)化,根據(jù)控制網(wǎng)絡(luò)中不同裝置資產(chǎn)屬性和訪問(wèn)邏輯來(lái)劃分安全域,使石油化工企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)免受來(lái)自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險(xiǎn)。
2.2 安全區(qū)域邊界
針對(duì)石油化工企業(yè)工控網(wǎng)絡(luò)中劃分的安全域,按照安全域的安全權(quán)重,本項(xiàng)目有針對(duì)性地進(jìn)行安全域的隔離與訪問(wèn)控制,以及必要的安全防護(hù),以保護(hù)各安全域運(yùn)行的安全。具體技術(shù)措施如下描述:
2.2.1 工業(yè)防火墻系統(tǒng)
在過(guò)程控制層與現(xiàn)場(chǎng)控制層之間串行部署工控防火墻,具體為工程師站室與各裝置操作室的交換機(jī)之間,實(shí)現(xiàn)各安全域邊界隔離與訪問(wèn)控制。工業(yè)防火墻具有工控協(xié)議的深度解析能力,不僅僅可支持基于網(wǎng)絡(luò)五元組的訪問(wèn)控制,還可以基于工控行為的安全控制與防護(hù),保護(hù)各安全域系統(tǒng)的運(yùn)行安全;在網(wǎng)絡(luò)安全專(zhuān)網(wǎng)跨越不同級(jí)別安全域——“生產(chǎn)區(qū)與安全管理區(qū)”之間部署工業(yè)防火墻類(lèi)產(chǎn)品,實(shí)現(xiàn)區(qū)域隔離控制。
工業(yè)防火墻系統(tǒng)屬于工業(yè)級(jí)安全防護(hù)設(shè)備,可支持30多種工控協(xié)議識(shí)別與深度解析,包括:Modbus、TCP、OPC、DNP3.0、西門(mén)子ProfiNet、西門(mén)子S7、IEC 61850和IEC 60870-5-104等,具有基于工控行為構(gòu)建白名單訪問(wèn)控制策略,可實(shí)現(xiàn)細(xì)粒度的安全防護(hù)。
2.2.2 安全檢測(cè)與審計(jì)系統(tǒng)
在工程師站室的核心交換機(jī)上旁路部署安全檢測(cè)與審計(jì)系統(tǒng),對(duì)工控系統(tǒng)的應(yīng)用服務(wù)器、主機(jī)管理系統(tǒng)等控制網(wǎng)絡(luò)內(nèi)的應(yīng)用系統(tǒng)、流量數(shù)據(jù)進(jìn)行全面檢測(cè),對(duì)通信數(shù)據(jù)進(jìn)行合規(guī)性檢查,對(duì)異常行為、違規(guī)操作行為進(jìn)行識(shí)別、審計(jì)、告警,告警日志可發(fā)送至日志審計(jì)系統(tǒng)和安全管理平臺(tái)系統(tǒng)進(jìn)行集中存儲(chǔ)、分析與風(fēng)險(xiǎn)關(guān)聯(lián)展示,輔助安全運(yùn)維人員進(jìn)行監(jiān)測(cè)處置。
安全檢測(cè)與審計(jì)系統(tǒng)支持對(duì)OPC、Ethernet/IP、Modbus/TCP、IEC61850、IEC60870-5-104、DNP3、Profinet、S7、GOOSE和SV等30多種工控協(xié)議進(jìn)行深度解析,通過(guò)還原操作行為,對(duì)有異常操作行為進(jìn)行審計(jì)告警,輔助網(wǎng)關(guān)防護(hù)系統(tǒng)策略調(diào)整,實(shí)現(xiàn)對(duì)石油化工企業(yè)工控網(wǎng)絡(luò)的運(yùn)行安全。
2.3 安全計(jì)算環(huán)境
在石油化工企業(yè)工控網(wǎng)絡(luò)中的安全計(jì)算環(huán)境是指包括工程師站、操作員站、應(yīng)用服務(wù)器等大量的主機(jī)操作系統(tǒng)及數(shù)據(jù)存儲(chǔ)環(huán)境,應(yīng)定期通過(guò)檢查工具對(duì)其控制網(wǎng)內(nèi)的安全計(jì)算環(huán)境的安全漏洞與脆弱性進(jìn)行檢查及修復(fù),關(guān)閉不需要的默認(rèn)賬號(hào)、服務(wù),進(jìn)行主機(jī)系統(tǒng)必要的安全加固,持續(xù)地進(jìn)行以白名單為主要技術(shù)手段的操作系統(tǒng)安全防護(hù)。同時(shí)針對(duì)工控環(huán)境下的高危隱患,如通過(guò)USB口接入的移動(dòng)外接設(shè)備進(jìn)行認(rèn)證管理、防USB攻擊、防病毒、防篡改與操作行為審計(jì)等,保護(hù)系統(tǒng)USB拷貝數(shù)據(jù)的安全。本次設(shè)計(jì)將考慮部署以下技術(shù)措施來(lái)對(duì)主機(jī)系統(tǒng)進(jìn)行必要的安全防護(hù)。
