奇安信工業邊緣防護助力石油石化工控系統安全建設

隨著信息化的推動和工業化進程的加速，越來越多的計算機和網絡技術應用于工業控制系統，在為工業生產帶來極大推動作用的同時，也帶來了工控系統的安全問題，如系統終端平臺安全防護弱點，系統配置和軟件安全漏洞、工控協議安全問題、私有協議的安全問題、以及隱藏的后門和未知漏洞、TCP/IP自身的安全問題，用戶權限控制的接入，網絡安全邊界防護以及內部非法人員，密鑰管理等等各種信息安全的風險和漏洞。

石油石化行業作為我國國民經濟的支柱產業之一，承擔著保障國家能源安全的重要責任。石油石化行業產業鏈長，涉及面廣，從業務上分為上、中、下游各個環節。在面對國際油價大幅波動以及“雙碳目標”造成的數字化轉型的大背景之下，企業工業設備投資也呈跨越式增長，有關工業資產的信息隨之增多，分布廣、數量大、種類多是工業資產的特點。

面對龐大的工業資產和相關信息，資產運營管理與安全問題變得越來越復雜，如何高效完成工業資產的識別與管理以及接入管控，已成為各企業急需解決的問題。

數量多、分布廣、種類復雜

成油田工業網絡建設主要痛點

    勝利油田始終將數字化、信息化建設作為助力企業提質增效、轉型發展的關鍵性舉措。

   油氣工業網絡建設覆蓋率達到95%以上，配套大規模的自動化儀表、采集控制終端等信息化設備，已形成一套龐大的工業控制網絡。經過分析發現油田工業網絡接入層現狀有以下幾個特點:

（1）工業資產種類多，品牌不一

勝利油田工業資產典型設備包括PLC(可編程邏輯控制器)、RTU(遠程終端單元)、無線網橋、工業交換機、攝像頭、工業主機、視頻服務器等，且品牌不唯一。因每種資產的識別技術都有其獨特的要求和難點。

若不清楚生產管理區范圍內都部署了哪些資產，就難以規劃維護計劃和設計有效防護。一份包含資產類型、廠商、型號、系統、版本全面完整的資產清單，可以為油氣工業資產的運維管理提供重要支撐。

（2）網絡接入點數量多，分布不集中

油田的生產規模和環境決定了油田工控系統的信息接入點數量龐大、分布廣泛，大多暴露在野外環境，隨著生產網絡體積越來越大，現場接入范圍越來越廣，這些來自生產網絡邊緣的安全隱患會帶來生產網絡非法接入的安全風險。

（3）工業資產難以實時監控

勝利油氣工業資產構成復雜、數量巨大，給資產管理帶來了巨大挑戰。在不具備自動化資產探測發現工具支撐的情況下，現有資產的登記、管理主要依賴人工，資產臺賬統計工作需要花費大量的人力物力。

而通常各企業工業資產管理員多為兼職，在工控系統正常運行的情況下管理人員并不會主動關心資產屬性，資產出現異常時會直接進行原件替換，經年累月運行后，原始資產明細丟失或未及時更新維護，實效性及準確性難以得到保障。

（4）前端接入與非法仿冒風險

勝利油田分散的站點面臨著前端被入侵，控制挾持、敏感信息信息泄露風險，通過前端無線/有線接入點私自聯網，入侵生產專網風險，進而造成設備被入侵，刪除或篡改關鍵配置信息等相關風險。

同時，前端設備分布散，無人值守，數量眾多，網絡接口完全暴露，被仿冒接入和內網探測攻擊成本非常低，部分暴露在外的網絡接口是完全開放，無控制手段，很容易被不法分子利用終端網絡接口進行仿冒接入，并對內網探測或入侵，進而控制核心業務系統，獲取敏感數據信息或發起物理攻擊。

工業網絡安全建設需整體性

奇安信助力油田設備安全水平提升

對此，奇安信安全專家表示：“在工業物聯網建設時，集成的終端往往種類繁多，并且可能來自于多家廠商，因此為了保障工業物聯網系統的安全，需要在統一安全標準和安全建設實施方面做更多努力。作為工業物聯網的底層，終端并非獨立存在，其安全威脅的也應放到整個工業物聯網系統的安全框架中解決。”

具體實施策略配置需要兼顧網絡側、硬件側、操作系統和業務應用等多個維度，側重DDoS攻擊、終端硬件的組件和配置被篡改、系統啟動進程被截獲或覆蓋、非法更改應用程序或公共API等主要攻擊手段的防御。

為應對工業互聯網終端等各類型IoT設備大量使用場景下，解決網內IoT設備安全防護管理難題，在采油廠、管理區部署接入安全統一管理平臺，實現設備的安全合規檢查、狀態監控、網絡雙向阻斷、訪問控制、IP地址管理與使用監控、統一接入控制、仿冒檢測和處置等安全管理功能。在采油廠下轄的站點部署接入安全防護系統，根據部署環境選擇機架式與導軌式混合部署方案。

奇安信網神工業互聯網邊緣可信防護系統支持常用接入控制技術，包括旁路流量分析和阻斷技術、策略路由方式引流的接入控制技術，物理橋接方式的接入控制，通過對網絡中的各類IP流量、工控流量進行解析與控制，采集網內各類設備的信息，評估其合規情況，對非法流量強制進行網絡阻斷。

旁路部署模式下，通過交換機流量鏡像方式獲取流量數據。旁路部署不改動客戶原有網絡拓撲，不改變客戶原有使用習慣，這種部署模式下，即使接入控制器宕機也不會對客戶網絡造成中斷。

控制器通常旁路部署于核心交換或匯聚交換處，通過鏡像流量對管控區塊內設備通過邊界的行為進行識別并合規管控。

技術原理圖

在奇安信網神工業互聯網邊緣可信防護系統的支撐下，本解決方案針對勝利油田大量IoT設備使用場景，解決了設備安全防護管理難的問題，實現設備的發現和識別、接入感知、用戶識別、多類型設備統一準入控制、仿冒檢測處置、安全合規檢查、狀態監控、IP地址管理等功能。同時，實現了擴大安全監控的范圍、提升威脅發現及時性、提升安全管理效率、降低安全運營成本等建設效果。

應用場景圖

    目前，工業互聯網邊緣可信防護系統主要應用于站點分散，有資產識別、身份認證、合規檢查、風險感知、異常處置、接入控制等有需求的工業場景。奇安信工業安全接入防護解決方案已經支撐了能源、電力、制造、交通、礦山等多個行業，能夠滿足資產識別、身份認證、合規檢查、異常處置、接入控制等多種應用場景的安全建設需求。