您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
前沿 | 油田工業(yè)控制系統(tǒng)信息安全縱深防御初探
摘要
本文通過(guò)對(duì)數(shù)字油田專(zhuān)用的油氣工業(yè)控制系統(tǒng)(OICS)進(jìn)行風(fēng)險(xiǎn)分析,提出了分層分域、確定性行為預(yù)測(cè)的縱深防御方法,可有效解決油田OICS面臨的網(wǎng)絡(luò)安全問(wèn)題。
1. 引言
隨著中國(guó)經(jīng)濟(jì)的快速發(fā)展,石油、天然氣等能源產(chǎn)業(yè)在國(guó)家經(jīng)濟(jì)中的地位愈加顯著。近年來(lái)國(guó)家大力倡導(dǎo)國(guó)家能源安全與能源儲(chǔ)備,客觀(guān)上向中國(guó)的能源產(chǎn)業(yè)提出了更高的要求,同時(shí)也提供了更多的發(fā)展空間。因此通過(guò)數(shù)字化遠(yuǎn)程管理,有效控制生產(chǎn)過(guò)程中的關(guān)鍵技術(shù)環(huán)節(jié),實(shí)現(xiàn)遠(yuǎn)程調(diào)度指揮、監(jiān)管、控制的大規(guī)模生產(chǎn)是目前眾多大型企業(yè)所企盼的。
技術(shù)在飛速發(fā)展的同時(shí),不可避免的帶來(lái)了系統(tǒng)安全的各類(lèi)風(fēng)險(xiǎn)和威脅,在數(shù)字油田的構(gòu)建中,存在著如系統(tǒng)終端平臺(tái)安全防護(hù)弱點(diǎn)、系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問(wèn)題、私有協(xié)議的安全問(wèn)題、隱藏的后門(mén)和未知漏洞、TCP/IP自身的安全問(wèn)題、用戶(hù)權(quán)限控制的接入、網(wǎng)絡(luò)安全邊界防護(hù)、內(nèi)部人員非法操作以及密鑰管理等各種信息安全風(fēng)險(xiǎn)和漏洞。
數(shù)字油田系統(tǒng)一旦遭到破壞或入侵,會(huì)直接危害到原油的開(kāi)采和運(yùn)輸,繼而影響到國(guó)家能源安全問(wèn)題,造成直接或間接的巨大經(jīng)濟(jì)損失,更會(huì)影響社會(huì)的安定團(tuán)結(jié)。
油田自動(dòng)化利用自動(dòng)化手段對(duì)油水井站、計(jì)量間、閥組、聯(lián)合站(集氣站)、原油外輸系統(tǒng)、油罐及油田其他分散設(shè)施進(jìn)行自動(dòng)檢測(cè)、自動(dòng)控制,從而實(shí)現(xiàn)生產(chǎn)自動(dòng)化和管理自動(dòng)化。但是采油現(xiàn)場(chǎng)常常分布在人煙稀少的偏僻地區(qū),交通通訊不便,分布地域廣泛,現(xiàn)場(chǎng)人員較少,大部分地區(qū)處于無(wú)人或少人職守狀態(tài)。一旦現(xiàn)場(chǎng)控制系統(tǒng)發(fā)生異常,可能導(dǎo)致發(fā)現(xiàn)晚、排查難、影響大等一系列問(wèn)題。
2. 數(shù)字油田OICS風(fēng)險(xiǎn)分析
2.1 網(wǎng)絡(luò)結(jié)構(gòu)分析
油田網(wǎng)絡(luò)結(jié)構(gòu)龐大,采油廠(chǎng)以下按照管理區(qū)劃分為多個(gè)管理區(qū),管理區(qū)與采油廠(chǎng)通過(guò)專(zhuān)用光纖進(jìn)行通訊。
現(xiàn)場(chǎng)基本控制單元包括油井、配注站、注水站等不同的單元,包含的主要網(wǎng)絡(luò)設(shè)備和控制設(shè)備為RTU、PLC系統(tǒng)及攝像頭,現(xiàn)場(chǎng)基本控制單元通過(guò)無(wú)線(xiàn)傳輸?shù)哪J?,將?shù)據(jù)與匯聚點(diǎn)進(jìn)行通信,無(wú)線(xiàn)匯聚點(diǎn)通過(guò)專(zhuān)用光纖將數(shù)據(jù)上送到管理區(qū)生產(chǎn)指揮中心。注水站PLC系統(tǒng)通過(guò)專(zhuān)用光纖將數(shù)據(jù)上傳到管理區(qū)生產(chǎn)指揮中心,管理區(qū)生產(chǎn)指揮中心通過(guò)光纖將生產(chǎn)數(shù)據(jù)發(fā)送至辦公網(wǎng)絡(luò)。
