今日頭條
官方微信
官方抖音
案例頻道★北京六方云信息技術(shù)有限公司
1 項目概況
1.1 項目背景
精細化工是當今化學工業(yè)中最具活力的新興領域之一,是新材料的重要組成部分。精細化工產(chǎn)品種類多、附加值高、用途廣、產(chǎn)業(yè)關聯(lián)度大,直接服務于國民經(jīng)濟的諸多行業(yè)和高新技術(shù)產(chǎn)業(yè)的各個領域。大力發(fā)展精細化工已成為世界各國調(diào)整化學工業(yè)結(jié)構(gòu)、提升化學工業(yè)產(chǎn)業(yè)能級和擴大經(jīng)濟效益的戰(zhàn)略重點。在精細化工行業(yè),存在原料復雜、工藝流程長、單元反應多、反應風險高和生產(chǎn)過程控制要求嚴格的問題,且近年精細化工行業(yè)安全生產(chǎn)事故頻發(fā),這就要求我們必須保證精細化工行業(yè)工控系統(tǒng)的安全運行。本方案通過對精細化工行業(yè)工控系統(tǒng)存在的問題進行分析,提出工控系統(tǒng)安全運行的改進建議,從而保證工控系統(tǒng)在精細化工行業(yè)中的安全應用。在現(xiàn)代信息化發(fā)展的背景下,由于信息和網(wǎng)絡的開放性,導致化工企業(yè)的網(wǎng)絡安全建設也受到了一定的挑戰(zhàn)。因此,建立安全可靠的網(wǎng)絡安全保障體系,才能保障信息化的順利實施和企業(yè)生產(chǎn)系統(tǒng)的正常運轉(zhuǎn)。
1.2 項目簡介
某化工集團始建于1988年,經(jīng)過三十年發(fā)展,已成為集石油化工、新能源材料、半導體化學、營養(yǎng)與消費化學及醫(yī)藥為一體的綜合性化工企業(yè)集團,是市重點調(diào)度三十強企業(yè)之一和《省化工產(chǎn)業(yè)振興規(guī)劃》中的重點培植骨干企業(yè)。集團現(xiàn)擁有300萬噸/年常減壓裝置、200萬噸/年焦化加氫裝置、140萬噸/年加氫裝置、80萬噸/年催化裝置、50萬噸/年輕質(zhì)油改質(zhì)裝置、2.5萬噸/年硫磺裝置、12萬噸/年離子膜燒堿裝置、4.5萬噸/年碳酸二甲酯裝置、3萬噸/年異丙醇裝置、10萬噸/年氣分裝置、6千公斤/年肝素鈉裝置和2千公斤/年依諾等20多套生產(chǎn)裝置,年綜合加工能力達到770萬噸。經(jīng)營產(chǎn)品包括柴油、汽油、液化石油氣、液體燒堿、固片堿、液氯、高純鹽酸、異丙醇、碳酸二甲酯、醫(yī)藥級丙二醇、工業(yè)級丙二醇、精品肝素鈉、粗品肝素鈉、注射級肝素鈉、低分子肝素等涉及四大產(chǎn)業(yè)領域的三十多種產(chǎn)品,產(chǎn)品遠銷美國、德國、荷蘭、意大利、阿根廷、印度等四十多個國家和地區(qū)。
當前,隨著計算機技術(shù)和網(wǎng)絡技術(shù)的發(fā)展,特別是產(chǎn)業(yè)互聯(lián)網(wǎng)的快速發(fā)展,在“兩化”融合的行業(yè)發(fā)展需求下,網(wǎng)絡安全備受矚目,網(wǎng)絡安全建設與運營已經(jīng)成為各行業(yè)信息化建設過程中不可忽視的建設內(nèi)容。為了提高生產(chǎn)運行和生產(chǎn)管理效率,化工企業(yè)大力推進工業(yè)控制系統(tǒng)集成化和集中化管理,系統(tǒng)的互聯(lián)互通性逐步加強,與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。但是工業(yè)控制系統(tǒng)建設時更多的是考慮各自系統(tǒng)的可用性,并沒有考慮系統(tǒng)之間互聯(lián)互通的安全風險和防護建設。在化工企業(yè)工業(yè)控制系統(tǒng)組網(wǎng)應用環(huán)境下構(gòu)建工控安全防護體系、構(gòu)建全網(wǎng)工控安全動態(tài)管理能力,已經(jīng)得到行業(yè)主管單位和公司領導的高度重視,網(wǎng)絡安全體系化建設已經(jīng)成為當前重要的建設任務。通過完善集團工業(yè)控制系統(tǒng)的網(wǎng)絡安全防護體系,從而滿足等保的要求,保證生產(chǎn)的穩(wěn)定運行。
