★賈志鵬（北京貝諾電子科技發(fā)展有限公司，甘肅慶陽(yáng)745100）

★崔強（中國石油長(cháng)慶油田分公司第一采油廠(chǎng)，甘肅慶陽(yáng)716000）

★余杰，周婷，宋創(chuàng )（北京貝諾電子科技發(fā)展有限公司，甘肅慶陽(yáng)745100）

關(guān)鍵詞：油氣田生產(chǎn)監控系統；安全分區；邊界防護；網(wǎng)絡(luò )安全監控；終端安全加固；安全管理中心；安全運維

1 引言

油氣行業(yè)的生產(chǎn)調度通過(guò)生產(chǎn)監控系統進(jìn)行有效管理與控制，生產(chǎn)監控系統的安全穩定是采油采氣工作順利開(kāi)展的前提，關(guān)系到國家經(jīng)濟發(fā)展，是國家重要的基礎設施。隨著(zhù)兩化融合技術(shù)的發(fā)展，油氣田企業(yè)不斷提升生產(chǎn)技術(shù)裝備的自動(dòng)化水平和運營(yíng)管理手段的信息化能力，快速提升了生產(chǎn)效率，但信息互聯(lián)互通的同時(shí)也給油氣田生產(chǎn)監控系統帶來(lái)了更多的網(wǎng)絡(luò )安全隱患。

油氣田企業(yè)所在的能源行業(yè)是關(guān)乎國計民生的特殊行業(yè)，而近年來(lái)針對能源行業(yè)網(wǎng)絡(luò )安全的攻擊事件頻發(fā)，對油氣田安全防護問(wèn)題的重視程度也必須隨之提升。隨著(zhù)相應法律法規的發(fā)布，對油氣田安全防護提出了更高的要求，因此，如何提升油氣田生產(chǎn)監控系統的網(wǎng)絡(luò )安全防護能力，成為亟需研究解決的問(wèn)題。

2 油氣田生產(chǎn)監控系統存在的安全問(wèn)題

通過(guò)對多個(gè)油氣田生產(chǎn)監控系統調研，發(fā)現當前油氣田普遍缺乏邊界防護、安全審計、入侵檢測、主機防護等安全防護措施，其安全形勢十分嚴峻，結合等級保護基本要求，典型問(wèn)題總結如下：

2.1 安全技術(shù)方面的典型問(wèn)題^[1]

（1）安全通信網(wǎng)絡(luò )方面

生產(chǎn)監控系統與其他網(wǎng)絡(luò )區域之間未采取可靠的技術(shù)隔離手段。

（2）安全區域邊界方面

· 系統邊界或區域未設置嚴格的訪(fǎng)問(wèn)控制策略及訪(fǎng)問(wèn)控制規則；

· 關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處未部署入侵檢測設備，未根據最小權限原則配置訪(fǎng)問(wèn)控制策略，不能檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為；

· 未在安全區域配置安全審計系統，無(wú)法對網(wǎng)絡(luò )行為進(jìn)行安全審計、記錄。

（3）安全計算環(huán)境方面

· 部分設備在遠程管理時(shí)采用http方式，未采用加密措施；

· 網(wǎng)絡(luò )設備、服務(wù)器賬戶(hù)未采用三權分立，存在賬戶(hù)共用的情況；

· 系統未重命名默認賬戶(hù)，未修改默認賬戶(hù)口令；

· 系統無(wú)登錄失敗處理功能；

· 未授予不同賬戶(hù)所需的最小權限；

· 默認共享和高危端口管理不到位；

· 主機未采取安全防護措施；

· 操作系統未最小化安裝，存在多余的組件或服務(wù)；

· 系統審計日志功能未開(kāi)啟等。

（4）安全管理中心方面

缺乏安全管理中心的建設，無(wú)法對設備狀態(tài)、惡意代碼、安全審計等安全相關(guān)事項進(jìn)行集中管理。

2.2 安全管理方面的典型問(wèn)題

· 安全管理制度缺失；

· 安全管理機構、人員等不完善；

· 對介質(zhì)（USB、光驅等）等運維管理不全面。

3 油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全整體解決方案

從生產(chǎn)監控系統安全角度出發(fā)，以等級保護2.0為設計依據，按照“一個(gè)中心，三重防護”的原則，構建安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境^[2]等多重防護機制，在整體上保證各種安全措施的組合從外到內構成一個(gè)縱深的安全防御體系。