管理區(qū)的網(wǎng)絡(luò)可以以三層兩網(wǎng)的模型進(jìn)行分析。兩網(wǎng)是指現(xiàn)場(chǎng)無(wú)線(xiàn)網(wǎng)絡(luò)和光纖網(wǎng)絡(luò),三層分別是下層現(xiàn)場(chǎng)控制設(shè)備層、中間匯聚層、上層管理層,本文依據(jù)網(wǎng)絡(luò)和層次結(jié)構(gòu)對(duì)威脅與脆弱性進(jìn)行分析。油田管理區(qū)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。
圖1 油田OICS網(wǎng)絡(luò)拓?fù)鋱D
2.2 整體風(fēng)險(xiǎn)分析
依據(jù)網(wǎng)絡(luò)拓?fù)鋱D以及網(wǎng)絡(luò)結(jié)構(gòu)并結(jié)合目前已有的技術(shù)安全措施,現(xiàn)有的安全隱患包括以下幾個(gè)方面。
(1)網(wǎng)絡(luò)設(shè)備準(zhǔn)入控制隱患
整個(gè)油田的網(wǎng)絡(luò)終端設(shè)備部署在野外現(xiàn)場(chǎng),難以有效地采用門(mén)禁等措施來(lái)管控整個(gè)網(wǎng)絡(luò),生產(chǎn)網(wǎng)較容易被外來(lái)人員接入其他網(wǎng)絡(luò)設(shè)備,難以對(duì)第三方非法接入進(jìn)行報(bào)警和阻斷,存在較大安全隱患。
(2)無(wú)線(xiàn)通信缺乏認(rèn)證
現(xiàn)場(chǎng)設(shè)備如油井、配注站等以無(wú)線(xiàn)方式與匯聚塔通訊,工控?cái)?shù)據(jù)也通過(guò)無(wú)線(xiàn)方式與OICS服務(wù)器通訊,缺乏有效的身份認(rèn)證。
(3)生產(chǎn)網(wǎng)和辦公網(wǎng)接口
生產(chǎn)網(wǎng)包含了工控網(wǎng)絡(luò)與視頻網(wǎng)絡(luò),數(shù)據(jù)量龐大,目前未做任何的防護(hù)措施,給生產(chǎn)安全帶來(lái)巨大的風(fēng)險(xiǎn)。
(4)工控網(wǎng)與視頻網(wǎng)合用威脅
生產(chǎn)網(wǎng)包含了工控網(wǎng)絡(luò)與視頻網(wǎng)絡(luò),工控網(wǎng)與視頻網(wǎng)合用,數(shù)據(jù)量龐大,數(shù)據(jù)的格式、協(xié)議、保密性要求與傳輸延時(shí)要求等均存在巨大差異,業(yè)務(wù)差別大、安全需求差別也很大。兩網(wǎng)使用同一根光纖傳輸存在較大安全隱患。
(5)缺乏有效的防病毒措施
工程師站、操作站、視頻監(jiān)控站、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)采及視頻服務(wù)器等都在同一網(wǎng)絡(luò)中,與上層辦公網(wǎng)絡(luò)等無(wú)隔離防護(hù),雖然安裝了360防病毒軟件,但360防病毒軟件本身只能針對(duì)常規(guī)的病毒并不適用工控網(wǎng)絡(luò),對(duì)工控系統(tǒng)的病毒防護(hù)存在誤殺風(fēng)險(xiǎn)。
(6)針對(duì)特定工控系統(tǒng)的攻擊
黑客可能利用木馬、病毒(如最近的勒索病毒以及針對(duì)工控系統(tǒng)的震網(wǎng)病毒)、文件擺渡或其他手段進(jìn)入工控網(wǎng)絡(luò),對(duì)工控系統(tǒng)控制器發(fā)出惡意指令(如控制器啟停指令、修改系統(tǒng)時(shí)間、修改工藝參數(shù)、對(duì)動(dòng)設(shè)備進(jìn)行啟停操作等),導(dǎo)致工控系統(tǒng)宕機(jī)停產(chǎn)或出現(xiàn)嚴(yán)重的安全事故。
(7)對(duì)網(wǎng)絡(luò)流量缺乏有效的監(jiān)控措施
現(xiàn)場(chǎng)生產(chǎn)網(wǎng)絡(luò)分布位置廣泛,設(shè)備多(如一個(gè)匯聚點(diǎn)連接了幾十口油井,每個(gè)油井上包含了眾多的儀表及設(shè)備),網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,缺少有效的網(wǎng)絡(luò)流量監(jiān)控措施,在危險(xiǎn)發(fā)生時(shí)難以有效發(fā)現(xiàn)威脅來(lái)源及可能造成的影響,難以有效地對(duì)威脅進(jìn)行快速響應(yīng)來(lái)降低對(duì)生產(chǎn)的影響。
(8)未進(jìn)行分區(qū)域隔離
匯聚點(diǎn)之間、注水站之間以及匯聚點(diǎn)與注水站之間只是通過(guò)劃分VLAN來(lái)分區(qū),但是VLAN方式并不能防范病毒的擴(kuò)散以及黑客的入侵行為。
