隨著信息化的推動和工業(yè)化進程的加速,越來越多的計算機和網(wǎng)絡技術應用于工業(yè)控制系統(tǒng)羞秤,在為工業(yè)生產(chǎn)帶來極大推動作用的同時畦怒,也帶來了工控系統(tǒng)的安全問題穴翩,如系統(tǒng)終端平臺安全防護弱點拒吧,系統(tǒng)配置和軟件安全漏洞片效、工控協(xié)議安全問題橙数、私有協(xié)議的安全問題蕉饼、以及隱藏的后門和未知漏洞虐杯、TCP/IP自身的安全問題,用戶權限控制的接入昧港,網(wǎng)絡安全邊界防護以及內(nèi)部非法人員擎椰,密鑰管理等等各種信息安全的風險和漏洞。
石油石化行業(yè)作為我國國民經(jīng)濟的支柱產(chǎn)業(yè)之一创肥,承擔著保障國家能源安全的重要責任确憨。石油石化行業(yè)產(chǎn)業(yè)鏈長,涉及面廣瓤的,從業(yè)務上分為上休弃、中、下游各個環(huán)節(jié)圈膏。在面對國際油價大幅波動以及“雙碳目標”造成的數(shù)字化轉型的大背景之下塔猾,企業(yè)工業(yè)設備投資也呈跨越式增長,有關工業(yè)資產(chǎn)的信息隨之增多稽坤,分布廣永炭、數(shù)量大、種類多是工業(yè)資產(chǎn)的特點土嚼。面對龐大的工業(yè)資產(chǎn)和相關信息魏桅,資產(chǎn)運營管理與安全問題變得越來越復雜博遵,如何高效完成工業(yè)資產(chǎn)的識別與管理以及接入管控,已成為各企業(yè)急需解決的問題钳葬。
數(shù)量多敦驼、分布廣、種類復雜成油田工業(yè)網(wǎng)絡建設主要痛點
勝利油田始終將數(shù)字化翩腹、信息化建設作為助力企業(yè)提質(zhì)增效述加、轉型發(fā)展的關鍵性舉措。油氣工業(yè)網(wǎng)絡建設覆蓋率達到95%以上刷裂,配套大規(guī)模的自動化儀表飘蔓、采集控制終端等信息化設備,已形成一套龐大的工業(yè)控制網(wǎng)絡米萝。經(jīng)過分析發(fā)現(xiàn)油田工業(yè)網(wǎng)絡接入層現(xiàn)狀有以下幾個特點:
(1)工業(yè)資產(chǎn)種類多账何,品牌不一
勝利油田工業(yè)資產(chǎn)典型設備包括PLC(可編程邏輯控制器)、RTU(遠程終端單元)进肯、無線網(wǎng)橋抒倚、工業(yè)交換機、攝像頭坷澡、工業(yè)主機、視頻服務器等含蓉,且品牌不唯一频敛。因每種資產(chǎn)的識別技術都有其獨特的要求和難點。若不清楚生產(chǎn)管理區(qū)范圍內(nèi)都部署了哪些資產(chǎn)馅扣,就難以規(guī)劃維護計劃和設計有效防護斟赚。一份包含資產(chǎn)類型、廠商差油、型號拗军、系統(tǒng)、版本全面完整的資產(chǎn)清單蓄喇,可以為油氣工業(yè)資產(chǎn)的運維管理提供重要支撐发侵。
(2)網(wǎng)絡接入點數(shù)量多,分布不集中
油田的生產(chǎn)規(guī)模和環(huán)境決定了油田工控系統(tǒng)的信息接入點數(shù)量龐大偷真、分布廣泛闲招,大多暴露在野外環(huán)境,隨著生產(chǎn)網(wǎng)絡體積越來越大熙同,現(xiàn)場接入范圍越來越廣蒿疲,這些來自生產(chǎn)網(wǎng)絡邊緣的安全隱患會帶來生產(chǎn)網(wǎng)絡非法接入的安全風險。
(3)工業(yè)資產(chǎn)難以實時監(jiān)控
勝利油氣工業(yè)資產(chǎn)構成復雜锻刹、數(shù)量巨大棉玻,給資產(chǎn)管理帶來了巨大挑戰(zhàn)泣储。在不具備自動化資產(chǎn)探測發(fā)現(xiàn)工具支撐的情況下,現(xiàn)有資產(chǎn)的登記坝亿、管理主要依賴人工屋廓,資產(chǎn)臺賬統(tǒng)計工作需要花費大量的人力物力。而通常各企業(yè)工業(yè)資產(chǎn)管理員多為兼職喳律,在工控系統(tǒng)正常運行的情況下管理人員并不會主動關心資產(chǎn)屬性周狱,資產(chǎn)出現(xiàn)異常時會直接進行原件替換,經(jīng)年累月運行后赤朽,原始資產(chǎn)明細丟失或未及時更新維護稿辙,實效性及準確性難以得到保障。
(4)前端接入與非法仿冒風險
