★北京六方云信息技術有限公司
1 項目概況
1.1 項目背景
精細化工是當今化學工業中最具活力的新興領域之一,是新材料的重要組成部分。精細化工產品種類多、附加值高、用途廣、產業關聯度大,直接服務于國民經濟的諸多行業和高新技術產業的各個領域。大力發展精細化工已成為世界各國調整化學工業結構、提升化學工業產業能級和擴大經濟效益的戰略重點。在精細化工行業,存在原料復雜、工藝流程長、單元反應多、反應風險高和生產過程控制要求嚴格的問題,且近年精細化工行業安全生產事故頻發,這就要求我們必須保證精細化工行業工控系統的安全運行。本方案通過對精細化工行業工控系統存在的問題進行分析,提出工控系統安全運行的改進建議,從而保證工控系統在精細化工行業中的安全應用。在現代信息化發展的背景下,由于信息和網絡的開放性,導致化工企業的網絡安全建設也受到了一定的挑戰。因此,建立安全可靠的網絡安全保障體系,才能保障信息化的順利實施和企業生產系統的正常運轉。
1.2 項目簡介
某化工集團始建于1988年,經過三十年發展,已成為集石油化工、新能源材料、半導體化學、營養與消費化學及醫藥為一體的綜合性化工企業集團,是市重點調度三十強企業之一和《省化工產業振興規劃》中的重點培植骨干企業。集團現擁有300萬噸/年常減壓裝置、200萬噸/年焦化加氫裝置、140萬噸/年加氫裝置、80萬噸/年催化裝置、50萬噸/年輕質油改質裝置、2.5萬噸/年硫磺裝置、12萬噸/年離子膜燒堿裝置、4.5萬噸/年碳酸二甲酯裝置、3萬噸/年異丙醇裝置、10萬噸/年氣分裝置、6千公斤/年肝素鈉裝置和2千公斤/年依諾等20多套生產裝置,年綜合加工能力達到770萬噸。經營產品包括柴油、汽油、液化石油氣、液體燒堿、固片堿、液氯、高純鹽酸、異丙醇、碳酸二甲酯、醫藥級丙二醇、工業級丙二醇、精品肝素鈉、粗品肝素鈉、注射級肝素鈉、低分子肝素等涉及四大產業領域的三十多種產品,產品遠銷美國、德國、荷蘭、意大利、阿根廷、印度等四十多個國家和地區。
當前,隨著計算機技術和網絡技術的發展,特別是產業互聯網的快速發展,在“兩化”融合的行業發展需求下,網絡安全備受矚目,網絡安全建設與運營已經成為各行業信息化建設過程中不可忽視的建設內容。為了提高生產運行和生產管理效率,化工企業大力推進工業控制系統集成化和集中化管理,系統的互聯互通性逐步加強,與辦公網、互聯網也存在千絲萬縷的聯系。但是工業控制系統建設時更多的是考慮各自系統的可用性,并沒有考慮系統之間互聯互通的安全風險和防護建設。在化工企業工業控制系統組網應用環境下構建工控安全防護體系、構建全網工控安全動態管理能力,已經得到行業主管單位和公司領導的高度重視,網絡安全體系化建設已經成為當前重要的建設任務。通過完善集團工業控制系統的網絡安全防護體系,從而滿足等保的要求,保證生產的穩定運行。
1.3 項目目標
1.3.1 安全風險與現狀分析
目前,實時數據庫系統在化工企業生產經營管理中得到越來越廣泛的應用,通用通信協議和操作系統覆蓋了所有的工業控制系統。根據業務功能的不同,化工行業工控系統網絡一般分為三部分:控制層、數采層和管理信息層,如圖1所示。
圖1 化工行業工控系統網絡
化工企業工控系統目前存在的安全問題主要有:
(1)網絡節點間無有效隔離:OPC數據采集站連接處和操作員站之間的連接處無訪問控制措施和入侵防范措施,一旦某個節點出現問題,會迅速蔓延至整個網絡。
(2)OPC通信協議漏洞無有效防護:OPC協議通信采用的是DCOM技術,其通信端口在1024~65535內不固定,導致使用傳統基于端口或IP地址的常規IT類防火墻在這個層面難以有效隔離和防護,且無法滿足最小授權防護原則。OPC通訊協議的工業控制系統安全性和可靠性成為一個安全技術難題。
