工控系统信息设备数据采集建设
随着信息化与工业化的深度融合以及物联网的快速发展,越来越多的工业控制系统产品采用通信协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接。与此同时,病毒、木马等产生的威胁也向工业控制系统扩散,工业控制系统信息安全问题日益突出。
工业控制系统广泛应用于国计民生的各个领域,其信息安全直接关系到和社会稳定。本文聚焦于企业侧安全监测能力不足等问题,对工控系统信息设备数据采集建设进行研究。工控系统信息设备数据采集建设主要包括对工业主机、控制设备、工业软件、工业通信设备、网络安全设备等工业软硬件的状态、告警等信息的采集,以及对工业网络流量信息收集与统计。在研究的基础上,将研究结果应用于具体案例,通过对案例的应用结果分析,评判研究的经济效益与社会效益。
1 工控系统信息设备数据采集建设研究概述
2010 年的“震网”事件、2021 年的 Strust2 远程代码执行漏洞、WannaCry 恶意勒索
软件等一系列工业控制系统信息安全事件的发生,对部分行业工业生产相关系统造成严重影响,暴露了工控安全面临的日益严峻的形势。
由于制造业在国民经济中的关键地位,工业控制系统信息安全事件对制造业生产的巨大影响,工业控制系统安全已然成为竞争的重要方面。尤其在以工业互联为发展趋势的当下,工控系统网络安全边界的不断扩大,降低了黑客对工控系统的攻击难度,工业控制系统信息安全更值得重视,提高工业控制系统信息安全保障能力刻不容缓。
在众多的行业中,本文聚焦于石油石化、有色冶金等行业,针对其发生的工业信息安全事件进行研究。石油石化、有色冶金等行业的工业信息安全事件,暴露出当前工业企业对于工业主机、控制设备、SCADA、工业通信设备、网络安全设备等缺乏统一的数据监控手段,即缺乏对于多厂商、多型号、专业化的工业主机、控制设备、SCADA、工业通信设备、网络安全设备等工业企业内设备的安全数据的采集技术,由此导致工业企业侧安全监测能力不足,对工业生产稳定运行产生威胁。因此,为了推动工业信息安全与建设同步发展,针对工控系统信息设备数据采集技术、采集系统的研发与推广使用任务迫在眉睫。
本文对工控系统信息设备数据采集建设的研究,采用的是理论与实践相结合的思路:首先,从理论上构建工控系统信息设备数据采集建设研究原则;然后,以工控系统信息设备数据采集建设研究原则为依据从总体和技术两个层面进行方案设计;最后,将设计的方案应用于工控系统信息设备数据采集建设研究案例,分析其结果,并进行深度的经济效益和社会效益分析。
2 工控系统信息设备数据采集建设研究原则
与其他行业相比,石油石化、有色冶金行业工业信息安全建设较快,用户端对于工业信息安全的防护理念认同度较高、安全防护意识提升较快。
目前中石油、中石化、中海油等集团及其各地下属企业对于工业信息安全的关注度逐年提升,行业内针对信息安全的投入逐年增大,部分单位已经针对工业信息安全设立专项资金。行业内对工业信息安全的重视,会促进示范性项目的建设,从而带来工业信息安全经验的增加,推动石油石化、有色冶金行业信息安全的稳定发展。石油石化、有色冶金行业是工业信息安全普及度较高的行业之一,同时也是对工业控制系统的稳定性和控制策略复杂性要求很高的行业。石油石化、有色冶金的工业控制系统一旦出现故障,不仅造成巨大的经济损失和能源安全冲击,还会造身安全的影响。因此,石油石化、有色冶金行业对控制层的信息安全重视程度最高。为了满足石油石化项目实施落地的安全防护需求,以及保障生产的工业控制系统稳定性和控制策略复杂性需求,提出工控系统信息设备数据采集建设原则:
第一,自动发现 OT 网内资产数据,并实现对多种工业主机、控制设备、工业软件(SCADA软件)、工业通信设备、网络安全设备等工业软硬件的状态、操作行为、告警等信息的采集,及对工业网络流量信息的收集与统计。
第二,完成工业协议的深度分析,实现对各类已收集信息的互联关系分析、攻击行为分析、非法指令分析,并结合所采集的工业软硬件状态、告警等信息,通过关联分析等技术,对工业企业安全状态进行度整体感知,发现可能存在的安全威胁。
第三,实现工控系统信息设备数据采集建设量产,并在石油石化、有色冶金等行业进行大范围推广应用,形成行业示范效应,以及对其他行业形成良好辐射作用。
