数字化转型下的智慧油储网络安全主动防御技术研究与实践
摘要:随着“十四五”数字化转型的进一步推进以及北斗、5G、工业物联网、人工智能等新科技在智慧油储中深入应用,属于国家关键信息基础设施范畴内的智慧油储面临新的网络安全与数据安全的严峻挑战。针对日益严峻的网络安全态势,采用主动防御的策略以及SOAR与AI等技术,辅以诱捕措施,有效抵御外部针对油储关键信息的网络攻击,切实保护了关键生产要素的数据安全,保障了油储的正常生产运行。
1、油储行业数字化转型发展的需求
2020年,国务院国有资产监督管理委员会颁发《关于加快国有企业数字化升级转型的通知》,明确指出:突出重点,打造行业数字化转型的样本工程,尤其是针对能源行业的油储行业,加快建设智慧油储等智能现场,着力提高集成调度、远程操作、智能运维水平,强化能源资产资源规划、建设和运营全周期运营管控能力,实现能源企业全业务链的协同创新、高效运营和价值提升。与此同时,物联网、5G、人工智能、区块链、北斗等新技术的发展和广泛应用促进油储物流智慧化,推动以“集中共享、全面感知、过程可视、智能调度、互动协同、自主决策、学习提升”的数字化升级进程。使智慧油储实现“智慧分析决策、智能优化协同、数据共享可视、作业自动完成”的“智慧化”功能的同时,必须:(1)加快构建数据治理体系建设,明确企业数据治理归口管理部门,加强数据标准化、元数据和主数据管理工作,创新数据融合分析与共享交换机制,强化业务场景数据建模,深入挖掘数据价值,提升数据洞察能力。(2)提升安全防护水平,建设态势感知平台,加强平台、系统、数据等安全管理,提升本质安全,加强安全资源储备,强化安全检测评估,开展攻防演练,提升实战化的网络安全防护能力。
2、数字化转型中智慧油储的网络安全威胁分析
数字化转型促进智慧油储进入跨越式的发展,物联网、云平台和数据中台等新型数字基建平台的建设,使网络边界从物理边界向物理和虚拟边界混合的模式演变。网络安全是一个动态的过程,攻击者手段、攻击方法等不断改变,新漏洞不断出现,加剧了智慧油储生产经营网络安全威胁态势,几大威胁主要表现为:
(1)自身硬件安全隐患:存量的发油生产控制系统大多数为成套进口设备,如西门子、ABB等SCADA系统,其I/O卡件可拆卸,一些控制程序可以被逆向编译,极易被不法人员篡改,存在关键工艺参数和控制程序被泄露、篡改的数据安全隐患。
(2)操作系统的安全问题:发油生产控制系统的工程师站、操作站多采用Windows系统,运行的控制流程系统均为西门子等国外厂商平台,很难获得有效的升级更新,供应链的安全隐患极大。
(3)勒索病毒的威胁:目前的生产系统与OA系统采用了物理隔离,通过U盘、刻录光盘摆渡信息的需求十分普遍,由于U盘的滥用、刻录软件携带病毒,导致针对生产工控系统的勒索病毒感染事件每年层出不穷,联网后极易受网内已感染病毒计算机攻击,而且一旦被攻击,破坏性巨大。
(4)工业应用软件的安全问题:工控生产系统专用软件大部分由设备原厂提供,极有可能存在系统后门、漏洞等,一旦联网就导致工控软件自身漏洞、后门等被利用后,可对特定工控设备进行入侵和攻击。
(5)其他几种常见的威胁:工业协议在设计上因缺少必要认证导致的协议与数据安全问题;工控生产系统的USB、串口、网口等物理外设接口以及139等通信端口带来的安全隐患;部分信息系统升级扩容时会采用无线信号,很少采用数据加密和认证手段,对工控系统和办公网络产生的安全隐患。
2.2 数字化转型后IT与OT的安全威胁相互影响
