海洋石油開采平臺工業(yè)控制系統(tǒng)安全解決方案

海上石油氣開采相對于陸地開采其技術(shù)難度相對較大，由于環(huán)境的限制，不同于陸地的單井、計量間、聯(lián)合站、處理廠等，其主要通過海上石油平臺進行開采作業(yè)，這些平臺往往兼具了鉆井、采油、處理、存儲、輸送、辦公、生活等功能，因此也被稱為移動城堡。其主要包括井口平臺、中心平臺、FPSO等，通過海底管道、光纜與陸地生產(chǎn)中心相連，網(wǎng)絡(luò)通訊主要以光纖、微波為主。

1 海上平臺系統(tǒng)組成

海上石油平臺主要由工藝控制系統(tǒng)（PROCESS CONTROL SYSTEM，簡稱PCS）、緊急關(guān)斷系統(tǒng)（EMERGENCY SHUTDOWN SYSTEM，簡稱ESD）和火氣探測及消防系統(tǒng)（FIRE&GAS SYSTEM，簡稱F&G）組成。工藝控制系統(tǒng)一般設(shè)有多個遠程I/O柜， ESD和F&G為兩套相對獨立的系統(tǒng)，可達到SIL3的級別。

PCS及ESD和F&G通過各自網(wǎng)絡(luò)獨立的光電轉(zhuǎn)換器和海底光纖芯線傳輸至CEP中控系統(tǒng)相應(yīng)的PCS及ESD和F&G系統(tǒng)。陸上終端中控室內(nèi)設(shè)有一套獨立于陸地終端控制系統(tǒng)的海上生產(chǎn)監(jiān)控系統(tǒng)PCS，用于臺風(fēng)狀態(tài)、海上操作人員撤離平臺的情況下、對平臺實施監(jiān)測和遙控關(guān)斷。設(shè)有冗余的I/O卡件，通過衛(wèi)星與海上通訊，通過陸上光纖與地區(qū)中心控制站通訊。

工藝控制系統(tǒng)多采用EMERSON公司的Delta V系統(tǒng)，霍尼韋爾系統(tǒng)，ABB系統(tǒng)、西門子系統(tǒng)等。ESD系統(tǒng)以康吉森、ABB、HIMA等為主。

2 關(guān)鍵業(yè)務(wù)挑戰(zhàn)

隨著信息化與工業(yè)化深度融合，數(shù)字海油、互聯(lián)海油、智慧海油的不斷建設(shè)，海上油田工控系統(tǒng)引入了信息、網(wǎng)絡(luò)、物聯(lián)網(wǎng)等技術(shù)，打破了孤立的狀態(tài)，和工控網(wǎng)絡(luò)內(nèi)外的系統(tǒng)進行信息交互日益頻繁，而工控系統(tǒng)由于防護手段的缺失，必然面臨極大的風(fēng)險。

3 網(wǎng)絡(luò)安全防護建議

1) 基本原則：

工業(yè)控制系統(tǒng)安全建設(shè)要以事實為依據(jù)，依據(jù)實地評估結(jié)果開展針對性建設(shè)。

2) 技術(shù)策略：

以 “安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的原則進行建設(shè)。

“安全分區(qū)”：根據(jù)生產(chǎn)過程，將生產(chǎn)相關(guān)配套工業(yè)控制系統(tǒng)進行縱向分區(qū)、橫向分域，規(guī)范網(wǎng)絡(luò)架構(gòu)，杜絕私搭亂建行為。

“縱深防護”：結(jié)合安全區(qū)、安全域劃分結(jié)果，在制定區(qū)、域邊界防護措施的同時，也要在安全區(qū)、安全域內(nèi)部關(guān)鍵網(wǎng)絡(luò)節(jié)點、關(guān)鍵設(shè)備部署異常行為、惡意代碼的檢測和防護措施，真正做到縱向到底、橫向到邊的全域防護。