3.1 整體方案設計思路

（1）從網(wǎng)絡(luò )邊界劃分和防護技術(shù)著(zhù)手，改造網(wǎng)絡(luò )拓撲、劃分網(wǎng)絡(luò )區域、清晰網(wǎng)絡(luò )結構、規范網(wǎng)絡(luò )邊界，在各個(gè)邊界有層次地實(shí)施邊界防護措施，包括使用網(wǎng)閘、工業(yè)防火墻等各種隔離技術(shù)。

（2）對網(wǎng)絡(luò )流量進(jìn)行監控分析，及時(shí)檢測和發(fā)現網(wǎng)絡(luò )中存在的網(wǎng)絡(luò )風(fēng)險和攻擊行為，并分析和記錄生產(chǎn)監控系統中的操作行為和異常網(wǎng)絡(luò )行為，便于事后進(jìn)行事件取證和定責。

（3）所有操作站、工程師站、服務(wù)器上通過(guò)部署工業(yè)主機安全防護軟件（白名單）對應用程序、移動(dòng)存儲介質(zhì)、特定對象完整性等進(jìn)行防護，阻止非法程序的運行。同時(shí)對主機、服務(wù)器、SCADA軟件、網(wǎng)絡(luò )設備、安全設備等終端的賬戶(hù)、權限、口令、審計、漏洞等進(jìn)行安全加固。

（4）建立安全管理中心，對安全設備進(jìn)行集中管控，通過(guò)單點(diǎn)登錄、雙因素認證、過(guò)程審計記錄等實(shí)現運維過(guò)程的安全可控，此外，通過(guò)態(tài)勢感知平臺構建工控企業(yè)級安全大數據中心，為用戶(hù)呈現企業(yè)內全面的工控網(wǎng)絡(luò )態(tài)勢環(huán)境，并對網(wǎng)絡(luò )整體威脅概況提供可視化展示等。

（5）進(jìn)行安全運維能力建設，指導油氣田公司及時(shí)、有效、有序處置網(wǎng)絡(luò )安全事件，提高應對網(wǎng)絡(luò )安全事件能力，建立健全網(wǎng)絡(luò )安全事件應急工作機制，預防和減少網(wǎng)絡(luò )安全事件造成的損失。

3.2 安全分區與邊界防護

油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全域是指根據生產(chǎn)監控系統的業(yè)務(wù)劃分、應用的不同流程和系統等而劃分的不同的安全區域。根據每個(gè)安全區域業(yè)務(wù)的重要程度使用不同的安全防護手段。因此可以將整個(gè)生產(chǎn)監控系統網(wǎng)絡(luò )劃分為比較小的安全區域，建設基于安全區域的安全防護體系。

（1）安全分區

安全分區是工控安全防護體系的結構基礎。油氣田生產(chǎn)監控系統可以劃分為井場(chǎng)、管理區、采油廠(chǎng)級和公司級。

（2）邊界防護

· 在公司級與采油廠(chǎng)級之間部署工業(yè)網(wǎng)閘實(shí)現單向隔離^[3]，保證應用數據的單向傳輸，即從采油廠(chǎng)向公司級的生產(chǎn)數據單向上報；

· 在采油廠(chǎng)級與管理區之間部署工業(yè)防火墻，滿(mǎn)足內部安全區域之間的網(wǎng)絡(luò )隔離防護；

· 在各井場(chǎng)與管理區之間部署工業(yè)防火墻實(shí)現對井場(chǎng)生產(chǎn)監控系統的安全防護；

· 無(wú)線(xiàn)接入應采用自建的專(zhuān)用無(wú)線(xiàn)基站或采用邊界隔離技術(shù)和加密技術(shù)，保證無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界設備接入內部網(wǎng)絡(luò )^[2]。

油氣田生產(chǎn)監控系統安全分區及邊界防護部署如圖1所示。

圖1 油氣田生產(chǎn)監控系統安全分區及邊界防護部署圖

3.3 網(wǎng)絡(luò )安全監控

當生產(chǎn)監控系統出現安全事故后很難確定是誤操作、惡意操作還是系統自身故障所導致，因此需要通過(guò)對通信流量進(jìn)行檢測、對操作行為進(jìn)行審計，才能從全局分析安全事件所產(chǎn)生的原因。