(1)IT与OT的相互影响:经过等保1.0阶段的合规建设,公司IT侧的网络安全建设比较成熟,但是油储重要的生产发油控制的OT网络安全建设相对比较滞后,数字化转型后,一旦IT与OT互联,原本比较脆弱的工控生产系统OT网络由于其自身漏洞多、病毒防护能力不足、身份鉴别和访问控制手段缺乏,就会导致未授权用户能够向工控系统投放病毒或实施攻击,并利用OT网络与IT网络的连接,入侵到IT网络。
(2)企业核心数据出境风险:2021年工信部等部委联合发布了《工业与信息化领域数据安全管理条例》,明确规定“核心数据不得出境”,联网后企业重大敏感信息有可能从IT网络向OT网络传递,而OT的部分设备可能有后门,通过GPS或者卫星通信泄密出境。
(3)IT和OT网络病毒相互渗透:IT和OT的深度融合互联后,IT网内的网络攻击或病毒可以直接渗透到OT网络,破坏工控设备的数据,对运行和效率产生扰动,影响正常生产。
3、智慧油储网络安全主动防御研究与设计
5G、工业物联网等新信息技术在数字化转型过程中的深入应用,智慧油储对工业互联网逐渐的高度依赖,以及外部动态的严峻网络攻击态势,加剧了智慧油储的网络攻击风险。数字化转型浪潮下,多层面的安全威胁正发生新的变化,由此导致的损失愈发难以估量。不谋全局者,不足谋一域。仅单凭一种或几种安全设备堆积,各自为战的单一思路已很难应对复杂的安全问题。“见其所未见、察其所未察、管其所未管”才能织就牢不可破的安全密网,为智慧油储的进一步发展赋予安全能力的实质性提升。
3.1 首要举措:加强网络安全意识培养与安全管理体系建设
智慧油储是信息化和网络化高度融合发展的环境,对于安全风险的认知和防控必须提升高度,首要举措是加强全员的网络安全及保密意识,把网络安全分责深耕到油储企业的安全与分析管控体系之中,切实做到“同步规划、同步建设、同步运行”三同步,完善与落实网络安全管理体系。
3.2 IT和OT深度融合的网络安全设计
数字化转型首要任务是IT和OT的深度融合,在网络安全建设的过程中,必须IT与OT网络安全融合开发思路和一体化的设计与运营,以此实现IT和OT网络安全的关联分析和综合态势感知,如图1所示。建立形成覆盖IT和OT系统的“感知-预警-评估-处置”闭环管控机制,实现从全网攻击链、攻击源以及时间关联性等角度进行二次分析,为全网实现网络安全威胁联动处理机制的综合态势提供数据支撑,提升网络安全整体防御能力。同时,利用数字孪生技术的策略验证和实战化的攻防实训平台建立完备的应急体系,以备在危机时刻,主动防御系统能快速联动以及应急补救,将攻击事件造成的损失降到最低。
图1 IT和OT网络安全的关联分析和综合态势感知
3.3 构建IT和OT一体化的纵深的主动防御体系
分别从油储生产系统运营网络的物理安全、网络安全、主机安全、资产安全、访问控制、数据安全及管理体系等七大方面进行技术防范和管理措施的设计,实现生产网系统业务应用的可用性、完整性和保密性保护【2~4】,并在此基础上充分考虑各种技术的组合和功能的互补性,采用自适应安全架构、主动防御安全体系,从外到内形成一个纵深的安全防御体系,保障IT和OT系统一体化的安全保护能力。图2为数字化转型背景下智慧油储的网络安全运营架构。
图2 数字化转型背景下智慧油储的网络安全运营架构
第一阶段,以系统防护为核心思想,通过开展检测、评估、实施和运维等工作,并配套应用工控资产清单、业务数据流、风险管理、脆弱性管理、PKI管理等工具,保证防护措施的有效性。