第四,为工业、能源、交通、水利以及市政等国家关键基础设施领域企业提供先进的工业信息安全数据采集技术,带动各领域工业企业工业信息安全项目建设,从而推动整个工业信息安全产业的繁荣发展。
3 工控系统信息设备数据采集建设研究方案设计
3.1 总体设计
本文中将工控系统信息设备数据采集建设研究的方案总体设计为工控系统信息设备数据采集系统研发、工控系统信息设备数据采集系统量产以及工控系统信息设备数据采集系统推广应用三个阶段,如图 1 所示。
图 1 方案总体设计
工控系统信息设备数据采集系统研发阶段:研发针对工控系统信息设备的数据采集系统,以自动发现 OT 网内资产数据,并实现对工业主机、控制设备、工业软件、工业通信设备、网络安全设备等工业软硬件的状态、告警等信息采集,及对工业网络流量信息收集与统计。研发的实现要以现有技术为基础,搭建工控系统信息设备数据采集技术研究环境,进行工业主机信息采集技术研究、控制设备信息采集技术研究、网络设备信息采集技术研究、工业应用软件信息采集技术研究、安全设备信息采集技术研究、工业协议解析技术研究等各类采集技术研究,协同完成工控系统信息设备数据采集建设研发。
工控系统信息设备数据采集系统量产阶段:要根据推广行业企业当前信息化、工控系统现状进行推广行业测试场景搭建,实现多行业场景测试环境快速复现,在测试环境中对工控系统信息设备数据采集系统进行软件、硬件测试,完成设备的试产,最终实现量产工控系统信息设备数据采集系统。
工控系统信息设备数据采集系统推广应用阶段:要在石油石化、有色冶金等重点行业近百家工业企业中进行推广应用,推广应用企业覆盖石油石化行业从开采、输运到存储全工艺流程,以及有色冶金行业中矿山充填和提升流程、选矿流程、火法冶炼流程、湿法精炼流程、化工生产系统、新产品生产等关键工艺流程。
3.2 技术设计
工控系统信息设备数据采集建设研究以各类软、硬件设备的研究为基础,针对工业主机、控制设备、SCADA 软件、工业通信设备、网络安全设备安全信息采集技术等开展。综合考虑易用性、成本等因素,搭建虚实结合的安全数据仿真实验平台。总体技术框架如图 2 所示,主要由物理资源(计算、网络和存储)、IaaS 软件层 ( 云资源池基础架构 )、SDN 组件、数据存储与分析系统、可视化组网引擎、应用服务及运行引擎等模块组成。其中可视化组网引擎、云平台 (IaaS 平台和 SDN ) 以及数据存储与分析平台构成了本安全数据仿真实验平台框架的三大核心基础设施。
3.2.1 数据存储与分析系统
数据存储与分析系统主要侧重于提供数据存储和数据分析展示功能,是整个数据监控过程中不可缺少的一个环节,其结果质量直接关系到可视化模型效果和最终结论。
3.2.2 可视化拓扑组网引擎
本研究将利用可视化组网引擎,对上层提供数据接口,接收和传送上层应用服务以及引擎所需的数据和指令信息。对下层通过调用IaaS 平台以及 SDN 的 API,完成对安全数据仿真实验平台所需计算资源、存储资源以及网络资源的自动化创建和配置工作。可视化拓扑组网引擎独立于 IaaS 平台以及 SDN 之上,是安全数据仿真实验平台的核心调度平台。
IaaS 层将所需的物理资源云化并按需切分,再利用 SDN 的能力进行网络的组网、隔离、路由、网络复现及网络安全策略统一管理,完成支撑安全数据仿真实验平台、基础资源平台的搭建和部署。可视化拓扑组网引擎按照自身需要将这些资源进行逻辑的标识和分组、归类,并按需调用这些资源。其后,再利用 IaaS 层自身对虚拟资源的监控数据、日志及事件,虚拟机Agent 抓取的数据,联同 SDN 将全网数据流量全部抓取转存到数据系统,由数据分析系统对全网数据进行存储,数据清洗后用作可视化显示工作。
图 2 技术设计
3.2.3 应用服务及运行引擎
应用服务及运行引擎层指服务构建与设计的逻辑组件,它负责定义服务的结构、流程等信息,组装原子服务,生成业务服务,发布到服务目录,监控服务运行状况等,形成完整的服务生命周期管理。业务用户可以通过应用服务及运行引擎层获取云计算服务;管理员可以通过应用服务及运行引擎层监控所有服务实例的整体状况;服务开发人员可以通过应用服务及运行引擎层定义和发布服务。应用服务及运行引擎层将通过下层的大规模网络环境拓扑可视化,来自动创建对外发布的所有的服务操作接口,从而展开服务目录的定义工作。