(3)DCS系統OPS主機及服務器自身免疫力不足:OPS主機及服務器操作系統大多采用Windows操作系統,一般不允許安裝操作系統的安全補丁和防病毒軟件。這些先天限制,使得主機及服務器操作系統存在很多已知或未知的漏洞無法解決,一旦發生針對性的網絡攻擊或病毒感染就會造成無法想象的后果。即便安裝殺毒軟件也僅能對部分病毒或攻擊有所抑制,而且病毒庫存在滯后性,也不能從根本上進行防護。
1.3.2 建設目標
分析精細化工產業互聯網的實際安全需求,結合其化工控制系統業務的實際特性,建立符合系統實際安全需求的網絡安全保障體系框架,設計安全保障體系方案,綜合提升系統的安全保障能力和防護水平,確保系統的安全穩定運行,提升化工企業工控網絡監測預警與應急處置能力,一旦出現安全事件能夠及時發現、快速處置、力保恢復,保障企業安全穩定生產。項目建設主要從工業設備安全防護、工業控制安全防護、工業網絡安全防護、工業數據安全防護、工業APP應用安全防護等角度進行安全防護設計和建設。針對工控系統內部網絡流量和協議的安全審計層面進行數據安全防護,建成一套基于人工智能技術的精細化工產業互聯網安全防護系統。
(1)構建精細化工企業DCS裝置系統安全邊界,從工業網絡架構視角切實保障工業設備安全與工業控制安全。
(2)建立工業審計與入侵檢測機制,采用AI行為分析技術,構建清晰的資產互訪拓撲。
(3)利用“白名單+”技術,打造精細化工行業安全計算白環境,保障DCS系統上位機、OPC服務器等主機的安全。
(4)構建面向精細化工行業的工業XDR擴展威脅檢測平臺,全面提升攻擊檢測能力,通過人工智能技術進行自動化檢測,實現安全事件響應處置的高效自動,提升運營效率。
(5)搭建安全態勢監測預警與信息通報平臺,實現安全監測預警、信息通報、應急處置手段和提高威脅信息的共享;實現工業設備資產感知、工業漏洞感知、工業配置感知、工業協議識別和分析、工業連接和網絡行為感知、工業僵木蠕檢測、工業攻擊鏈的監測和分析等安全態勢感知功能。通過人-機智能融合,全面提升精細化工產業互聯網安全運營能力的自動化水平,提升威脅檢測、風險評估、自動化響應等關鍵運營環節的處理效率,形成安全閉環,進而實現工業控制網絡和工業互聯網絡安全威脅的可視、可控、可管。
2 項目實施
2.1 方案設計框架
借助以可信計算、人工智能、大數據分析和密碼四大技術為支撐的防控措施;為精細化工企業實現動態防御、主動防御、縱深防御、精準防護和整體防控的安全能力;通過聯防聯控,實現“打防管控”一體化網絡安全綜合防控體系。方案設計框架如圖2所示。
圖2 方案設計框架
2.2 精細化工行業工控系統安全解決方案
精細化工行業工控系統安全解決方案如圖3所示。
圖3 精細化工行業工控系統安全解決方案
(1)OPC服務器邊界隔離及協議控制:部署OT
與IT融合工業防火墻,強大的工業漏洞攻擊行為特征庫,有效防御病毒攻擊;內置工業通訊協議深度解析引擎,支持多種工業協議識別及管控,能夠針對OPC的動態端口、OPC讀寫控制、停止連接、OPC操作接口和操作碼等指令的控制與防護。
(2)工控系統安全運營管理中心:構建基于人
工智能的全流量威脅檢測與回溯系統,借助人工智能和自動化編排等技術,打造一套“事前有防范、事中有應對、事后有追溯”主動防御的智能化運營管理中心,實現全網的網絡安全狀態快速預警;面向人、技術、流程的集成與融合,提升安全防御資源的全局性與協同性,提升安全運營能力的自動化水平,降低威脅分析與響應的周期。
(3)DCS系統OPS主機及服務器安全防護:
