海上平臺(tái)中控系統(tǒng)的安全防護(hù)研究

楊雪松

（中海油信息科技有限公司天津分公司，天津 300452）

2010年“震網(wǎng)”病毒大規(guī)模爆發(fā)，是世界上首個(gè)針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的破壞性蠕蟲(chóng)病毒[1]，為世人敲響了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的警鐘。2014年春，Havex 病毒在能源行業(yè)大規(guī)模爆發(fā)，2019年，美國(guó)的ICS-CERT（工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組）就響應(yīng)了全球范圍內(nèi)共329件工控安全事件。隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)（ICS），帶來(lái)了ICS 的安全問(wèn)題，如系統(tǒng)終端平臺(tái)安全防護(hù)弱點(diǎn)、系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問(wèn)題、TCP/IP 自身的安全問(wèn)題、用戶權(quán)限控制的接入、網(wǎng)絡(luò)安全邊界防護(hù)以及內(nèi)部非法人員等各種信息安全的風(fēng)險(xiǎn)和漏洞。

2017年6月1日起《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行[2]，第二十一條規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》于2019年5月10日發(fā)布，2019年12月1日正式實(shí)施[3]。海上油田依照等保要求打造工業(yè)控制系統(tǒng)的立體安全防御體系，既是國(guó)家的政策要求，也是公司內(nèi)在發(fā)展的需要。

1 海上平臺(tái)中控系統(tǒng)的安全防護(hù)現(xiàn)狀

目前海上平臺(tái)的中控系統(tǒng)都有專有的工控網(wǎng)，與辦公網(wǎng)和生產(chǎn)網(wǎng)獨(dú)立運(yùn)行，具有一定的封閉性，部分中控系統(tǒng)只是配備了殺毒軟件，缺少有效的安全防護(hù)措施。工控網(wǎng)與外網(wǎng)一旦建立通訊聯(lián)系，將面臨許多風(fēng)險(xiǎn)和安全隱患。

1.1 區(qū)域邊界風(fēng)險(xiǎn)

在網(wǎng)絡(luò)邊界處未采取專業(yè)的邊界訪問(wèn)控制措施，未對(duì)進(jìn)入中控系統(tǒng)的數(shù)據(jù)進(jìn)行深層次的過(guò)濾，存在非授權(quán)訪問(wèn)、惡意攻擊等安全風(fēng)險(xiǎn)。邊界缺少必要的入侵防范措施，無(wú)法對(duì)外部發(fā)起的已知攻擊進(jìn)行實(shí)時(shí)檢測(cè)，無(wú)法對(duì)入侵行為進(jìn)行響應(yīng)。

1.2 通信網(wǎng)絡(luò)風(fēng)險(xiǎn)

中控系統(tǒng)區(qū)域內(nèi)的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處缺少審計(jì)手段，不能對(duì)網(wǎng)絡(luò)中的用戶行為和安全事件進(jìn)行審計(jì)，無(wú)法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為，尤其是缺乏對(duì)中控系統(tǒng)的工程師站組態(tài)變更、操控指令變更、程序下裝、所有寫(xiě)操作、負(fù)載變更等關(guān)鍵事件異常檢測(cè)等能力。

1.3 計(jì)算環(huán)境風(fēng)險(xiǎn)

因中控系統(tǒng)通過(guò)光纖和工控網(wǎng)連通，而邊界無(wú)有效的邊界隔離措施，一旦某個(gè)區(qū)域感染病毒，將感染整個(gè)中控系統(tǒng)，中控主機(jī)缺少有效的安全防護(hù)措施，不能抵御病毒、木馬和惡意程序的感染及執(zhí)行。