2.3.1 工控主機(jī)衛(wèi)士
針對(duì)石油化工企業(yè)工控網(wǎng)絡(luò)中的工程師站、操作員站、應(yīng)用服務(wù)器等主機(jī)操作系統(tǒng),安裝部署以白名單為核心技術(shù)的工控主機(jī)衛(wèi)士,實(shí)現(xiàn)對(duì)關(guān)鍵操作系統(tǒng)及人機(jī)交互的主機(jī)加固、安全防護(hù)及病毒防護(hù)。
白名單技術(shù)的主動(dòng)防御機(jī)制相對(duì)于黑名單形式的防病毒軟件占用更小的系統(tǒng)計(jì)算資源,實(shí)現(xiàn)了最大的防護(hù)效能,可有效地實(shí)現(xiàn)主機(jī)防病毒、防第三方軟件的非授權(quán)安裝與使用、主機(jī)系統(tǒng)外接口的管控、USB外接存儲(chǔ)設(shè)備的認(rèn)證管控、防病毒與操作行為審計(jì),為主機(jī)系統(tǒng)安全運(yùn)行提供了必要的安全保障。
本方案使用的主機(jī)安全防護(hù)系統(tǒng)是工控主機(jī)系統(tǒng)專(zhuān)用的安全防護(hù)系統(tǒng)。該系統(tǒng)運(yùn)用白名單為主,灰名單、黑名單為輔的創(chuàng)新技術(shù)方式,可以監(jiān)控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB端口狀態(tài),能?chē)?yán)格對(duì)主機(jī)應(yīng)用進(jìn)程進(jìn)行管控,外接端口管控,USB設(shè)備認(rèn)證與使用管理,以及操作行為管理,強(qiáng)化了工控主機(jī)的安全管理,提升了主機(jī)系統(tǒng)的抗攻擊能力。
2.3.2 數(shù)據(jù)庫(kù)態(tài)勢(shì)感知
為接收、存儲(chǔ)大量生產(chǎn)業(yè)務(wù)數(shù)據(jù),石油化工企業(yè)的工控生產(chǎn)網(wǎng)的生產(chǎn)執(zhí)行層部署有實(shí)時(shí)數(shù)據(jù)庫(kù)、歷史數(shù)據(jù)庫(kù)等生產(chǎn)業(yè)務(wù)服務(wù)器,企業(yè)應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)庫(kù)所面臨的風(fēng)險(xiǎn)并進(jìn)行多方位評(píng)估。為石油化工企業(yè)的生產(chǎn)控制系統(tǒng)部署數(shù)據(jù)庫(kù)態(tài)勢(shì)感知系統(tǒng),可以通過(guò)旁路、探針、分布式等多種部署方式,為數(shù)據(jù)庫(kù)的各類(lèi)應(yīng)用環(huán)境提供全方位監(jiān)控與審計(jì)。
數(shù)據(jù)庫(kù)態(tài)勢(shì)感知系統(tǒng)提供實(shí)時(shí)的數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)監(jiān)控,可以及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)在運(yùn)行中出現(xiàn)的性能異常,并結(jié)合審計(jì)日志準(zhǔn)確定位異常操作,防止因性能問(wèn)題而導(dǎo)致的業(yè)務(wù)癱瘓。通過(guò)內(nèi)置的掃描策略,該系統(tǒng)可以及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)在運(yùn)行時(shí)可能出現(xiàn)的配置、管理風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)軟件本身存在的漏洞。該系統(tǒng)還提供基于自學(xué)習(xí)的基線策略模型,通過(guò)多關(guān)鍵字匹配、正則表達(dá)式、SQL模式等,即可對(duì)數(shù)據(jù)庫(kù)進(jìn)行精確的訪問(wèn)行為監(jiān)控。
