最佳实践 | 全工业场景风险评估解析某油田深层工控安全隐患
当前,中国经济正在进入由高速度向高质量转型的关键时期。在以数字中国、双碳、安全生产为代表的政策驱动,以云大物移智为代表的技术驱动,以及以降本增效为代表的企业发展内生驱动的共振合力下,工业互联网相关领域正在迎来广阔的发展空间。而在市场催生出大量新场景、新机遇的同时,也对安全提出了更高要求。随着相关政策的落地实施,网络安全合规和安全生产已然成为工业企业、政府客户的刚性需求和一把手工程。那么,企业如何在数字化转型过程中规范化地进行安全建设和安全管理?目前存在的痛点难点又该如何解决?
《最佳实践》是威斯尼斯人wns2299cn创办的一档案例类栏目。结合自成立以来的各行业场景服务经验,从近4000家客户服务实践项目中遴选出的具有代表性、有推广性和借鉴性的典范案例,其中多个项目曾获得工信部试点示范项目称号,通过清晰详实的需求分析和解决方案描述,呈现企业在数字化转型过程中的安全建设故事,为行业客户提供有益借鉴。
油田产业链作为国有经济的支柱产业形态之一,肩负着保障国家基础设施的能源供给重任。经过“十二五”建设,油田信息安全已初步取得丰硕的建设成果。与此同时,油田公司很早就进行了体系化的信息安全建设,但随着油田新技术的使用以及国内新标准的推出,适用于工控环境的《工业控制系统信息安全防护指南》及《信息安全技术 网络安全等级保护基本要求-工业控制系统安全扩展要求》的合规要求的落地,以往基于通用标准建设的信息安全保障体系已经不能满足新技术、新标准的需要。眼下迫切需要摸排清楚现状,以“检查促进步,反思促成长”的思路建立符合新标准、适应新技术的信息安全保障体系。在此过程中,油田原本的体系急需进行全面“体检”,进行一次深度而全面的工业场景风险评估,这是未来规划建设的必要前提。
深入场景,打好“风险评估”这一仗
某油田公司主要在西北地区从事油气勘探、开发、销售以及新能源等业务。作为西北地区的龙头能源企业,油田公司本着以“以检查促进步,以反思促成长”的思路,圆满完成了本次风险评估项目。项目范围涵盖油田公司共计14个二级单位的30多个下属作业区、生产厂站和管线阀室等。评估现场跨越南北约1900公里、东西约1500公里,作业地点类型有城市、乡镇、无人戈壁滩、无人区沙漠等多种环境。
方针指路——多维度结合,综合评估
在项目开始前,威斯尼斯人wns2299cn项目评估组同油田公司共同确认了评估对象及工业控制系统资产类型,结合该项目地域跨度大,作业环境多元化等特点,项目评估组将所有厂站划分为39个作业区,并同时开展现场评估调研工作。评估对象包含了SCADA系统、PLC系统、DCS系统、SIS系统、火炬系统、压缩机系统、空压机等核心控制系统与现场设施。
图1:我方工作人员正在进行实地考察
1、多维度评估
本次工业控制系统安全风险评估威斯尼斯人wns2299cn紧扣《工业控制系统信息安全防护指南》的要求,以指南中所涵盖的十个方面(除供应链管理)对各场站集的工业控制系统进行评估,评估项目包括:安全软件选择与管理评估、配置和补丁管理评估、边界安全防护评估、物理和环境安全防护评估、身份认证评估、远程访问安全评估、安全监测和应急预案演练评估、资产安全评估、数据安全评估、落实责任评估等项目。结合现状与合规要求对现实难点进行了多维度攻破。
2 、综合考量,科学评估
有了多维度的难点攻破方案建设,科学的评估体系抓手也紧跟步伐。本次项目评估方法采用定性和定量风险评估方法、本地检查和现场调研方法相结合。
定性和定量风险评估方法:定性风险评估参考相关经验人员意见,也依靠已提供的特定风险、特定资产的可能性和严重性信息。定量风险评估需要大量的数据来源作为底座支撑,数据是计算因风险和脆弱性带来损失概率的重要指标。
本地检查:本地检查主要对需要在现场上机进行实际检查与确认的信息进行复核,以及对某些访谈和文档审核的内容进行核查。检查人员通过对检查对象进行观察、核实、分析等活动,获取证据以证明系统安全的保护措施的有效性,检查过程均会使用各项检查表和对应的安全检查工具。
