1背景與必要性
1.2背景
(1)建成海上智能油氣田示范區(qū)。為加快智能油氣
田試點提升與推廣應用,推進智能油田建設步伐,中國石化2020年明確提出,在勝利油田海上油田開展智能油氣田1.0版推廣實施,2021年智能油田建設開始啟動,預計2025年全面完成海上油田智能化升級轉(zhuǎn)型。由獨立單體向云端服務轉(zhuǎn)變,對工控網(wǎng)絡防護提出了更高的要求。
(2)提出網(wǎng)絡安全管理要求。勝利油田分公司信息安全管理辦法的發(fā)布,指導了工控安全建設如何落地,其中3.3主要是針對工控系統(tǒng)的安全管理,提到工控系統(tǒng)安全防護應從網(wǎng)絡配置、網(wǎng)絡設備、軟件補丁、病毒防護、訪問控制、身份認證、數(shù)據(jù)備份和時鐘同步等方面開展相關工作。
2.2必要性
(1)現(xiàn)有工控業(yè)務專網(wǎng)區(qū)域劃分存在問題?,F(xiàn)有網(wǎng)絡實現(xiàn)了工控網(wǎng)、辦公網(wǎng)的分離,但由于工控網(wǎng)絡內(nèi)部建設較早,現(xiàn)有工控網(wǎng)絡為二層網(wǎng)絡,沖突域較大,網(wǎng)絡區(qū)域邊界沒有較好的手段進行防護,難以適應未來智能油田工業(yè)互聯(lián)、云邊協(xié)同等需要。
(2)滿足等保2.0要求。2017年6月1日,《中華人民共和國網(wǎng)絡安全法》的正式實施進一步界定了關鍵信息基礎設施范圍,80%以上關鍵基礎設施屬于工業(yè)控制系統(tǒng)[1]。國務院、網(wǎng)信辦、工信部明確要求保障工業(yè)控制系統(tǒng)安全,石油石化作為工業(yè)控制系統(tǒng)的重要領域,是可能遭到攻擊的重點目標,這就要求企業(yè)認清風險、找出漏洞,并督促整改。
(3)由靜態(tài)防御向主動防御轉(zhuǎn)變。隨著5G、云計算、工業(yè)互聯(lián)網(wǎng)等新技術與工業(yè)系統(tǒng)的深入融合,與傳統(tǒng)工控系統(tǒng)安全相比,工業(yè)互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)更為艱巨,通過部署安全管控平臺廠級分析節(jié)點,利用大數(shù)據(jù)、AI等信息化手段,可以實現(xiàn)工控安全由靜態(tài)防御向主動防御轉(zhuǎn)變。
(4)中國石化總部對工控安全建設有明確規(guī)定。集團公司在《中國石化工業(yè)控制系統(tǒng)管理辦法(試行)》《中國石化工業(yè)儀表控制系統(tǒng)安全防護實施規(guī)定》等管理制度中對工控系統(tǒng)的安全防護建設有明確規(guī)定。
2現(xiàn)狀及需求分析
2.2工控網(wǎng)絡現(xiàn)狀
(1)信息化建設現(xiàn)狀。1)基礎保障:建立了海上網(wǎng)絡通信通道,完成了自動化初步建設,實現(xiàn)了自動化數(shù)據(jù)采集、監(jiān)控等功能。2)前端感知:開展了視頻、管線、船舶、溢油、人員動態(tài)等應用建設,豐富了前端現(xiàn)場的動態(tài)感知手段。3)應用集成:開展了油藏、VR、生產(chǎn)指揮等應用的集成建設,提升了油藏開發(fā)、生產(chǎn)運行的管理水平。
(2)工控網(wǎng)絡現(xiàn)狀。工控設備及終端體量基數(shù)大、覆蓋面積廣、更新迭代快,全廠工控網(wǎng)絡采用二層網(wǎng)絡規(guī)劃模式,缺少標準化、規(guī)范化、體系化的頂層設計。海上平臺和聯(lián)合站工控網(wǎng)絡就近接入辦公網(wǎng),通過單向光閘實現(xiàn)邊界隔離防護。
(3)視頻網(wǎng)絡現(xiàn)狀。流媒體平臺采用雙網(wǎng)卡跨辦公網(wǎng)、視頻網(wǎng)部署,存在較大安全隱患。