2.3.3 USB安全防御系統(tǒng)
USB安全防御系統(tǒng)是針對(duì)工業(yè)控制系統(tǒng)無(wú)法杜絕USB設(shè)備使用,以及USB攻擊等特殊風(fēng)險(xiǎn)而設(shè)計(jì)的專(zhuān)用安全防護(hù)系統(tǒng)。該系統(tǒng)支持外界設(shè)備認(rèn)證管理、操作權(quán)限管理、文件數(shù)據(jù)防篡改、防病毒、防攻擊以及操作行為安全審計(jì)等多種防護(hù)功能,做到事前預(yù)防、事中審計(jì)與阻斷、事后行為可追溯,保證了主機(jī)系統(tǒng)數(shù)據(jù)文檔USB存儲(chǔ)傳遞的安全。
2.4 安全管理中心
依據(jù)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范,應(yīng)在石油化工企業(yè)工控系統(tǒng)網(wǎng)絡(luò)中建立安全管理中心,對(duì)工業(yè)控制網(wǎng)絡(luò)內(nèi)的安全設(shè)備、策略、數(shù)據(jù)等進(jìn)行集中統(tǒng)一監(jiān)管。在控制網(wǎng)絡(luò)內(nèi)劃分新的安全管理域,部署石油化工企業(yè)工控系統(tǒng)網(wǎng)絡(luò)的安全集中管控的技術(shù)措施,實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)必要的安全風(fēng)險(xiǎn)管理、關(guān)聯(lián)分析、安全可視化與聯(lián)動(dòng)處置的能力建設(shè)。
本方案中新建安全管理域,通過(guò)安全專(zhuān)用交換機(jī)對(duì)所有的安全設(shè)備進(jìn)行安全組網(wǎng),并設(shè)立獨(dú)立的安全數(shù)據(jù)交換渠道將安全設(shè)備接入安全管理平臺(tái)。
2.4.1 日志審計(jì)分析系統(tǒng)
日志審計(jì)分析系統(tǒng)部署在石油化工企業(yè)工控系統(tǒng)網(wǎng)絡(luò)的新建安全管理域內(nèi),主要通過(guò)syslog、SNMP等或代理方式收集網(wǎng)絡(luò)中各系統(tǒng)產(chǎn)品的告警日志,進(jìn)行日志的集中存儲(chǔ)、范式化與安全分析與展示。
日志審計(jì)與分析系統(tǒng)是解決日志存放分散、數(shù)量多、格式不統(tǒng)一、保存周期短、易被篡改破壞等日志管理問(wèn)題而研制的專(zhuān)用安全系統(tǒng)。該系統(tǒng)通過(guò)多種方式收集各主機(jī)系統(tǒng)產(chǎn)生的告警日志,并進(jìn)行集中存儲(chǔ)、解析與范式化,通過(guò)先進(jìn)的關(guān)聯(lián)算法可對(duì)告警日志進(jìn)行關(guān)聯(lián)分析與統(tǒng)計(jì)展示,支持對(duì)綜合日志的檢索與查詢(xún)。
2.4.2 安全運(yùn)維審計(jì)系統(tǒng)
安全運(yùn)維審計(jì)系統(tǒng)部署在安全管理域內(nèi),作為工控系統(tǒng)內(nèi)日常運(yùn)維的統(tǒng)一入口,實(shí)現(xiàn)賬戶(hù)、用戶(hù)權(quán)限統(tǒng)一認(rèn)證管理以及日常運(yùn)維操作行為審計(jì)。
安全運(yùn)維審計(jì)系統(tǒng)是針對(duì)系統(tǒng)運(yùn)維人員賬戶(hù)權(quán)限未區(qū)別或劃分不合理、運(yùn)維行為不可控、對(duì)操作行為無(wú)審計(jì)、無(wú)記錄等實(shí)際問(wèn)題而開(kāi)發(fā)的安全專(zhuān)用系統(tǒng),通過(guò)對(duì)運(yùn)維人員賬戶(hù)集中管理、用戶(hù)登錄集中認(rèn)證授權(quán)、操作行為審計(jì)等,來(lái)實(shí)現(xiàn)工控系統(tǒng)運(yùn)維可管、可控、可審計(jì),并可對(duì)運(yùn)維行為進(jìn)行監(jiān)管,做到事中監(jiān)測(cè)告警與事后行為追溯。安全運(yùn)維審計(jì)系統(tǒng)可提供便攜式產(chǎn)品形態(tài),方便在不同場(chǎng)景下使用,規(guī)范了企業(yè)運(yùn)維人員對(duì)石油化工企業(yè)工控網(wǎng)絡(luò)中各系統(tǒng)的運(yùn)維操作。
