共计 4046 个字符,预计需要花费 11 分钟才能阅读完成。
9 月 1 日,《要害信息基础设施平安爱护条例》实施。要害信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和畛域的,以及其余一旦受到毁坏、丢失性能或者数据泄露,可能严重危害国家平安、国计民生、公共利益的重要网络设施、信息系统等。
要害信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障要害信息基础设施的平安,对于保护国家网络安全、网络空间主权和国家平安、保障经济社会衰弱倒退、保护公共利益和公民合法权益都具备非常重大的意义。
石油化工的工控零碎是能源行业重要的要害信息基础设施,信息化建设有了较好的根底,并且已深度交融到各个生产业务零碎中。随着“两化交融”、生产安装规模不断扩大,越来越多的生产控制系统通过信息网络连接到互联网上,石油石化的工控零碎面临微小的危险挑战。
石油石化工控的现状与挑战
在石油石化行业中,工控零碎(ICS)在油气田、炼油化工等次要生产环节失去广泛应用,蕴含分布式控制系统(DCS)、监控与数据采集零碎(SCADA)和可编程逻辑控制器(PLC)等。
在工油气田生产中,工艺解决安装较多的油气处理厂多采纳 DCS 零碎或大型 PLC 零碎实现生产工艺过程的管制,工艺解决安装少的油气解决站多采纳中小型 PLC 零碎,井口扩散的油气采掘厂大多采纳近程管制终端(RTU)。
在炼油化工生产中,DCS 零碎负责各类大型生产安装的根本过程管制、操作、监督、治理,顺序控制、工艺联锁等,PLC 则用于可燃 / 有毒气体检测零碎、压缩机控制系统、转动设施监视系统等管制。
原先的工控零碎的设计次要是专用的绝对关闭可信的通信线路,也就是关闭的“单机零碎”。随着“两化交融”带来工业控制系统外连,以及生产网络内底层计算技术、网络技术的更新,使得内网单机开始联网,这就对以后防护技术的性能、性能提出了不同于传统技术的平安要求。这种工业网络规模、工业数据量的变动,对传统的隔离、检测、对立治理的防护逻辑带来挑战。
综合来看,石油石化企业的工控零碎存在技术、设施和治理上三方面的危险隐患。
技术上的危险隐患。无论是工控零碎,还是应用工业主机、服务器等,存在大量老旧且利用门槛低的破绽,不仅长期未被发现和修复,并且有大量全新的 0DAY 破绽。这些“带病运行”的软件和设施给石油石化企业带来微小安全隐患。
设施上的危险隐患。工业设施资产散布广、设施类型繁多,不仅面临生产故障、设施老化等危险,在不能无效平安配置下,更加剧了各类设施、软件的软弱水平,让攻击行为难以觉察。
治理上的危险隐患。工控系统安全波及于自动化、信息化和平安等不同部门和不同岗位,彼此穿插。企业原有的平安制度与现状不适应,进而导致平安组织态度含糊,责任不明确。而且企业之间、部门之间存在认知偏差,技术生产的壁垒,“孤岛”景象重大,导致投入的设施与零碎效劳大打折扣,无奈匹配上高速生产程度,进而影响业务经营效率。
隔靴搔痒,打造平面的工控平安体系
石油石化须要从单点的、本地的、部分的工控平安防护体系,降级为一个平面的、全方位的、纵深的、全面的平安防控体系。同时,晋升企业的布局治理、人员业余意识和技能,与设施应用、生产运维、应急响应、事件处理等完满联合,无效防备各类工控危险。
全面体检,及时把握工控系统安全现状
《要害信息基础设施平安爱护条例》第十七条规定:运营者该当自行或者委托网络安全服务机构对要害信息基础设施每年至多进行一次网络安全检测和危险评估,对发现的平安问题及时整改,并依照爱护工作部门要求报送状况。
每年一次的平安检测和危险评估,可能对石油石化工控系统进行全面的“体检”,发现各类潜在攻打和未知威逼,将威逼扼杀在晚期或萌芽状态,将危险防备的关口前移,从而晋升企业整体的安全性。
顶象洞见实验室致力于工控平安深度攻防技术钻研,次要面向底层工控设施和安装 (PLC、DCS、SCADA 等) 以及各类组态软件的破绽开掘和平安钻研,基于当先的工业系统漏洞开掘与利用、破绽含糊测试和工业协定剖析技术,为国内外数十家出名工业企业提供过平安检测服务。
顶象 OT-Argus 通过集成自主研发的非入侵式无损智能破绽扫描零碎,联合集成的 4000+ 种工控破绽,1000+ 种独家开掘的 0DAY 破绽,50000+ 种 IT 破绽检测扫描插件,全面笼罩 IT/OT 破绽检测。对设施进行完整性、脆弱性、安全性进行全面检测与评估,晋升设施的安全性、可靠性和稳定性。
两手筹备,防备已知威逼和正在产生的攻打
《要害信息基础设施平安爱护条例》第十五条第三、六、七款,对负责本单位要害信息基础设施平安爱护的工作人员并给出明确规定:(三)依照国家及行业网络安全事件应急预案,制订本单位应急预案,定期发展应急演练,处理网络安全事件;(六)履行个人信息和数据安全爱护责任,建立健全个人信息和数据安全爱护制度;(七)对要害信息基础设施设计、建设、运行、保护等服务施行平安治理。
