浙江国利网安科技有限公司
1 项目概况
1.1 项目背景
随着物联网、移动互联网、大数据技术的发展,目前某省级天然气管道公司(以下简称:管网)正积极推动数字管道和智慧管道建设。将信息融合技术渗透到生产、安全与经营各个层面,工业控制系统逐步由信息孤岛向万物互联发展,工业控制系统网络信息互通带来的网络安全风险,已经对管网工控网络稳定运行和安全生产造成隐患。
与此同时,国际形势也逐渐复杂化,恶意软件被用于接管并控制关键能源基础设施的现象正变得越来越普遍。2017年针对沙特某石油天然气装置功能安全仪表系统(SIS)的攻击,2021年美国成品油管道运营商遭勒索软件攻击停运等事件为各国网络安全主管机构和基础设施运营企业敲响了警钟。
1.2 项目简介
本项目针对管网调控中心及场站工控系统侧重传统信息安全防护,缺乏工控安全防护设计的问题,研究工控安全防护的关键技术;解决现有工控系统的单一防护产品、侧重边界防护的纵深防御体系不能抵御的跨越信息物理空间的未知威胁,研究如何由被动防御向深度主动防御转换;从对抗性防护角度出发,研究如何由相对独立的安全防护技术及产品向体系化联动防御方向转换;研发场站站控安全防护盾、SCADA全网态势感知监测、预警平台等主动防御工控安全产品,选取调控中心和下辖场站进行应用验证,形成针对油气管道的工控安全解决方案,并进行行业推广。
1.3 项目目标
本次项目中,为完成管网工控系统网络安全的建设目标和防护体系的研究,根据其工控系统特点,从设备安全、控制安全、网络安全、应用安全及数据安全等角度出发,全方位保障管网工控系统的网络安全。
在管网工控网络的重点防护区域将专注于对工业控制器的安全防护研究,通过主动监控管网工控系统内的重点PLC控制器内的运行状态、数据状态、组态工程,精确识别篡改、插入、删除等破坏行为,并对异常情况进行及时告警。
其次,本次工控系统网络安全防护体系将对调控中心的安全态势感知系统进行定制化研究与开发,全方位立体化预测和展示管网整个工控系统的安全态势,通过整合每一个场站中工控安全数据探针的数据信息,包含安全产品采集的信息,主动扫描获取的信息,以及跟随知识库实时更新的最新威胁情报信息,对数据进行深入解剖,从全局视角提升对安全威胁的发现识别、理解分析、响应处置和态势评级;同时,对资产进行资产画像的研究与分析,综合分析资产的详细信息、网络事件、风险暴露点和潜在的漏洞风险等,全面评估资产的风险。对于已经失陷的资产精确定位,并提供该资产的失陷原因,为现场工业控制环境分析提供强有力的数据指导与支持,方便运维人员作出决策,实现山东天然气管道有限公司安全态势可视、可知、可管、可控。
2 项目实施
2.1 应用案例介绍
本方案根据前期实地考察,了解管网调控中心及各个场站工控系统的基本情况,包括整体网络架构、场站网络架构、各个站点内的工控设备信息、工控主机信息及当前安全防护状况。根据油气行业业务特点,形成调控中心、场站和阀室三层立体式网络安全方案。网络拓扑图如图1所示。
图1 工控网络安全解决方案网络拓扑示意图
在调控中心建设工业安全综合管理平台和网络安全态势感知系统,从全局视角提升整个管网系统对安全威胁的发现识别、理解分析、响应处置能力。在核心交换机旁路部署监测审计类安全产品,实现对调控中心工控系统网络内的工控行为,尤其是关键OT操作进行全息审计记录。注重调控中心与场站、调控中心与信息网之间的边界隔离,根据实际应用场景安全需求实现物理隔离或逻辑隔离,保障内网安全。注重调控中心工作站与服务器的运行安全,部署相应操作系统的主机防护类软件进行主机防护,实现恶意代码防范以及传输介质控制。
部署针对场站的站控工控系统安全盾,重点对场站的PLC控制器进行防护,全方位监测与防护场站或阀室内PLC控制器及工控主机的组态安全、数据安全、行为安全等。在场站及阀室中心交换机旁路部署监测审计类安全产品,实现对调控中心工控系统网络内的工控行为,尤其是关键OT操作进行全息审计记录。
2.2 实施成效