2.4.3 工控統(tǒng)一安全管理平臺(tái)
在石油化工企業(yè)工控系統(tǒng)網(wǎng)絡(luò)中新建的安全管理域內(nèi)部署工控統(tǒng)一安全管理平臺(tái)系統(tǒng),可實(shí)現(xiàn)工業(yè)控制系統(tǒng)內(nèi)安全設(shè)備的狀態(tài)監(jiān)控、安全策略的集中管理、安全日志等數(shù)據(jù)的集中收集、存儲(chǔ)、關(guān)聯(lián)分析與可視化、安全風(fēng)險(xiǎn)集中處置等集中管控的需求。
此平臺(tái)系統(tǒng)不僅可監(jiān)控安全系統(tǒng)的運(yùn)行狀態(tài),還可以對(duì)安全系統(tǒng)進(jìn)行安全策略配置與調(diào)整,總體實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)體系的防護(hù)效能。
平臺(tái)系統(tǒng)具有強(qiáng)大的安全管理功能,包括安全系統(tǒng)狀態(tài)監(jiān)控、安全風(fēng)險(xiǎn)集中管理、可視化、關(guān)聯(lián)分析與溯源、安全風(fēng)險(xiǎn)的聯(lián)動(dòng)處置等核心功能。平臺(tái)系統(tǒng)支持級(jí)聯(lián)部署,解決了企業(yè)生產(chǎn)廠區(qū)分散的網(wǎng)絡(luò)安全集中管理的需求,實(shí)現(xiàn)了安全風(fēng)險(xiǎn)統(tǒng)一管理、分析展示與聯(lián)動(dòng)處置的管理能力。同時(shí),本級(jí)平臺(tái)系統(tǒng)可以作為上級(jí)安全運(yùn)營(yíng)中心平臺(tái)系統(tǒng)的管理節(jié)點(diǎn),形成覆蓋全網(wǎng)的安全運(yùn)營(yíng)能力。
3 案例亮點(diǎn)及創(chuàng)新性
3.1 安全政策合規(guī)性
工控網(wǎng)絡(luò)規(guī)模廣、系統(tǒng)用戶(hù)多、涉及品牌多,迫切需要對(duì)工控網(wǎng)絡(luò)安全狀況實(shí)行集中監(jiān)測(cè)。通過(guò)本項(xiàng)目可以建設(shè)初步的SIS系統(tǒng)工控安全監(jiān)測(cè)防御體系,并使其完全符合等級(jí)保護(hù)2.0、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等國(guó)家安全政策標(biāo)準(zhǔn)規(guī)范要求。
3.2 精確定位安全事件
工控網(wǎng)絡(luò)信息安全監(jiān)測(cè)面臨信息量大、信息關(guān)聯(lián)性弱、檢測(cè)精度不高等諸多問(wèn)題,需要同步完善前端監(jiān)測(cè)手段和后臺(tái)分析能力,以實(shí)現(xiàn):從海量的監(jiān)測(cè)數(shù)據(jù)中準(zhǔn)確發(fā)現(xiàn)已產(chǎn)生危害后果的安全事件;完整的記錄網(wǎng)絡(luò)和信息系統(tǒng)中的各類(lèi)行為,提供必要證據(jù)支持無(wú)縫地還原所有安全事件的演進(jìn)過(guò)程。
3.3 實(shí)現(xiàn)安全預(yù)警聯(lián)動(dòng)
在有效識(shí)別安全事件后,建立和完善安全預(yù)警管理、定級(jí)和安全預(yù)警的聯(lián)動(dòng),對(duì)已發(fā)生的安全事件進(jìn)行快速的安全聯(lián)動(dòng),準(zhǔn)備出有效的信息安全應(yīng)對(duì)措施,將安全事件的影響和損失降到最低。
3.4 建立安全知識(shí)庫(kù)
能夠充分利用大平臺(tái)資源共享的優(yōu)勢(shì),將安全法規(guī)、標(biāo)準(zhǔn)、制度、安全事件與應(yīng)急處置的信息共享給信息安全維護(hù)團(tuán)隊(duì)和下屬企業(yè)相關(guān)人員,提高整個(gè)鎮(zhèn)海煉化人員的信息安全意識(shí)和技術(shù)水平。
作者簡(jiǎn)介
季 俊(1969-),男,安徽安慶人,高級(jí)工程師,碩士,現(xiàn)就職于北京康吉森自動(dòng)化技術(shù)股份有限公司,主要從事功能安全、工業(yè)控制安全方面的研究。
摘自《自動(dòng)化博覽》2024年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)