欢迎您访问工业控制系统信息安全产业联盟平台网站!
官方微信
用户名:
密码:
登录 注册
基于CII安全防护的油储工业互联网安全运营体系建设与实践

点击数:3307 发布时间:2021-01-31 14:39

国家关键信息基础设施(Critical Information Infrastructures,CII)承载着大量国家基础数据,其安全防护问题直接影响我国数字经济发展和网络强国建设,本文以国家战略油储设施为例,结合油储工业互联网安全的特点以及面临的威胁和挑战,依据GB/T 22239-2019等标准相关要求,遵循“重点保护、整体防护、动态风控、协同参与”和“安全协同防护顶层设计”战略原则,建立网络安全主动整体防御体系,实现油库CII关键业务的安全防护和安全运营。
1 引言
中国石油天然气股份有限公司西北销售分公司(以下简称:西北销售公司)管理运营分布在不同地域的十余座大型成品油库,是典型的支撑石油能源生产、供应和销售的CII;随着其智慧业务的发展以及两化融合的深入实践,其网络安全整体态势直接影响着区域的国计民生,一旦发生网络安全事故,将会严重影响区域内一些重要行业正常运行,也严重威胁着国家基础设施的安全。为深入贯彻《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,落实《工业控制系统信息安全防护指南》要求,配合《关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动,西北销售公司于2019年成功上线了《面向油库安全运营的工业互联网态势感知系统》,实现了对油库发油生产系统安全风险的实时感知和威胁的精准研判、应急、智能运维与主动整体防控,强化国家CII的保护,提升行业整体网络安全防护水平。

《关键信息基础设施网络安全保护基本要求》强调油储类的CII网络安全保护需首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求,同时遵循“重点保护、整体防护、动态风控、协同参与”的基本原则,建立网络安全主动整体防御体系,在此基础上实现油库CII关键业务的安全防护。

2 构建适合油库安全运营的安全体系与攻防决胜能力

油库安全生产保障的网络安全能力建设目标是在保障网络对抗中能够取得决胜,其持续性对抗的安全保障能力是关键,尤其是在黑客入侵时能够及时发现并实施阻断、内部人员违规操作时能够甄别并举证等。油库CII网络安全保护在满足等保2.0要求的基础上,遵循“重点保护、整体防护、动态风控和协同参与”的原则,建立网络安全综合主动防御体系。其中,整体防护就是基于油库生产运营承载的业务,对业务所涉及的多个网络和信息系统,尤其是发油生产的SCADA控制系统等进行全面防护;动态风控以油库网络安全风险的动态管理对其安全控制措施进行调整,从而有效地防范控制网络安全风险。

2.1 网络安全运营体系化

GB/T 22239-2019等级保护标准强调“一个中心、三重防护”的体系化设计思路,可以分为空间维度的纵深与多重防护体系(如图1所示),和时间维度的多维与协同防御体系(如图2所示),重点加强“内生安全”,如公司以及库区用户登录系统的身份认证、重要操作行为审计、敏感数据加密、发油生产SCADA控制程序开发中源代码的安全审计、业务和核心交换机的配置文件安全审计、新业务通信链路链接审计(控制非法外联)、远程运维审计等,以此提升业务系统自身的安全性、增强抵御外部攻击的能力。更为重要的是系统安全运营时,注重安全措施的落地与效果,安全策略部署到位,安全应急库与“一库一档案”建立、安全事件追踪溯源等,以此消除一些特殊威胁的安全漏洞和再被利用的机会。

图1 基于空间维度的防御体系


图2 基于时间维度的防御体系

2.2 攻防思考的安全运营

西北销售公司每年不断新增业务,在网设备时常在增减与更新,安全运营与智能运维可以保护油库设施免受攻击、入侵、干扰和破坏,构建面向攻防对抗的网络安全防护体系,积极使用漏洞扫描、渗透测试、安全防护、安全持续监测等技术,改善发油生产SCADA网络系统的安全性能,提高网络安全保障能力,构筑安全、可靠、稳定的可视、可控、可责、可溯的网络环境。

(1)基于满足等保合规的基础安全能力,实时深度梳理与监控油库网络资产的存活状态、联网状态、进出流量等,并根据人员的变化构建动态的安全组织,根据需要动态部署适宜的安全措施与策略,制定与之相适应的应急流程。

(2)构建以大数据为核心的分析溯源能力、诱捕能力以提升威胁发现能力,及时发现网络攻击与违规操作者,及时完成威胁阻断、网络恢复等工作。

(3)构建以威胁情报为中心的持续对抗能力,网络攻防双方都是善变的,及时依据网络状态变化动态地调整安全策略,以争取对抗中的主动,提升网络安全策略动态调整的能力。

(4)采用零信任思维(动态的4A技术),动态评估登录用户、设备的可信程度,并根据登录位置、连接方式、上网习惯、设备业务流量等特性动态授权用户访问的权限,特别对一些敏感操作(如SCADA、PLC程序下载、数据库操作等),额外增加身份鉴别的级别以保障业务的安全。