第二阶段,以检查、响应和应急恢复为抓手,全面加强对安全事件管理的能力,同时辅以威胁情报、安全运营中心(SOC)集成、协同管理等运营管理工具,实现全网的一体化的安全运营。
3.4 基于业务安全防御的诱捕系统
智慧油储网络安全防御首要保障发油生产系统的连续性,防护重点是发油生产的设备及其物联网系统(也是网络攻击的主要对象),为切实保护生产系统的业务安全,在每一分部的发油生产经营网的入口、生产控制系统网络入口分别部署仿真业务流程且具有特征诱饵的诱捕系统(蜜罐网),分别真实模拟发油生产运营与控制业务系统,吸引真实攻击者,捕获勒索、后门、黑客等攻击行为,溯源身份信息。根据实际需要,在油库现场的发油生产运营的网络入口部署现行针对IT系统较为成熟的中度交互的蜜罐。而在生产控制系统网内需要部署针对仿真油储生产控制业务流程的中高交互的蜜罐,在工控蜜罐部署时,首先需要对控制生产网络内部设备端口进行扫描,对于生产系统需要开放的设备端口,采用主动防御技术,将工控诱捕系统主动与此类设备端口建立连接,并发送具有控制系统必要的一些特征探测包,如在探测包头的option字段中加载一些特征值,便于辨识是蜜罐还是攻击者的访问等。工控蜜罐通过端口扫描、探测数据包发送和攻击痕迹记录分析等特征,与诱捕系统的分析中心交互,得到相关的诱捕策略,与潜伏在发油生产控制系统中的木马、病毒和后门程序、攻击者等进行更好地交互,通过预设的蜜罐诱饵对其造成误导,使其攻击目标转向蜜罐,以此主动地挖掘在内网潜伏的攻击威胁。在这些威胁窃取关键数据之前,实现早期预警防护,并与运营中心交互,启动必要的防护设备联动策略,以此保护发油生产控制系统的资产。同时,通过攻击者的设备指纹、位置信息、社交指纹、反向探测-漏洞信息、资产登记信息等快速、精准、直接定位攻击者信息。
3.5 基于UEBA和SOAR技术的精确预警
建设与上线运行中的“面向油库安全运营的工业互联网安全态势感知平台”更强调“态”(攻击数量)和“势”(攻击烈度、趋势),其安全运营的能力局限于需要由安全专家预先创建的关联规则,同时范围局限于与系统或应用程序相关的网络信息的联系。面对攻击技术日益更新的网络态势,本身对安全运营人员在分析适应性上提出了高要求。为精确预警,减少误报、错判、漏判,采用UEBA(用户实体行为分析)和SOAR(安全编排自动化响应)融合技术,其中UEBA进行用户行为分析,以用户为视角利用无监督学习和半监督学习进行自我演化进而不断贴合服务的业务场景和流程,而SOAR则是在识别后,对于威胁事件的处理,解决复杂逻辑编排、安全设备联动的问题。
引入UEBA技术,使用用户画像技术对比分析用户的行为是否偏离具有相同角色的用户整体的行为,以减少异常检测中虚警过高的问题,从而从相同用户角色的角度进一步分析异常行为,提高异常判断的置信度。同时依据实时的流处理基础,把具有相同角色的用户整体构建安全基线,当被分析用户的操作偏离预先定义好的正常行为模式,或与安全基线产生超出裕度的偏离时,可以初步判定该用户行为异常,并产生相应的联动动作,可直接降低MTTI(平均识别时间)和MTTR(平均修复时间),完成对异常行为、异常用户的精准定位。在发生疑似安全攻击时,需要利用SOAR技术进行联动安全防护,具体步骤:(1)针对不同资产、事件级别、事件类型选择联动范围;(2)针对不同场景、事件级别的安全事件,选择不同的响应手段,一旦事件被触发,则自动执行相应的编排策略;(3)针对不同响应手段,选择不同的联动设备,同时还可以选择策略生效时间段。充分利用威胁情报,实现全网全信息的监测、安全资产的风险管控、快速情报共享,以此降低油储网络安全的平均建设成本。由此以识别为基础,以防护、检测为核心,以响应恢复和常态化保障为支撑,最终建立“事前—事中—事后”的全过程支撑能力,变被动为主动,直至达到完全的动态自适应安全能力和态势感知的能力。图3为告警事件与SOAR之间的协同。