(9)漏洞利用風(fēng)險(xiǎn)
事實(shí)證明,99%以上攻擊都是利用已公布并有修補(bǔ)措施、但用戶(hù)未修補(bǔ)的漏洞。操作系統(tǒng)和應(yīng)用漏洞能夠直接威脅數(shù)據(jù)的完整性和機(jī)密性,流行蠕蟲(chóng)的傳播通常也依賴(lài)于嚴(yán)重的安全漏洞,黑客的主動(dòng)攻擊往往離不開(kāi)對(duì)漏洞的利用。
(10)行為抵賴(lài)風(fēng)險(xiǎn)
如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)行為和敏感信息傳播,準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài),及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄,同時(shí)進(jìn)行安全事件定位分析,事后追查取證,滿(mǎn)足合規(guī)性審計(jì)要求,是迫切需要解決的問(wèn)題。
3. 數(shù)字油田OICS縱深防御建設(shè)
3.1 安全建設(shè)基本原則
對(duì)于工控安全建設(shè),應(yīng)當(dāng)以適度安全為核心,以重點(diǎn)保護(hù)為原則,從業(yè)務(wù)的角度出發(fā),重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng),在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下幾項(xiàng)原則。
(1)適度安全
任何系統(tǒng)都不能做到絕對(duì)的安全,在進(jìn)行工控安全等級(jí)保護(hù)規(guī)劃中,要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中,過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是等級(jí)保護(hù)建設(shè)的初衷,因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過(guò)程中,一方面要嚴(yán)格遵循基本要求,從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施,保障信息系統(tǒng)的機(jī)密性、完整性和可用性,另外也要綜合成本的角度,針對(duì)系統(tǒng)的實(shí)際風(fēng)險(xiǎn),提出對(duì)應(yīng)的保護(hù)強(qiáng)度,并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè),從而有效控制成本。
(2)技術(shù)管理并重
工控安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題,把防范黑客入侵和病毒感染理解為工控安全問(wèn)題的全部是片面的,僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的工控安全問(wèn)題,因此必須要把技術(shù)措施和管理措施結(jié)合起來(lái),更有效地保障信息系統(tǒng)的整體安全性,形成技術(shù)和管理兩個(gè)部分的建設(shè)方案。
(3)分區(qū)分域建設(shè)
對(duì)工控系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域,由于工控系統(tǒng)中各個(gè)資產(chǎn)的重要性是不同的,并且訪(fǎng)問(wèn)特點(diǎn)也不盡相同,因此需要把具有相似特點(diǎn)的資產(chǎn)集合起來(lái),進(jìn)行總體防護(hù),從而可更好地保障安全策略的有效性和一致性;另外分區(qū)分域還有助于對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中管理,一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件,可通過(guò)嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延。
(4)合規(guī)性
