今日頭條
官方微信
官方抖音
資訊頻道1 方案背景與目標(biāo)
根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》及公安部《信息安全等級(jí)保護(hù)管理辦法》等相關(guān)標(biāo)準(zhǔn)規(guī)范,以及煉化公司2017年9月下發(fā)的《中國石油煉化企業(yè)工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)及定級(jí)指導(dǎo)意見》和煉化板塊2022年工信息化管理的要求,促進(jìn)煉油化工總廠的網(wǎng)絡(luò)安全發(fā)展,夯實(shí)等級(jí)保護(hù)作為國家信息安全國策的成果,依據(jù)國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)并結(jié)合廠站系統(tǒng)的實(shí)際情況,根據(jù)測評(píng)過程中發(fā)現(xiàn)的安全問題,結(jié)合某某油田分公司煉油化工總廠網(wǎng)絡(luò)安全建設(shè)的具體情況,提出網(wǎng)絡(luò)安全建設(shè)工作的整改建議,從而提升信息系統(tǒng)的安全防護(hù)能力。
落實(shí)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》和《關(guān)于開展網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》,實(shí)施符合國家標(biāo)準(zhǔn)的安全等級(jí)保護(hù)體系建設(shè),重點(diǎn)確保中國石油天然氣股份有限公司某某油田分公司煉油化工總廠的業(yè)務(wù)信息資產(chǎn)的安全性,從而使重要網(wǎng)絡(luò)系統(tǒng)的安全威脅最小化,達(dá)到中國石油天然氣股份有限公司某某油田分公司煉油化工總廠信息安全投入的最優(yōu)化。同時(shí)滿足國家、網(wǎng)信辦、公安對(duì)信息化建設(shè)的相關(guān)要求。在此設(shè)計(jì)中實(shí)現(xiàn)如下總體安全目標(biāo):
(1)通過信息安全需求分析,判斷中國石油天然氣股份有限公司某某油田分公司煉油化工總廠網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)現(xiàn)狀與國家等級(jí)保護(hù)基本要求之間的差距,確定安全需求,然后根據(jù)網(wǎng)絡(luò)系統(tǒng)的劃分情況、網(wǎng)絡(luò)系統(tǒng)定級(jí)情況、網(wǎng)絡(luò)系統(tǒng)承載業(yè)務(wù)情況和安全需求等,設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案,并制定出安全實(shí)施規(guī)劃,以指導(dǎo)后續(xù)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)工程實(shí)施。
(2)達(dá)到公安部關(guān)于網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)相關(guān)要求。
(3)達(dá)到網(wǎng)信辦關(guān)于重要網(wǎng)絡(luò)系統(tǒng)安全保障的要求。
2 方案詳細(xì)介紹
2.1互聯(lián)網(wǎng)出口邊界隔離
在互聯(lián)網(wǎng)出口部署防火墻,實(shí)現(xiàn)訪問控制及對(duì)來自外部的攻擊行為進(jìn)行檢測、阻斷,對(duì)進(jìn)出網(wǎng)絡(luò)的所有流量和連接進(jìn)行實(shí)時(shí)檢測監(jiān)控,審核不同網(wǎng)絡(luò)或區(qū)域之間的訪問請(qǐng)求,實(shí)時(shí)基于會(huì)話狀態(tài)檢測訪問控制機(jī)制,確保只有合法的訪問才能通過,保護(hù)網(wǎng)絡(luò)中尤其是重要服務(wù)器系統(tǒng)不受來自外部網(wǎng)絡(luò)或非可信用戶的非法訪問,保障整個(gè)網(wǎng)絡(luò)及內(nèi)部各類業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。同時(shí)防火墻具備入侵防御和防病毒及應(yīng)用管控等功能,實(shí)現(xiàn)對(duì)應(yīng)用層的攻擊防范和流量管控。
2.2區(qū)域邊界流量安全
2.2.1工業(yè)安全審計(jì)