3.2.4 子系统组成
(1) 工业主机信息采集子系统
工业主机信息采集子系统将支持对多种现场常用主机操作系统的信息采集,可采集 20 多类信息,包括运行状态、用户操作行为、漏洞及补丁、外设使用状态、安全防护状态等。
(2) 控制设备信息采集子系统
控制设备信息采集子系统将支持多种工业控制设备或系统的信息采集,可采集 18 类信息,包括系统时间、运行模式与状态、系统运行日志、系统故障日志等;
(3) 工业通信设备信息采集子系统
工业通信设备信息采集子系统将支多种工业通信设备的信息采集,可采集 15 类信息,包括设备状态、物理端口状态、CPU 利用率、内存利用率等。
(4) 工业应用软件信息采集子系统
工业应用软件信息采集子系统将支持采集多种工业软件信息,可采集不少于 10 类信息,其中包括进程状态、网络连接状态、服务状态及软件日志信息等;
(5) 安全设备信息采集子系统
安全设备信息采集子将支持对不少于 10种工业网络安全设备的信息采集,可采集 31 类信息,包括告警日志、设备运行状态、CPU 利用率、内存利用率、主板温度、CPU 温度、设备故障日志等信息采集。
(6)工业协议采集分析子系统
工业协议采集子系统支持对超过 100 种工业通讯使用协议进行识别分析。
4 工控系统信息设备数据采集建设研究案例应用分析
4.1 应用结果
4.1.1 建立工业信息安全运营中心
工控系统信息设备数据采集研究应用实现了对石油化工、有色冶金行业的安全数据采集,涉及多种工控 IT 资产的无缝接入、多种安全基础监测功能对网络威胁数据的采集、多种工业类协议的深度解析,以及多种日志类型的分析等内容。
立足石油石化、有色冶金行业的具体情况,围绕工业控制系统安全、工业相关信息化系统安全、工业数据安全、安全管理和安全人员能力提升等重点工作,深度融合业务与信息安全,建设由安全运营人员、运营管理制度、运营基础设施共同组成的工业信息安全运营中心,如图 3所示。
图 3 工业信息安全运营中心结构
工业信息安全运营中心能够提供对工业企业内部工控系统安全事件的监测、通报、验证、防御、取证、处置以及应急等服务,并作为工业企业的信息融合处置中心、安全监测中心、方案验证中心、产品测试中心、应急演练中心、人才培养中心,全天候全方位监控关键生产设备及重要业务系统安全状况,及时发现、处置、阻断各类工业信息安全隐患风险,助力企业安全人员完善安全管理能力,整体提升企业工业信息安全合规水平及综合保障水平,为企业安全生产保驾护航。
工业信息安全运营中心结构包括运营人员层、运营制度层、运营基础设施层和运营应用层。运营人员是企业开展安全运营工作的根本,所有安全技术、安全管理相关工作的开展、实施都需要由对应人员执行。工业信息安全涉及计算机、自动化、信息安全等多领域知识,是一门多领域交叉学科,对企业工业信息安全的管理、规划、运维、应急等从业人员的要求较高。安全运营中心建设可针对石油石化、化工企业工业信息安全建设的要求,对相关参与者的人员结构、人员数量、人员能力进行完善、补充、提升。
运营制度是企业开展安全运营工作的基础,安全运营工作需要企业配套对应的安全管理策略、制度、流程、机制等,配合管理手段保证所有安全技术在日常运营工作中得到有效使用。安全运营中心建设可有针对性地建立石油石化、冶金行业的工业信息安全管理制度。
运营基础设施是企业开展安全运营工作的支撑,无论是从安全合规性角度还是从风险管控角度,安全运营工作都需要专用的技术措施作为支撑。安全运营中心建设可构建包括安全监测、防护、仿真验证的安全基础设施,实现对安全事件的发现、通报、验证、处置、恢复。运营应用是结合石化、有色冶金行业自身情况,逐渐形成围绕石油石化、有色冶金行业安全发展需要的典型应用,包括工业信息安全人才培养中心、应急演练中心、产品测试中心、方案验证中心等方面。
4.1.2 建立安全运营制度
根据企业安全运营人员组织结构、安全运营规模等内容配套相应运行管理制度体系,管理制度体系应由安全策略、管理制度、操作规程、记录表单等构成,范围涉及安全管理制度、安全管理机构、安全建设管理、安全运维管理、应急响应管理等。安全运营制度结构如图 4 所示。
图 4 安全运营制度结构
