GJsec-LAS综合日志审计平台在石油管道工控系统应用方案

2021-01-28


1.    日志审计平台应用背景

随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高,信息系统安全防护的重要性也随之增高。对各类日志进行安全审计是信息系统安全维护的重点工作之一。目前,由于日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等因素,人为开展日志审计工作已逐渐变为一项不可能完成的任务。

北京国基华电科技有限公司自主研发GJSEC-LAS/V3.0日志审计平台,全面具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计、集中分析的能力。通过日志审计平台可以监控异常访问、记录分析各种网络可疑行为、违规操作、敏感信息,协助定位安全事件源头和调查取证、防范和发现网络攻击活动,为信息系统安全策略制定、风险内控提供有力的数据支撑。

2.日志审计法规政策要求

日志审计不仅是信息系统运行的客观要求,也是国家相关安全法规的强制性要求。

201761日施行的《中华人民共和国网络安全法》第二十一条第三款明确规定“采取监测、记录网络运行状态、网络安全审计的技术措施,并按照规定留存相关的网络日志不少于六个月”。

2019121日正式生效的GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》(等保2.0)也对日志审计明确提出了要求,其中二级防护通用要求中对审计明确规定“应在网络边界、重要网络节点进行安全审计”,“审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计”,“审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息”;三级防护要求中明确规定“应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等”,“应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求”。

《关键信息基础设施保护条例(征求意见稿)》(预计2021年会正式实施)在最新修改稿中规定“采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于十二个月”(网上意见稿中仍为六个月,最新意见稿已修改为十二个月)。

3.国基华电的综合日志审计平台

凭着在安全领域长期的经验积累,结合网络安全政策法规要求,北京国基华电自主研发的日志审计系统,满足了客户的安全审计需求, 专门为能源电力、石化、煤炭、政府、公安、金融、教育、军工、医疗、大中小型企业等用户提供符合国家等保、关保以及各种行业的法律法规要求的合规性日志审计产品。

国基华电综合日志审计平台能够实时采集企业和组织中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息,再将通过多种技术手段采集的日志信息汇聚到管理后台。

clip_image002.gif

平台将采集后的数据进行归一化处理、过滤及解析后再进行进一步数据挖掘、绘制网络及业务拓扑、交互分析等处理,对事件数据进行控制及告警,通过Web形式为管理员提供数据与分析结果的可视化展示及业务与系统的管理功能。

clip_image004.jpg

日志审计平台通过这些流程措施,可在整个事件周期中发挥作用,最大程度满足管理及安全的要求。

clip_image006.jpg

4.石油管道工控系统应用示例

石油管道是重要战略资源石油的主要运输方式,在国民经济建设和国防建设中发挥着不可替代作用。数据采集与监视控制系统(Supervisory Control And Data Acquisition,简称 SCADA)目前已被广泛应用在石油管道系统中。SCADA系统是以计算机为基础的生产过程控制与调度自动化系统。它可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。根据等保2.0要求,无论系统定级是二级或三级,都应部署日志审计平台。

SCADA系统包括数据监控(上位机)、数据传输网络和数据采集(下位机)。上位机部署在石油管道的调度控制中心,是整个SCADA 系统的中枢及核心部分,管理和协调系统中各种装置和设备的操作和运行。上位机主要包括 SCADA 服务器、操作员工作站、工程师工作站、应用软件仿真 PC 机以及相关的网络和通信辅助设施。下位机主要部署在石油管道远端站场,站场包括输油站、计量站、油库、清管站、分输站、分输泵站、输入泵站等多种类型站点。下位站作为 SCADA 系统的基础,包括站控计算机、远程操测控终端RTU或可编程逻辑控制器PLC、通信设施以及其他必需的外部单元。

针对石油管道SCADA系统特点,日志管理平台需要分布式部署,如图所示。分布在多个远端站场的日志采集器将采集到的站场SCADA下位机以及其他网络设备、安全设备、主机等设备的日志汇总到调控中心综合日志审计平台进行统一展示、分析,也可在本地分析展示本地日志。而控制中心的日志审计平台负载将汇总的各远端站场日志以及中心的SCADA上位机以及控制中心本身网络设备、安全设备、主机、其他信息系统等的日志进行统一的集中化存储、备份、查询、审计、告警、响应,以及出具报表报告。日志采集器和审计平台部署都采用旁路方式,不会对网络造成安全风险。

除了日志审计平台,国基华电工业入侵检测系统、工业防火墙、工业网络审计系统、工业主机加固等全系列产品满足石油管道、炼化网络安全等保要求。国基华电提供优质产品和服务的同时,依据石油石化行业不同场景提供满足用户需求的解决方案,为石油石化行业的网络安全护航。

clip_image020.gif











阅读490
分享