油庫發(fā)油生產(chǎn)控制系統主要以Siemens、Honeywell、Rockwell、Yokogawa等SCADA系統，面臨的主要網(wǎng)絡(luò )安全威脅為：

(一)黑客惡意攻擊和惡意程序植入。一些敵對組織、不法分子通過(guò)遠程修改發(fā)油生產(chǎn)控制策略與測控參數等手段攻擊；也可能會(huì )在SCADA系統內惡意植入危險程序，造成工藝裝置發(fā)生事故，甚至造成停產(chǎn)損失。

(二)通用Windows操作系統、編譯系統、IEC61131設計軟件等安全漏洞。

(三)發(fā)油生產(chǎn)工控網(wǎng)絡(luò )WinCC服務(wù)器、TAS服務(wù)器、排隊主機、門(mén)禁主機等工業(yè)主機、油管服務(wù)器與操作站等防病毒及惡意軟件的管控漏洞。

(四)違規使用U盤(pán)、光盤(pán)等外接設備，導致病毒通過(guò)網(wǎng)絡(luò )、USB口或服務(wù)商遠程運維服務(wù)過(guò)程等方式侵入SCADA系統。

(五)控制設備第三方維修時(shí)，移動(dòng)設備存在隨意接入的情況，或VPN遠程運維接入時(shí)，無(wú)安全防護措施與記錄。

(六)信息化建設的同時(shí)，發(fā)油生產(chǎn)網(wǎng)與其他網(wǎng)絡(luò )邊界越來(lái)越模糊且防護不充分。

面向安全運營(yíng)的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統在自身高效的安全事件分析處理能力基礎上，與安全智能運維深度融合，方便運維人員全面了解資產(chǎn)的安全狀態(tài)，也為安全運維人員故障處理提供更多決策支持，從而更加全面細致的了解整個(gè)業(yè)務(wù)的實(shí)際狀態(tài)，形成全景業(yè)務(wù)運維管控視圖，能夠快速查看發(fā)油生產(chǎn)業(yè)務(wù)系統的基礎設施運行狀態(tài)、應用程序執行效率、安全態(tài)勢的關(guān)鍵數據信息，也為油庫生產(chǎn)信息化與網(wǎng)絡(luò )化未來(lái)業(yè)務(wù)優(yōu)化方向提供決策輔助。

(一)一體化網(wǎng)絡(luò )安全態(tài)勢感知體系

基于發(fā)油生產(chǎn)工控系統網(wǎng)絡(luò )可能發(fā)生的異常行為進(jìn)行安全監測研究，對使用的工控協(xié)議深度解析，并利用基于白名單的業(yè)務(wù)行為基線(xiàn)和基于黑名單的入侵檢測規則匹配，以信息資產(chǎn)管理、大數據收集與關(guān)聯(lián)分析、安全管理與運營(yíng)等三大核心技術(shù)，采用基于智能學(xué)習與業(yè)務(wù)感知的工控安全一體化的安全威脅監測體系。

(1)多要素采集融合：實(shí)時(shí)采集包括設備和端點(diǎn)的日志、流量數據、資產(chǎn)數據、漏洞和配置等脆弱性數據以及包括情報、身份、業(yè)務(wù)在內的各種情境數據等多源異構的安全要素信息，通過(guò)包括日志、流量、資產(chǎn)、漏洞、情報信息的各自融合在內的大數據技術(shù)進(jìn)行融合、交叉融合和數據治理、動(dòng)態(tài)建模，并對要素信息采集、傳輸、存儲、利用的全程質(zhì)量監控。

(2)縱深化智能安全分析：將基于規則匹配的關(guān)聯(lián)分析、基于機器學(xué)習的行為分析和可以自定義算子的專(zhuān)項分析三種分析引擎深度融合，并集成情報分析、攻擊鏈分析和用戶(hù)及實(shí)體行為分析（UEBA）功能，形成一個(gè)縱深化、立體式的分析網(wǎng)絡(luò )，綜合發(fā)揮各種分析能力的優(yōu)勢。

(3)多方位態(tài)勢感知：系統強調從資產(chǎn)、用戶(hù)、運行、弱點(diǎn)、攻防、威脅、風(fēng)險等多個(gè)角度進(jìn)行多方位的態(tài)勢評估、預測與呈現，實(shí)現全面地掌控發(fā)油生產(chǎn)網(wǎng)絡(luò )安全態(tài)勢。

(4)安全編排與自動(dòng)化：內置SOAR（安全編排自動(dòng)化與響應）功能，通過(guò)分診與智能關(guān)聯(lián)能力的告警管理、案件管理和安全編排自動(dòng)化模塊，實(shí)現快速核實(shí)告警、自動(dòng)響應處置、持續事件調查，實(shí)現積極安全響應。

(二)工控資產(chǎn)主動(dòng)發(fā)現與威脅深度無(wú)損掃描

基于工控系統已知的安全漏洞特征（如SCADA/HMI軟件漏洞，PLC、DCS控制器嵌入式軟件漏洞，Modbus、Profibus等主流現場(chǎng)總線(xiàn)漏洞、SCADA/HMI軟件漏洞等），對油庫的SCADA、PLC等工業(yè)控制系統中的控制設備、應用或系統進(jìn)行掃描、識別，為工業(yè)控制系統提供完善的全方位的漏洞分析檢測。

