freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

主机“带病”?系统“裸奔”?中电安科储气油库行业工控安全解决方案助力油库企业补足安全短板
2023-04-06 14:02:45
所属地 北京

石油作为重要的战略资源,关系着国家安全和人民生活。储气油库是石油能源供应链中的关键一环,在能源供给方面发挥着至关重要的作用,承担着极为关键的安全职能。随着物联网、移动互联网、大数据技术的发展,很多油气库罐区都在进行以摆脱传统监控方式、作业方法,建立便捷、先进、可靠的监控系统为目的的自动化改造。与此同时,不可避免地增加了很多安全事故的风险。其作为重要的战略物资储存设施,决定了对安全有很高的要求。

一、典型安全事件及思考

在过去的一年中,油库安全事件频发,给我们敲响了警钟。2022年1月,BlackCat勒索团伙攻击了石油贸易商Mabanaft和德国主要的石油储存和物流公司Oiltanking负责油罐装卸过程自动化的IT系统。233座加油站受此影响不得不手动运行一些流程。2022年11月,俄罗斯西部一处油库在大火中爆炸,火势蔓延4000平方米。

屡屡发生的网络攻击及爆炸事件,让我们认识到了油库一旦遭受到网络攻击,产生的破坏力、损失、影响难以估计。那么我们的储气油库是否足够安全?面对诸多安全挑战,我们该有何作为?

二、现状分析

储气油库作为重要的能源关键信息基础设施,主要存在系统安全“先天不足”、三网混合网络边界模糊、生产运行安全无感知、油库主机带病“裸奔”运行、安全运维过程无管控、网络安全意识薄弱等网络安全问题。

近年来,为提高油库的运行效率,协同产、炼、供、销环节,各国都在积极推进智能油库建设,以提升调控中心、库区的综合感知和决策能力。随着新一代信息技术与工业生产深度融合发展,智能油库建设面临的勒索软件、挖矿病毒、APT攻击团伙等网络安全威胁日益增多。储气油库行业的工控系统作为生产系统的核心,必须加强网络安全建设,着力提高工控系统网络安全应急处置能力,构建联防联控的工控系统网络安全体系,杜绝网络威胁攻击,实现储气油库行业工控系统的安全,进而实现储气油库生产的本质安全。

三、储气油库控制系统介绍

近年来,我国油气库在自动化装备、技术、功能、规模等方面都有了很大提高,测量和控制装置不断更新升级。应用的水平也从手工操作发展到自动控制,从低级的单回路控制发展到高级复杂系统控制,直到管控一体化。

油气库控制系统主要包括罐储计量监控、泵房与工艺流程监控、自动收发、安防综合监控、生产业务管理与全库综合监控等。

1、储罐自动测量感知系统

主要完成对罐区液位、温度的数据采集,并将液位、温度的实时数据和超限报警信息,通过集成网关、组态管理计算机和网络系统,上传到上层信息管理系统。其他经过授权的用户可在终端进行相关操作。通过本系统,可使各层管理人员能实时监控作业情况。

2、泵房工艺流程监控

主要用于作业监控、阀组监控以及作业调度。状态监控:用于公路进出、管线输送、火车进出和倒罐等作业监控。阀组监控:实现对每个阀门的实时状态的监控。作业调度:根据作业调度指令,启动相应的作业内容。提供作业方案专家指导,自动选择作业路径,并执行操作。根据模式设置,可实现所有收、发、转、存的自动化操作。

3、收发自动感知系统

控制泵自动启停,并且与防抽空静电保护器及管道压力变送器联锁。泵前后管道压力自动检测。自动控制泵前后电动阀门开关及控制罐前电动阀门开关。

四、中电安科安全防护思路

参考《信息安全技术网络安全等级保护》、《工业控制系统安全防护指南》等相关技术要求,以纵深防御的防护理念为核心,结合储气油库行业工业控制系统网络的业务特点,构建以工业控制网络、设备、数据、控制、应用为目标防护对象的立体安全防护思路。

