案例精选丨携手管网某分公司构建工控安全运营中心

一、项目背景

目前，国内成品油管道发展迅速，已形成大规模输油管网，国家石油天然气管网集团某分公司是国内乃至亚洲最大的成品油管道企业，运营管理成品油管道总6103公里。

由于成品油管线距离长、站点数量多，涉及大量的网络设备，单点设备每天产生大量安全告警，当前企业无法进行有效的监测预警。一旦生产网络发生故障或受到攻击，尤其是调度中心服务器遭受攻击后，将可能对生产安全造成严重威胁。

在GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》安全框架中特别指出：态势感知是等级保护安全框架的重要组成部分，是构建网络安全综合防御体系的关键步骤，是安全管理制度能够真正落地的技术保障。如何建设符合管网行业的工控安全态势感知平台成为解决安全运营的关键。

图1 等保安全框架

二、安全现状

该管网当前有主备两个调度中心及60多个站点，在建设之初网络架构以业务交互为主，并没有将网络安全运营一同规划到建设之中，导致当前网络存在较大的网络安全隐患。

主要安全风险与问题有：

控制指令不受限制且易遭篡改

主备调度中心与场站边界缺乏安全访问控制能力，且现场自动化设备主要采用Modbus、CIP、OPC、DNP3等工控协议进行指令下发控制，此类协议数据传输过程中容易被窃听、篡改以及伪造，攻击人员可利用伪造的数据命令发起攻击，从而引发安全事故。

攻击事件溯源无从下手

缺少日志留存及事件溯源技术措施，日常运营无法依据相关日志进行集中存储、统计和分析，不符合《中华人民共和国网络安全法》要求；安全防护没有实现闭环运营的效果，一旦发生网络安全事件，无法针对攻击源进行追踪溯源，同时缺乏应对措施。

远程运维无管控

各站点设备由调度中心人员远程调试，运维过程中无法对运维人员身份进行统一认证、授权，且无管控、审计技术措施。

资产漏洞不可视

网络中大部分工控设备均采用国外品牌，如ABB、霍尼韦尔等，由于无法准确掌握国外品牌工控系统的漏洞，导致资产脆弱性成为网络安全中的短板，存在极大的安全风险。

安全风险不可视‍

该管网公司所管控的站点数较多，当前各站点网络安全属于孤岛状态，生产网络安全状况不可预知，无法对入侵行为、恶意代码等危害SCADA系统安全的风险进行检测，在发生异常连接或网络攻击时，无法实时有效将安全告警信息统一上报至调度中心。

三、解决方案

结合SCADA系统面临的安全风险和问题，本次建设将在SCADA网络各关键节点部署流量、日志等探针，由工业安全态势感知平台全面分析网络安全态势，建立SCADA系统资产和安全事态模型，构筑符合管网行业的网络安全纵深防御体系。具体方案部署如下：

图2 生产网络安全防护示意图

强化安全区域边界访问控制能力

在主备调度中心边界处部署边界安全防护探针-工业防火墙，工业防火墙能够深度识别与解析现网中的Modbus、CIP、OPC、DNP3等协议，以白名单技术构建边界区域白环境，提升安全访问控制能力，解决工业协议易被篡改的风险；当发生非法访问、工艺异常检测、入侵检测等安全事件时，将安全告警上传至工业安全态势感知平台，由调度中心统一下发安全策略，解决边界安全问题。

图3 Modbus协议白名单防护

图4 CIP协议白名单防护

图5 OPC协议白名单防护

图6 异常攻击行为拦截

加强安全实时监测与预防能力

在主备调度中心旁路部署流量分析探针-高级威胁检测系统，对调度中心流量进行实时分析，通过利用沙箱、多AV病毒检测和人工智能等先进技术对恶意流量、行为异常等威胁进行重点识别，同时工业安全态势感知平台将采集APT检测、病毒检测、元数据等流量数据作为为大数据分析的基础。

在主备调度中心和每个场站关键节点处旁路部署工业协议深度解析流量探针-工控安全监测与审计系统，对生产的操作、下发指令、收集数据等流量进行分析，实时发现并向工业安全态势感知平台上报可疑动作，实现生产网络的实时监测与预警，能够及时处置安全问题，减少安全事件发生的损失。

图7 攻击事件分析

图8 场站控制指令审计

提高网络安全事件回溯能力

在主调度中心旁路部署日志分析探针-日志审计与分析系统，基于大数据架构，日志审计与分析系统实时接收保存全网100多台路由器及工控主机的安全日志，保证审计记录的留存时间符合法律法规要求；同时日志审计与分析系统能够将第三方路由器、交换机等设备的异常流量、异常会话、异常连接等日志同步至工业态势感知平台，使工业态势感知平台能够更加全方位监测、分析、查询系统中的安全事件，提升安全事件回溯能力，事后快速精准溯源，不断改进安全防护措施。

图9 安全日志收集与分析

图10 安全日志展示

有效管控及审计日常运维

在主调度中心运维区域部署安全运维探针-安全运维管理系统，通过该设备切断远程运维人员对调度中心、场站服务器、网络设备的直接访问。在满足远程调试需求的同时，实现第三方人员的运维权限划分、授权和运维行为审计。安全运维管理系统能够将行为审计日志、资源登录日志等信息上传至工业态势感知平台，极大增强了工业态势感知平台对生产网络中运维流量的分析能力。

图11 运维资源管理

图12 运维操作行为审计

构建全网态势感知能力

工业安全态势感知平台作为全网安全监测的大脑，部署在调度中心安全运维区，通过多层面探针的分析数据协助工业安全态势感知平台构建“预警+监测+溯源”能力：

以边界探针构建安全防护能力，通过深度识别控制指令并对其固化，强化边界访问控制能力；

以流量分析探针构建安全监测能力，生成业务行为模型，对偏离模型的异常流量实时上报，并加强对高级可持续攻击的实时监测；

以日志探针构建日志分析能力，加强网络设备、主机的日志分析，通过“流量+日志”完善工控安全态势感知平台安全事件分析能力，发生攻击事件时提供追踪溯源的数据支撑；

以运维探针构建安全运维能力，从运维角度对第三方技术人员形成统一运维入口的身份认证，提高运维安全防护和全面审计能力。

通过安全防护、安全监测、日志分析、安全运维等能力形成常态化运营体系，结合工业安全态势感知平台情报威胁及数据挖掘模型等技术，最终实现“事前预警、事中监测、事后回溯”的效果，满足对网络安全态势全天候、全方位感知的要求。

图13 综合安全态势展示

图14 数据挖掘趋势图

图15 异常控制指令告警处理