如何做好石油化工行業關鍵資訊基礎設施的網絡安全保障與發展,是目前且是未來很長一段時間需要持續深入研究并實踐的重要課題。
近日,由中國石油和化工聯合會主辦的“中國石油和化工行業工業網際網路大會”在北京順利召開。大會以“工業網際網路賦能石油和化工行業高品質發展”為主題,來自石油和化工行業領域的專家學者、企業代表齊聚一堂。作為唯一家受邀參展的工控安全廠商,融安網絡攜帶石油石化行業的工業控制系統安全技術解決方案亮相展會。
在會議現場,融安網絡解決方案部總監梁鼎銘就“石油石化行業工業控制系統惡意代碼防範探讨”為主題作相關技術分享。
近年來,全球工控網絡安全事件頻發并呈現暴漲趨勢:惡意軟體、資料洩露、新型勒索攻擊等不同類型的安全問題威脅輪番上演。例如,去年3月,日本豐田供應商“小島沖壓工業株式會社”遭到了網絡攻擊,導緻豐田在日本國内的14家工廠全部停工;同年5月下旬,富士康在蒂華納(墨西哥)的生産工廠受到勒索軟體攻擊,并被要求支付贖金……,這些工控網絡安全事件已經影響到社會經濟的正常運作,也為大陸的網絡安全敲響了警鐘。
石油石化行業作為關系國計民生的重點行業,對安全等級要求很高,根據大陸網絡安全法的規定,能源行業的資訊基礎設施被列為關鍵資訊基礎設施,要實行重點防護。
梁鼎銘表示“基于多年來的技術沉澱,以及依托以往為項目服務經驗,在很多石油石化控制系統的現場做了大量的風險評估和調研工作後(包括煉化廠、油田、油罐、油氣管道等的工業控制系統),總結發現三點現狀問題:1、正常病毒感染成為石油石化工控系統最常見問題;2、缺少/未及時更新防惡意代碼軟體系統仍占比高;3、石油石化工控系統實時性、穩定的自身特性對病毒防範提出更高的要求。”
以下為石油石化工控系統惡意代碼治理方案:
石油石化行業工控系統惡意代碼防護治理方案,即以ASA安全體系為指導,确定“邊界防護隔離、内部監測審計、終端安全管理、集中管控預警”的建設思路,通過建構防禦、檢測、響應、預測的主動安全防護體系,最終實作或者達到石油石化工業控制系統網絡惡意代碼防護治理這一目标。
首先,建構石油石化工業控制系統邊界病毒隔離。在石油石化生産系統的邊界部署工業防火牆隔離措施,通過指令級工業協定的深度解析、人工智能學習方法建立合法的流量模型,梳理邊界流量白名單,隻放行業務相關流量,所有異常流量均阻斷,可以有效避免傳統防病毒網關或IPS需要頻繁更新特征庫的窘境。
其次,建構石油石化工業控制系統流量監測審計。在生産系統内部部署惡意代碼流量分析産品,建立網絡通路通信模型,梳理網絡通路關系,對網絡異常流量進行告警;通過網絡鏡像高速捕獲封包,進行協定識别和深度封包解析處理,同時結合安全知識庫,識别威脅攻擊,形成安全事件;可疑檔案還原後到安全沙箱進行檢測,檢測結果作為輸入資料送出給安全引擎進行分析判斷。
再次,建構石油石化工業控制系統主機病毒免疫環境。石油石化工業控制系統絕對不允許接入網際網路,傳統安全解決方案難以及時更新、打更新檔(白名單庫部署後僅需根據業務系統變化作少量變更,不需聯網擷取資料);緩沖區溢出、0day漏洞利用等攻擊方式,傳統防毒軟體存在短闆(白名單可以抵禦進階記憶體注入攻擊,識别記憶體違規、可疑程序并發出警報)。針對主機系統核心、檔案、網絡、漏洞等多點監測功能,識别病毒、木馬、蠕蟲等惡意代碼行為;基于特征的檢測技術,實作已知惡意代碼的清除;基于行為智能分析技術,實作未知惡意代碼的清除。
然後,通過可信技術建構主機主動免疫環境。通過可信機制實時監控網絡節點的行為,允許正常運作,認證、阻止或屏蔽異常運作,使外部攻擊和内部惡意行為因網絡漏洞而失效,保證石油石化ICS正常運作的邏輯組合不被篡改或破壞,系統運作符合預期。
最後,需建構病毒清除清除與主動免疫 – 外設管控防病毒。通過認證機制,區分内部安全U盤與外部U盤,使内網U盤的使用行為更規範;對内部U盤的權限設定,隻允許進階權限U盤複制主機資料,禁止内網資料的随意傳遞,防止了核心資料的洩露。
另外,建構石油石化工業控制系統邊界病毒采集、感覺與防護模型是整體的感覺與防護模型。部署整體的分析平台,彙總全網的惡意代碼流量采集裝置和用戶端的安全事件資料,運用大資料技術,對資料進行清洗、整合和泛化處理,建構安全分析模型,進行挖掘和關聯分析,分析提取惡意代碼威脅和風險态勢,對攻擊進行溯源追蹤分析,實作安全可視化、可管可控。
作為專注于工控安全的全生命周期解決方案提供商,融安網絡始終堅持圍繞客戶需求出發,自主研發涵蓋工業控制網絡安全檢測、安全監測、安全防護、安全管理,和邊緣智能類等系列産品,提供完整的工業控制系統網絡安全産品裝置和專業的安全解決方案。在石油石化行業方面,已與國家管網、中海油、中石化、廣東管網、深圳能源等大型企業展開深度合作。
未來,融安網絡将持續精進軟硬體實力、不斷提升和完善工控安全解決方案,着力打造工業網際網路絡空間安全保障體系,助力工業企業向數字化、智能化方向發展,保障大陸石油和化工行業産業的高度發展,為大陸的關鍵資訊基礎設施建設貢獻積極力量!