1、构建纵深防御体系

在储气油库行业建设安全防御纵深体系的设计和建设,亦应以《信息系统等级保护基本要求》为依据,建设符合工控系统安全需要的安全计算环境、安全区域边界、安全通信网络和安全管理中心。

2、安全分区,适度防护

合理划分安全区域,保障安全建设的完整性和可用性;另外从综合成本的角度,在不影响整体安全性的前提下,有效安全防护控制成本。

3、分步布控,集中管理

实现储气油库行业工控系统内相关安全防护产品都能通过安全管理平台进行集中展现。以通信流量为主线,对威胁攻击、安全事件的发生途径进行追根溯源,有效提高信息安全工作效率,降低人员安全维护成本。

五、解决方案总体架构

具体安全架构设计如下:

1. 安全通讯网络

防火墙边界逻辑防护:边界在防护产品通常以串接方式接入,部署在不同网络之间、不同区域之间,或系统与系统之间。通过一定的访问控制策略,对工业控制系统边界、工业控制系统内部区域边界进行保护。

网闸边界物理防护:在控制系统与办公信息系统之间,由于两个网络环境业务环境性质的不同,需要部署隔离工控网闸保证其安全性,除必须开放的用于数据交换的特定应用通道外,不提供任何对外的服务。

2. 安全区域边界

网络安全监测审计:网络交换机旁路部署工控安全监测审计系统,通过镜像接口分析网络中的网络流量,及时发现网络流量或设备的异常情况并告警,通常不会主动阻断通信,产品自身的故障不会直接影响工业控制系统的正常运行。

入侵检测系统:在网络关键节点处通过入侵检测进行入侵攻击行为的检测识别,发现并防止网络攻击行为,尤其对基于工业控制漏洞、工业控制异常指令、恶意代码以及关键事件进行及时告警,避免入侵行为或疑似入侵攻击的行为发生。

网络准入控制系统:在视频监控网络中部署准入控制系统,实现对网内的视频监控终端和无线接入设备实现准入控制,对在日常运营和维护中私自接入网络设备(如笔记本、手机、网络打印机等)进行管控。

3. 安全计算环境

终端主机防护:通过部署终端安全管理系统,在主机上安装代理程序,进行统一管理与监控,策略下发,异常报警等。实现对工业主机的进程白名单管理,对流量、移动存储介质使用进行管理,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现安全防护。

数据库审计系统:通过数据库审计系统全面审计在使用数据库过程中的访问过程,对于越权访问、异常数据库操作以及对数据库关键数据或进行关键指令操作过程全面审计,检测识别非授权操作的行为,避免数据库删除、篡改、异常访问等情况发生。

4. 安全管理中心

安全运维审计管理:针对网络设备、服务器、工控设备部署安全运维审计系统,对各系统运维人员进行资源授权,权限分配,有效防范第三方维护人员对非授权设备的操作,同时通过策略配置,可以对正在操作的违规流量进行有效阻断,对运维行为、对事后发生的问题能够准确定位。

配置核查管理系统:通过配置核查管理系统实现船闸监控系统资产和主机系统安全风险和配置项做到安全检查和问题归并,规避工业安全网络威胁,减少被黑客攻击和窃取的可能性,保障生产设施安全性。

工控安全管理平台:针对工业控制现场主机、服务器、网络设备、安全设备等工业资产,通过工控安全管理平台,对工控安全管理进行多维度的展示。为储气油库构建网络安全动态深度防御体系形成对安全威胁、风险隐患的动态持续管理。

六、方案价值

1、全面提升储气油库行业网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。

2、全面提升储气油库行业生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航。

3、全面改进储气油库行业业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。

杭州中电安科现代科技有限公司

杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。

# 工控安全 # 能源行业 # 工业互联网安全 # 石油业
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者