工控案例分享——齊安科技在石化行業中的工業安全評估系統應用
責編:gltian |2020-09-08 14:13:45浙江齊安信息科技有限公司(簡稱齊安科技)成立于2018年,致力于工業互聯網安全監測與防護的深入開拓與創新研究,為用戶提供工控場景評估、監測、管控、預警、通報綜合解決方案和安全服務,幫助用戶切實把握工業互聯網安全。
齊安科技擁有數十項自主知識產權和發明專利,基于對資產識別、深度學習、海量數據分析、工業場景建模、漏洞無損探測、未知漏洞挖掘等技術的持續投入,形成了獨特的基于工業數據的數據采集、安全監測、安全通信傳輸和安全態勢分析。
齊安科技 “六維一體”的綜合安全理念,以態勢感知平臺為整體,通過準入控制、合規檢查、實時監控、安全防護、威脅感知、漏洞管理六大維度進行綜合管控,有效提升工業互聯網安全綜合能力。以平臺類、終端類、工具類三大類10余個產品自上而下構建“云管端”模式,提供評估、監測、管控、預警、通報的綜合解決方案和安全服務。
以下為齊安科技產品在石化行業企業中應用的案例分享。
(一)行業背景
某石化企業是中國石油天然氣股份有限公司直屬地區分公司,公司主要生產裝置500萬噸/年的常減壓裝置、140萬噸/年的重油催化裂化裝置、120萬噸/年加氫裂化裝置、4萬標方時制氫裝置、30萬噸/年的催化重整裝置、20萬噸/年柴油氫裝置和15.3萬噸/年的航煤精制裝置均采用ABB公司生產的具有90年代末先進水平的DCS計算機集散控制系統,輔助裝置除污水處理場外均采用了PLC系統。
(二)項目介紹
2017年12月,工業和信息化部關于印發《工業控制系統信息安全行動計劃(2018-2020年)》的通知,要求落實監督管理責任。工業和信息化部統籌制定工控安全政策標準,開展宣貫培訓,定期組織全國檢查評估,對納入審查范圍的工業控制系統產品與服務實施安全審查。
工業控制系統相較于傳統信息系統有著鮮明的特點,其以高實時性高可靠性為主,在現場網絡中,為了系統的安全可靠,設計了包括網絡冗余和設備冗余等多種安全措施。因此,在工業現場場景中如何安全有效地進行安全檢查評估成為重大難點。在過往的檢查案例中,往往采用人工訪談和表單記錄的方式進行,其結果往往帶有過多的主觀意愿,同時表單數據也存在著片面性和非真實性。因此在工業現場通過技術手段進行安全檢查評估可讓數據更有說服力,同時,更高效地發現工業企業中存在的安全問題,幫助企業有效的解決安全隱患,防止重要安全事件的發生,降低人員及財產損失的風險。
客戶需求:
解決在線運行工業控制系統進行安全評估的問題
解決目前工控漏洞修復方案僅針對單個設備的局限
引入國家行業評估標準,使工控系統安全評估具備理論依據支撐
(三)實現方案
- 方案設計圖(1張)
- 總方針
嚴格遵循國家和行業標準,堅持評估過程對企業生產網絡無影響的原則,為企業提供詳細的風險報告和解決方案。
- 具體策略
工業安全評估系統合規性評估模塊以國家標準和行業規范針對于該化工企業工業控制系統進行合規性安全檢查評估,得出企業合規等級。
基于工控設備指紋識別技術,以旁路接入的模式對各個物料生產車間資產安全檢查,構建資產畫像,進行資產安全的檢查評估。
通過對工業交換機鏡像口的工業現場流量進行截取、分析和診斷,以發現工控網絡病毒和網絡異常行為。
對工業現場的無線熱點進行探測,發現所有參與無線通信的設備,并對該無線熱點進行安全評估。
基于安全評估的流程和檢查結果自動生成報告。用戶根據報告可對自身存在的安全問題一目了然,并根據報告中的建議整改意見有針對性的對系統安全性進行加強。
- 齊安產品與先進技術
準確的工控設備指紋識別能力
通過工控設備指紋對工業控制系統各組成單元進行精準識別,支持識別西門子、施耐德、羅克韋爾、倍福、巴赫曼、臺達、紅獅、歐姆龍、和利時、三菱、霍尼韋爾、英維思等國內外知名廠商的PLC、DCS、SCADA等。
豐富的工業控制協議支持
支持大量工業現場級協議,包括但不局限于Modbus/TCP、S7、DNP3、Profinet、Ethernet/IP、IEC104、BACnet、Fox、FINS、Melsec-Q、PCWorx、ProConOs、Crimson、MMS等。
無損式漏洞探測技術
為了進一步降低資產評估功能對于工業控制系統的影響,以使得工業安全評估系統對于工業控制系統不同現場的適用性,系統支持無損式漏洞探測技術,采用非驗證式漏洞探測的方式進行漏洞檢測,不影響工業現場的正常工藝流程。
工業級安全評估模型
由于工業控制系統高實時高可靠性的特點,以及工業控制設備工藝流程的重要程度,一般針對于傳統領域的風險評估方式并不適用。因此,本系統中采用了適配的工業級安全評估模型,針對于工業-控制現場特點,結合政策法規、資產結構、現行流量和無線狀況四個不同的維度進行模型構建,全面適配工業控制系統。
全面的工控信息知識庫
系統的工控信息知識庫由工控知識庫、工控漏洞庫、設備指紋庫、工控設備庫、威脅特征庫和工控協議庫構成。
人性化易用界面設計
系統的使用界面擁有良好的用戶體驗,功能設計充分考慮了用戶需求,強調簡單易用,并結合了安全評估的流程設計,以幫助用戶快速、系統性地完成一次工業現場的安全評估項目。
(四)用戶價值
工業安全評估系統可為企業針對關鍵基礎設施進行定期自檢,以發現自身存在的安全隱患,滿足政策的合規性要求。系統輔助評估人員開展工作,減輕至少50%工作量,并為制定企業的安全策略和工控網絡安全建設提供依據,為目標網絡的長遠安全運行保駕護航。
(五)結束語
工業控制系統的網絡安全,對于保障國家工業基礎設施安全意義重大。