1.3 項目目標
1.3.1 安全風險與現(xiàn)狀分析
目前,實時數(shù)據(jù)庫系統(tǒng)在化工企業(yè)生產(chǎn)經(jīng)營管理中得到越來越廣泛的應用,通用通信協(xié)議和操作系統(tǒng)覆蓋了所有的工業(yè)控制系統(tǒng)。根據(jù)業(yè)務功能的不同,化工行業(yè)工控系統(tǒng)網(wǎng)絡一般分為三部分:控制層、數(shù)采層和管理信息層,如圖1所示。
圖1 化工行業(yè)工控系統(tǒng)網(wǎng)絡
化工企業(yè)工控系統(tǒng)目前存在的安全問題主要有:
(1)網(wǎng)絡節(jié)點間無有效隔離:OPC數(shù)據(jù)采集站連接處和操作員站之間的連接處無訪問控制措施和入侵防范措施,一旦某個節(jié)點出現(xiàn)問題,會迅速蔓延至整個網(wǎng)絡。
(2)OPC通信協(xié)議漏洞無有效防護:OPC協(xié)議通信采用的是DCOM技術(shù),其通信端口在1024~65535內(nèi)不固定,導致使用傳統(tǒng)基于端口或IP地址的常規(guī)IT類防火墻在這個層面難以有效隔離和防護,且無法滿足最小授權(quán)防護原則。OPC通訊協(xié)議的工業(yè)控制系統(tǒng)安全性和可靠性成為一個安全技術(shù)難題。
(3)DCS系統(tǒng)OPS主機及服務器自身免疫力不足:OPS主機及服務器操作系統(tǒng)大多采用Windows操作系統(tǒng),一般不允許安裝操作系統(tǒng)的安全補丁和防病毒軟件。這些先天限制,使得主機及服務器操作系統(tǒng)存在很多已知或未知的漏洞無法解決,一旦發(fā)生針對性的網(wǎng)絡攻擊或病毒感染就會造成無法想象的后果。即便安裝殺毒軟件也僅能對部分病毒或攻擊有所抑制,而且病毒庫存在滯后性,也不能從根本上進行防護。
1.3.2 建設目標
分析精細化工產(chǎn)業(yè)互聯(lián)網(wǎng)的實際安全需求,結(jié)合其化工控制系統(tǒng)業(yè)務的實際特性,建立符合系統(tǒng)實際安全需求的網(wǎng)絡安全保障體系框架,設計安全保障體系方案,綜合提升系統(tǒng)的安全保障能力和防護水平,確保系統(tǒng)的安全穩(wěn)定運行,提升化工企業(yè)工控網(wǎng)絡監(jiān)測預警與應急處置能力,一旦出現(xiàn)安全事件能夠及時發(fā)現(xiàn)、快速處置、力保恢復,保障企業(yè)安全穩(wěn)定生產(chǎn)。項目建設主要從工業(yè)設備安全防護、工業(yè)控制安全防護、工業(yè)網(wǎng)絡安全防護、工業(yè)數(shù)據(jù)安全防護、工業(yè)APP應用安全防護等角度進行安全防護設計和建設。針對工控系統(tǒng)內(nèi)部網(wǎng)絡流量和協(xié)議的安全審計層面進行數(shù)據(jù)安全防護,建成一套基于人工智能技術(shù)的精細化工產(chǎn)業(yè)互聯(lián)網(wǎng)安全防護系統(tǒng)。
(1)構(gòu)建精細化工企業(yè)DCS裝置系統(tǒng)安全邊界,從工業(yè)網(wǎng)絡架構(gòu)視角切實保障工業(yè)設備安全與工業(yè)控制安全。
(2)建立工業(yè)審計與入侵檢測機制,采用AI行為分析技術(shù),構(gòu)建清晰的資產(chǎn)互訪拓撲。
(3)利用“白名單+”技術(shù),打造精細化工行業(yè)安全計算白環(huán)境,保障DCS系統(tǒng)上位機、OPC服務器等主機的安全。
(4)構(gòu)建面向精細化工行業(yè)的工業(yè)XDR擴展威脅檢測平臺,全面提升攻擊檢測能力,通過人工智能技術(shù)進行自動化檢測,實現(xiàn)安全事件響應處置的高效自動,提升運營效率。
