基于CII安全防護的油儲工業互聯網安全運營體系建設與實踐 - 行業資訊

1 引言

中國石油天然氣股份有限公司西北銷售分公司（以下簡稱：西北銷售公司）管理運營分布在不同地域的十余座大型成品油庫，是典型的支撐石油能源生產、供應和銷售的CII；隨著其智慧業務的發展以及兩化融合的深入實踐，其網絡安全整體態勢直接影響著區域的國計民生，一旦發生網絡安全事故，將會嚴重影響區域內一些重要行業正常運行，也嚴重威脅著國家基礎設施的安全。為深入貫徹《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，落實《工業控制系統信息安全防護指南》要求，配合《關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作啟動，西北銷售公司于2019年成功上線了《面向油庫安全運營的工業互聯網態勢感知系統》，實現了對油庫發油生產系統安全風險的實時感知和威脅的精準研判、應急、智能運維與主動整體防控，強化國家CII的保護，提升行業整體網絡安全防護水平。

《關鍵信息基礎設施網絡安全保護基本要求》強調油儲類的CII網絡安全保護需首先符合網絡安全等級保護政策及GB/T 22239-2019等標準相關要求，同時遵循“重點保護、整體防護、動態風控、協同參與”的基本原則，建立網絡安全主動整體防御體系，在此基礎上實現油庫CII關鍵業務的安全防護。

2 構建適合油庫安全運營的安全體系與攻防決勝能力

油庫安全生產保障的網絡安全能力建設目標是在保障網絡對抗中能夠取得決勝，其持續性對抗的安全保障能力是關鍵，尤其是在黑客入侵時能夠及時發現并實施阻斷、內部人員違規操作時能夠甄別并舉證等。油庫CII網絡安全保護在滿足等保2.0要求的基礎上，遵循“重點保護、整體防護、動態風控和協同參與”的原則，建立網絡安全綜合主動防御體系。其中，整體防護就是基于油庫生產運營承載的業務，對業務所涉及的多個網絡和信息系統，尤其是發油生產的SCADA控制系統等進行全面防護；動態風控以油庫網絡安全風險的動態管理對其安全控制措施進行調整，從而有效地防范控制網絡安全風險。

2.1 網絡安全運營體系化

GB/T 22239-2019等級保護標準強調“一個中心、三重防護”的體系化設計思路，可以分為空間維度的縱深與多重防護體系（如圖1所示），和時間維度的多維與協同防御體系（如圖2所示），重點加強“內生安全”，如公司以及庫區用戶登錄系統的身份認證、重要操作行為審計、敏感數據加密、發油生產SCADA控制程序開發中源代碼的安全審計、業務和核心交換機的配置文件安全審計、新業務通信鏈路鏈接審計（控制非法外聯）、遠程運維審計等，以此提升業務系統自身的安全性、增強抵御外部攻擊的能力。更為重要的是系統安全運營時，注重安全措施的落地與效果，安全策略部署到位，安全應急庫與“一庫一檔案”建立、安全事件追蹤溯源等，以此消除一些特殊威脅的安全漏洞和再被利用的機會。

圖1 基于空間維度的防御體系

圖2 基于時間維度的防御體系

2.2 攻防思考的安全運營

西北銷售公司每年不斷新增業務，在網設備時常在增減與更新，安全運營與智能運維可以保護油庫設施免受攻擊、入侵、干擾和破壞，構建面向攻防對抗的網絡安全防護體系，積極使用漏洞掃描、滲透測試、安全防護、安全持續監測等技術，改善發油生產SCADA網絡系統的安全性能，提高網絡安全保障能力，構筑安全、可靠、穩定的可視、可控、可責、可溯的網絡環境。

（1）基于滿足等保合規的基礎安全能力，實時深度梳理與監控油庫網絡資產的存活狀態、聯網狀態、進出流量等，并根據人員的變化構建動態的安全組織，根據需要動態部署適宜的安全措施與策略，制定與之相適應的應急流程。

（2）構建以大數據為核心的分析溯源能力、誘捕能力以提升威脅發現能力，及時發現網絡攻擊與違規操作者，及時完成威脅阻斷、網絡恢復等工作。

（3）構建以威脅情報為中心的持續對抗能力，網絡攻防雙方都是善變的，及時依據網絡狀態變化動態地調整安全策略，以爭取對抗中的主動，提升網絡安全策略動態調整的能力。

（4）采用零信任思維（動態的4A技術），動態評估登錄用戶、設備的可信程度，并根據登錄位置、連接方式、上網習慣、設備業務流量等特性動態授權用戶訪問的權限，特別對一些敏感操作（如SCADA、PLC程序下載、數據庫操作等），額外增加身份鑒別的級別以保障業務的安全。