安全运营中心建设综合考虑了石油石化、有色冶金行业的主要工艺、子工艺控制系统的系统特点、重要程度、与其他工艺关联程度等因素,融合企业业务逐步落地各类措施,最终依托安全运营中心建成包含管理、技术、人员能力提升的综合性工业信息安全综合保障体系。
通过工控系统信息设备数据采集研究的设备部署及本地化的安全运营中心建设,能够提高石油石化、有色冶金行业安全技术、管理、人员多个维度建设水平,实现长期可持续的综合安全保障能力,提供工业控制系统安全、工业相关信息化系统安全、工业数据安全的技术支撑与保障。
4.2 经济效益分析
该研究的应用能够实现提高石油石化、有色冶金行业的经济效益,优化安全可持续发展的目标,增强石油石化、有色冶金行业在工业控制网络的环境中的实时化的安全防护、监测和验证能力,解决目前石化、有色冶金行业面对信息安全事件数据获取能力不足、安全事件分析能力不足、协同应变能力不足等问题。工控系统信息设备数据采集设备可对企业内主机、设备、网络以及数据的安全状况进行全流程的风险监控。通过平台实现对设备数据采集与分析,实现对安全事件的预警预告和迅速的安全排查,将在有效减少生产单位重点防范和处置的各级各类突发事件所造成的经济损失和人员伤亡等方面发挥重要作用,为应用单位的蓬勃发展提供保障,确保应用技术朝着更全面、健康、有序、稳定、可持续的方向发展。
4.3 社会效益分析
工控系统信息设备数据采集研究能为石油石化、有色冶金行业安全建设提供示范,推动目前行业的安全能力从少量的“样本规范”转为可推广可复用的“解决方案”。通过工控系统信息设备数据采集设备建设,提升企业安全采集及防护能力,保障工控系统持续可靠运行,并有效降低内部网络系统受到的损害程度,缩小影响范围。工控系统信息设备数据采集建设这一成功实践,实现对工控安全事件进行预防预警、全方面监测监控、威胁验证,快速预警和高效处置的运行机制和能力的提高。对于帮助工业企业全面履行社会责任,切实提高保障企业安全的能力,可以起到良好的行业示范作用;从国家层面看,工控安全是保障国家经济平稳且快速发展的基本要求,同时也是十分重要的前提,没有安全的工业化进程,一切发展都将功亏一篑。国家的战略部署、外交策略和国防安全方面也需要工业化的稳定发展作保障,发展工业互联网已经成为各国抢占全球产业竞争新制点、重塑工业体系的共同选择。因此,工控系统信息设备数据采集系统的建设对于提高宏观调控的科学性、预见性和有效性意义重大,可为国家工控安全战略保驾护航。
5 总结
我国制造业拥有门类齐全、独立完整的产业体系,能够有力推动工业化和现代化进程,显著增强综合国力,支撑世界大国地位,但是,在自主创新能力、资源利用效率、产业结构水平、信息化程度、质量效益等方面与世界先进水平差距甚远,转型升级和跨越发展的任务紧迫而艰巨。为了提升信息化程度,进而实现利用信息化技术促进产业变革的目的,越来越多的工业控制系统产品采用通信协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业控制行业逐步进入互联网化的时代。
我国基础工业技术与应用不断演进,联网工控设备数量有望呈现爆发式的增长,工控安全漏洞问题也变得尤为突出。与此同时,行业标准逐步完善,产业联盟进一步促进信息安全资源整合。2015 年至今,国内对于工控安全的政策逐步加码,标准落地加快。目前已形成包括“安全等级、安全要求、安全实施、安全测评”等标准体系。行业标准的清晰与完善将促进工控安全行业进一步健康发展。然而,工业控制涉及的细分领域众多,近年来发生的工控安全事件涉及行业超过 15 个,其中不乏关键制造、能源、通信等关乎国家命脉的重要行业,但目前针对工控安全的市场只覆盖了其中一部分行业。工业控制系统信息安全防护产品市场将迎来巨大发展,石油石化、有色冶金、电力、烟草、轨道交通、燃气等行业用户对于工控安全监测、防护设备的需求将大量增加,而安全数据采集设备是各类安全监测、分析的基础。
本文立足于我国工控安全市场的现状,以石油石化、有色冶金行业为切入点,通过理论分析与案例应用,得出有关工控系统信息设备数据采集建设的研究结论,其中的研究原则以及方案设计能够为今后的研究提供理论支撑,案例的应用分析能够为今后的应用提供参考,充分彰显了该研究具备的现实意义。
原文刊载于《工业信息安全》2022年第2期 作者:訾立强 王庆伟 王锐