(4)工控系統(tǒng)等保對標現(xiàn)狀如表1所示。
(5)海上工控網(wǎng)絡日常運維現(xiàn)狀。海上采油平臺多、范圍廣,生產(chǎn)數(shù)據(jù)從產(chǎn)生、回傳直到相關應用要經(jīng)過10余個環(huán)節(jié),受限于氣象海況,故障排查不及時,傳統(tǒng)模式下被動應急、人工診斷分析、信息孤立分散的運維模式已不能適應新的故障診斷需求。
2.2需求分析
(1)滿足工控專網(wǎng)兩級貫通,支撐智能油田建設的需求。建設油田級敏捷、高效、安全的工控專網(wǎng),實現(xiàn)采油廠至管理區(qū)兩級工控網(wǎng)絡貫通,滿足智能油田相關應用部署條件,為未來打造工業(yè)互聯(lián)、云邊協(xié)同、云網(wǎng)融合的智能油田運行新形態(tài)創(chuàng)造良好的網(wǎng)絡基礎。
(2)滿足智能油田建設中工控業(yè)務專網(wǎng)分區(qū)分域的需要。依據(jù)"橫向分區(qū)、縱向分層、安全隔離、適度防護"的安全防護總體原則,通過工業(yè)防火墻的部署滿足工控業(yè)務分區(qū)分域的需要。
(3)滿足工控業(yè)務系統(tǒng)等保2.0要求,支撐智能油田業(yè)務上線的需要。滿足等保2.0二級系統(tǒng)建設安全需求,協(xié)助智能油田業(yè)務上線。
(4)建立安全管理中心,滿足油田統(tǒng)一納管需求,提升安全事件響應及應急處置能力。建設安全管控平臺廠級分析節(jié)點,建立標準接口,滿足工控設備信息采集及數(shù)據(jù)分析存儲的需求,提升海上油田安全事件應急響應能力,安全策略由靜態(tài)部署向安全設備聯(lián)動處置轉(zhuǎn)變。
(5)建立海上生產(chǎn)信息化智能運維體系。滿足海上工業(yè)互聯(lián)運維需求,協(xié)助運維人員定位故障點,掌握故障的影響范圍,提高故障處置效率,保障各信息系統(tǒng)穩(wěn)定可靠運行。
3總體防護策略
(1)按照局級建設思路,實現(xiàn)廠區(qū)至管區(qū)兩級貫通。建設海上油田物理隔離工控專網(wǎng),在"一張網(wǎng)"的控制下,使生產(chǎn)更加安全、高效,縮短關停后恢復生產(chǎn)的時間,為后續(xù)數(shù)字孿生等技術的應用提供有力的網(wǎng)絡基礎保障。
(2)優(yōu)化現(xiàn)有工控網(wǎng)絡架構(gòu),按照總部318號文要求進行分區(qū)分域。在不影響工控業(yè)務的前提下,優(yōu)化部分網(wǎng)絡結(jié)構(gòu),通過新增安全設備、安全策略劃分區(qū)域,縮小業(yè)務影響域范圍。
(3)提升計算環(huán)境安全性,打造安全可靠的工控業(yè)務系統(tǒng)網(wǎng)絡?;诤I嫌吞镉蜌馍a(chǎn)信息化業(yè)務流程自身特點,建立"可信、可控、可管"的安全防護體系,使得自動化系統(tǒng)能夠按照預期運行,免受信息安全攻擊和破壞,打造安全可靠的工控業(yè)務系統(tǒng)網(wǎng)絡。
(4)建立局級工控安全管控平臺廠級分析節(jié)點,實現(xiàn)工控安全設備集中管控。建設工控安全管控平臺廠級分析節(jié)點,管理平臺上移,避免重復投資,實現(xiàn)降本增效。
(5)建設工控網(wǎng)絡態(tài)勢感知,滿足海上生產(chǎn)信息化運維的安全運維體系需要。利用網(wǎng)絡自動感知、多維數(shù)據(jù)集成、故障智能診斷等技術建設工控網(wǎng)絡態(tài)勢感知,實現(xiàn)信息資產(chǎn)管理、拓撲關系可視、運行狀態(tài)監(jiān)測、故障精確定位等,協(xié)助運維人員定位故障點,掌握故障的影響范圍,提高故障處置效率,保障各信息系統(tǒng)穩(wěn)定可靠運行。