“統(tǒng)一監(jiān)控”：針對各安全區(qū)、安全域的防護措施、檢測及審計措施建立統(tǒng)一的、分級的監(jiān)控系統(tǒng)，統(tǒng)一監(jiān)控控制系統(tǒng)的的安全狀況。將安全風(fēng)險進行集中的展示，以風(fēng)險等級的方式給出不同工業(yè)控制系統(tǒng)的安全風(fēng)險級別，全面了解并掌握系統(tǒng)安全動態(tài)。識全局、統(tǒng)籌管理、真正做到工控安全全域感知。

3) 核心技術(shù)：

海上平臺工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護，要結(jié)合工控系統(tǒng)運行環(huán)境相對穩(wěn)定、固化，系統(tǒng)更新頻率較低的特點。采用基于“白名單”機制的工業(yè)控制系統(tǒng)安全“白環(huán)境”解決方案，通過對工控網(wǎng)絡(luò)邊界、關(guān)鍵網(wǎng)絡(luò)節(jié)點流量、操作終端行為等進行全方位監(jiān)控和防護，收集并分析工控網(wǎng)絡(luò)、數(shù)據(jù)及軟件運行狀態(tài)，建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，依據(jù)等級保護 “一個中心、三重防護”指導(dǎo)方針，融合白名單技術(shù)解決方案，確保：

◇ 只有可信任的設(shè)備，才能接入工控網(wǎng)絡(luò)

◇ 只有可信任的消息，才能在工控網(wǎng)絡(luò)上傳輸

◇ 只有可信任的軟件，才能允許被執(zhí)行

◇ 只有一個中心平臺，才能進行管控

“白環(huán)境”解決方案能夠保障工業(yè)控制系統(tǒng)安全穩(wěn)定運行，安全建設(shè)內(nèi)容符合相關(guān)標準的要求，可以順利通過等級保保護測評機構(gòu)測評和相關(guān)部門的信息安全檢查。

3.1、安全通訊網(wǎng)絡(luò)解決方案

1) 網(wǎng)絡(luò)架構(gòu)

在網(wǎng)絡(luò)架構(gòu)設(shè)計上建議做如下設(shè)計：

① 為了保障網(wǎng)絡(luò)通訊能力，帶寬應(yīng)滿足業(yè)務(wù)高峰期需要并留有一定余量；

② 海上平臺在允許條件下盡量采用光纖和無線通訊（如微波）兩種冗余形式，為了保障應(yīng)急通訊，建議增加北斗應(yīng)急通訊系統(tǒng)；

③ 工業(yè)控制系統(tǒng)與陸地終端（井口平臺等）或其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；

④ 海上工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的安全域，安全域之間采用技術(shù)隔離手段；

2) 通信傳輸

由于在海上平臺人員緊急撤離后，需要進行遠程關(guān)斷法門操作，為了保正無線通訊過程中數(shù)據(jù)的完整性和保密性，建議在數(shù)據(jù)發(fā)送端和接收端部署工業(yè)防火墻，并啟用VPN功能，建立專用通訊鏈路。

3) 可信驗證

利用工控安全監(jiān)測與審計自主學(xué)習(xí)白名單技術(shù)，進行網(wǎng)絡(luò)通訊行為建模，記錄通訊設(shè)備關(guān)鍵配置參數(shù)；從而對通訊設(shè)備的系統(tǒng)引導(dǎo)程序程、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，在檢測到可信性受到破壞后進行報警，并將結(jié)果送至全安全管理中心（即統(tǒng)一安全管理平臺）。

3.2、安全區(qū)域邊界解決方案

1) 區(qū)域邊界防護：

針對控制網(wǎng)工業(yè)控制系統(tǒng)所面臨的安全風(fēng)險，在海上中心平臺與井口平臺之間，與地區(qū)中心之間，部署工業(yè)防火墻實現(xiàn)邊界防護，阻止中心和生產(chǎn)平臺網(wǎng)絡(luò)之間的非法訪問和攻擊。主要部署在區(qū)域出口，用于邊界隔離（不部署在上位機與控制器之間），因此對于控制系統(tǒng)本身的穩(wěn)定運行沒有任何影響，不存在與系統(tǒng)兼容性問題，主要對區(qū)域間工業(yè)通訊協(xié)議進行重點防護。如果將來控制系統(tǒng)升級或更換，只需對其進行策略調(diào)整即可。