（1）在采油廠(chǎng)以及管理區部署網(wǎng)絡(luò )入侵檢測系統，便于及時(shí)檢測和發(fā)現網(wǎng)絡(luò )中存在的網(wǎng)絡(luò )風(fēng)險和攻擊行為。

（2）在采油廠(chǎng)以及管理區旁路部署工業(yè)網(wǎng)絡(luò )安全審計系統，檢測和記錄工控系統中的操作行為和異常網(wǎng)絡(luò )行為，便于事后進(jìn)行事件取證和定責。工業(yè)網(wǎng)絡(luò )安全審計系統對工控網(wǎng)絡(luò )中的網(wǎng)絡(luò )流量（管理區系統與各井場(chǎng)之間的通信、廠(chǎng)級系統與管理區之間的通信）進(jìn)行采集、監測和分析，對流經(jīng)的數據流量進(jìn)行實(shí)時(shí)解析并分析安全風(fēng)險。

油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全監控部署如圖2所示。

圖2 油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全監控部署圖

3.4 終端安全加固

（1）主機防護

生產(chǎn)監控系統中會(huì )部署工程師站、操作員站等主機設備。大部分網(wǎng)絡(luò )安全威脅比如病毒以及操作人員誤操作等主要都是通過(guò)主機設備進(jìn)入生產(chǎn)監控系統，使之成為系統中潛在的風(fēng)險點(diǎn)。因此，必須對主機設備進(jìn)行安全防護，可以通過(guò)部署主機白名單防護軟件，對應用程序、移動(dòng)存儲介質(zhì)、特定對象完整性等進(jìn)行防護，阻止非法程序的運行。

（2）終端安全加固

針對終端除了部署白名單防護軟件之外，還需要進(jìn)行安全加固才能滿(mǎn)足等級保護的要求，具體的措施主要體現在以下幾個(gè)方面：

· 身份鑒別：對登錄的用戶(hù)進(jìn)行身份標識和鑒別，配置登錄失敗處理功能，采用加密方式進(jìn)行遠程管理等；

· 訪(fǎng)問(wèn)控制：對登錄的用戶(hù)分配賬戶(hù)和權限，重命名或刪除默認賬戶(hù)，及時(shí)刪除或停用多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在等^[2]；

· 安全審計：?jiǎn)⒂冒踩珜徲嫻δ?，并進(jìn)行定期備份，避免受到未預期的刪除、修改或覆蓋等，對審計進(jìn)程進(jìn)行保護，防止未經(jīng)授權的中斷^[2]，審計記錄保留在本地或者上傳到日志中心，且日志留存6個(gè)月以上；

· 入侵防范：遵循最小安裝的原則，關(guān)閉不需要的系統服務(wù)、默認共享和高危端口，對通過(guò)網(wǎng)絡(luò )進(jìn)行管理的^[2]管理終端進(jìn)行限制、定期進(jìn)行漏洞修補等；

· 數據備份恢復：定期對重要業(yè)務(wù)數據和審計數據進(jìn)行備份，重要業(yè)務(wù)數據要進(jìn)行異地備份；

· 控制設備安全：PLC、RTU等控制設備開(kāi)啟身份鑒別、訪(fǎng)問(wèn)控制和安全審計功能，封閉控制設備的USB接口、串行口或多余網(wǎng)口等。

3.5 建立安全管理中心

盡管有了邊界防護、網(wǎng)絡(luò )安全監控、終端安全加固等安全措施，但是安全設備獨立運維、無(wú)法從全局了解整體網(wǎng)絡(luò )安全狀態(tài)，會(huì )導致當出現安全問(wèn)題時(shí)需要逐一排查安全設備、網(wǎng)絡(luò )設備、服務(wù)器等日志和事件，極大地影響效率，因此需要建設安全管理中心來(lái)解決上述問(wèn)題，具體如下：

（1）在采油廠(chǎng)級部署工業(yè)安全管理平臺，實(shí)現對工業(yè)防火墻、安全審計、主機白名單防護等分布在網(wǎng)絡(luò )中的安全設備或安全組件進(jìn)行集中管控。

（2）采用安全運維審計技術(shù)對重要設備集中運維，實(shí)現集中賬號管理、認證、授權、審計，并滿(mǎn)足雙因素認證的要求。

（3）在公司級部署態(tài)勢感知平臺，實(shí)時(shí)匯聚生產(chǎn)網(wǎng)絡(luò )各種設備產(chǎn)生的日志告警數據、網(wǎng)絡(luò )流量數據，構建工控企業(yè)級安全大數據中心。通過(guò)對安全大數據的深度挖掘和機器學(xué)習智能的分析，為用戶(hù)呈現企業(yè)內全面的工控網(wǎng)絡(luò )態(tài)勢環(huán)境，并對網(wǎng)絡(luò )整體威脅概況提供可視化展示等功能。