在各DCS系統(tǒng)核心交換機(jī)部署工業(yè)審計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行深度檢測,基于威脅特征庫實(shí)時(shí)檢測來自內(nèi)部和外部的各種攻擊行為,實(shí)時(shí)檢測網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬溢出攻擊和漏洞攻擊等惡意行為。對(duì)不合規(guī)行為進(jìn)行實(shí)時(shí)的告警,留存網(wǎng)絡(luò)數(shù)據(jù),對(duì)溯源分析提供依據(jù),利用黑名單、白名單、自定義規(guī)則等多種安全策略,通過內(nèi)置的工控協(xié)議(如Modbus、OPC、IEC104、Ethernet/IP等)深度解析引擎,實(shí)時(shí)監(jiān)測工控網(wǎng)絡(luò)中違規(guī)行為、異常流量和不明設(shè)備接入,可實(shí)時(shí)全面掌握工控網(wǎng)絡(luò)安全運(yùn)行狀況。
2.2.2高級(jí)威脅檢測系統(tǒng)
通過對(duì)網(wǎng)絡(luò)內(nèi)全流量的采集,實(shí)現(xiàn)未知威脅和高級(jí)威脅的精準(zhǔn)發(fā)現(xiàn)和檢測。
高級(jí)威脅檢測系統(tǒng)基于大數(shù)據(jù)平臺(tái),聚焦于高級(jí)威脅和未知威脅檢測兩大客戶痛點(diǎn),實(shí)現(xiàn)威脅檢測、資產(chǎn)發(fā)現(xiàn)、朔源取證、攻擊場景還原、威脅處置及智能防御。幫助用戶看見全部資產(chǎn),看清全部行為、看到全部威脅、看懂全部攻擊。
2.3網(wǎng)絡(luò)空間安全管理
2.3.1工業(yè)級(jí)輕量級(jí)態(tài)勢感知
通過部署工業(yè)安全監(jiān)管平臺(tái),對(duì)所有工控安全設(shè)備進(jìn)行統(tǒng)一管理。實(shí)現(xiàn)設(shè)備資產(chǎn)管理、自動(dòng)生成拓?fù)洹⒃O(shè)備運(yùn)行狀態(tài)監(jiān)控、統(tǒng)一配置下發(fā)安全策略,安全設(shè)備的日志統(tǒng)一收集呈現(xiàn)等。實(shí)現(xiàn)日志統(tǒng)一手機(jī),留存6個(gè)月以上。
2.3.2工業(yè)運(yùn)維網(wǎng)關(guān)
部署運(yùn)維安全網(wǎng)關(guān)(堡壘機(jī))實(shí)現(xiàn)對(duì)運(yùn)維人員的操作行為進(jìn)行管控和記錄,通過設(shè)置嚴(yán)格的資源訪問策略,并且采用強(qiáng)身份認(rèn)證手段,全面保障系統(tǒng)資源的安全;并且詳細(xì)記錄用戶對(duì)資源的訪問及操作,對(duì)用戶運(yùn)維操作行為審計(jì)記錄。
2.3.3數(shù)據(jù)庫審計(jì)
在生產(chǎn)執(zhí)行層部署數(shù)據(jù)庫審計(jì),對(duì)數(shù)據(jù)庫用戶操作行為、操作語句進(jìn)行審計(jì)記錄,日志記錄存留期大于六個(gè)月。過解析端口鏡像過來的報(bào)文信息,記錄用戶訪問數(shù)據(jù)庫行為的記錄、匯總分析所有的用戶操作行為,通過大數(shù)據(jù)分區(qū)搜索技術(shù)提供高效檢索審計(jì)記錄能力,快速定位事件原因,幫助用戶事后生成合規(guī)報(bào)告、提供有效電子取證信息,用于數(shù)據(jù)安全事故的追根溯源,實(shí)現(xiàn)加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為的監(jiān)控與審計(jì),提高數(shù)據(jù)資產(chǎn)安全。
2.4計(jì)算機(jī)環(huán)境安全管控
2.4.1工業(yè)主機(jī)衛(wèi)士
通過工控主機(jī)衛(wèi)士解決工控業(yè)務(wù)系統(tǒng)終端安全加固、惡意攻擊防護(hù)、USB等外設(shè)防護(hù)和訪問控制,實(shí)現(xiàn)最大程度地提高工控業(yè)務(wù)終端乃至生產(chǎn)網(wǎng)絡(luò)的安全性,對(duì)工控業(yè)務(wù)終端提供全方位的保護(hù)。
(1)終端安全加固在不需要經(jīng)常更新終端的補(bǔ)丁和病毒庫的基礎(chǔ)上,對(duì)工控業(yè)務(wù)系統(tǒng)終端提供額外的保護(hù)。
(2)工控業(yè)務(wù)系統(tǒng)終端軟件白名單從源頭上遏制了惡意代碼的運(yùn)行。
