1.?案例概述
我國是能源消費大國���,資源大量依賴進口�,對進口石油和天然氣的依賴高達73%和43%���,為保證能源供應�����,我國積極推進海洋油氣資源開發利用�,海上油氣開采成為我國能源增長的新引擎���,有效保障了我國的能源安全不受制約���。
?
海上平臺的作業范疇包括鉆井����、采油��、處理�����、存儲和輸送��,主要設施涉及中心平臺�、井口平臺��、儲油平臺/FPSO���、海底管線��、陸上終端等���。根據海上平臺分工不同���,海上平臺通常以集群的形式存在��,通過海底光纜與陸地相連接的海上平臺是中心平臺��,生產平臺和中心平臺通過海底光纜實現網絡通信�。
?
六方云基于海上平臺業務安全風險�����,結合國家網絡安全政策和法律法規����,利用OT/IT融合安全技術構建全面的網絡安全防護體系����,保障海上油氣平臺生產網絡免受攻擊威脅���。
2.?安全風險與現狀分析
目前海上平臺工藝控制系統多數采用西門子����、霍尼韋爾和ABB的設備���,海上平臺集群組網結構如下圖所示���,網絡鏈路采用A/B網冗余的組網方式����,生產平臺三大系統控制器和工程師站��、操作員站都通過以太網的方式連接核心交換機�。生產平臺中控室無需24小時人員值守�����,中心平臺遠程控制站會通過遠程桌面實時監測生產平臺的工程師站畫面����,保證生產正常穩定運行���。
?
當前生產系統組網方式存在以下安全隱患:
1.?生產平臺和中心平臺之間����,中心平臺和陸地管控中心之間都通過海底光纜通信��,彼此存在大量的信息交互�,信息在未加密的情況下遠距離傳輸�����,并且缺少用戶身份驗證的手段�����,容易受到第三方竊聽攻擊��。攻擊者可以利用網絡抓包工具對網絡中的明文信息進行嗅探���,通過局域網監聽和業務流量分析����,獲取工藝系統核心數據和系統賬號�、密碼等敏感信息�,甚至可以利用這些數據針對系統進行進一步的入侵��。
?
2.?陸地管控中心到海上平臺����,中心平臺到生產平臺都存在遠程運維的需求����,目前普遍直接采用遠程桌面的方式遠程控制生產平臺的工程師站�����,這種遠程控制端口是黑客最常用利用的攻擊跳板��。工程師站主機上安裝有針對PCS控制器的組態軟件����,相對于操作員站來說��,業務系統控制權限更高�,可以直接修改控制器的告警參數和閾值��,黑客一旦掌握了工程師站的管理員權限���,就可以通過合法的方式調高工藝系統告警閾值��,致使有害氣體濃度�����、可燃性氣體占比超標等情況不會出現聲光告警�����,后果不堪設想��。
?
3.?運維人員權限沒有被嚴格限制�,無論是內部人員巡檢���、外部人員調試排查����,都可以直接獲取系統最高權限�����,現場人員也通常無法判斷運維人員在上位機的操作行為是否合規��,是否出現越權訪問行為��,操作是否影響其他業務系統�����。一旦主機出現故障也無法通過操作記錄進行追蹤溯源�����,快速定位問題����,排查恢復效率極低���。系統密碼存在弱口令現象���,管理員也沒有定期修改賬戶密碼的習慣��,頻繁的遠程運維導致密碼泄露風險很高����。
?
4.?PCS,ESD和FGS等業務系統所采用的控制器設備固件版本老舊��,底層普遍采用windows系統或unix系統����,從系統投入運營后就沒有升級過固件版本或�����,存在大量的系統漏洞�����,一旦控制器進程被黑客篡改�,工藝控制系統便形同虛設�,平臺上的人員安全會遭受巨大威脅�����。
?
5.?工程師站作為工業控制系統的大腦�����,對于生產控制至關重要�����,但工程師站普遍采用windows7系統�����,從未進行系統升級和打補丁����,主機也從未進行針對系統����、文件�、程序的主機加固配置�,無法抵御以勒索病毒為首的惡意文件傳播����。
?
6.?對于網絡中的業務流量缺乏收集和分析的手段����,無法針對網絡資產進行業務梳理�,一旦出現異常訪問關系也無法感知并做出應對���。
3.?解決方案
在中心平臺設置安全管理區���,部署日志審計����、監管平臺����、堡壘機和態勢感知平臺��,安全管理區設備旁路接入中心平臺核心交換機��;在生產平臺和中心平臺核心交換機上旁路部署工業審計系統����;在生產平臺和中心平臺網絡出口處部署工業防火墻��;在所有工程師站和操作員站安裝工業衛士軟件和日志采集插件�����。
?
