9月1日,《关键信息基础设施安全保护条例》施行。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。
石油化工的工控系统是能源行业重要的关键信息基础设施,信息化建设有了较好的基础,并且已深度融合到各个生产业务系统中。随着“两化融合”、生产装置规模不断扩大,越来越多的生产控制系统通过信息网络连接到互联网上,石油石化的工控系统面临巨大的风险挑战。
石油石化工控的现状与挑战
在石油石化行业中,工控系统(ICS)在油气田、炼油化工等主要生产环节得到广泛应用,包含分布式控制系统(DCS)、监控与数据采集系统(SCADA)和可编程逻辑控制器(PLC)等。
在工油气田生产中,工艺处理装置较多的油气处理厂多采用DCS 系统或大型 PLC 系统完成生产工艺过程的控制,工艺处理装置少的油气处理站多采用中小型 PLC 系统,井口分散的油气采掘厂大多采用远程控制终端(RTU)。
在炼油化工生产中,DCS 系统负责各类大型生产装置的基本过程控制、操作、监视、管理,顺序控制、工艺联锁等,PLC则用于可燃/有毒气体检测系统、压缩机控制系统、转动设备监视系统等控制。
原先的工控系统的设计主要是专用的相对封闭可信的通信线路,也就是封闭的“单机系统”。随着“两化融合”带来工业控制系统外连,以及生产网络内底层计算技术、网络技术的更新,使得内网单机开始联网,这就对当前防护技术的功能、性能提出了不同于传统技术的安全要求。这种工业网络规模、工业数据量的变化,对传统的隔离、检测、统一管理的防护逻辑带来挑战。
综合来看,石油石化企业的工控系统存在技术、设备和管理上三方面的风险隐患。
技术上的风险隐患。无论是工控系统,还是使用工业主机、服务器等,存在大量老旧且利用门槛低的漏洞,不仅长期未被发现和修复,并且有大量全新的0DAY漏洞。这些“带病运行”的软件和设备给石油石化企业带来巨大安全隐患。
设备上的风险隐患。工业设备资产分布广、设备类型繁多,不仅面临生产故障、设备老化等风险,在不能有效安全配置下,更加剧了各类设备、软件的脆弱程度,让攻击行为难以察觉。
管理上的风险隐患。工控系统安全涉及于自动化、信息化和安全等不同部门和不同岗位,彼此交叉。企业原有的安全制度与现状不适应,进而导致安全组织态度模糊,责任不明确。而且企业之间、部门之间存在认知偏差,技术生产的壁垒,“孤岛”现象严重,导致投入的设备与系统效力大打折扣,无法匹配上高速生产水平,进而影响业务运营效率。
对症下药,打造立体的工控安全体系
石油石化需要从单点的、本地的、局部的工控安全防护体系,升级为一个立体的、全方位的、纵深的、全面的安全防控体系。同时,提升企业的规划管理、人员专业意识和技能,与设备使用、生产运维、应急响应、事件处置等完美结合,有效防范各类工控风险。
全面体检,及时掌握工控系统安全现状
《关键信息基础设施安全保护条例》第十七条规定:运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
每年一次的安全检测和风险评估,能够对石油石化工控系统进行全面的“体检”,发现各类潜在攻击和未知威胁,将威胁扼杀在早期或萌芽状态,将风险防范的关口前移,从而提升企业整体的安全性。
顶象洞见实验室致力于工控安全深度攻防技术研究,主要面向底层工控设备和装置( PLC、DCS、SCADA等)以及各类组态软件的漏洞挖掘和安全研究,基于领先的工业系统漏洞挖掘与利用、漏洞模糊测试和工业协议分析技术,为国内外数十家知名工业企业提供过安全检测服务。
顶象OT-Argus通过集成自主研发的非入侵式无损智能漏洞扫描系统,结合集成的4000+种工控漏洞,1000+种独家挖掘的0DAY漏洞,50000+种IT漏洞检测扫描插件,全面覆盖IT/OT漏洞检测。对设备进行完整性、脆弱性、安全性进行全面检测与评估,提升设备的安全性、可靠性和稳定性。
两手准备,防范已知威胁和正在发生的攻击
《关键信息基础设施安全保护条例》第十五条第三、六、七款,对负责本单位关键信息基础设施安全保护的工作人员并给出明确规定:(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理。
漏洞是风险的爆发源头,无论是病毒攻击还是网络攻击大多是基于漏洞。CNVD(国家信息安全漏洞共享平台)显示,2021 上半年新增的工业控制系统漏洞数量达到 151 个,涉及制造业、能源、交通等行业。及时修复工控系统存在的各类已知漏洞,有效防范病毒威胁;同时“诱捕”拦截已发生的攻击,良好保障业务安全。