通过本方案实施,从设备安全、控制安全、网络安全、应用安全及数据安全等角度出发,构建管网工控系统的网络安全纵深防御体系。主要实施成效如下:
(1)实现工控系统的空间测绘与资产画像
采用主、被动扫描的方式对接入工控系统内的资产进行测绘,有效测绘硬件资产及软件资产,形成资产信息库。实时捕获网内通信关系,并结合高效的资产管理,实现工控系统的空间测绘。同时,基于自有知识库进行比对,联系上下文进行分析,展示资产全貌,并对整个工控系统进行风险评估,实现了将碎片化的资产信息综合加工形成对相应工控系统网络安全系统、全面、直观的认识。
(2)实现对场站中工业控制器的访问控制和状态监测
通过采取设备身份鉴别与白名单访问控制实现对工业控制器的保护,使得所有对工业控制器的访问均为已授权的访问,确保工业控制器执行的控制命令均来自合法用户。同时,实现对工业控制器的运行状态、数据状态等的实时、深度监测,根据异常情况进行告警与防护。
(3)实现对调控中心及各个场站工业主机的安全防护
对调控中心及各个场站工控主机、服务器等设备安装工业主机安全防护系统进行安全加固,能够对工控主机的运行资源、数据资源和物理存储资源进行管控,防范未知病毒的运行及其对主机资源的利用,并对已知病毒进行查杀。
(4)加强对控制系统的保护
采用工控安全审计系统、工业防火墙等安全设备能对管网工控系统中通信协议进行深度解析,实现对系统中工控行为及网络行为的监测和防护,以及对工控系统参数变更的阈值和变更频率的监测,及时发出预警并根据用户的授权情况进行阻断,避免发生安全事故,并提供详实的数据支持。同时,可实现攻击异常检测、无流量异常检测、重要操作行为审计、告警日志审计等功能。
(5)实现区域网络隔离
在场站与监控中心、场站与场站之间部署工业防火墙进行实现安全区域隔离,对网络边界进行监视,识别边界上的入侵行为并进行有效阻断,保障生产控制区和生产管理区之间的安全。
(6)加强对数据的保护
注重对工控系统内数据的备份,如各个场站内控制器的组态工程、重点工艺参数,定期对数据进行备份。当发生组态工程被篡改、删除、修改等事故时能及时恢复,从而降低用户的损失。
(7)构建系统管理中心
在调控中心部署安全管理中心,对网内部署的工控安全产品及网络设备实现集中管理与统一配置,能获取各个安全产品的日志信息及各个网络设备的接口使用情况,基于安全事件特征进行聚类分析,发现并确认安全事件,及时报警响应处理,提高管理效率,实现产品功能协同,降低运行维护成本。同时,在调控中心部署网络安全态势感知系统,主要对管网工控系统整体安全态势、资产情况、流量数据等信息进行集中展示,方便运维人员及时了解各个场站的安全状态。
3 案例亮点
3.1 技术先进性
(1)超强的自身安全性和设备可用性设备具有低时延、高可靠以及超强的自身安全性。直接部署在工控系统控制器前对控制器进行安全防护,其微秒级处理时延少于30μs。采用硬件回路替代逻辑算法实现超低时延,使用双处理器架构,两个处理器之间相互独立,通过有限通信,当某一个处理器遭受网络攻击或处理器不能正常工作时,另一个处理器的业务处理单元仍能够正常处理业务流程。
(2)工控OT操作深度审计
采用基于工艺指令组合智能识别的规则推理引擎技术,根据工艺要求和控制流程,结合I/O点表信息,实现工控OT操作深度审计,支持多指标的工控行为检测及工控数据变更检测,支持深度解析油气常用协议Modbus、S7Comm、ENIP/CIP、OPC、IEC 104等,清晰还原油气工艺行为。
3.2 可推广性
某省级天然气管道工控系统地域跨度大,工控系统品牌及型号众多,工控主机的操作系统类型繁多,通信协议涉及OPC DA、Modbus TCP、IEC 104等工控协议。因此,本项目构建的长输管道安全解决方案具有广泛代表性和示范性,可以推广至其他城市油气管网系统,保障其工业环境的网络安全。另外,国内油气管道正向互联互通、智能化运营管理方向发展,针对油气管道的网络安全解决方案具有较高的推广价值。