2 海上平臺(tái)中控系統(tǒng)安全防護(hù)整體方案研究

2.1 建設(shè)思路

以“分區(qū)分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”為總體策略，圍繞“縱深防御+白環(huán)境”，打造工業(yè)控制系統(tǒng)安全技術(shù)體系，主要包括內(nèi)容：以風(fēng)險(xiǎn)為核心，先了解風(fēng)險(xiǎn)，再分步規(guī)劃實(shí)施；網(wǎng)絡(luò)區(qū)域劃分，縱向分區(qū)，橫向分域；技術(shù)、管理雙管齊下；縱深防御，適度防護(hù)；白環(huán)境；集中管控、監(jiān)測(cè)預(yù)警。以工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”為核心，建立自主可控、安全可靠的工控安全整體防護(hù)體系。實(shí)現(xiàn)功能：只有可信任的設(shè)備，才允許接入；只有可信任的消息，才允許傳輸；只有可信任的程序，才允許執(zhí)行。

2.1.1 建立工控邊界隔離“白環(huán)境”

建立生產(chǎn)網(wǎng)絡(luò)的合法流量模型，梳理邊界流量白名單，只放行業(yè)務(wù)相關(guān)流量，阻斷所有異常流量，避免傳統(tǒng)防病毒網(wǎng)關(guān)或IPS 需頻繁升級(jí)特征庫(kù)的窘境。

2.1.2 建立工控網(wǎng)絡(luò)通信檢測(cè)“白環(huán)境”

建立網(wǎng)絡(luò)訪問(wèn)通信模型，梳理網(wǎng)絡(luò)訪問(wèn)關(guān)系，對(duì)網(wǎng)絡(luò)異常流量進(jìn)行告警，通過(guò)可視化手段發(fā)現(xiàn)木馬、蠕蟲(chóng)等惡意網(wǎng)絡(luò)掃描、探測(cè)行為。如：WannaCry 頻繁主動(dòng)探測(cè)445端口。

2.1.3 建立工控主機(jī)防護(hù)免疫“白環(huán)境”

白名單庫(kù)部署后僅需根據(jù)業(yè)務(wù)系統(tǒng)變化進(jìn)行少量變更，不需聯(lián)網(wǎng)獲取數(shù)據(jù)，解決了傳統(tǒng)安全解決方案難以及時(shí)更新、打補(bǔ)丁的問(wèn)題。白名單可以抵御高級(jí)內(nèi)存注入攻擊，識(shí)別內(nèi)存違規(guī)、可疑進(jìn)程并發(fā)出警報(bào)，解決了傳統(tǒng)殺毒軟件在緩沖區(qū)溢出、0day 漏洞利用等攻擊方式的短板。業(yè)務(wù)、進(jìn)程均位于白名單內(nèi)，不會(huì)被隔離刪除，并可保持系統(tǒng)以最佳性能運(yùn)行，解決了殺毒軟件或?qū)I(yè)務(wù)軟件誤識(shí)為病毒而刪除的問(wèn)題。

2.1.4 建立安全管理中心

建立安全管理中心，實(shí)現(xiàn)對(duì)工控安全設(shè)備的統(tǒng)一安全管控、策略分發(fā)、日志審計(jì)、系統(tǒng)升級(jí)等，通過(guò)集中化的安全數(shù)據(jù)分析，了解整體網(wǎng)絡(luò)的安全態(tài)勢(shì)，協(xié)助制定合理的安全策略。

2.2 總體建設(shè)目標(biāo)

依據(jù)《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（簡(jiǎn)稱“等保2.0”）的要求，對(duì)海上油田平臺(tái)群的工控網(wǎng)、生產(chǎn)網(wǎng)內(nèi)中控系統(tǒng)進(jìn)行安全防護(hù)，通過(guò)安裝工業(yè)防火墻、工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)、工控主機(jī)衛(wèi)士、日志審計(jì)與分析系統(tǒng)、入侵檢測(cè)系統(tǒng)和統(tǒng)一安全管理平臺(tái)，滿足等保二級(jí)要求，以保證工控系統(tǒng)安全、可靠運(yùn)行。中控系統(tǒng)信息安全防護(hù)建設(shè)符合技術(shù)先進(jìn)性、易擴(kuò)充性、安全性、可靠性及穩(wěn)定性。

2.3 執(zhí)行標(biāo)準(zhǔn)/規(guī)范

GB/T22239—2019《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，GB/T25070—2019《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，GB/T28448—2019《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》，Q/HS5054—2019《工業(yè)控制系統(tǒng)信息安全管理指南》。