1.?海上平臺網絡出口部署工業防火墻��,通過搭建端對端VPN通道實現業務數據加密傳輸��,利用嚴格的身份驗證手段避免中間人攻擊�,通過完善的信息加密傳輸手段���,保證竊聽者無法解析報文信息內容��,過濾第三方攻擊者對工藝控制系統下達的指令�����,最大程度上保證了網絡業務傳輸的安全��。
?
2.?將所有主機和服務器資產納管到堡壘機�,通過堡壘機配置資產運維賬號并設置嚴格的訪問操作權限����,無論是平臺固定人員還是第三方運維人員都必須通過堡壘機進行設備運維��,實現運維行為的可管可控�����。并通過堡壘機配置敏感指令集合�����,攔截高危敏感操作指令����,可以規避刪庫���、重啟����、修改系統文件����、關閉防火墻等誤操作和惡意操作���,從而實現安全運維���。
?
3.?日志審計系統收集全網日志�����,通過全面的日志及行為分析彌補現有各類技術產品在威脅分析發現方面的不足����。遇到特殊安全事件和系統故障����,日志審計可以確保日志完整性和可用性�,協助管理員進行故障快速定位����,并提供客觀依據進行追查和恢復����,為安全事故的責任追查��、故障定位提供有力的技術手段��。
?
4.?將生產網核心交換機的流量鏡像到工業審計系統��,通過使用監督式學習��,利用多維聚類算法���,對報文自動提取特征和分類���,梳理網絡資產和業務訪問關系閾值��,利用AI技術分析異常訪問行為并產生告警�����。通過深度解析工控私有協議����,記錄所有針對寄存器的操作指令���,生成工業協議白名單����,匹配白名單中的協議規則�����,實現網絡狀態實時監測��,異常事件及時告警�����。
?
5.?所有上位機安裝工業衛士軟件����,有效保護工業主機免受惡意文件攻擊��。通過工業衛士對工控主機外設����,如USB�、網卡���、軟驅��、光驅�����、藍牙�����、紅外等進行控制���,防止惡意文件通過外設傳播到上位機��。利用工業衛士進行安全基線檢查����,使用者根據軟件引導進行硬件配置���、補丁情況�����、進程列表�、應用程序����、系統服務���、賬戶信息等項目的基線配置�����,提高主機安全防護能力����。
?
6.?借助態勢感知平臺�,運維人員可以及時了解網絡狀態�、受攻擊情況��、攻擊來源以及哪些服務易受到攻擊等情況�����;用戶單位可以清楚地掌握所在網絡的安全狀態和趨勢��,做好相應的防范準備��,減少甚至避免網絡中病毒和惡意攻擊帶來的損失�;安全分析團隊可以獲取外部及內部威脅情報�����,為安全運維人員提供專業的情報分析工具�����,從而實現主動預警�、實時監控���、發現威脅���、響應處置的防御閉環�����。
4.?應用效果
遵照等保要求��,滿足安全合規
梳理出海上平臺的主要工業控制網絡和工業生產系統��,從等保2.0要求的安全通信網絡��,安全區域邊界����,安全計算環境和安全管理中心等四個技術方向充分考慮和設計���,充分滿足合規要求���,從而實現主動防御體系的建設���。
建立完善的安全防護體系�,抵御網絡入侵
通過構建完善的縱深安全防護體系����,對生產控制系統網絡安全進行整改加固��,強化邊界防護的基礎上���,加強內部的物理安全�、網絡安全���、操作系統安全���、應用安全���、數據安全防護以及安全運維管控���,構建縱深防線��,實現企業生產控制系統網絡安全的縱深防御����、綜合防護����。
強化安全運營團隊��,提升人員技術水平
通過建立安全態勢感知平臺��,獲取外部及內部威脅情報��,為專業的安全分析團隊提供數據支撐�����,由技術能力覆蓋了操作系統�����、逆向��、漏洞挖掘��、滲透等安全的各個領域的團隊在實戰中帶動企業自身的安全運營人員能力的提升����。同時為安全運維人員提供專業的情報分析工具���,從而實現主動預警���、實時監控����、發現威脅�、響應處置的防御閉環����。