图3 告警事件与SOAR之间的协同
4、基于业务安全的智慧油储的主动防御策略与实践
针对数字化升级转型的智慧油储的网络安全主动防御的建设和应用,需构建集安全技术、安全管理、安全运营等一体化体系。建立油储公司总部、分部油库以及发油生产的上下级级联架构,实现安全事件、告警、威胁、预警等数据的实时自动逐级上报、汇总、呈现,构建集常态化、实战化与系统化的IT和OT一体化的网络安全风险动态监测、分析、检查、安全事件处置等机制为一体的安全运营体系,提升整体网络安全能力。该系统上线运行近两年,每年在逐步完善与改进,充分利用5G、工业物联网、AI等新一代信息技术加速“工业互联网+智能生产”的进程。
4.1 构建了基于油储智能化生产的网络安全防护
数字化转型下的油储生产经营网络呈现出IP化、无线化、组网灵活与全局化的特点,逐步向“工业互联网+智能化生产”转型,满足业务安全的主动防护,网络安全防护主要采取的安全措施包括网络边界安全、网络接入认证、通信和传输保护、安全监测审计,同时考虑供应链安全。
4.2 基于协议深度解析的控制安全防护
智慧油储的生产经营网络逐步向扁平、开放、全局方向发展,针对其生产控制系统内网的安全防护,以分层隔离的技术手段缩小网络安全的作用域,提升网络区域之间的通讯安全,加强协议异常和零流量等监测与预警。针对关键设施的发油生产设备的安全防护通过解析各个工艺流程控制指令要求,发现SCADA等系统存在安全隐患,避免设备指令被非法篡改,采用包括漏洞发现与风险规避、设备接入认证、运维管控等安全机制。
4.3 基于轻量级零信任技术的应用安全防护
采用零信任技术针对IT系统的资产管控,而针对OT系统的空间资产则采用轻量级零信任技术,并将IT和OT与业务安全一体化设计,包括安全审计、认证授权、安全隔离、安全监测、补丁升级、代码审计、漏洞发现、审核测试、行为监测和异常阻止等。
4.4 基于数据全生命周期的安全防护
智慧油储的运行数据向大量、多维、双向转变,数据体量不断增大、种类不断增多、结构日趋复杂,并出现数据在工厂内部与外部网络之间的双向流动共享,其数据安全防护采取数据加密传输、数据加密存储、数据脱敏处理等防护措施【5】。
4.5 基于全局态势感知的协同安全管控
面对油储生产经营网络的设备类型多、供应种类多、网络攻击来源复杂等问题,在构建智慧油储的网络安全针对防御体系时建立基于IT和OT一体化的统一安全监测与管理中心,以实现对多类设备、多种数据、多类资产以及多种攻击事件的统一管理。
5、结束语
数字化转型是一个“艰巨性、长期性和系统性”的工程,以威胁行为识别为基础,以防护、检测为核心,以响应恢复和常态化保障作为支撑,最终建立“事前-事中-事后”的全过程支撑能力,变被动为主动,直至达到完全的动态自适应安全和态势感知的能力,实施数字化转型中智慧油储生产经营网络的系统性的主动安全防护,满足其对信息化和工业化建设的要求,有效地将网络安全事件及生产安全事件联成有机整体,不仅能节省人力、物力、财力,更为重要的是能及时、高效、准确地为安全管理决策提供依据,助力我国成品油流通体系建设与行业的高质量、可持续发展。