部署基于“白名單+”技術的輕量級工業主機安全衛士,對主機進行安全加固,防止操作系統被惡意程序破壞;具有強大的防病毒、防勒索、防蠕蟲和防挖礦功能,有效保障勒索病毒的入侵;采用協議腳本探測的方式監測主機與組態的通信關系,自動發現上位機相關聯組態并生成組態列表,可在管理平臺中進行拓撲呈現。同時,工業主機安全衛士會對系統配置、啟動項、系統日志、軟硬件等靜態數據和系統運行的賬號登錄日志、驅動變更信息、進程信息、網絡連接、文件讀寫、注冊表讀寫、powerShell&cmd命令、DNS請求、端口監聽等數據進行全面采集,通過SSL協議或者HTTPS協議把采集到的數據上送到全流量威脅檢測與回溯系統。由該系統進行人工智能建模與大數據全面分析,發現可疑進程及病毒腳本,聯動工業主機衛士進行攔截處理,結合衛士管理平臺的白名單“灰過白”技術,對白名單策略進行優化,確保白名單策略的可信性。
(4)OPC服務器雙網卡場景下主機防護運維:
面對雙網卡架構,DCS系統主機防護軟件無法集中管理與運維的情況,創新性研發多級管理平臺集群部署,實現跨區域集中管控,主機防護軟件與管理平臺以加密的通信方式保證通信過程的保密性;針對DCS系統裝置IP地址相同的情況,平臺通過主機防護軟件的設備ID進行識別并加以區分;同時平臺具備智能灰過白技術將初次建立的程序名單中異常進程和文件進行剔除最終生成資產可信白名單,并批量下發到主機防護軟件的防護策略中。
(5)工業安全態勢監測與運營平臺:平臺依托
海量工業互聯網數據、本地流量數據、日志告警數據及其它第三方數據,面向服務架構(SOA)服務組件架構(SCA)進行標準化體系接口的設計。運用大數據、數據融合等新技術手段,通過人工智能技術構建資產行為基線和威脅發現模型,提前感知業務系統被攻擊和試探的可能性,實時監測系統被訪問的來源位置、方式、內容等信息,結合安全日志和安全知識關聯分析,確認是否為正常訪問或黑客攻擊,實現威脅的提前感知和預警,做到告警準確。精細化工產業互聯網安全態勢檢測與運營平臺采用集團側、廠站側兩層架構,其中集團側面向工業互聯網全景態勢展現和安全合規監管,提供整體公共運營服務能力;廠站側構建威脅發現和安全運營能力,可對工業互聯網全景網絡安全及國際敵對勢力、黑客組織等不法分子的攻擊活動、攻擊手段和攻擊目的進行發現和識別,并通過對攻擊過程的取證報文進行多維度深入分析,精準地識別出黑客的攻擊手段和攻擊路徑,為通報處置及偵查調查提供強有力的數據支撐;實現全網安全態勢的監測、評估、預警、可視和集中響應,協助組織構建自適應網絡安全保障體系;實時發現企業內部潛伏威脅和外部網絡入侵威脅,通過聯動網絡控制器、安全控制器等設備及時阻斷隔離威脅,避免引起進一步威脅擴散,有效提升對自身網絡的安全態勢監測、未知威脅感知、事件應急處置和攻擊追蹤溯源能力,幫助用戶高效地掌握本單位整體安全態勢。工業安全態勢監測與運營平臺采用安全大數據的采集與人工智能分析技術,面向安全運營風險管控的核心指標與關鍵環節,基于行為、環境、情報、知識等多維、多源數據,通過人-機智能融合,全面提升安全運營能力的自動化水平,提升威脅檢測、風險評估、自動化響應等關鍵運營環節的處理效率,大幅減少對專家經驗的過度依賴,有效降低工業企業、集團乃至國家級關鍵信息基礎設施和數據資產的整體安全風險,助力精細化工行業產業互聯網工業控制系統網絡安全運營技術升級。
3 案例亮點及創新性
(1)風險攻擊簡單易懂
以資產為中心,通過資產學習引擎能夠識別資產的行為和攻擊,實現資產、行為和攻擊的一體化展示,從而實現資產從解析到解讀,讓運維人員能夠看得懂。
(2)運維管理方便快捷
多級管理平臺集群部署,打破精細化工行業雙網卡架構下DCS系統主機維護難、安全管控難的格局。
(3)運營能力顯著提升
以安全運營目標為導向,以人、流程、技術與數據的融合為基礎,面向預防、檢測、響應、預測、恢復等網絡安全風險管控和攻防對抗的關鍵環節,全面提升安全運營能力。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》