4技術路線和技術方案
4.l技術路線
"十四五"期間,面向油田數(shù)字化轉(zhuǎn)型和智能油田的深入推進,對標等保2.0中"一個中心、三重防護"的要求,完善油田工業(yè)互聯(lián)網(wǎng)安全防護體系建設,強化網(wǎng)絡邊界防護、增加防御縱深、提高架構(gòu)安全性、提升安全運營管理效率。安全保障體系設計框架如圖1所示。
按照"一個中心、三重防護"建設思想,加強通信防護、區(qū)域防護、邊端防護能力,部署工控安全管控中心平臺廠級分析節(jié)點,打造風險隱患管控體系。
(1)通過波分復用技術,建立聯(lián)合站、站庫工控專線,通過在廠級部署一臺工業(yè)防火墻實現(xiàn)聯(lián)合站、站庫、信息中心、管理區(qū)工控網(wǎng)絡橫向分離,分區(qū)分域。
(2)通過在平臺部署工業(yè)防火墻實現(xiàn)海上平臺工控業(yè)務分區(qū)分域。
(3)通過在陸地流媒體一級節(jié)點部署視頻網(wǎng)關,實現(xiàn)視頻業(yè)務防護。
(4)通過部署入侵檢測、堡壘機等滿足二級等保需求。
4.2技術方案
4.2.1通信防護
(1)工控專網(wǎng)改造:通過波分技術實現(xiàn)海二站、海三聯(lián)、海五聯(lián)、海四聯(lián)、海六站到采油廠核心工控專網(wǎng)建設,推動"智能油田"相關業(yè)務應用上線。
(2)視頻網(wǎng)絡改造:對原有視頻網(wǎng)絡添加安全視頻網(wǎng)關,通過對視頻流量進行協(xié)議級解析,結(jié)合多形態(tài)的探測方式對視頻資產(chǎn)實現(xiàn)有效檢測分析。
4.2.2區(qū)域防護
根據(jù)現(xiàn)場網(wǎng)絡系統(tǒng)的特點,將采油廠各海上平臺與陸地科技處、各管理區(qū)劃分為不同的邏輯區(qū)域,在各安全區(qū)域的邊界部署工業(yè)防火墻進行邏輯隔離及訪問控制。
4.2.3邊端防護
(1)計算環(huán)境安全。1)身份鑒別防護:部署運維堡壘機,實現(xiàn)登錄用戶鑒別、權限管理、雙因素認證:部署物聯(lián)網(wǎng)安全網(wǎng)關,實現(xiàn)在線資產(chǎn)識別和基線管控。2)主機安全加固:部署主機衛(wèi)士,實現(xiàn)主機系統(tǒng)加固、主客體訪問控制及安全標記設置。3)入侵檢測防護:部署入侵檢測系統(tǒng),實現(xiàn)計算環(huán)境入侵行為檢測與報警:部署視頻安全網(wǎng)關,實現(xiàn)視頻網(wǎng)入侵防御。4)安全準入防護:對設備安全準入、合規(guī)性、網(wǎng)絡訪問、安全規(guī)范實現(xiàn)控制、驗證、授權、落實4個方面的實際需求。5)安全審計管理:部署日志審計系統(tǒng)、入侵檢測系統(tǒng)、堡壘機,實現(xiàn)用戶行為安全審計。
(2)數(shù)據(jù)安全能力覆蓋。通過對數(shù)據(jù)交換、數(shù)據(jù)使用、數(shù)據(jù)維護、數(shù)據(jù)存儲等多個方面實現(xiàn)對數(shù)據(jù)安全的能力覆蓋,在工控環(huán)境中,由于業(yè)務的獨特性,數(shù)據(jù)安全能力著重體現(xiàn)在數(shù)據(jù)安全傳遞(既有單向光閘實現(xiàn))和工控關鍵系統(tǒng)參數(shù)備份(本次著重加強)兩個方面。
4.2.4管控中心
集中管控平臺廠級分析節(jié)點負責對工控防火墻、工控安全監(jiān)測審計、工控主機衛(wèi)士等工控安全產(chǎn)品及第三方設備進行運行監(jiān)控,主要包含安全設備管理、日志集中管理、安全實時告警、安全策略管理四大模塊,為工控網(wǎng)絡安全運營提供決策支持,加快安全事件響應速度,加強安全運維感知能力,提升整體工控網(wǎng)絡信息安全水平。