(3)工控業(yè)務(wù)系統(tǒng)終端進(jìn)程網(wǎng)絡(luò)訪問白名單確保終端中只有許可的進(jìn)程才能進(jìn)行許可的網(wǎng)絡(luò)訪問,進(jìn)一步限制惡意代碼的感染和傳播。
(4)終端外設(shè)管理消除了病毒或惡意代碼通過終端外設(shè)進(jìn)入工控業(yè)務(wù)系統(tǒng)終端及生產(chǎn)網(wǎng)絡(luò)的可能性。
(5)終端接入控制確保了工業(yè)網(wǎng)絡(luò)的接入設(shè)備都是可信任的,確保惡意代碼和病毒不會(huì)通過局域網(wǎng)感染工業(yè)網(wǎng)絡(luò)。
(6)對(duì)組態(tài)軟件及配置的保護(hù)從根本上杜絕了惡意生產(chǎn)參數(shù)或指令下發(fā)到自動(dòng)控制設(shè)備,從而保證生產(chǎn)安全。
(7)終端身份認(rèn)證確保終端只能由授權(quán)的人員進(jìn)行操作,消除惡意人員利用社會(huì)工程的方案破壞工控生產(chǎn)網(wǎng)絡(luò)。
2.5核心技術(shù)優(yōu)勢
2.5.1惡意加密流量人工智能檢測分析
近年來,工業(yè)互聯(lián)網(wǎng)的發(fā)展推動(dòng)傳統(tǒng)工業(yè)控制系統(tǒng)升級(jí),但也增加了惡意攻擊風(fēng)險(xiǎn)。攻擊多樣化、專業(yè)化和復(fù)雜化,威脅工控系統(tǒng)穩(wěn)定。因此,我們聚焦于工控網(wǎng)絡(luò)惡意加密流量檢測技術(shù)。相比于傳統(tǒng)的IT系統(tǒng)安全問題,工控系統(tǒng)安全存在顯著差異。首先,工控系統(tǒng)的工業(yè)網(wǎng)絡(luò)環(huán)境更加復(fù)雜,涉及各種控制設(shè)備的通信協(xié)議和交互方式,這增加了安全防護(hù)的難度。其次,工控網(wǎng)絡(luò)安全的核心在于確保生產(chǎn)過程的穩(wěn)定與可靠,對(duì)系統(tǒng)可用性的要求頗為嚴(yán)格。然而,相較于數(shù)據(jù)完整性和機(jī)密性的保護(hù),其重視程度相對(duì)較低,這或?qū)⒊蔀闈撛诎踩L(fēng)險(xiǎn)的誘因。由于工控系統(tǒng)與傳統(tǒng)IT系統(tǒng)的差異較大,傳統(tǒng)的入侵檢測解決方案無法直接應(yīng)用于工控網(wǎng)絡(luò)環(huán)境,需要開發(fā)專門的惡意加密流量監(jiān)測技術(shù)來應(yīng)對(duì)這些挑戰(zhàn)。因此,如何高效地檢測這些工業(yè)控制網(wǎng)絡(luò)中惡意攻擊成為亟待解決的問題。
為了解決工業(yè)互聯(lián)網(wǎng)惡意攻擊行為檢測困難的問題,我們研發(fā)出高級(jí)威脅檢測系統(tǒng)應(yīng)用于本方案中,相較于傳統(tǒng)的安全技術(shù)依賴于靜態(tài)基于簽名的或基于列表的模式匹配技術(shù),無法對(duì)許多零日和定向型威脅進(jìn)行監(jiān)測。高級(jí)威脅檢測系統(tǒng)可以使用有監(jiān)督機(jī)器學(xué)習(xí)融合模型和深度學(xué)習(xí)模型進(jìn)行流量監(jiān)測,通過神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)、知識(shí)圖譜等人工智能技術(shù)對(duì)網(wǎng)絡(luò)流量的特征進(jìn)行提取、聚類和建模,可以有效檢測出加密流量和惡意代碼的基因圖譜。類似于人類的DNA,無論外觀如何變化,也能夠精準(zhǔn)和快速進(jìn)行識(shí)別。
2.5.2輕量級(jí)的工控系統(tǒng)終端智能管控技術(shù)
工控主機(jī)衛(wèi)士基于AI智能算法,開發(fā)如白名單、惡意代碼入侵檢測、和外設(shè)安全防護(hù)技術(shù)等,支持進(jìn)程級(jí)白名單自學(xué)習(xí)算法,基于深度學(xué)習(xí)的惡意代碼網(wǎng)絡(luò)行為檢測技術(shù)和外設(shè)安全管控技術(shù),應(yīng)用于整個(gè)工控系統(tǒng)終端主機(jī)安全防護(hù)當(dāng)中。
2.5.2.1白名單自學(xué)習(xí)
工控主機(jī)衛(wèi)士通過機(jī)器學(xué)習(xí)的模式,全盤掃描,智能分析主機(jī)程序、進(jìn)程,對(duì)于可以進(jìn)程放置到隔離沙箱,保護(hù)主機(jī)的安全。對(duì)于偽造簽名和身份的“合法”訪問的識(shí)別,利用AI算法等技術(shù),建立白名單基線以及業(yè)務(wù)特性基線,對(duì)白名單再次驗(yàn)證,同時(shí)對(duì)相應(yīng)端口的流量、行為做安全監(jiān)護(hù),出現(xiàn)異常流量,行為突變時(shí),及時(shí)告警處理。