安全保護(hù)體系應(yīng)當(dāng)同時(shí)考慮與其他標(biāo)準(zhǔn)的符合性,技術(shù)部分參考《GBT25070-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行設(shè)計(jì),管理方面同時(shí)參考《GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》以及IEC 27001安全管理指南,使建成后的等級(jí)保護(hù)體系更具有廣泛的實(shí)用性。
(5)動(dòng)態(tài)調(diào)整
工控安全問(wèn)題不是靜態(tài)的,它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變,因此必須要跟蹤信息系統(tǒng)的變化情況,調(diào)整安全保護(hù)措施。
3.2 安全防御方案
3.2.1 分層分域構(gòu)建縱深防御體系
分層分域的目的是通過(guò)分層劃分不同的系統(tǒng)集合,根據(jù)不同系統(tǒng)的特點(diǎn)采取相應(yīng)的防護(hù)手段,例如工控區(qū)域的特點(diǎn)是以高可用性為優(yōu)先原則,而管理區(qū)應(yīng)以機(jī)密性為優(yōu)先原則;分域則是依據(jù)最小業(yè)務(wù)系統(tǒng)的原則避免安全風(fēng)險(xiǎn)的擴(kuò)散。對(duì)于處于生產(chǎn)管理區(qū)但需要和OICS實(shí)時(shí)服務(wù)器通訊的功能服務(wù)器建議設(shè)立工控DMZ區(qū),將這些功能服務(wù)器單獨(dú)部署在工控DMZ區(qū)內(nèi),分層分域部署如圖2所示。
圖2 油田OICS分層分域圖
在生產(chǎn)管理層與工控DMZ層的邊界設(shè)置帶有入侵檢測(cè)裝置的下一代防火墻,依據(jù)訪(fǎng)問(wèn)控制關(guān)系配置訪(fǎng)問(wèn)控制列表(ACL),同時(shí)可以對(duì)入侵行為進(jìn)行監(jiān)測(cè)報(bào)警。
在工控DMZ層與監(jiān)控層的邊界設(shè)置工業(yè)單向網(wǎng)閘,防止工控DMZ層感染的病毒滲透到監(jiān)控層,由于單向網(wǎng)閘采用2+1架構(gòu),可以阻斷兩個(gè)網(wǎng)絡(luò)的實(shí)時(shí)連接,防止黑客的入侵行為。
在監(jiān)控層與設(shè)備控制層邊界依據(jù)業(yè)務(wù)特點(diǎn)劃分最小業(yè)務(wù)單元設(shè)置工業(yè)防火墻,由于工業(yè)防火墻采用白名單機(jī)制,可以阻斷所有非白名單的流量,同時(shí)具備BYPASS功能,可以用于要求高可用性的工控網(wǎng)絡(luò)中。監(jiān)視站與服務(wù)器之間也可設(shè)置工業(yè)防火墻,實(shí)現(xiàn)確定性的指令級(jí)控制,由于每臺(tái)監(jiān)視站的監(jiān)視范圍和控制功能的不同,可以依據(jù)控制范圍和控制功能設(shè)置可監(jiān)視和控制的位號(hào)的白名單,實(shí)現(xiàn)精準(zhǔn)的控制防止誤操作以及人為破壞。
3.2.2 確定性的可預(yù)測(cè)行為監(jiān)視
油田OICS是實(shí)時(shí)的工業(yè)控制系統(tǒng),按照掃描周期完成數(shù)據(jù)的采集、數(shù)據(jù)的模數(shù)轉(zhuǎn)換、應(yīng)用控制策略的執(zhí)行、數(shù)據(jù)的數(shù)模轉(zhuǎn)換、控制型號(hào)的執(zhí)行,因而網(wǎng)絡(luò)中的流量的大小、協(xié)議的類(lèi)型、控制的點(diǎn)位等均為確定性的。通過(guò)分析工控核心交換機(jī)的鏡像流量,結(jié)合生產(chǎn)業(yè)務(wù)關(guān)系的關(guān)聯(lián)分析,對(duì)行為建模預(yù)測(cè)性判斷,并對(duì)風(fēng)險(xiǎn)報(bào)警。行為監(jiān)測(cè)設(shè)備部署如圖3所示。
圖3 工控安全監(jiān)測(cè)審計(jì)設(shè)備位置圖
主要實(shí)現(xiàn)以下功能:
(1)資產(chǎn)數(shù)量的確定性,對(duì)入侵設(shè)備的可預(yù)測(cè)分析;
(2)資產(chǎn)訪(fǎng)問(wèn)關(guān)系的確定性,對(duì)異常的訪(fǎng)問(wèn)行為的可預(yù)測(cè)分析;
(3)流量特征的確定性,對(duì)惡意文件、入侵的可預(yù)測(cè)分析;
(4)業(yè)務(wù)行為(組態(tài)的下載、上傳、對(duì)設(shè)備的操作)的確定性,對(duì)入侵檢測(cè)的可預(yù)測(cè)分析;
