真正“優秀”的應用案例,是什么樣? 戳戳戳~~~
發布時間 2019-08-26
編者按:
啟明星辰《面向油氣田行業的油氣田生產物聯網基礎網絡安全防護建設》應用案例符合當前國家對工業互聯網安全市場戰略發展需要,帶動了工業互聯網安全防護與監測產品、系統的研發與市場化,帶動自主可控、基于國產化組件的工業互聯網安全產品的研發與市場推廣應用,形成工業互聯網安全產品和服務的增值業務。
在整個工業互聯網安全產業,尤其是能源方面的基于安全運營思維的網絡安全主動防御技術與研究得到了有力實踐驗證,避免出現網絡安全勒索事件致使SCADA停產導致的經濟損失等類似重大工控事件,保障石油石化行業的網絡安全運營及業務安全穩定運行。
還有個實實在在的獎
了解一下~~~
啟明星辰的《面向油氣田行業的油氣田生產物聯網基礎網絡安全防護建設》榮獲2019年工業信息安全優秀應用案例獎。
油氣田作為國家重要的關鍵基礎設施,兩化融合提高油氣田生產效率的同時,也使油氣田面臨網絡威脅:
通用病毒侵入:病毒通過網絡、USB口等方式侵入系統;
黑客惡意攻擊:不法人員通過遠程修改控制策略、修改測控參數等手段攻擊;
客服惡意植入病毒:不法人員惡意植入危險程序,造成工藝裝置發生事故或停產損失;
企業信息被盜:企業重要信息被惡意竊取,影響企業商業經營或國家利益;
……
啟明星辰綜合考慮油氣田SCADA的特點,建立了自動化生產系統的安全加固與主動預警的安全防護體系。從網絡層、主機層、系統層、應用層和管理制度等方面進行主動式威脅管理,提高油氣田整體網絡安全防護等級,保證油氣田SCADA系統的穩定有序運行。
本次生產網安全體系建設核心思想可總結為:“垂直分層 水平分區、邊界控制 內部監測、全局管理”。
對工業控制系統根據分公司生產網的業務屬性垂直方向化分為四層:現場設備層、現場控制層、監督控制層、生產管理層。水平分區指各層級單位的系統之間應該從網絡上隔離開,處于不同的安全區。
對各系統邊界即各操作站、工業控制系統連接處等要進行邊界防護和準入控制等。對工業控制系統內部要監測網絡流量數據以發現入侵、業務異常、訪問關系異常和流量異常等問題。
通過各層級安全信息、網絡信息、終端信息的收集加強全局監控管理,提高信息的統一性、集中性,并通過收集的數據進行安全風險預警,安全事件溯源。
接下來一一詳細分解~~
安全區域劃分與隔離防護:進行安全域劃分,不同安全域配置了不同的控制策略,確保了核心服務安全。在生產網與辦公網之間部署單向隔離網閘,保證油氣生產網的安全,確保數據只能由生產網進入辦公網。在作業區生產網核心交換機前端部署工業防火墻設備,以保護作業區內部核心生產網絡的安全,抵御來自無線傳輸網絡的安全威脅。通過分域分區以及網絡域隔離,阻止來自業務辦公網絡的攻擊、病毒、木馬等感染入侵其它網絡域。抑制在某一個網絡域中的病毒木馬向其它網絡傳播擴散,縮小安全威脅的影響范圍。
生產系統網絡安全:通過在工控系統實施安全分域、密碼加固、工控協議安全等多種手段綜合防護,確保工業生產環境安全防護全覆蓋;建立以國產密碼算法、證書體系和邊界防護為基礎的安全結構框架,涵蓋各級生產系統。
關鍵控制設備安全:通過工程師站、工控設備和智能儀表等實施接入認證和終端防護等措施確保關鍵設備安全;通過在智能儀表內置儀表安全防護認證模塊,為現場感知提供安全保障。
工控主機安全防護:在服務器與操作員站、工程師站上部署內網安全平臺,通過其白名單機制為終端設備創建一個安全的運行環境,抑制病毒、木馬以及惡意軟件在終端環境運行。同時對外設接口,如USB管控,有效防范通過USB接口發起的高級攻擊。
工控安全運維:在生產網旁路部署工控運維平臺,接管服務器、工程師站等設備的登錄,運維人員、第三方人員統一在堡壘機上操作,進行權限分配、操作審計、進行合規性管理,對風險行為進行告警。通過堡壘機的部署可實現對生產網進行集中管理,可對生產網進行權重等級的劃分和訪問控制權限的劃分。
工控網絡安全監測與入侵檢測:在各網絡區域邊界處部署超融合探針(工控網絡安全監測與入侵檢測系統),進行威脅感知及故障監測,發現工控網絡中的異常行為和入侵行為,定位被攻擊點及故障點。加強工控網絡流量監測與分析能力,有效提升事件發現、安全處置和事件回溯等安全運維能力水平。
統一管理平臺:利用基于數字證書的身份認證技術,形成從管理層至現場各層級的統一信任體系;利用工控集中管理平臺,對工控系統各環節流量進行分析,提供工控系統安全事件統一監視窗口;對工控安全設備統一配置。
油氣田網絡安全態勢感知能力:基于獲取的特征信息,提取工控設備、協議等相關的脆弱性信息,以油氣田工控系統網絡通信中易危端口開放占比及分布、高危漏洞分布地域及類型占比、易忽視的隱患設備運行狀態變換、透明的控制過程種類等控安全態勢預測在工控態勢理解的數據分析基礎上對相關設備或協議的安全等級、攻擊手段變化趨勢或來源等作出預測分析。
◆有力保障油氣開采SCADA及其業務安全穩定運行,通過包括工業防火墻、工業IDS等安全設備的部署可以有效的對OT生產環境進行有效的網絡安全檢測預警、安全防護,在智慧油田生產推進背景下,提供了有力的工業互聯網安全技術保障,可以有效避免工控安全事件導致停產影響原油氣開采的生產運行。
◆為石油石化油氣開采的工業互聯網安全建設提供了成型案例和實際經驗借鑒,為促進石油石化整體工業互聯網安全建設和防護能力水平提升起到了非常好的示范帶頭作用。對整個石油石化行業的工業互聯網安全建設開辟新的思路,積累寶貴實踐經驗,為后續同類型企業進行工控安全建設工作奠定了堅實基礎,為促進石油石化大的工業互聯網安全建設水平的提升做出了很好的貢獻。
◆在建設過程中,充分地參考和借鑒了工信部發布的《工業控制系統信息安全防護指南》,在建設過程中按照《指南》要求開展了管理和技術兩個領域的完善和建設,同時為石油石化行業的工業互聯網安全建設及其規范提供了實際的標準規范技術驗證。
作為最早開展工業互聯網安全研究的信息安全企業,啟明星辰已在石油石化、電力、煤炭、軌道交通、煙草、先進制造等行業積累了大量實踐經驗,對行業應用的實際安全問題和需求有深刻的理解和實踐,并具有完善的工業互聯網安全產品體系和成熟的行業解決方案。未來,啟明星辰將繼續深耕工業互聯網安全領域,為工業互聯網安全建設貢獻力量。