4.2.5智能化運維
(1)資產(chǎn)臺賬管理:基于IP掃描、臺賬導入、視頻、儀器儀表等感知設備,實現(xiàn)工控物聯(lián)感知資產(chǎn)的收集及管理,實現(xiàn)IP規(guī)劃管理、在線情況統(tǒng)計等功能。
(2)網(wǎng)絡拓撲關系:梳理海上工控網(wǎng)絡設備的對應關系,實現(xiàn)有線/無線數(shù)據(jù)鏈路、網(wǎng)絡設備、設備拓撲關系可視化。
(3)運行狀態(tài)監(jiān)測:采用sNMP、ICMP、webservice接口等協(xié)議開發(fā)網(wǎng)絡探測采集監(jiān)控程序,實現(xiàn)網(wǎng)絡節(jié)點設備運行狀態(tài)的實時監(jiān)控。
(4)智能診斷定位:建立報警預警診斷模型,基于鏈路、設備故障精準定位,確定故障影響范圍。
5預期效果
5.1安全防護
按照油田工業(yè)控制系統(tǒng)安全防護的總體要求,遵循油田工業(yè)網(wǎng)絡"橫向分區(qū)、縱向分層、安全隔離、適度防護"的安全防護總體原則,建成敏捷、高效、安全的工控專網(wǎng),實現(xiàn)從采油廠延伸至采油現(xiàn)場的工控專網(wǎng),打造廠級工控安全防護體系,達到提升安全監(jiān)管、提供安全預警、完善安全分析、實時動態(tài)防御、信息化智能運維、促進工控系統(tǒng)健康發(fā)展的目標。
5.2智能運維
應用能夠?qū)崿F(xiàn)設備故障快速定位,有效保障海上安全生產(chǎn),提升系統(tǒng)運維效率,減少運維成本,指導構(gòu)建全域感知信息化體系,為海上油田智能化建設培根筑基。預計故障診斷時間可由原來的4h縮短為5min,在快速定位故障、保障生產(chǎn)的同時,提高了運維效率,減少了運維成本。該技術可廣泛應用于海上及陸地油田,具有良好的適用性及推廣前景。
5.3效益分析
(1)經(jīng)濟效益:本項目可提升油田工控安全防護能力,避免因網(wǎng)絡安全事件導致生產(chǎn)事故發(fā)生,有效降低因工業(yè)控制系統(tǒng)受到破壞所帶來的經(jīng)濟損失。
(2)管理效益:掌握關鍵信息基礎設施的安全狀態(tài),通過安全數(shù)據(jù)采集、安全數(shù)據(jù)整理、威脅和事件匯聚處理分析,實現(xiàn)數(shù)據(jù)可視化展現(xiàn)、工控網(wǎng)絡風險整體呈現(xiàn),提升勝利油田工控網(wǎng)絡安全風險感知能力和評估能力、行業(yè)網(wǎng)絡安全風險預警和應急處置能力,建立基本關鍵信息基礎設施監(jiān)測預警體系。
(3)社會效益:有助于預防和減少各類因工控安全事件引發(fā)的系統(tǒng)故障和由此造成的油氣生產(chǎn)事故與經(jīng)濟損失,從另外一方面說,也是保障油田企業(yè)平穩(wěn)運行、維護國家安全的重要手段。
6結(jié)語
本文針對海上油田工控安全背景及必要性進行描述,在此基礎上對標等保2.0的要求對海上工控網(wǎng)絡現(xiàn)狀及安全隱患進行分析,從實際存在的安全隱患中考慮總體的海上工控安全防護管理策略及相應的技術管理手段。本項目按照油田工業(yè)控制系統(tǒng)安全防護的總體要求,遵循油田工業(yè)網(wǎng)絡"橫向分區(qū)、縱向分層、安全隔離、適度防護"的安全防護總體原則,建成敏捷、高效、安全的工控專網(wǎng),實現(xiàn)從采油廠延伸至采油現(xiàn)場的工控專網(wǎng),打造廠級工控安全防護體系,達到提升安全監(jiān)管、提供安全預警、完善安全分析、實時動態(tài)防御、信息化智能運維、促進工控系統(tǒng)健康發(fā)展的目標。