2.4 中控系統(tǒng)安全防護(hù)體系

中控系統(tǒng)安全防護(hù)建設(shè)應(yīng)從實(shí)際安全風(fēng)險(xiǎn)需求出發(fā)，以符合等保2.0相關(guān)標(biāo)準(zhǔn)為依據(jù)，從計(jì)算環(huán)境、區(qū)域邊界、通訊網(wǎng)絡(luò)、管理中心、管理制度5個(gè)方面，建設(shè)智能油田的網(wǎng)絡(luò)安全防護(hù)體系（圖1）。

圖1 海上平臺(tái)中控系統(tǒng)安全防護(hù)體系

2.5 區(qū)域邊界安全防護(hù)

根據(jù)石油石化生產(chǎn)控制系統(tǒng)的特點(diǎn)，在中控系統(tǒng)與工控網(wǎng)的接入點(diǎn)和通信網(wǎng)絡(luò)的邊界處部署工業(yè)防火墻，進(jìn)行邏輯隔離及訪問(wèn)控制，如圖1所示。工業(yè)防火墻能夠檢測(cè)出ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider 等 主 流廠商工控協(xié)議報(bào)文中的有效內(nèi)容特征、負(fù)載和可用匹配信息，如惡意軟件、具體指令和應(yīng)用程序類型，對(duì)工控協(xié)議特征做到實(shí)時(shí)解析和精準(zhǔn)識(shí)別。

工業(yè)防火墻可通過(guò)統(tǒng)一安全管理平臺(tái)進(jìn)行統(tǒng)一配置管理和告警日志收集，所有配置都可以針對(duì)具體的某個(gè)防火墻，如防火墻的安全策略規(guī)則都要下發(fā)到具體的某個(gè)工業(yè)防火墻才能發(fā)揮作用。工業(yè)防火墻可以解決白名單管理、路由管理、訪問(wèn)控制策略、拓?fù)涔芾怼踩c管理、IP/MAC 綁定、未知設(shè)備檢、會(huì)話管理、日志管理等問(wèn)題。海上某平臺(tái)群區(qū)域邊界防護(hù)示意圖如圖2所示。

圖2 海上某平臺(tái)群區(qū)域邊界防護(hù)示意

2.6 通信網(wǎng)絡(luò)安全防護(hù)

2.6.1 網(wǎng)絡(luò)入侵、異常流量檢測(cè)

在管理中心平臺(tái)的工控網(wǎng)匯聚網(wǎng)絡(luò)節(jié)點(diǎn)部署入侵檢測(cè)系統(tǒng)，可以實(shí)時(shí)分析網(wǎng)絡(luò)全流量，結(jié)合威脅情報(bào)數(shù)據(jù)及網(wǎng)絡(luò)行為分析技術(shù)，深度檢測(cè)所有可疑活動(dòng)。網(wǎng)絡(luò)檢測(cè)與文件檢測(cè)同步進(jìn)行，采用情報(bào)共享機(jī)制，構(gòu)筑檢測(cè)生態(tài)圈，準(zhǔn)確、快速地掌握攻擊鏈條，以便進(jìn)一步采取相關(guān)措施，將APT（高級(jí)持續(xù)性威脅）攻擊阻止在萌芽狀態(tài)。

2.6.2 工控網(wǎng)絡(luò)異常行為檢測(cè)

在中控系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)，對(duì)工程師站、操作員站的行為進(jìn)行審計(jì)，以保證觸發(fā)審計(jì)系統(tǒng)的事件存儲(chǔ)在審計(jì)系統(tǒng)內(nèi)，并且能夠根據(jù)存儲(chǔ)的記錄和操作者的權(quán)限進(jìn)行查詢、統(tǒng)計(jì)、管理、維護(hù)等操作，通過(guò)收集并分析系統(tǒng)日志等數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為，可解決攻擊異常檢測(cè)、無(wú)流量的異常檢測(cè)、工控協(xié)議規(guī)約檢測(cè)、重要操作行為審計(jì)、網(wǎng)絡(luò)會(huì)話審計(jì)、原始告警報(bào)文記錄等問(wèn)題。海上某平臺(tái)群通信網(wǎng)絡(luò)安全防護(hù)示意圖如圖3所示。