(5)搭建安全態(tài)勢監(jiān)測預警與信息通報平臺,實現(xiàn)安全監(jiān)測預警、信息通報、應急處置手段和提高威脅信息的共享;實現(xiàn)工業(yè)設備資產(chǎn)感知、工業(yè)漏洞感知、工業(yè)配置感知、工業(yè)協(xié)議識別和分析、工業(yè)連接和網(wǎng)絡行為感知、工業(yè)僵木蠕檢測、工業(yè)攻擊鏈的監(jiān)測和分析等安全態(tài)勢感知功能。通過人-機智能融合,全面提升精細化工產(chǎn)業(yè)互聯(lián)網(wǎng)安全運營能力的自動化水平,提升威脅檢測、風險評估、自動化響應等關鍵運營環(huán)節(jié)的處理效率,形成安全閉環(huán),進而實現(xiàn)工業(yè)控制網(wǎng)絡和工業(yè)互聯(lián)網(wǎng)絡安全威脅的可視、可控、可管。
2 項目實施
2.1 方案設計框架
借助以可信計算、人工智能、大數(shù)據(jù)分析和密碼四大技術(shù)為支撐的防控措施;為精細化工企業(yè)實現(xiàn)動態(tài)防御、主動防御、縱深防御、精準防護和整體防控的安全能力;通過聯(lián)防聯(lián)控,實現(xiàn)“打防管控”一體化網(wǎng)絡安全綜合防控體系。方案設計框架如圖2所示。
圖2 方案設計框架
2.2 精細化工行業(yè)工控系統(tǒng)安全解決方案
精細化工行業(yè)工控系統(tǒng)安全解決方案如圖3所示。
圖3 精細化工行業(yè)工控系統(tǒng)安全解決方案
(1)OPC服務器邊界隔離及協(xié)議控制:部署OT
與IT融合工業(yè)防火墻,強大的工業(yè)漏洞攻擊行為特征庫,有效防御病毒攻擊;內(nèi)置工業(yè)通訊協(xié)議深度解析引擎,支持多種工業(yè)協(xié)議識別及管控,能夠針對OPC的動態(tài)端口、OPC讀寫控制、停止連接、OPC操作接口和操作碼等指令的控制與防護。
(2)工控系統(tǒng)安全運營管理中心:構(gòu)建基于人
工智能的全流量威脅檢測與回溯系統(tǒng),借助人工智能和自動化編排等技術(shù),打造一套“事前有防范、事中有應對、事后有追溯”主動防御的智能化運營管理中心,實現(xiàn)全網(wǎng)的網(wǎng)絡安全狀態(tài)快速預警;面向人、技術(shù)、流程的集成與融合,提升安全防御資源的全局性與協(xié)同性,提升安全運營能力的自動化水平,降低威脅分析與響應的周期。
(3)DCS系統(tǒng)OPS主機及服務器安全防護:
部署基于“白名單+”技術(shù)的輕量級工業(yè)主機安全衛(wèi)士,對主機進行安全加固,防止操作系統(tǒng)被惡意程序破壞;具有強大的防病毒、防勒索、防蠕蟲和防挖礦功能,有效保障勒索病毒的入侵;采用協(xié)議腳本探測的方式監(jiān)測主機與組態(tài)的通信關系,自動發(fā)現(xiàn)上位機相關聯(lián)組態(tài)并生成組態(tài)列表,可在管理平臺中進行拓撲呈現(xiàn)。同時,工業(yè)主機安全衛(wèi)士會對系統(tǒng)配置、啟動項、系統(tǒng)日志、軟硬件等靜態(tài)數(shù)據(jù)和系統(tǒng)運行的賬號登錄日志、驅(qū)動變更信息、進程信息、網(wǎng)絡連接、文件讀寫、注冊表讀寫、powerShell&cmd命令、DNS請求、端口監(jiān)聽等數(shù)據(jù)進行全面采集,通過SSL協(xié)議或者HTTPS協(xié)議把采集到的數(shù)據(jù)上送到全流量威脅檢測與回溯系統(tǒng)。由該系統(tǒng)進行人工智能建模與大數(shù)據(jù)全面分析,發(fā)現(xiàn)可疑進程及病毒腳本,聯(lián)動工業(yè)主機衛(wèi)士進行攔截處理,結(jié)合衛(wèi)士管理平臺的白名單“灰過白”技術(shù),對白名單策略進行優(yōu)化,確保白名單策略的可信性。
(4)OPC服務器雙網(wǎng)卡場景下主機防護運維:
面對雙網(wǎng)卡架構(gòu),DCS系統(tǒng)主機防護軟件無法集中管理與運維的情況,創(chuàng)新性研發(fā)多級管理平臺集群部署,實現(xiàn)跨區(qū)域集中管控,主機防護軟件與管理平臺以加密的通信方式保證通信過程的保密性;針對DCS系統(tǒng)裝置IP地址相同的情況,平臺通過主機防護軟件的設備ID進行識別并加以區(qū)分;同時平臺具備智能灰過白技術(shù)將初次建立的程序名單中異常進程和文件進行剔除最終生成資產(chǎn)可信白名單,并批量下發(fā)到主機防護軟件的防護策略中。