现场调研:通过调研人员与被调研单位的相关人员进行交谈和问询,了解系统管理和安全管理方面的一些基本信息,并对检查内容、文档审核内容等进行核实。通过调研表、人员访谈、人工核查、文档查阅等手段,洞悉安全管理弱点,对被检查对象的安全管理体系、安全运维过程等对比《工业控制系统信息安全防护指南》等官方指导文件的安全要求进行检查。
图2:评估工作部署会议
图3:评估小组内部研讨会议
专业高效,助力评估结果场景化落地
项目历时3个月,共计投入30人,分成三个评估小组在项目经理的协调下分别开展评估工作,三个评估小组分散在该地区不同的区域同时开展工作,高效专业地完成了本次风险评估工作。
图4:风险评估的全流程
1、资产识别
帮助客户对组织内资产进行梳理和分级管理,通过定量分析,明确各信息系统对客户的重要程度,通过有效整合信息系统的安全需求,在有限的资源环境下,有效提高客户的信息安全水平。
2、威胁识别
根据梳理资产清单,识别被评估信息系统的关键资产所面临的威胁源,以及对资产所产生的影响。通过威胁识别帮助用户认识到自身所面临的威胁来源、威胁主体、威胁种类、威胁频率等。
3、脆弱性识别
对评估工作范围内的物理环境、网络设备、安全设备、操作系统、数据库系统和应用中间件系统、应用系统软件和安全管理进行脆弱性评估;通过脆弱性识别帮助用户认识到自身安全防护的不足。
图5:工业控制系统风险要素的关系
评估背后的终极奥义——价值剖析
本次风险评估项目威斯尼斯人wns2299cn全方位深层解析了某油田深层工控安全隐患,同时也给本次的客户——油田公司带来了很多额外的收益,体现在以下方面:
1、指导建设规划
基于风险评估结果,及时全面的掌握客户了工控网络环境的安全现状和面临的风险。并提出改进建议,降低风险,为客户各类信息安全规划建设奠定基石。
2、保障业务运营
帮助客户及时发现网络与信息系统的安全问题,使安全风险降低到可以接受并且可以被有效管理的范围内,保障客户组织内信息系统稳定运行和业务连续性,预防信息安全事故,保证客户业务的连续性。
3、满足合规要求
开展风险评估工作可帮助用户满足基于公安部、工信部等部委关于关键信息基础设施、工业互联网企业、业务信息系统的安全检查要求。
4、平衡风险成本
帮助客户在后续安全建设过程中综合平衡安全风险与成本代价,实现在最低资源消耗的情况下,达到最大的安全水平。
针对工业生产安全的全面“体检”——场景化定制的风险评估,只是威斯尼斯人wns2299cn护航全方位安全的第一步,未来仍会接轨全生命周期的项目实施落地,多元渗透生产场景,同步瓦解看得见与看不见的生产隐患,产品+服务+技术三位一体,实现安全生产闭环。
风险评估为什么选择威斯尼斯人wns2299cn?
威斯尼斯人wns2299cn基于多年来对电力能源、石油化工、智能制造、城市市政等上千家工业企业的风险评估和现场咨询经验,依据《GB∕T 36466-2018 信息安全技术 工业控制系统风险评估实施指南》、《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》等标准,为广大工业企业提供专业的工控安全风险评估服务。服务优势包括:
1、深入工业行业场景提供整体服务
威斯尼斯人wns2299cn已经为13个工业行业、32个细分领域的工业企业提供专业的现场风险评估服务,服务内容涵盖资产梳理、脆弱性识别、威胁识别、安全漏洞扫描、已有安全措施检查等工作内容,帮助企业洞察潜在的风险隐患,并提供针对性的安全整改建议报告编写服务,为后续客户安全整改提供专业意见。
2、经验丰富的专业风险评估师团队
威斯尼斯人wns2299cn拥有十年以上的工控安全咨询专家团队,具备CISP、CISAW、ICSSE等专业安全资质认证。团队成员具备扎实的安全理论和实战经验,能帮助客户快速梳理各种复杂工业环境下的安全风险及问题。
3、配套专业技术检查工具提升权威性
威斯尼斯人wns2299cn工控安全风险评估服务依托风险评估国家标准,配以专业的工控安全检查工具,可以极大地提高现场评估工作效率和质量。
4、全程一站式安全服务后续保障能力
威斯尼斯人wns2299cn针对风险评估过程中发现的安全问题,可以提供后续的安全整改加固、安全解决方案和产品部署、安全管理制度体系建设、安全运营服务、安全应急演练、安全培训等一站式保障服务。