油氣田生產(chǎn)監控系統安全管理中心建設如圖3所示。

圖3 油氣田生產(chǎn)監控系統安全管理中心建設圖

3.6 安全運維能力建設

油氣田生產(chǎn)監控系統的安全防護離不開(kāi)日常的使用和運維，如何最大化地發(fā)揮安全設備的安全防護能力，如何面對突發(fā)的安全事件，為生產(chǎn)系統長(cháng)期安全穩定的運行提供持續支持，都依賴(lài)于安全運維的建設。

（1）安全規劃

從業(yè)務(wù)需求出發(fā)，結合合規性要求，提取安全需求，從策略、組織、管理、技術(shù)、資源等多方面綜合考慮，對生產(chǎn)系統的安全目標、任務(wù)、措施和步驟進(jìn)行整體規劃。

（2）安全設備運維

根據業(yè)務(wù)需求及變動(dòng)，對安全設備策略進(jìn)行更新、配置進(jìn)行優(yōu)化等。

（3）安全事件管理

對安全事件提供分析及處理能力，并且依據各類(lèi)各級安全事件，編制應急預案和指導應急演練。

（4）日常安全運維

依據國家和行業(yè)相關(guān)標準，評估生產(chǎn)監控系統資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并進(jìn)行相應的日常安全運維，包括日志信息的備份、安全培訓、資產(chǎn)安全分析、主機安全加固、網(wǎng)絡(luò )設備整改等。

4 油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全方案應用

在某油氣田生產(chǎn)監控系統中，由于地域范圍太廣，大部分底層井場(chǎng)以及站場(chǎng)（處理站、集輸站、計量站、中轉油庫等）的生產(chǎn)數據通過(guò)分布在生產(chǎn)區域的無(wú)線(xiàn)通訊裝置（如通訊鐵塔）進(jìn)行匯聚（到匯聚通訊塔、中心通訊塔等），再通過(guò)光纖接入主干網(wǎng)核心交換機；部分近距離大型站場(chǎng)（聯(lián)合站）的生產(chǎn)數據則通過(guò)光纖直接接入主干網(wǎng)核心交換機，生產(chǎn)管理中心的生產(chǎn)監控系統實(shí)時(shí)數據服務(wù)器通過(guò)核心交換機獲取相應的生產(chǎn)數據。

根據油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全整體解決方案的思路，我們進(jìn)行了網(wǎng)絡(luò )安全建設，網(wǎng)絡(luò )安全系統部署如圖4所示。

圖4 網(wǎng)絡(luò )安全系統部署圖

（1）安全分區

將生產(chǎn)監控系統劃分為井場(chǎng)、站場(chǎng)、生產(chǎn)管理中心和生產(chǎn)指揮中心四個(gè)安全區域。

（2）邊界防護

在井場(chǎng)與生產(chǎn)管理中心之間、站場(chǎng)與生產(chǎn)管理中心之間，部署工業(yè)防火墻，通過(guò)白名單功能對正常通信行為學(xué)習后，生成指令級防護策略，對井場(chǎng)、站場(chǎng)與生產(chǎn)管理中心間的工控指令攻擊、控制參數修改等進(jìn)行有效防護；同時(shí)在生產(chǎn)管理中心和生產(chǎn)指揮中心之間部署了工業(yè)網(wǎng)閘，僅允許實(shí)時(shí)數據庫的生產(chǎn)數據和流媒體服務(wù)器的視頻數據單向傳輸，具體到雙方的IP地址、MAC地址、端口、協(xié)議等。

（3）網(wǎng)絡(luò )安全監控

在生產(chǎn)管理中心部署工業(yè)網(wǎng)絡(luò )安全審計系統和入侵檢測系統以及部分重要大型站場(chǎng)（處理站、集輸站、計量站、中轉油庫等）部署工業(yè)安全審計系統，實(shí)現生產(chǎn)監控系統的運行期行為模型分析，包括已知行為模型分析（工業(yè)安全審計系統）和未知行為模型分析（入侵檢測系統）。