(5)工業(yè)安全態(tài)勢監(jiān)測與運營平臺:平臺依托
海量工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)、本地流量數(shù)據(jù)、日志告警數(shù)據(jù)及其它第三方數(shù)據(jù),面向服務架構(gòu)(SOA)服務組件架構(gòu)(SCA)進行標準化體系接口的設計。運用大數(shù)據(jù)、數(shù)據(jù)融合等新技術(shù)手段,通過人工智能技術(shù)構(gòu)建資產(chǎn)行為基線和威脅發(fā)現(xiàn)模型,提前感知業(yè)務系統(tǒng)被攻擊和試探的可能性,實時監(jiān)測系統(tǒng)被訪問的來源位置、方式、內(nèi)容等信息,結(jié)合安全日志和安全知識關聯(lián)分析,確認是否為正常訪問或黑客攻擊,實現(xiàn)威脅的提前感知和預警,做到告警準確。精細化工產(chǎn)業(yè)互聯(lián)網(wǎng)安全態(tài)勢檢測與運營平臺采用集團側(cè)、廠站側(cè)兩層架構(gòu),其中集團側(cè)面向工業(yè)互聯(lián)網(wǎng)全景態(tài)勢展現(xiàn)和安全合規(guī)監(jiān)管,提供整體公共運營服務能力;廠站側(cè)構(gòu)建威脅發(fā)現(xiàn)和安全運營能力,可對工業(yè)互聯(lián)網(wǎng)全景網(wǎng)絡安全及國際敵對勢力、黑客組織等不法分子的攻擊活動、攻擊手段和攻擊目的進行發(fā)現(xiàn)和識別,并通過對攻擊過程的取證報文進行多維度深入分析,精準地識別出黑客的攻擊手段和攻擊路徑,為通報處置及偵查調(diào)查提供強有力的數(shù)據(jù)支撐;實現(xiàn)全網(wǎng)安全態(tài)勢的監(jiān)測、評估、預警、可視和集中響應,協(xié)助組織構(gòu)建自適應網(wǎng)絡安全保障體系;實時發(fā)現(xiàn)企業(yè)內(nèi)部潛伏威脅和外部網(wǎng)絡入侵威脅,通過聯(lián)動網(wǎng)絡控制器、安全控制器等設備及時阻斷隔離威脅,避免引起進一步威脅擴散,有效提升對自身網(wǎng)絡的安全態(tài)勢監(jiān)測、未知威脅感知、事件應急處置和攻擊追蹤溯源能力,幫助用戶高效地掌握本單位整體安全態(tài)勢。工業(yè)安全態(tài)勢監(jiān)測與運營平臺采用安全大數(shù)據(jù)的采集與人工智能分析技術(shù),面向安全運營風險管控的核心指標與關鍵環(huán)節(jié),基于行為、環(huán)境、情報、知識等多維、多源數(shù)據(jù),通過人-機智能融合,全面提升安全運營能力的自動化水平,提升威脅檢測、風險評估、自動化響應等關鍵運營環(huán)節(jié)的處理效率,大幅減少對專家經(jīng)驗的過度依賴,有效降低工業(yè)企業(yè)、集團乃至國家級關鍵信息基礎設施和數(shù)據(jù)資產(chǎn)的整體安全風險,助力精細化工行業(yè)產(chǎn)業(yè)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)網(wǎng)絡安全運營技術(shù)升級。
3 案例亮點及創(chuàng)新性
(1)風險攻擊簡單易懂
以資產(chǎn)為中心,通過資產(chǎn)學習引擎能夠識別資產(chǎn)的行為和攻擊,實現(xiàn)資產(chǎn)、行為和攻擊的一體化展示,從而實現(xiàn)資產(chǎn)從解析到解讀,讓運維人員能夠看得懂。
(2)運維管理方便快捷
多級管理平臺集群部署,打破精細化工行業(yè)雙網(wǎng)卡架構(gòu)下DCS系統(tǒng)主機維護難、安全管控難的格局。
(3)運營能力顯著提升
以安全運營目標為導向,以人、流程、技術(shù)與數(shù)據(jù)的融合為基礎,面向預防、檢測、響應、預測、恢復等網(wǎng)絡安全風險管控和攻防對抗的關鍵環(huán)節(jié),全面提升安全運營能力。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號