工控设备安全防护管理难？看胜利油田工业网络安全如何建设

　　随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来了工控系统的安全问题，如系统终端平台安全防护弱点，系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、以及隐藏的后门和未知漏洞、TCP/IP自身的安全问题，用户权限控制的接入，网络安全边界防护以及内部非法人员，密钥管理等等各种信息安全的风险和漏洞。

　　石油石化行业作为我国国民经济的支柱产业之一，承担着保障国家能源安全的重要责任。石油石化行业产业链长，涉及面广，从业务上分为上、中、下游各个环节。在面对国际油价大幅波动以及“双碳目标”造成的数字化转型的大背景之下，企业工业设备投资也呈跨越式增长，有关工业资产的信息随之增多，分布广、数量大、种类多是工业资产的特点。面对庞大的工业资产和相关信息，资产运营管理与安全问题变得越来越复杂，如何高效完成工业资产的识别与管理以及接入管控，已成为各企业急需解决的问题。

　　数量多、分布广、种类复杂成油田工业网络建设主要痛点

　　胜利油田始终将数字化、信息化建设作为助力企业提质增效、转型发展的关键性举措。油气工业网络建设覆盖率达到95%以上，配套大规模的自动化仪表、采集控制终端等信息化设备，已形成一套庞大的工业控制网络。经过分析发现油田工业网络接入层现状有以下几个特点:

　　(1)工业资产种类多，品牌不一

　　胜利油田工业资产典型设备包括PLC(可编程逻辑控制器)、RTU(远程终端单元)、无线网桥、工业交换机、摄像头、工业主机、视频服务器等，且品牌不唯一。因每种资产的识别技术都有其独特的要求和难点。若不清楚生产管理区范围内都部署了哪些资产，就难以规划维护计划和设计有效防护。一份包含资产类型、厂商、型号、系统、版本全面完整的资产清单，可以为油气工业资产的运维管理提供重要支撑。

　　(2)网络接入点数量多，分布不集中

　　油田的生产规模和环境决定了油田工控系统的信息接入点数量庞大、分布广泛，大多暴露在野外环境，随着生产网络体积越来越大，现场接入范围越来越广，这些来自生产网络边缘的安全隐患会带来生产网络非法接入的安全风险。

　　(3)工业资产难以实时监控

　　胜利油气工业资产构成复杂、数量巨大，给资产管理带来了巨大挑战。在不具备自动化资产探测发现工具支撑的情况下，现有资产的登记、管理主要依赖人工，资产台账统计工作需要花费大量的人力物力。而通常各企业工业资产管理员多为兼职，在工控系统正常运行的情况下管理人员并不会主动关心资产属性，资产出现异常时会直接进行原件替换，经年累月运行后，原始资产明细丢失或未及时更新维护，实效性及准确性难以得到保障。

　　(4)前端接入与非法仿冒风险

　　胜利油田分散的站点面临着前端被入侵，控制挟持、敏感信息信息泄露风险，通过前端无线/有线接入点私自联网，入侵生产专网风险，进而造成设备被入侵，删除或篡改关键配置信息等相关风险。同时，前端设备分布散，无人值守，数量众多，网络接口完全暴露，被仿冒接入和内网探测攻击成本非常低，部分暴露在外的网络接口是完全开放，无控制手段，很容易被不法分子利用终端网络接口进行仿冒接入，并对内网探测或入侵，进而控制核心业务系统，获取敏感数据信息或发起物理攻击。

　　工业网络安全建设需整体性 奇安信助力油田设备安全水平提升

　　对此，奇安信安全专家表示：“在工业物联网建设时，集成的终端往往种类繁多，并且可能来自于多家厂商，因此为了保障工业物联网系统的安全，需要在统一安全标准和安全建设实施方面做更多努力。作为工业物联网的底层，终端并非独立存在，其安全威胁的也应放到整个工业物联网系统的安全框架中解决。”

　　具体实施策略配置需要兼顾网络侧、硬件侧、操作系统和业务应用等多个维度，侧重DDoS攻击、终端硬件的组件和配置被篡改、系统启动进程被截获或覆盖、非法更改应用程序或公共API等主要攻击手段的防御。

　　为应对工业互联网终端等各类型IoT设备大量使用场景下，解决网内IoT设备安全防护管理难题，在采油厂、管理区部署接入安全统一管理平台，实现设备的安全合规检查、状态监控、网络双向阻断、访问控制、IP地址管理与使用监控、统一接入控制、仿冒检测和处置等安全管理功能。在采油厂下辖的站点部署接入安全防护系统，根据部署环境选择机架式与导轨式混合部署方案。

　　奇安信网神工业互联网边缘可信防护系统支持常用接入控制技术，包括旁路流量分析和阻断技术、策略路由方式引流的接入控制技术，物理桥接方式的接入控制，通过对网络中的各类IP流量、工控流量进行解析与控制，采集网内各类设备的信息，评估其合规情况，对非法流量强制进行网络阻断。

　　旁路部署模式下，通过交换机流量镜像方式获取流量数据。旁路部署不改动客户原有网络拓扑，不改变客户原有使用习惯，这种部署模式下，即使接入控制器宕机也不会对客户网络造成中断。

　　控制器通常旁路部署于核心交换或汇聚交换处，通过镜像流量对管控区块内设备通过边界的行为进行识别并合规管控。

　　技术原理图

　　在奇安信网神工业互联网边缘可信防护系统的支撑下，本解决方案针对胜利油田大量IoT设备使用场景，解决了设备安全防护管理难的问题，实现设备的发现和识别、接入感知、用户识别、多类型设备统一准入控制、仿冒检测处置、安全合规检查、状态监控、IP地址管理等功能。同时，实现了扩大安全监控的范围、提升威胁发现及时性、提升安全管理效率、降低安全运营成本等建设效果。

　　应用场景图

　　目前，工业互联网边缘可信防护系统主要应用于站点分散，有资产识别、身份认证、合规检查、风险感知、异常处置、接入控制等有需求的工业场景。奇安信工业安全接入防护解决方案已经支撑了能源、电力、制造、交通、矿山等多个行业，能够满足资产识别、身份认证、合规检查、异常处置、接入控制等多种应用场景的安全建设需求。