破绽是危险的暴发源头,无论是病毒攻打还是网络攻击大多是基于破绽。CNVD(国家信息安全破绽共享平台)显示,2021 上半年新增的工业控制系统破绽数量达到 151 个,波及制造业、能源、交通等行业。及时修复工控零碎存在的各类已知破绽,无效防备病毒威逼;同时“诱捕”拦挡已产生的攻打,良好保障业务平安。
顶象 OT-Guard 独有的“虚构补丁”技术,可能主动生成基于已知和未知破绽的针对性防护策略,实时监控各类工控破绽攻打,阻断各类威逼。石油石化企业不依赖设施厂家降级和修复、无需业余人员手动操作,也能够实现未知缺点动静修复的解决方案。该计划修复性能齐全可逆可追溯,确保生产环境齐全可控。
顶象 OT-Phantom 第三代的坑骗诱捕技术可能自动化高度仿真海量的资产和业务,被动诱惑攻击者攻打仿真的“幻影零碎”,误导与蛊惑攻击者,减少攻打时效,通过应用坑骗进攻技术来挫败攻击者的探测过程。能够无效感知攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为,具体察看记录攻打手法、入侵行为、拜访记录、威逼毁坏等,对被防护网络的攻打、异样事件进行实时预警。并通过实时的行为剖析,联合关联网络、智能模型建设和风控引擎,对攻击者进行疾速溯源和危险特征分析,帮忙运营者进行针对性进攻。该技术在每年的实战攻防演习失去充沛实践证明,目前已在多个企业落地。
防患未然,预知未知威逼和潜在被攻打危险
2021 年 5 月出版的《攻守道 - 企业数字业务平安危险与防备》一书,特地提到“未知攻,焉知防”:企业具体理解并把握有哪些危险、危险有哪些特色、危险来自哪里,才可能无效预防,此所谓“知己知彼百战不殆”。
石油石化企业须要及时发现并把握各类异样行为、危险隐患及故障隐患,通过事先应答或打消,保障工控零碎的平安,保障业务的连续性。同时,基于业务零碎的大数据,构建威逼模型,可能帮忙石油石化企业预测内外部和主观因素下的偶尔与必然结果,为可能产生安全事件提供决策撑持。
顶象通过有监督和无监督的机器学习威逼行为建模,可能对工控零碎中的行为进行主动聚类与分类,精准辨认网络内的失常和异样行为,发现各类潜在攻打和未知威逼,晋升网络和设施的平安检测后果,帮助平安运维人员将威逼毁灭在萌芽状态,进一步晋升整体的安全性。
顶象 OT-Eye 基于常识图谱技术,买通不同档次的危险数据,实现危险的对立的采集、汇聚、交融与关联。联合外部和内部危险常识,深刻开掘剖析,造成独有的危险常识图谱。进而追溯危险起因和流传机制,实现危险的感知和预测,协同网内往外联防联控,帮忙平安人员制订更迷信无效的防护策略,让企业从被动进攻转为被动保障。
迷信布局与治理,晋升团队效力与人员技能
《要害信息基础设施平安爱护条例》第十四条规定:运营者该当建立健全网络安全爱护制度和责任制,保障人力、财力、物力投入。运营者的次要负责人对要害信息基础设施平安爱护负总责,领导要害信息基础设施平安爱护和重大网络安全事件处理工作,组织钻研解决重大网络安全问题。
第十五条第一、四、五款对负责本单位要害信息基础设施平安爱护的工作人员并给出具体规定:(一)建立健全网络安全治理、评估考核制度,拟订要害信息基础设施平安爱护打算;(四)认定网络安全要害岗位,组织发展网络安全工作考核,提出处分和表彰倡议;(五)组织网络安全教育、培训。
零碎的布局与迷信的治理、业余平安人才和深入人心的安全意识,能力让工控平安体系可能现业务与平安的有机联合,施展平安体系的价值,无效防控各类危险,及时响应并解决各类平安问题,保障业务稳固运行。
1,零碎的布局与迷信的管理制度。企业须要依据组织和业务特点,联合组织倒退和国家标准、监管机构要求确定工控平安指标和工控安全策略。同时,须要把握企业外部工控平安现状与工控平安指标之间差距,依照工控平安建设工作的不同参与者职责。从而建设设施治理、系统管理、运行保护、日志治理、脆弱性治理、安全事件治理、应急响应治理等规定和评估体系。为企业的工控平安工作提供领导和要求。
2,深入人心的安全意识和习惯。很多安全事件的产生是因为非平安岗位人员的安全意识有余所导致的,企业须要通过宣讲、培训、比赛、演练等多种形式,晋升全员的安全意识,让每个员工建设良好的平安习惯,从而良好撑持平安保障体系建设,清晰了解并严格遵守平安管理制度,以无效保障工控零碎的平安运行。
3,业余的平安常识与技能。石油石化平安岗位波及计算机、网络、平安、人工智能等多个畛域的专业技能。企业须要通过各类措施晋升平安岗位人员的专业知识和服务水平,良好满足平安治理、平安布局、平安施行、平安运维、应急响应等各阶段工作的要求。
“全国信息安全标准化技术委员会”2021 年颁布的《信息安全技术工业控制系统信息安全防护能力成熟度模型》,对负责工控零碎设计、建设、运维等相干方有一套全面的“平安能力成熟度模型”规范。该规范通过一系列代表能力和停顿的特色、属性、批示或者模式,对平安能力因素、能力成熟度等级和能力建设过程等三个维度进行了零碎测验和评估。