此篇文章发布距今已超过794天,您需要注意文章的内容或图片是否可用!
目前,国内成品油管道发展迅速,已形成大规模输油管网,国家石油天然气管网集团某分公司是国内乃至亚洲最大的成品油管道企业,运营管理成品油管道总6103公里。由于成品油管线距离长、站点数量多,涉及大量的网络设备,单点设备每天产生大量安全告警,当前企业无法进行有效的监测预警。一旦生产网络发生故障或受到攻击,尤其是调度中心服务器遭受攻击后,将可能对生产安全造成严重威胁。在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全框架中特别指出:态势感知是等级保护安全框架的重要组成部分,是构建网络安全综合防御体系的关键步骤,是安全管理制度能够真正落地的技术保障。如何建设符合管网行业的工控安全态势感知平台成为解决安全运营的关键。
图1 等保安全框架
该管网当前有主备两个调度中心及60多个站点,在建设之初网络架构以业务交互为主,并没有将网络安全运营一同规划到建设之中,导致当前网络存在较大的网络安全隐患。
主备调度中心与场站边界缺乏安全访问控制能力,且现场自动化设备主要采用Modbus、CIP、OPC、DNP3等工控协议进行指令下发控制,此类协议数据传输过程中容易被窃听、篡改以及伪造,攻击人员可利用伪造的数据命令发起攻击,从而引发安全事故。
缺少日志留存及事件溯源技术措施,日常运营无法依据相关日志进行集中存储、统计和分析,不符合《中华人民共和国网络安全法》要求;安全防护没有实现闭环运营的效果,一旦发生网络安全事件,无法针对攻击源进行追踪溯源,同时缺乏应对措施。
各站点设备由调度中心人员远程调试,运维过程中无法对运维人员身份进行统一认证、授权,且无管控、审计技术措施。网络中大部分工控设备均采用国外品牌,如ABB、霍尼韦尔等,由于无法准确掌握国外品牌工控系统的漏洞,导致资产脆弱性成为网络安全中的短板,存在极大的安全风险。该管网公司所管控的站点数较多,当前各站点网络安全属于孤岛状态,生产网络安全状况不可预知,无法对入侵行为、恶意代码等危害SCADA系统安全的风险进行检测,在发生异常连接或网络攻击时,无法实时有效将安全告警信息统一上报至调度中心。结合SCADA系统面临的安全风险和问题,本次建设将在SCADA网络各关键节点部署流量、日志等探针,由工业安全态势感知平台全面分析网络安全态势,建立SCADA系统资产和安全事态模型,构筑符合管网行业的网络安全纵深防御体系。具体方案部署如下:
图2 生产网络安全防护示意图
在主备调度中心边界处部署边界安全防护探针-工业防火墙,工业防火墙能够深度识别与解析现网中的Modbus、CIP、OPC、DNP3等协议,以白名单技术构建边界区域白环境,提升安全访问控制能力,解决工业协议易被篡改的风险;当发生非法访问、工艺异常检测、入侵检测等安全事件时,将安全告警上传至工业安全态势感知平台,由调度中心统一下发安全策略,解决边界安全问题。
图3 Modbus协议白名单防护
图4 CIP协议白名单防护
图5 OPC协议白名单防护
图6 异常攻击行为拦截
在主备调度中心旁路部署流量分析探针-高级威胁检测系统,对调度中心流量进行实时分析,通过利用沙箱、多AV病毒检测和人工智能等先进技术对恶意流量、行为异常等威胁进行重点识别,同时工业安全态势感知平台将采集APT检测、病毒检测、元数据等流量数据作为为大数据分析的基础。在主备调度中心和每个场站关键节点处旁路部署工业协议深度解析流量探针-工控安全监测与审计系统,对生产的操作、下发指令、收集数据等流量进行分析,实时发现并向工业安全态势感知平台上报可疑动作,实现生产网络的实时监测与预警,能够及时处置安全问题,减少安全事件发生的损失。
图7 攻击事件分析
图8 场站控制指令审计
在主调度中心旁路部署日志分析探针-日志审计与分析系统,基于大数据架构,日志审计与分析系统实时接收保存全网100多台路由器及工控主机的安全日志,保证审计记录的留存时间符合法律法规要求;同时日志审计与分析系统能够将第三方路由器、交换机等设备的异常流量、异常会话、异常连接等日志同步至工业态势感知平台,使工业态势感知平台能够更加全方位监测、分析、查询系统中的安全事件,提升安全事件回溯能力,事后快速精准溯源,不断改进安全防护措施。
图9 安全日志收集与分析
图10 安全日志展示
在主调度中心运维区域部署安全运维探针-安全运维管理系统,通过该设备切断远程运维人员对调度中心、场站服务器、网络设备的直接访问。在满足远程调试需求的同时,实现第三方人员的运维权限划分、授权和运维行为审计。安全运维管理系统能够将行为审计日志、资源登录日志等信息上传至工业态势感知平台,极大增强了工业态势感知平台对生产网络中运维流量的分析能力。
图11 运维资源管理
图12 运维操作行为审计
工业安全态势感知平台作为全网安全监测的大脑,部署在调度中心安全运维区,通过多层面探针的分析数据协助工业安全态势感知平台构建“预警+监测+溯源”能力:以边界探针构建安全防护能力,通过深度识别控制指令并对其固化,强化边界访问控制能力;以流量分析探针构建安全监测能力,生成业务行为模型,对偏离模型的异常流量实时上报,并加强对高级可持续攻击的实时监测;以日志探针构建日志分析能力,加强网络设备、主机的日志分析,通过“流量+日志”完善工控安全态势感知平台安全事件分析能力,发生攻击事件时提供追踪溯源的数据支撑;以运维探针构建安全运维能力,从运维角度对第三方技术人员形成统一运维入口的身份认证,提高运维安全防护和全面审计能力。通过安全防护、安全监测、日志分析、安全运维等能力形成常态化运营体系,结合工业安全态势感知平台情报威胁及数据挖掘模型等技术,最终实现“事前预警、事中监测、事后回溯”的效果,满足对网络安全态势全天候、全方位感知的要求。
图13 综合安全态势展示
图14 数据挖掘趋势图
图15 异常控制指令告警处理
通过对单站点安全事件、单设备安全日志进行数据清洗及关联分析,自动对事件原因、受影响设备进行分析,屏蔽误报警,提高响应处理能力。基于指纹识别技术自动分析工控资产漏洞和风险,实时、多维度展示工控资产安全状态及安全风险,并提供多维度统计报告。
实现调度中心及站点工控资产统一管理、安全设备策略统一配置、网络设备日志统一收集、运维人员统一接入、告警统一分析处理,显著提升运维效率。
对海量历史数据的挖掘分析,回溯攻击发生的历史过程,追查攻击路径和攻击时间轴,最终实现对整个攻击事件的溯源分析。
通过内置的综合态势、资产态势、运行态势、脆弱性态势、网络攻击态势、横向威胁态势、日志告警趋势共7个态势大屏,从不同视角不同维度展示调度中心及站点网络安全态势。北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 陈女士 15611262709
稿件合作 微信:shushu12121
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com
还没有评论,来说两句吧...