顶象OT-Guard独有的“虚拟补丁”技术,能够自动生成基于已知和未知漏洞的针对性防护策略,实时监控各类工控漏洞攻击,阻断各类威胁。石油石化企业不依赖设备厂家升级和修复、无需专业人员手动操作,也可以完成未知缺陷动态修复的解决方案。该方案修复功能完全可逆可追溯,确保生产环境完全可控。
顶象OT-Phantom第三代的欺骗诱捕技术能够自动化高度仿真海量的资产和业务,主动引诱攻击者攻击仿真的“幻影系统”,误导与迷惑攻击者,增加攻击时效,通过使用欺骗防御技术来挫败攻击者的探测过程。可以有效感知攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为,详细观察记录攻击手法、入侵行为、访问记录、威胁破坏等,对被防护网络的攻击、异常事件进行实时预警。并通过实时的行为分析,结合关联网络、智能模型建设和风控引擎,对攻击者进行快速溯源和风险特征分析,帮助运营者进行针对性防御。该技术在每年的实战攻防演习得到充分实践证明,目前已在多个企业落地。
未雨绸缪,预知未知威胁和潜在被攻击风险
2021年5月出版的《攻守道-企业数字业务安全风险与防范》一书,特别提到“未知攻,焉知防”:企业详细了解并掌握有哪些风险、风险有哪些特征、风险来自哪里,才能够有效预防,此所谓“知己知彼百战不殆”。
石油石化企业需要及时发现并掌握各类异常行为、风险隐患及故障隐患,通过事前应对或消除,保障工控系统的安全,保障业务的连续性。同时,基于业务系统的大数据,构建威胁模型,能够帮助石油石化企业预测内外部和主观因素下的偶然与必然结果,为可能发生安全事件提供决策支撑。
顶象通过有监督和无监督的机器学习威胁行为建模,能够对工控系统中的行为进行自动聚类与分类,精准识别网络内的正常和异常行为,发现各类潜在攻击和未知威胁,提升网络和设备的安全检测结果,协助安全运维人员将威胁消灭在萌芽状态,进一步提升整体的安全性。
顶象OT-Eye基于知识图谱技术,打通不同层次的风险数据,实现风险的统一的采集、汇聚、融合与关联。结合内部和外部风险知识,深入挖掘分析,形成独有的风险知识图谱。进而追溯风险原因和传播机制,实现风险的感知和预测,协同网内往外联防联控,帮助安全人员制定更科学有效的防护策略,让企业从被动防御转为主动保障。
科学规划与管理,提升团队效能与人员技能
《关键信息基础设施安全保护条例》第十四条规定:运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
第十五条第一、四、五款对负责本单位关键信息基础设施安全保护的工作人员并给出详细规定:(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;(五)组织网络安全教育、培训。
系统的规划与科学的管理、专业安全人才和深入人心的安全意识,才能让工控安全体系能够现业务与安全的有机结合,发挥安全体系的价值,有效防控各类风险,及时响应并处理各类安全问题,保障业务稳定运行。
1,系统的规划与科学的管理制度。企业需要根据组织和业务特点,结合组织发展和国家标准、监管机构要求确定工控安全目标和工控安全策略。同时,需要掌握企业内部工控安全现状与工控安全目标之间差距,按照工控安全建设工作的不同参与者职责。从而建立设备管理、系统管理、运行维护、日志管理、脆弱性管理、安全事件管理、应急响应管理等规定和评价体系。为企业的工控安全工作提供指导和要求。
2,深入人心的安全意识和习惯。很多安全事件的发生是由于非安全岗位人员的安全意识不足所导致的,企业需要通过宣讲、培训、竞赛、演练等多种方式,提升全员的安全意识,让每个员工建立良好的安全习惯,从而良好支撑安全保障体系建设,清晰理解并严格恪守安全管理制度,以有效保障工控系统的安全运行。
3,专业的安全知识与技能。石油石化安全岗位涉及计算机、网络、安全、人工智能等多个领域的专业技能。企业需要通过各类措施提升安全岗位人员的专业知识和服务水平,良好满足安全管理、安全规划、安全实施、安全运维、应急响应等各阶段工作的要求。
“全国信息安全标准化技术委员会”2021年颁布的《信息安全技术工业控制系统信息安全防护能力成熟度模型》,对负责工控系统设计、建设、运维等相关方有一套全面的“安全能力成熟度模型”标准。该标准通过一系列代表能力和进展的特征、 属性、指示或者模式,对安全能力要素、能力成熟度等级和能力建设过程等三个维度进行了系统检验和评估。