綠盟智慧油庫安全解決方案,護航油庫企業數字化轉型升級

綠盟科技發表於2022-11-15

一、背景

油庫作為能源關鍵基礎設施,是協調石油生產、加工、供應及運輸的紐帶,其智慧化水平對調節產、煉、供、銷環節具有重要意義。為此,國家積極推進智慧油庫建設,以不斷提升調控中心、庫區的綜合感知和決策能力,來實現油庫智慧化運營。但是,隨著新一代資訊科技與工業生產深入融合發展,智慧油庫建設面臨的勒索軟體、挖礦病毒、APT攻擊團伙等網路安全威脅日益增多,嚴重影響著國家安全和國民經濟穩定執行。


二、智慧油庫

截止2020年12月,全國已建、在建和規劃中的原油和成品油油庫超過3000座,庫容總計約8000萬立方米,戰略儲備油庫庫容達3230萬立方米,以及三桶油運營近1000座油庫和5.53萬座加油站,對調節油品供求平衡具有重要意義。


油庫工藝流程在物理上劃分有卸油區、儲存區、髮油區以及控制室四個區,分別承載油料接受、油料儲存、油料發運以及集中調控功能,主要透過三大類業務系統支撐其智慧化運營。

圖片

圖片

油庫控制系統:透過對罐區監控、計量、油品收發控制系統等子系統,實現油庫生產作業的自動化監控。


安防監測系統:透過整合影片監控、門禁監控、巡更管理、油氣洩漏及消防警報監控等子系統,實現對庫區的安全監測。


綜合資訊管理系統:包含油料作業管理、油料質量監督管理、油庫資訊管理等子系統,實現對油庫各項業務的工作計劃、業務流程的資訊化管理,以及對油庫生產過程中進、銷、存三個業務環節的生產資料進行儲存、整合、利用。


三、安全現狀

2021年5月,美國成品油管道運營商科洛尼爾管道運輸公司遭受勒索軟體,導致其8000多公里管線被迫關停,極大影響了美國東海岸燃油供應,該事件為我國油氣儲運敲響了警鐘。油庫業務系統作為關鍵資訊基礎設施,一旦遭受到網路攻擊,產生的破壞力更大、損失更多、影響更廣。

油庫業務系統主要存在如下網路安全問題

1)系統安全“先天不足”。油庫使用的工控系統在設計階段沒有充分考慮安全問題,普遍存在授權、認證、加密等問題。


2)三網混合網路邊界模糊。油庫工控網、影片網、資訊網,三網混合,網路邊界模糊,與第三方網路邊界無隔離,安全措施難以落實。


3)生產執行安全無感知。油庫工控網無監測手段,面對威脅入侵、漏洞利用、惡意行為、異常指令、非常操作等異常無感知。


4)油庫主機帶病裸奔執行。髮油、罐區、計量等工業主機,無惡意程式碼防範機制,安全配置基線低、儲存介質管控弱。


5)安全運維過程無管控。控制系統第三方維修時,移動裝置存在隨意接入情況,無管控措施。


6)網路安全意識薄弱。油庫生產安全常常放在運營第一位,但是網路安全意識薄弱,無相關崗位、人員、職責分工;無完善體系化管理制度,供應鏈管理不到位等問題。


四、綠盟智慧油庫安全解決方案

在國家法律法規、政策、標準的框架體系下,綠盟智慧油庫安全解決方案依據《工業控制系統資訊保安防護指南》《資訊保安技術 網路安全等級保護基本要求》(GB/T 22239-2019)以及《資訊保安技術 關鍵資訊基礎設施安全保護要求》(GB/T39204-2022)的要求,從安全技術和安全管理構建縱深防禦體系,達到有效防護、監測預警、及時響應的效果。


整體安全技術架構設計如下:

圖片

1)油庫

在油庫生產網(工控網+影片網)與辦公網之間部署工業網閘(雙機熱備),對生產資料採集、轉發、安全傳輸、防護,確保油庫工控網與辦公網以及第三方網路的大邊界安全隔離。


油庫工控網和影片網之間部署工業防火牆(雙機熱備),基於自學習白名單模型以及工業協議深度解析,落實細粒度的訪問控制措施。


在油庫工控網內部關鍵網路節點部署工控安全審計系統,對異常指令、異常行為、誤操作、違規操作、關鍵操作(程式下載上傳、CPU啟停、組態變更等)以及漏洞利用、入侵行為實時監測。


在油庫工控網中全線的工業主機(操作員站、工程師站以及SCADA伺服器等工業主機)部署主機衛士系統客戶端,在省公司排程指揮中心部署主機衛士系統服務端,實現工業主機計算環境的防護,抵禦勒索病毒、挖礦病毒等未知威脅。


2)省公司

在省公司排程指揮中心部署主機衛士系統伺服器,對省公司下屬油庫全線的主機衛士客戶端進行管控,策略下發,統計分析等。


在公司排程指揮中心部署堡壘機,對下屬油庫運維過程進行錄屏、鍵盤記錄,並審計,保障遠端運維安全。


在公司排程指揮中心部署工控漏掃裝置,定期進行健康檢查,包括漏洞、安全配置等,及時掌握智慧油庫的薄弱環節,並進行針對性預防與加固。


在公司排程指揮中心部署工業網路安全監測預警平臺,對安全裝置進行管控、策略下發,並對告警資訊集中採集、泛化、關聯分析。從整體視角對下屬油庫進行實時感知、事件分析、攻擊研判等,提升智慧油庫整體安全預警水平。


在安全管理建設上,首先,進行組織治理。明確油庫網路安全負責人和管理組織,企業主要負責人是網路安全第一責任人,明確關鍵崗位和職責,關鍵崗位人員簽署網路安全責任書等。其次,進行管理制度建設。主要從四個層面進行建設,包括一級檔案的網路安全方針、戰略;二級檔案的管理規定、辦法;三級檔案的操作流程、規範、作業指導書、模板等;四級檔案的各類表單、記錄日誌、報告等。最後,將制度檔案進行評審、修訂、釋出、執行等管理。


五、方案價值

1)全面提升智慧油庫網路安全合規性,滿足國家主管部門、行業監管部門以及上級單位的安全防護要求。


2)全面提升智慧油庫安全防護與監測預警能力,推動油庫數字化轉型升級,確保油品產、煉、供、銷環節的動態平衡。


3)全面提升智慧油庫相關業務人員的安全意識、安全技術水平和安全管理水平。


相關文章