2.5.2.2基于深度學(xué)習(xí)的惡意攻擊行為檢測
深度學(xué)習(xí)的惡意攻擊行為檢測能在內(nèi)容、環(huán)境、應(yīng)用層感知入侵,通過人工智能檢測技術(shù)對(duì)惡意代碼的主機(jī)行為和網(wǎng)絡(luò)行為進(jìn)行深入分析,對(duì)異常網(wǎng)絡(luò)行為進(jìn)行告警和阻斷。
2.5.2.3基于驅(qū)動(dòng)源智能識(shí)別的外設(shè)防護(hù)
針對(duì)主機(jī)USB、光驅(qū)、無線等設(shè)備的防護(hù),利用驅(qū)動(dòng)級(jí)的過濾技術(shù)理能夠靈活控制和監(jiān)控終端外設(shè)使用情況,比如控制終端的并口、串口、移動(dòng)存儲(chǔ)設(shè)備、藍(lán)牙、USB等外設(shè)的使用情況,能夠自動(dòng)收集主機(jī)曾經(jīng)使用過的USB設(shè)備的歷史記錄,并能夠單獨(dú)禁用無法確定其用途的USB設(shè)備,能夠通過對(duì)未知設(shè)備進(jìn)行自動(dòng)檢測和采樣,實(shí)現(xiàn)對(duì)未知和新增設(shè)備的有效控制和管理。
3 代表性及推廣價(jià)值
3.1 代表性
行業(yè)示范作用:石油天然氣行業(yè)在國民經(jīng)濟(jì)中占據(jù)重要地位,某某油田分公司作為行業(yè)內(nèi)的重要企業(yè),本方案工控等保建設(shè)的成功實(shí)踐可以為整個(gè)石油天然氣行業(yè)乃至其他工業(yè)領(lǐng)域提供可借鑒的范例和標(biāo)準(zhǔn),為石油化工行業(yè)類似應(yīng)用場景做了成功示例,展示了如何在煉油化工總廠生產(chǎn)環(huán)境中構(gòu)建有效的工控安全防護(hù)體系。
技術(shù)應(yīng)用典型性:油田的工控系統(tǒng)通常涉及多種復(fù)雜的技術(shù)和設(shè)備,如分布式控制系統(tǒng)(DCS)、安全儀表系統(tǒng)(SIS)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)等。在本方案等保建設(shè)過程中,需要針對(duì)這些系統(tǒng)的特點(diǎn)和安全需求,采用相應(yīng)的安全技術(shù)和產(chǎn)品,工業(yè)防火墻、高級(jí)威脅檢測系統(tǒng)、工業(yè)網(wǎng)絡(luò)審計(jì)系統(tǒng)、工業(yè)主機(jī)衛(wèi)士等對(duì)這些技術(shù)的應(yīng)用和集成,可以代表石油天然氣行業(yè)在工控安全技術(shù)應(yīng)用方面的先進(jìn)水平和典型做法。
業(yè)務(wù)場景復(fù)雜性:在本方案的設(shè)計(jì)建設(shè)種涉及到大量的工業(yè)控制系統(tǒng)和數(shù)據(jù)交互。本方案充分考慮這些業(yè)務(wù)場景的復(fù)雜性,實(shí)現(xiàn)對(duì)不同環(huán)節(jié)和系統(tǒng)的安全防護(hù)和協(xié)同管理。本方案在某某油田分公司等保建設(shè)對(duì)業(yè)務(wù)場景的深入理解和安全解決方案的定制化,可以為其他企業(yè)在應(yīng)對(duì)復(fù)雜業(yè)務(wù)環(huán)境下的工控安全問題提供參考。
3.2 推廣性
針對(duì)中國石油天然氣股份有限公司某某油田分公司煉油化工總廠信息安全對(duì)工控安全背景及必要性,在此基礎(chǔ)上對(duì)標(biāo)等保2.0的要求對(duì)工控網(wǎng)絡(luò)現(xiàn)狀及安全隱患進(jìn)行分析,從實(shí)際存在的安全隱患中考慮總體的工控安全防護(hù)管理策略及相應(yīng)的技術(shù)管理手段。本方案按照油田工業(yè)控制系統(tǒng)安全防護(hù)的總體要求,遵循中國石油天然氣股份有限公司工業(yè)網(wǎng)絡(luò)"橫向分區(qū)、縱向分層、安全隔離、適度防護(hù)"的安全防護(hù)總體原則,建成敏捷、高效、安全的工控專網(wǎng),實(shí)現(xiàn)廠級(jí)工控安全防護(hù)體系,為用戶業(yè)務(wù)系統(tǒng)帶來持續(xù)保護(hù)的安全價(jià)值。可以為石油天然氣行業(yè)的等保建設(shè)方案提供參考和示范。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)