(1)采用漸進(jìn)式掃描模式：在掃描過(guò)程中先識別存活主機，然后識別存活主機的端口、服務(wù)、操作系統，同時(shí)融合最新的操作系統指紋識別、智能端口服務(wù)識別等技術(shù)，準確識別被掃描對象的各種信息，如操作系統、網(wǎng)絡(luò )名、用戶(hù)信息、非常規端口上開(kāi)放的服務(wù)等；在此基礎上根據探測結果選擇合適的掃描策略進(jìn)行針對性的掃描，從而高效、及時(shí)、準確地發(fā)現目標對象存在的安全漏洞，有效提升漏洞掃描的效率。

(2)基于漏洞上下文探測的無(wú)損掃描技術(shù)：漏掃作為軟件資產(chǎn)的安全掃描角色，最大的目標是能有效的檢測出軟件資產(chǎn)的安全問(wèn)題，通過(guò)對重點(diǎn)漏洞的深入研究，確定了漏洞的上下文的相關(guān)邏輯，從中找出有效確定相關(guān)漏洞的關(guān)鍵路徑，從而確保掃描的準確性以及無(wú)損性。

(三)隱形網(wǎng)絡(luò )攻擊行為感知

在油庫發(fā)油工控系統中的流量異常以及應用服務(wù)異常，常常潛伏著(zhù)一些攻擊行為或安全事件，系統通過(guò)對發(fā)油工業(yè)控制系統進(jìn)行全流量數據采集分析并智能調用安全規則庫，對異常行為進(jìn)行報警。通過(guò)對告警信息、異常流量以及異常服務(wù)的綜合分析，結合大數據挖掘和智能化分析技術(shù)將攻擊者的整個(gè)攻擊過(guò)程歸納為偵察掃描、定向攻擊、攻陷入侵、工具安裝、惡意行為五個(gè)階段。將告警事件映射到不同的階段，展示整個(gè)動(dòng)態(tài)攻擊過(guò)程和攻擊效果，實(shí)現基于全網(wǎng)絡(luò )的流量安全監測分析。另外，系統內置了漏洞庫，并且支持資產(chǎn)掃描探測功能，系統結合漏洞庫對掃描到的各類(lèi)資產(chǎn)進(jìn)行漏洞分析，對發(fā)現的資產(chǎn)漏洞進(jìn)行告警；利用高速率報文存儲檢索系統完成對歷史網(wǎng)絡(luò )流量的回放和追溯快速還原攻擊過(guò)程，回溯網(wǎng)絡(luò )行為，對攻擊關(guān)鍵會(huì )話(huà)進(jìn)行解碼還原，為網(wǎng)絡(luò )管理人員及時(shí)調整管理策略提供技術(shù)支撐。

(四)持續化安全威脅監測與大數據分析

持續智能化工控安全監測和基于安全大數據形成的安全分析能力，實(shí)現發(fā)油生產(chǎn)系統的基于A(yíng)I技術(shù)的工業(yè)安全態(tài)勢感知平臺，從而實(shí)現全方位的工業(yè)安全態(tài)勢感知能力，提供可管理、可控制的安全保障能力。油庫安全運營(yíng)中心通過(guò)與安全服務(wù)的結合，進(jìn)一步加強了安全中心對安全管理的支撐，構建了監控服務(wù)中心、自評估服務(wù)中心、西北銷(xiāo)售公司的安全服務(wù)體系以及知識管理系統等，能夠實(shí)現網(wǎng)絡(luò )安全風(fēng)險管理、事件管理、網(wǎng)絡(luò )管理、實(shí)時(shí)關(guān)聯(lián)分析、實(shí)時(shí)事件監測、安全預警管理、安全告警與響應、用戶(hù)管理、安全策略管理、知識庫管理、輔助決策管理等相關(guān)信息安全策略。

2019年，中國石油天然氣集團公司針對西北銷(xiāo)售公司管轄下的代表性油庫進(jìn)行實(shí)戰攻防，面向安全運營(yíng)的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統能夠實(shí)時(shí)感知威脅攻擊，并對某些隱蔽的、未知類(lèi)型的攻擊進(jìn)行實(shí)時(shí)跟蹤與取證，有效攔截，有力阻斷了針對實(shí)際生產(chǎn)環(huán)境的工業(yè)控制系統的定向攻擊，達到了智能安全運營(yíng)的目的。

在智慧油庫的信息化建設過(guò)程中，建立了一套面向安全運營(yíng)的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知系統，并創(chuàng )新使用了邊緣計算、AI大數據安全分析、多源異構等關(guān)鍵技術(shù)，實(shí)現了對工控安全風(fēng)險的實(shí)時(shí)感知和對威脅的精準研判，對行業(yè)工業(yè)信息安全防護具有參考價(jià)值。

來(lái)源：網(wǎng)絡(luò )整理