威努特助力某采油厂工控系统安全防护建设
背景
某油田公司以油田作业区为主,大力开展物联网系统工程建设,实现生产数据自动采集、远程监控、生产预警。为提高生产效率和效益,优化岗位配置,保障生产过程安全,依托物联网建设,油田生产管理正逐渐向“集中监控,无人值守,故障巡检”模式转变,生产过程中大量应用的SCADA、DCS、PLC、RTU等工业控制系统(见下图),已成为采油厂生产不可或缺的组成部分,一旦出现安全问题,就会对生产造成重大影响。因此,在保证生产平稳的基础上,开展采油厂工业控制系统安全防护建设,极有必要且刻不容缓。
采油厂物联网结构
该油田作业区的生产规模大,各采油厂物理环境存在差异,自动化水平和建设规模也不相同,既有整装自动化稀油油田,又有整装自动化超稠油油田,还有一些自动化程度较低的老油田。经过详细调研各采油厂现有的工控系统,进行工控系统漏洞及风险分析,并结合现场自动化设备出现网络异常后对生产造成的影响程度,威努特制定了采油厂网络安全防护解决方案,顺利完成采油厂工控安全建设目标,保证采油厂工控系统得到了有效的安全防护。
安全分析
采油厂处理站网络结构图如下:
1) 生产子系统间无安全隔离。生产系统的子系统间无安全隔离防护措施,所有子系统均由一个交换机接入,若某一生产子系统出现感染病毒等异常情况,整个生产系统都会面临很大威胁。
2) 生产子系统与调度控制中心无安全隔离。每个生产子系统信息通过交换机上传到调度指挥控制中心服务器,两者之间也无任何的安全隔离措施,可能会造成恶意代码流入系统,造成系统破坏。
3) 工控机无防护软件。工控机容易遭受恶意代码危害。
4) 移动存储介质无管控措施。由于工业控制网络的封闭性,操作人员对工业控制系统进行升级或数据导出导入等操作时,基本都是通过移动U盘或移动硬盘的方式,很容易将病毒、木马等恶意程序植入工业控制系统。
5) 无流量审计。整个工控系统缺乏有效的安全审计措施,发生网络安全事件后,将无法追踪溯源,事件无法定位。
6) 无入侵检测功能。存在因不能及时发现网络攻击行为而造成系统信息泄漏或损坏的风险。
7) 无运维审计功能。无法对远程运维人员的日常行为进行监控。
实施方案
采油厂处理站工控系统信息安全建设示意图:
边 界 防 护
生产子系统之间,生产子系统与调度控制中心之间部署工业防火墙,解决系统间无隔离问题。严格控制访问策略,减少恶意攻击行为给工业控制系统带来的安全风险,在重点工控设备前加装工业防火墙,通过工业防火墙的工控协议深度解析及“白名单”安全管理机制,充分保护重要工控设备的信息安全,提升整个工业控制系统的安全防护等级。
主机防护及移动存储管控
工控机安装工控主机卫士,可以有效防止恶意代码的执行和扩散,并且可以对移动存储等进行更好的管控。
监 测 审 计
在采油厂工控网络的控制系统中部署工控监测与审计系统,为采油厂工控网络提供事前监控、事中记录、事后审计。保证触发审计系统的事件记录存储,并能够根据存储的记录进行查询、统计、分析等。
入 侵 检 测
部署入侵检测系统,收集网络信息并对其进行分析,从中发现网络或系统中是否有异常行为,为更好地保护网络信息安全,提供信息支持。
统 一 管 理
部署统一安全管理中心,采集安全产品数据信息,并进行管理、配置和运维。对整个生产网络中安全产品进行策略配置下发、网络流量分析,并出具丰富的报表报告,实时掌握工业控制网络情况,发现问题并及时定位问题发生位置和原因,获悉企业工业控制网络整体的安全状态,实现全生命周期的日志管理。
安 全 运 维
部署安全运维与管理系统,实时监视整个生产控制系统内主机、服务器、网络设备、应用程序,进行安全管控,对运维和管理人员账号使用情况进行画面监视和记录。核心业务系统有统一管控出入口,有效减少核心信息资产的破坏和泄漏,一旦出现问题,可提供有力证据并透视问题发生的整个过程。
实 施 效 果
1. 实现不同区域信息安全保护及网络隔离;
2. 实时监测记录网络流量,及时发现网络异常行为,提高事后追溯能力;
3. 严格管控存储外设,减少恶意代码带来的安全风险;
4. 实现安全产品的集中管理,降低运维难度。
总 结
工控系统信息安全直接关系到整个采油厂的生产安全,维护油田工控系统安全,确保生产系统的稳定可靠,防止来自内部或外部的攻击是当前必须考虑的问题,油田工控系统信息安全问题已迫在眉睫。本项目结合采油厂工控系统的信息安全需求,确定了“风险分析+策略部署+管理预案”的工作框架,运用“主动防御、集中管控、纵横联动”的防护策略,辅以管理制度及应急预案,提出了“防范发生、控制蔓延、快速处置”为目标的采油厂工控系统安全建设思路,实现油田工控系统的边界安全、网络安全、终端安全,全方位保障采油厂工控系统的稳定连续运行。