數(shù)量多、分布廣、種類復雜成油田工業(yè)網絡建設主要痛點
勝利油田始終將數(shù)字化��、信息化建設作為助力企業(yè)提質增效、轉型發(fā)展的關鍵性舉措���。油氣工業(yè)網絡建設覆蓋率達到95%以上�,配套大規(guī)模的自動化儀表���、采集控制終端等信息化設備���,已形成一套龐大的工業(yè)控制網絡�����。經過分析發(fā)現(xiàn)油田工業(yè)網絡接入層現(xiàn)狀有以下幾個特點:
(1)工業(yè)資產種類多��,品牌不一
勝利油田工業(yè)資產典型設備包括PLC(可編程邏輯控制器)��、RTU(遠程終端單元)��、無線網橋、工業(yè)交換機����、攝像頭、工業(yè)主機��、視頻服務器等�,且品牌不唯一。因每種資產的識別技術都有其獨特的要求和難點�。若不清楚生產管理區(qū)范圍內都部署了哪些資產,就難以規(guī)劃維護計劃和設計有效防護���。一份包含資產類型���、廠商、型號����、系統(tǒng)、版本全面完整的資產清單�����,可以為油氣工業(yè)資產的運維管理提供重要支撐�。
(2)網絡接入點數(shù)量多���,分布不集中
油田的生產規(guī)模和環(huán)境決定了油田工控系統(tǒng)的信息接入點數(shù)量龐大、分布廣泛�����,大多暴露在野外環(huán)境��,隨著生產網絡體積越來越大�,現(xiàn)場接入范圍越來越廣,這些來自生產網絡邊緣的安全隱患會帶來生產網絡非法接入的安全風險���。
(3)工業(yè)資產難以實時監(jiān)控
勝利油氣工業(yè)資產構成復雜��、數(shù)量巨大�����,給資產管理帶來了巨大挑戰(zhàn)。在不具備自動化資產探測發(fā)現(xiàn)工具支撐的情況下���,現(xiàn)有資產的登記��、管理主要依賴人工���,資產臺賬統(tǒng)計工作需要花費大量的人力物力��。而通常各企業(yè)工業(yè)資產管理員多為兼職��,在工控系統(tǒng)正常運行的情況下管理人員并不會主動關心資產屬性�����,資產出現(xiàn)異常時會直接進行原件替換����,經年累月運行后��,原始資產明細丟失或未及時更新維護��,實效性及準確性難以得到保障�����。
(4)前端接入與非法仿冒風險
勝利油田分散的站點面臨著前端被入侵�����,控制挾持、敏感信息信息泄露風險���,通過前端無線/有線接入點私自聯(lián)網��,入侵生產專網風險���,進而造成設備被入侵,刪除或篡改關鍵配置信息等相關風險���。同時����,前端設備分布散��,無人值守���,數(shù)量眾多����,網絡接口完全暴露�,被仿冒接入和內網探測攻擊成本非常低,部分暴露在外的網絡接口是完全開放���,無控制手段��,很容易被不法分子利用終端網絡接口進行仿冒接入����,并對內網探測或入侵����,進而控制核心業(yè)務系統(tǒng),獲取敏感數(shù)據(jù)信息或發(fā)起物理攻擊�。
工業(yè)網絡安全建設需整體性 奇安信助力油田設備安全水平提升
對此,奇安信安全專家表示:“在工業(yè)物聯(lián)網建設時�,集成的終端往往種類繁多,并且可能來自于多家廠商��,因此為了保障工業(yè)物聯(lián)網系統(tǒng)的安全����,需要在統(tǒng)一安全標準和安全建設實施方面做更多努力。作為工業(yè)物聯(lián)網的底層���,終端并非獨立存在����,其安全威脅的也應放到整個工業(yè)物聯(lián)網系統(tǒng)的安全框架中解決?�!?/p>
具體實施策略配置需要兼顧網絡側�、硬件側、操作系統(tǒng)和業(yè)務應用等多個維度����,側重DDoS攻擊、終端硬件的組件和配置被篡改�、系統(tǒng)啟動進程被截獲或覆蓋、非法更改應用程序或公共API等主要攻擊手段的防御��。
為應對工業(yè)互聯(lián)網終端等各類型IoT設備大量使用場景下����,解決網內IoT設備安全防護管理難題,在采油廠��、管理區(qū)部署接入安全統(tǒng)一管理平臺�,實現(xiàn)設備的安全合規(guī)檢查、狀態(tài)監(jiān)控����、網絡雙向阻斷、訪問控制����、IP地址管理與使用監(jiān)控�、統(tǒng)一接入控制���、仿冒檢測和處置等安全管理功能。在采油廠下轄的站點部署接入安全防護系統(tǒng)�,根據(jù)部署環(huán)境選擇機架式與導軌式混合部署方案。
奇安信網神工業(yè)互聯(lián)網邊緣可信防護系統(tǒng)支持常用接入控制技術����,包括旁路流量分析和阻斷技術、策略路由方式引流的接入控制技術����,物理橋接方式的接入控制,通過對網絡中的各類IP流量���、工控流量進行解析與控制�����,采集網內各類設備的信息�,評估其合規(guī)情況��,對非法流量強制進行網絡阻斷。
旁路部署模式下�����,通過交換機流量鏡像方式獲取流量數(shù)據(jù)�����。旁路部署不改動客戶原有網絡拓撲�����,不改變客戶原有使用習慣���,這種部署模式下��,即使接入控制器宕機也不會對客戶網絡造成中斷�。
控制器通常旁路部署于核心交換或匯聚交換處�,通過鏡像流量對管控區(qū)塊內設備通過邊界的行為進行識別并合規(guī)管控。
技術原理圖
在奇安信網神工業(yè)互聯(lián)網邊緣可信防護系統(tǒng)的支撐下�,本解決方案針對勝利油田大量IoT設備使用場景,解決了設備安全防護管理難的問題��,實現(xiàn)設備的發(fā)現(xiàn)和識別�����、接入感知、用戶識別����、多類型設備統(tǒng)一準入控制�、仿冒檢測處置、安全合規(guī)檢查�、狀態(tài)監(jiān)控、IP地址管理等功能�����。同時�����,實現(xiàn)了擴大安全監(jiān)控的范圍��、提升威脅發(fā)現(xiàn)及時性��、提升安全管理效率����、降低安全運營成本等建設效果���。
應用場景圖
目前,工業(yè)互聯(lián)網邊緣可信防護系統(tǒng)主要應用于站點分散��,有資產識別�����、身份認證�����、合規(guī)檢查����、風險感知、異常處置�����、接入控制等有需求的工業(yè)場景����。奇安信工業(yè)安全接入防護解決方案已經支撐了能源、電力、制造��、交通�、礦山等多個行業(yè),能夠滿足資產識別��、身份認證����、合規(guī)檢查、異常處置�����、接入控制等多種應用場景的安全建設需求�。