2.3 以CII保護思維，超越等保合規的動態防御聯動防控策略

基于等保2.0和CII防護的油庫工業互聯網安全運營以治理、風控、合規為驅動，以大數據分析技術為核心，實現了油品的銷售、生產、調度、運營的端到端的價值鏈的覆蓋，實現了從現場控制、生產監控、生產運營到經營管理的全維度監控，以及從物理和環境、網絡和通信、計算和終端、應用和數據的全范圍監控。網絡安全決策工作基于來自各類計算終端、服務器、數據庫、應用系統、存儲設備、網絡設備、安全設備以及運營操作的數據，經過大數據安全平臺采集、歸集、處理、分析后得到大量歷史和實時的數據輔助網絡安全決策，使油庫網絡安全運營決策能夠做到有的放矢。油庫CII網絡安全保護架構圖如圖3所示

圖3 油庫CII網絡安全保護架構圖

（1）資產識別：實現對油庫CII相關資產的自動化管理，根據油庫生產關鍵業務鏈所依賴資產的實際情況實時動態更新，并與態勢感知和智能安全運營實時同步。

（2）互聯安全：對不同地域油庫、不同職能部門的區域、地域局域網之間遠程通信時采取安全防護措施，增強隔離措施、基于零信任思維的身份認證和基于密碼技術對通信雙方進行驗證或認證等。

（3）安全審計：增強網絡審計措施，監測、記錄系統運行狀態、日常操作、故障維護和遠程運維等，留存相關日志數據不少于12個月。

（4）入侵防范：實現對新型網絡攻擊行為（如APT攻擊）的入侵防御，增加公司、庫區等網絡入口與特殊節點的威脅防御與入侵誘捕措施，采取系統級整體聯動的主動防護措施，及時識別并阻斷入侵和病毒行為。

（5）數據安全：按照《工業數據分類分級指南(試行)》對油庫發油生產數據的全生命周期進行安全管理，基于工業數據分類分級實現相應的數據安全保護。

（6）自動化工具：使用自動化工具支持系統賬戶、配置、漏洞、補丁和病毒庫等管理，對于漏洞、補丁，應在經過驗證后有所選擇地及時修補。

（7）監測預警：制定適合油庫自身業務發展需求的安全監測預警和信息通報制度，明確監測策略、監測內容和預警流程，對油庫CII網絡安全風險進行監測預警。

3 持續性威脅監測和安全運營以應對不斷變化的外部安全威脅

油庫CII的工業互聯網安全運營平臺充分整合來自各個層面、維度的數據、日志等信息，并將IT和OT的各個層面的設備設施數據接入，結合資產管理、人員管理、事件管理、應急管理、基線管理、外包管理、供應鏈管理等各類業務操作數據，結合業務場景建立數據分析模型，實時展現安全態勢，發現威脅并及時響應，對分析結果進行決策，指導銷售公司各個職能部門和庫區開展網絡安全工作，形成銷售公司與庫區、內外部之間的快速溝通和響應能力，優化各類網絡安全防護以及支撐工具，提升安全運營平臺的實時分析能力以及運營能力。充分整合網絡安全專業廠商的外部安全服務機構能力，提升內部員工的安全基本知識和技能，整體提升工業互聯網安全運營能力。

構建符合自身業務發展的安全運營體系時，充分根據油庫業務系統的發展和變化而不斷動態調整防護的重點和優先級，不斷完善和迭代優化、提升系統性工作，持續進行演習，在實戰中完善安全策略，檢驗應急預案效率，提升團隊安全能力，以便通過實踐不斷豐富與發展。油庫工業互聯網安全運營通過融合安全技術和安全管理以降低系統風險，通過“局部防御+持續監測”以減少安全防護對油庫發油生產系統實時性和效能造成的影響，切實保證油庫工業互聯網安全運營能為油庫的安全生產創造更多價值。

4 結束語

面對關鍵基礎設施防護的新形勢、新要求，諸如國家戰略油儲等關鍵信息基礎設施安全保護面臨著實戰化、體系化、常態化的挑戰，需要通過全局整體設計，建立全面覆蓋的網絡安全能力體系，將安全能力滲透到關鍵基礎設施信息化體系之中，使之具備全天候的態勢感知與安全運行。針對當前網絡攻擊的復雜性、未知性，結合敵情我情，建設“發現、分析、響應、溯源”的系統和主動防御能力，構建出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全防御體系已成當務之急。

作者簡介

于慧超（1986-），男，山東威海人，工程師，學士，現就職于中國石油天然氣股份有限公司西北銷售分公司。

摘自《工業控制系統信息安全專刊（第七輯）》

成員展示