圖3 海上某平臺(tái)群通信網(wǎng)絡(luò)安全防護(hù)示意

2.7 計(jì)算環(huán)境安全防護(hù)

通過(guò)在中控系統(tǒng)的服務(wù)器、工作站上部署主機(jī)安全防護(hù)軟件，實(shí)現(xiàn)中控主機(jī)防護(hù)免疫“白環(huán)境”。

2.7.1 阻止惡意代碼的執(zhí)行和擴(kuò)散

無(wú)干擾高速掃描引擎從啟動(dòng)時(shí)掃描到訪問(wèn)時(shí)掃描，實(shí)現(xiàn)高性能掃描，最大限度地縮短掃描時(shí)間并延長(zhǎng)電池壽命。

2.7.2 漏洞掃描程序

查找并修復(fù)Windows 及常用瀏覽器和應(yīng)用程序中的漏洞。

2.7.3 防惡意軟件功能

通過(guò)云計(jì)算的即時(shí)風(fēng)險(xiǎn)評(píng)估技術(shù)阻止文件、電郵和Web下載的病毒、木馬程序和間諜軟件等各種威脅，進(jìn)而有效避免系統(tǒng)感染震網(wǎng)病毒、Flame、Havex、Black Energy 等工控惡意代碼。

2.8 安全管理中心

在陸地操控中心建立安全管理中心，部署集中安全管理平臺(tái)和日志審計(jì)系統(tǒng)，如圖4所示，實(shí)現(xiàn)安全設(shè)備集中管理、日志集中審計(jì)、策略統(tǒng)一下發(fā)、策略傳輸加密、局部拓?fù)湔宫F(xiàn)和快速威脅定位等功能。通過(guò)公網(wǎng)鏈路對(duì)各海上作業(yè)平臺(tái)上的工控安全設(shè)備進(jìn)行對(duì)接，并將其生成的安全數(shù)據(jù)整理匯總，主要針對(duì)海上作業(yè)平臺(tái)網(wǎng)絡(luò)攻擊態(tài)勢(shì)進(jìn)行展示，提高對(duì)工控系統(tǒng)的全方位網(wǎng)絡(luò)安全監(jiān)測(cè)能力。當(dāng)某個(gè)海上作業(yè)平臺(tái)出現(xiàn)安全事件時(shí)，可下發(fā)安全防護(hù)策略，及時(shí)處置，避免安全事件進(jìn)一步擴(kuò)散。

圖4 安全管理中心

3 結(jié)束語(yǔ)

“一個(gè)中心、三重防護(hù)”的中控系統(tǒng)安全防護(hù)體系日趨完善，中控系統(tǒng)的安全防護(hù)建設(shè)從實(shí)際安全風(fēng)險(xiǎn)需求出發(fā)，以符合等保2.0二級(jí)相關(guān)標(biāo)準(zhǔn)為依據(jù)，聚焦主機(jī)安全防護(hù)、網(wǎng)絡(luò)安全監(jiān)測(cè)、邊界安全防護(hù)三個(gè)方面，目前已經(jīng)在海上油田的秦皇島32-6、曹妃甸、遼東等油田群進(jìn)行了落地實(shí)施。海上平臺(tái)的中控系統(tǒng)以Emerson、Honeywell、ABB 等國(guó)外品牌為主，而與之匹配的主機(jī)安全防護(hù)軟件大多是國(guó)外品牌（如McAfee），未來(lái)技術(shù)發(fā)展將聚焦主機(jī)安全防護(hù)軟件國(guó)產(chǎn)化，以實(shí)現(xiàn)安全防護(hù)的自主可控。相信海上智能油田的信息安全建設(shè)會(huì)越來(lái)越好，將全面提升關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力，有效地保障國(guó)家能源安全。