2.3 以CII保护思维,超越等保合规的动态防御联动防控策略

基于等保2.0和CII防护的油库工业互联网安全运营以治理、风控、合规为驱动,以大数据分析技术为核心,实现了油品的销售、生产、调度、运营的端到端的价值链的覆盖,实现了从现场控制、生产监控、生产运营到经营管理的全维度监控,以及从物理和环境、网络和通信、计算和终端、应用和数据的全范围监控。网络安全决策工作基于来自各类计算终端、服务器、数据库、应用系统、存储设备、网络设备、安全设备以及运营操作的数据,经过大数据安全平台采集、归集、处理、分析后得到大量历史和实时的数据辅助网络安全决策,使油库网络安全运营决策能够做到有的放矢。油库CII网络安全保护架构图如图3所示


图3 油库CII网络安全保护架构图
(1)资产识别:实现对油库CII相关资产的自动化管理,根据油库生产关键业务链所依赖资产的实际情况实时动态更新,并与态势感知和智能安全运营实时同步。
(2)互联安全:对不同地域油库、不同职能部门的区域、地域局域网之间远程通信时采取安全防护措施,增强隔离措施、基于零信任思维的身份认证和基于密码技术对通信双方进行验证或认证等。
(3)安全审计:增强网络审计措施,监测、记录系统运行状态、日常操作、故障维护和远程运维等,留存相关日志数据不少于12个月。
(4)入侵防范:实现对新型网络攻击行为(如APT攻击)的入侵防御,增加公司、库区等网络入口与特殊节点的威胁防御与入侵诱捕措施,采取系统级整体联动的主动防护措施,及时识别并阻断入侵和病毒行为。
(5)数据安全:按照《工业数据分类分级指南(试行)》对油库发油生产数据的全生命周期进行安全管理,基于工业数据分类分级实现相应的数据安全保护。
(6)自动化工具:使用自动化工具支持系统账户、配置、漏洞、补丁和病毒库等管理,对于漏洞、补丁,应在经过验证后有所选择地及时修补。
(7)监测预警:制定适合油库自身业务发展需求的安全监测预警和信息通报制度,明确监测策略、监测内容和预警流程,对油库CII网络安全风险进行监测预警。

3 持续性威胁监测和安全运营以应对不断变化的外部安全威胁

油库CII的工业互联网安全运营平台充分整合来自各个层面、维度的数据、日志等信息,并将IT和OT的各个层面的设备设施数据接入,结合资产管理、人员管理、事件管理、应急管理、基线管理、外包管理、供应链管理等各类业务操作数据,结合业务场景建立数据分析模型,实时展现安全态势,发现威胁并及时响应,对分析结果进行决策,指导销售公司各个职能部门和库区开展网络安全工作,形成销售公司与库区、内外部之间的快速沟通和响应能力,优化各类网络安全防护以及支撑工具,提升安全运营平台的实时分析能力以及运营能力。充分整合网络安全专业厂商的外部安全服务机构能力,提升内部员工的安全基本知识和技能,整体提升工业互联网安全运营能力。
构建符合自身业务发展的安全运营体系时,充分根据油库业务系统的发展和变化而不断动态调整防护的重点和优先级,不断完善和迭代优化、提升系统性工作,持续进行演习,在实战中完善安全策略,检验应急预案效率,提升团队安全能力,以便通过实践不断丰富与发展。油库工业互联网安全运营通过融合安全技术和安全管理以降低系统风险,通过“局部防御+持续监测”以减少安全防护对油库发油生产系统实时性和效能造成的影响,切实保证油库工业互联网安全运营能为油库的安全生产创造更多价值。
4 结束语
面对关键基础设施防护的新形势、新要求,诸如国家战略油储等关键信息基础设施安全保护面临着实战化、体系化、常态化的挑战,需要通过全局整体设计,建立全面覆盖的网络安全能力体系,将安全能力渗透到关键基础设施信息化体系之中,使之具备全天候的态势感知与安全运行。针对当前网络攻击的复杂性、未知性,结合敌情我情,建设“发现、分析、响应、溯源”的系统和主动防御能力,构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系已成当务之急。

作者简介

于慧超(1986-),男,山东威海人,工程师,学士,现就职于中国石油天然气股份有限公司西北销售分公司。

摘自《工业控制系统信息安全专刊(第七辑)》

成员展示