(5)變更計(jì)劃的確定性,對(duì)入侵或工控專(zhuān)有病毒(如:火焰、震網(wǎng))研判的可預(yù)測(cè)性分析;
(6)生產(chǎn)運(yùn)維計(jì)劃的確定性,對(duì)入侵等異常行為的可預(yù)測(cè)分析。
3.2.3 確定性的可預(yù)測(cè)主機(jī)加固
油田OICS的操作站、服務(wù)器、工程師站由于高可用性的要求無(wú)法安裝系統(tǒng)補(bǔ)丁及殺毒軟件,存在巨大的安全隱患,成為了病毒的中轉(zhuǎn)站,同時(shí)也是黑客入侵的主要攻擊對(duì)象。對(duì)于工控的主機(jī)防護(hù)可以采用基于白名單進(jìn)程管控的工控主機(jī)衛(wèi)士來(lái)實(shí)現(xiàn)。
主要實(shí)現(xiàn)功能如下:
(1)主機(jī)進(jìn)程的確定性,惡意進(jìn)程的可預(yù)測(cè)性防護(hù),結(jié)合業(yè)務(wù)流程阻止非預(yù)測(cè)的額外進(jìn)程運(yùn)行;
(2)主機(jī)服務(wù)端口的確定性,異常行為的可預(yù)測(cè)性防護(hù),結(jié)合相關(guān)程序的日常端口行為阻止非預(yù)期端口開(kāi)放;
(3)主機(jī)訪(fǎng)問(wèn)關(guān)系的確定性,異常訪(fǎng)問(wèn)的可預(yù)測(cè)性防護(hù),通過(guò)流量畫(huà)像精準(zhǔn)展示異常連接;
(4)主機(jī)運(yùn)維的確定性,異常行為的可預(yù)測(cè)性發(fā)現(xiàn),結(jié)合運(yùn)維日志發(fā)現(xiàn)非預(yù)期的主機(jī)行為。
3.2.4 可視化的安全運(yùn)營(yíng)
在數(shù)字油田OICS中建設(shè)了一些安全設(shè)備后,會(huì)產(chǎn)生眾多的事件和日志,為統(tǒng)一管理工業(yè)控制的系統(tǒng)設(shè)備、安全設(shè)備及日志信息,將多個(gè)設(shè)備日志信息關(guān)聯(lián)分析,需要建設(shè)一套工控安全運(yùn)營(yíng)中心,此平臺(tái)與傳統(tǒng)管理網(wǎng)的平臺(tái)不同之處有如下幾點(diǎn):
(1)該平臺(tái)應(yīng)該能夠直接收集工業(yè)交換機(jī)及工控應(yīng)用系統(tǒng)的信息;
(2)該平臺(tái)能夠分析工控網(wǎng)絡(luò)中的設(shè)備互聯(lián)狀況,包括流量、時(shí)間、工控協(xié)議等元素建立白名單規(guī)則,及時(shí)有效發(fā)現(xiàn)異常并報(bào)警;
(3)該平臺(tái)的關(guān)聯(lián)分析與傳統(tǒng)事件關(guān)聯(lián)分析模型不同;
(4)適應(yīng)工控網(wǎng)絡(luò)的特性,工控安全運(yùn)營(yíng)中心不再以日志為主要分析手段,而是采用流量行為分析為主、事件分析為輔的技術(shù)路線(xiàn),通過(guò)安全監(jiān)控、風(fēng)險(xiǎn)分析、流量秩序監(jiān)控三大方面來(lái)描述當(dāng)前的安全狀況。
該平臺(tái)產(chǎn)品是面向工控環(huán)境的安全管理解決方案,結(jié)合工業(yè)控制協(xié)議的深度解析工作,實(shí)現(xiàn)工業(yè)控制環(huán)境下流量行為的合規(guī)審計(jì),減輕運(yùn)維人員的維護(hù)工作量,讓風(fēng)險(xiǎn)及網(wǎng)絡(luò)行為直觀(guān)展示,讓入侵和病毒無(wú)所遁形。
4. 結(jié)語(yǔ)
數(shù)字油田的OICS是油田的大腦,一旦受到破壞其影響不僅限于直觀(guān)的經(jīng)濟(jì)損失,還會(huì)直接影響普通民眾的日常生活甚至造成人員傷亡,更為嚴(yán)重的是會(huì)影響到國(guó)家的安全和社會(huì)的穩(wěn)定。國(guó)外敵對(duì)勢(shì)力的破壞仍然存在,不法分子的滲透與日俱增,加強(qiáng)油田企業(yè)OICS的網(wǎng)絡(luò)安全防護(hù)已經(jīng)勢(shì)在必行。
作者簡(jiǎn)介
魯玉慶(1966- ),男,山東濰坊人,高級(jí)工程師,現(xiàn)就職于中石化股份有限公司勝利油田分公司,研究方向?yàn)橛吞锇鍓K工業(yè)控制系統(tǒng)及油氣生產(chǎn)信息化核心技術(shù)研究及應(yīng)用。
來(lái)源:本文摘自《自動(dòng)化博覽》2020年6月刊