引言
2019年12月1日,《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。
一、安全现状
工信部在其发布的《信息化和工业化深度融合专项行动计划(2013-2018 年)》中明确要求石油化工行业要加快两化深度融合,油田数字化进程得以逐步加快, RTU、PLC、SCADA等设备或系统的大规模运用,也进一步提高了石油开采的效率和石油油品质量。
随着油气钻探技术的不断升级,我国钻井技术从人工机械化钻井发展到自动化钻井,自动化水平越来越高,集成度、可操作性、安全性也越来越高。石油开采环节由于井场数量庞大、分布广泛,都需要接入调度中心,这对工业控制系统网络提出新的挑战,在网络建设过程当中必须要考虑互联所带来的网络安全、管理归属、运维保障等安全问题。
与此同时,油田企业的生产信息化建设要求油水井和站库的生产数据实时接入各种应用平台, DCS、SCADA等生产控制系统逐渐与企业办公网相连,这也间接地与互联网互联互通,而开放的DCS、SCADA等生产控制系统正是成为黑客攻击的目标和主要切入点;包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与油田公司内部网络断开、连接,这些电脑很多时候是游离于企业安全体系的有效管理之外;内部员工对网络了解甚少,没有良好的安全防范意识,造成病毒、恶意软件在生产控制网络泛滥传播;生产现场第三方员工使用拨号、双网卡、翻墙软件等问题状况屡见不鲜。
油气行业的基础设施受到网络攻击现象已相当严重,与其他行业攻击不同的是,油气行业的网络攻击有56%都集中在控制系统上,对油气开采设施网络袭击一旦成功,不仅可能是环境大灾难,而且会严重影响国家安全。
二、解决方案
1.风险评估方案
风险评估是全面了解与验证在实际应用中存在各种风险的一种必要手段,也是安全防护体系建设的前提,天地和兴将依据《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)、《工业控制系统信息安全防护能力评估方法》(工信部信软[2017]188号)采用专业的工控系统安全评估工具全面深入分析石油开采生产控制网络面临安全风险,并给出相应的安全评估报告,为用户全面了解系统网络安全风险提供依据。
图1:海南某油田公司风险评估结果
2.安全防护方案
油田企业的生产信息化建设要求油水井和站库的生产数据实时接入各种应用平台,DCS、SCADA等生产控制系统逐渐与企业办公网相连,这也间接地与互联网互联互通,而开放的DCS、SCADA等生产控制系统正是成为黑客攻击的目标和主要切入点。如何保证该系统安全、稳定运行及调度控制系统安全接入?参照国家网络安全等级保护基本要求“一个中心、三重防护”的安全理念,构建油田开采工控系统网络安全纵深安全防御技术体系,部署示意图如下:
图2:解决方案拓扑图
l 安全通信网络:在调度控制中心边界处、各场站边界处串行部署工控防火墙系统,实现各安全域边界隔离与访问控制;在信息安全专网跨越不同级别安全域-“生产区与安全管理区”之间部署工业防火墙类产品,实现区域隔离控制。
l 安全区域边界:优化网络结构,划分安全域。“纵深防护”:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部关键网络节点、关键设备部署异常行为、恶意代码的检测和防护措施,真正做到纵向到底、横向到边的全域防护;在调度控制中心核心交换机上、各厂站的汇聚交换机上旁路部署工控安全审计系统,对整个油田开采工控系统的应用服务器、主机管理系统等进行全面的检测,对通信数据进行合规性检查,对异常行为、违规操作行为进行识别、审计告警,告警日志送日志审计系统、安全管理平台系统进行集中存储、分析与风险关联展示,辅助运维人员进行处置。
l 安全计算环境:在工程师站、历史站、操作员站等上位机中部署主机防护系统,确保主机身份鉴别、访问控制、恶意代码防范、入侵防范得到有效控制。在各站库系统和调控中心管理主机操作域内部署USB安全隔离系统,通过网络连接,集中提供USB存储设备的连接与数据安全拷贝,实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能,保护系统USB拷贝数据的安全。
l 安全管理中心:在油田开采工控网络中新建安全管理域,部署工控安全监管平台、运维审计系统、日志审计与分析系统以及工控安全检查工具,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,对重要操作行为进行记录、分析,及时发现各种违规行为以及病毒、黑客的攻击行为,全网资产无损扫描识别与管理,资产漏洞匹配与统计报告等安全集中管理能力。通过系统加固,更多是通过纵深防御技术体系边界防护设备的策略调优进行补偿式修复,提升整个系统网络安全整体的防护能力。
3.安全检查方案
为进一步加强网络与信息安全管理工作,提供网络与信息安全保护水平,天地和兴将根据《网络安全等级保护》评测要求采用专业的技术人员、专业的检查工具对石油开采生产控制系统进行网络与信息安全专项检查。通过专项检查,认证查找生产控制网络存在的安全隐患和漏洞,增强各级单位的安全意识,全面落实安全组织、安全制度和技术防范措施。
4.应急演练方案
在《网络安全法》中有明确要求必须开展应急演练工作。因此,通过组织开展应急演练工作,国家监管部门和关键信息基础设施单位能够检验应急响应工作机制与应急预案是否完善,进一步加强网络安全应急响应能力建设,提高应急响应工作水平。天地和兴依托多行业的应急防护经验可对现场网络安全监测、管理情况,安全管理制度以及防入侵、防攻击、防篡改等技术防护措施进行细致化的梳理,结合企业实际生产情况,配合支撑企业落实国家政策开展工控系统应急演练,提供应急演练保障。
5.安全服务方案
针对主管、运维等部门的“专业壁垒”等问题,天地和兴为相关人员提供专业的培训、咨询、运维等服务,涉及网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容。协助企业全员提高专业知识与安防范,帮助企业全员提高专业知识与安防范意识。同时,天地和兴还提供7*24小时的专家级安全咨询服务与运维、应急保障。
6.安全运营方案
在石油企业的内部,各部门的工作人员数量庞大,其业务内容和范畴也各有差异,在进行信息化工作时,想要仅仅依靠技术人员实现整个企业的信息化建设显然是不可能的。天地和兴可提供包括安全运营中心建立、安全意识培训、安全运营管理、安全体系管理、安全运维管理等多维度内容。此外,天地和兴还可以通过讲座、技术展示等形式培养员工的信息安全意识。
三、总结
石**业素来注重生产安全与网络安全建设,石**业属于高科技密集型行业,信息化实施的效果在很大程度上影响着整个行业的竞争能力。石**业上中下游各个业务领域投资巨大,涉及人员众多,各产业价值链的关联度较高,某一业务领域的发展会直接对其他业务领域产生影响,石油企业对于利用信息化手段实现上中下游产业的一体化协同发展具有很大需求。
天地和兴结合油田开采行业真实现场需求,提供以上针对油田开采工业网络安全全生命周期的网络安全解决方案,在实现国家基础设施防护目标的同时,为石油石化的智能化升级保驾护航。
来源:freebuf.com 2020-06-15 14:13:08 by: 北京天地和兴科技有限公司
请登录后发表评论
注册