勝利油田分散的站點面臨著前端被入侵气忠,控制挾持邻储、敏感信息信息泄露風險,通過前端無線/有線接入點私自聯(lián)網(wǎng)旧噪,入侵生產(chǎn)專網(wǎng)風險吨娜,進而造成設備被入侵,刪除或篡改關鍵配置信息等相關風險淘钟。同時宦赠,前端設備分布散,無人值守米母,數(shù)量眾多勾扭,網(wǎng)絡接口完全暴露,被仿冒接入和內(nèi)網(wǎng)探測攻擊成本非常低铁瞒,部分暴露在外的網(wǎng)絡接口是完全開放妙色,無控制手段,很容易被不法分子利用終端網(wǎng)絡接口進行仿冒接入慧耍,并對內(nèi)網(wǎng)探測或入侵身辨,進而控制核心業(yè)務系統(tǒng),獲取敏感數(shù)據(jù)信息或發(fā)起物理攻擊了赖。
工業(yè)網(wǎng)絡安全建設需整體性 奇安信助力油田設備安全水平提升
對此滩扩,奇安信安全專家表示:“在工業(yè)物聯(lián)網(wǎng)建設時,集成的終端往往種類繁多笆滓,并且可能來自于多家廠商漫介,因此為了保障工業(yè)物聯(lián)網(wǎng)系統(tǒng)的安全,需要在統(tǒng)一安全標準和安全建設實施方面做更多努力囊叛。作為工業(yè)物聯(lián)網(wǎng)的底層赏碑,終端并非獨立存在,其安全威脅的也應放到整個工業(yè)物聯(lián)網(wǎng)系統(tǒng)的安全框架中解決学蟀。”
具體實施策略配置需要兼顧網(wǎng)絡側射愧、硬件側矛熬、操作系統(tǒng)和業(yè)務應用等多個維度,側重DDoS攻擊卓俱、終端硬件的組件和配置被篡改鳖群、系統(tǒng)啟動進程被截獲或覆蓋、非法更改應用程序或公共API等主要攻擊手段的防御庶艾。
為應對工業(yè)互聯(lián)網(wǎng)終端等各類型IoT設備大量使用場景下袁余,解決網(wǎng)內(nèi)IoT設備安全防護管理難題,在采油廠咱揍、管理區(qū)部署接入安全統(tǒng)一管理平臺颖榜,實現(xiàn)設備的安全合規(guī)檢查、狀態(tài)監(jiān)控煤裙、網(wǎng)絡雙向阻斷掩完、訪問控制、IP地址管理與使用監(jiān)控硼砰、統(tǒng)一接入控制且蓬、仿冒檢測和處置等安全管理功能。在采油廠下轄的站點部署接入安全防護系統(tǒng)题翰,根據(jù)部署環(huán)境選擇機架式與導軌式混合部署方案恶阴。
奇安信網(wǎng)神工業(yè)互聯(lián)網(wǎng)邊緣可信防護系統(tǒng)支持常用接入控制技術,包括旁路流量分析和阻斷技術豹障、策略路由方式引流的接入控制技術冯事,物理橋接方式的接入控制,通過對網(wǎng)絡中的各類IP流量淌影、工控流量進行解析與控制,采集網(wǎng)內(nèi)各類設備的信息圈喻,評估其合規(guī)情況脾韧,對非法流量強制進行網(wǎng)絡阻斷。
旁路部署模式下爸见,通過交換機流量鏡像方式獲取流量數(shù)據(jù)聂突。旁路部署不改動客戶原有網(wǎng)絡拓撲,不改變客戶原有使用習慣应攘,這種部署模式下言刨,即使接入控制器宕機也不會對客戶網(wǎng)絡造成中斷。
控制器通常旁路部署于核心交換或匯聚交換處轧翘,通過鏡像流量對管控區(qū)塊內(nèi)設備通過邊界的行為進行識別并合規(guī)管控焦伸。
技術原理圖
在奇安信網(wǎng)神工業(yè)互聯(lián)網(wǎng)邊緣可信防護系統(tǒng)的支撐下,本解決方案針對勝利油田大量IoT設備使用場景曙辑,解決了設備安全防護管理難的問題服筋,實現(xiàn)設備的發(fā)現(xiàn)和識別跌褂、接入感知、用戶識別午磁、多類型設備統(tǒng)一準入控制尝抖、仿冒檢測處置、安全合規(guī)檢查迅皇、狀態(tài)監(jiān)控昧辽、IP地址管理等功能。同時登颓,實現(xiàn)了擴大安全監(jiān)控的范圍搅荞、提升威脅發(fā)現(xiàn)及時性、提升安全管理效率挺据、降低安全運營成本等建設效果取具。
應用場景圖
目前,工業(yè)互聯(lián)網(wǎng)邊緣可信防護系統(tǒng)主要應用于站點分散扁耐,有資產(chǎn)識別暇检、身份認證、合規(guī)檢查婉称、風險感知块仆、異常處置、接入控制等有需求的工業(yè)場景甩幔。奇安信工業(yè)安全接入防護解決方案已經(jīng)支撐了能源饶机、電力、制造栽乘、交通芽贫、礦山等多個行業(yè),能夠滿足資產(chǎn)識別挚粱、身份認證吴爵、合規(guī)檢查、異常處置惊柱、接入控制等多種應用場景的安全建設需求错猬。