2) 入侵檢測：

工控入侵檢測系統(tǒng)采用旁路部署方式，能夠?qū)崟r檢測數(shù)千種網(wǎng)絡(luò)攻擊行為，有效的為網(wǎng)絡(luò)邊界提供全景的網(wǎng)絡(luò)安全攻擊感知能力，使其詳細的掌握工業(yè)網(wǎng)中的安全情況。

3) 安全審計：

在控制網(wǎng)部署工控安全審計產(chǎn)品，實現(xiàn)網(wǎng)絡(luò)的3大審計檢測功能，即網(wǎng)絡(luò)通訊行為審計、網(wǎng)絡(luò)操作行為審計和無流量監(jiān)測，可為網(wǎng)絡(luò)安全事件提供追溯。部署工控安全監(jiān)測與審計系統(tǒng)，采用交換機旁路方式收集網(wǎng)絡(luò)通訊數(shù)據(jù)，建立網(wǎng)絡(luò)通訊行為白名單，從而發(fā)現(xiàn)違反白名單策略的行為。

在控制網(wǎng)交換機部署工控安全監(jiān)測與審計系統(tǒng)，鏡像控制網(wǎng)流經(jīng)此交換機的所有數(shù)據(jù)，審計數(shù)據(jù)向統(tǒng)一安全管理平臺集中匯報，由平臺進行集中管理，統(tǒng)一收集網(wǎng)絡(luò)日志，通過建模分析當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，為管理員提供可視化的操作行為、異常波動、告警信息，做到事前監(jiān)控，事后可追溯原因。

3.3、安全計算環(huán)境解決方案：

1) 主機防護

部署工控主機衛(wèi)士對系統(tǒng)內(nèi)主機進行防護，主機衛(wèi)士采用“白名單”管理技術(shù)，通過對數(shù)據(jù)采集和分析，其內(nèi)置智能學(xué)習(xí)模塊會自動生成工業(yè)控制軟件正常行為的白名單，與現(xiàn)網(wǎng)中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征，其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警，以此避免主機網(wǎng)絡(luò)受到未知漏洞威脅。

如果將來控制系統(tǒng)升級或更換，只需對其進行策略調(diào)整即可。

2) 身份認證及審計

由于海上平臺對生產(chǎn)網(wǎng)絡(luò)主機的管理相對比較嚴格，但對于整個油田群、作業(yè)區(qū)公司、地區(qū)分公司來說，由于數(shù)量龐大且分布分散，更是對于工程師站等關(guān)鍵部位無法做到絕對隔離，平臺某些關(guān)鍵設(shè)備，如壓縮機遠程診斷系統(tǒng)等，大多數(shù)采取遠程運維方式。在陸地終端或者區(qū)域中心網(wǎng)部署運維管理平臺，實現(xiàn)生產(chǎn)網(wǎng)主機的安全運維及權(quán)限管理。

陸地終端運維管理平臺部署示意圖（紅色箭頭指示部分）

生產(chǎn)網(wǎng)絡(luò)的上位機、工程師站、操作員站、數(shù)據(jù)服務(wù)器、安全設(shè)備，存在遠程管理、監(jiān)控需求，面對數(shù)量如此眾多且分散分布的設(shè)備，如何高效、安全的進行統(tǒng)一管理就是一個問題，設(shè)備資產(chǎn)管理不善也會帶來一定的工控安全隱患，尤其是在使用遠程維護VPN通道時，沒有運維操作審計，將會給生產(chǎn)網(wǎng)絡(luò)安全帶來極大隱患，為確保生產(chǎn)網(wǎng)絡(luò)的運維管理滿足等級保護的身份鑒別、訪問控制、安全審計的相關(guān)要求，需要在生產(chǎn)網(wǎng)絡(luò)旁路部署運維管理平臺，以滿足等級保護相關(guān)要求。