通過(guò)對油氣田生產(chǎn)監控系統網(wǎng)絡(luò )結構特征、設備和協(xié)議類(lèi)型信息采集（如網(wǎng)絡(luò )拓撲、設備清冊、協(xié)議清冊、業(yè)務(wù)數據流等），并將其導入工業(yè)安全審計系統以及入侵檢測系統，可進(jìn)行生產(chǎn)監控系統中設備和協(xié)議脆弱性關(guān)聯(lián)分析和行為模型分析，進(jìn)而實(shí)現系統的威脅影響度量分析。

（4）終端安全加固

對生產(chǎn)監控系統內工程師站、操作員站和服務(wù)器采用主機衛士（主機白名單防護軟件）進(jìn)行安全防護，僅允許上位機監控軟件、數據庫等必要的進(jìn)程運行，禁止一切未知程序和腳本的執行，從根本上保障主機運行環(huán)境的安全。

（5）安全運維審計

在生產(chǎn)管理中心運維區域部署堡壘機，采用安全運維審計技術(shù)對服務(wù)器、網(wǎng)絡(luò )交換、網(wǎng)絡(luò )安全等設備集中運維，可以實(shí)現單點(diǎn)登錄、集中賬號管理、身份認證、資源授權、訪(fǎng)問(wèn)控制以及操作審計等功能。

（6）集中安全管理

在生產(chǎn)管理中心部署工業(yè)安全管理平臺，對工業(yè)防火墻、工業(yè)網(wǎng)絡(luò )安全審計系統以及主機衛士等進(jìn)行統一策略管理和實(shí)時(shí)監控，提升對整個(gè)生產(chǎn)監控系統網(wǎng)絡(luò )的安全監控和管理效率。

（7）態(tài)勢感知

在生產(chǎn)指揮中心部署態(tài)勢感知平臺，收集生產(chǎn)監控系統網(wǎng)絡(luò )內的日志及告警信息，對多源異構數據進(jìn)行關(guān)聯(lián)和識別，發(fā)現潛在漏洞、預測未知攻擊，對當前工業(yè)系統全局網(wǎng)絡(luò )安全狀況進(jìn)行綜合分析與評估；并對惡意代碼、漏洞、攻擊方法等進(jìn)行搜集、整理和分析后，與權威漏洞庫進(jìn)行關(guān)聯(lián)評測，進(jìn)行預警與展示，提高全局網(wǎng)絡(luò )安全防御能力。

5 方案意義

油氣田生產(chǎn)監控系統網(wǎng)絡(luò )安全整體解決方案在油氣行業(yè)領(lǐng)域具有很高的應用價(jià)值和指導意義。

（1）依據國家信息安全等級保護制度結合業(yè)務(wù)情況實(shí)現了生產(chǎn)監控系統的安全防護，滿(mǎn)足國家合規性要求。

（2）滿(mǎn)足集團公司網(wǎng)絡(luò )安全管理辦法對所屬企事業(yè)單位工控安全防護要求。

（3）提高了生產(chǎn)監控系統運行穩定性，加強了系統的安全管理和技術(shù)防護能力，防范黑客及惡意代碼等對生產(chǎn)監控系統的攻擊及侵害，保障企業(yè)生產(chǎn)系統的安全穩定運行，提高維護工作速度，提升工作效率。

6 結論

隨著(zhù)工業(yè)化與信息化的深度融合，油氣田原有的生產(chǎn)監控系統的封閉環(huán)境逐步被打破，網(wǎng)絡(luò )安全問(wèn)題日益突出，安全威脅不斷升級。實(shí)際應用證明，通過(guò)安全分區、邊界防護、網(wǎng)絡(luò )安全監控、終端安全加固、安全管理中心建立等方面形成的整體解決方案，可以切實(shí)提高油氣田生產(chǎn)監控系統的安全防護能力，同時(shí)通過(guò)安全運維能力的建設，可以逐步提升應對安全威脅的能力。

然而在當前工業(yè)互聯(lián)網(wǎng)新形勢下，隨著(zhù)攻擊手段的多樣化，對安全防護技術(shù)、安全防護方案及安全運維能力提出了更高要求，需要更多的應用來(lái)促進(jìn)方案的不斷成熟。

作者簡(jiǎn)介：

賈志鵬 （1984-），男，甘肅慶陽(yáng)人，信息工程工程師，學(xué)士，現就職于北京貝諾電子科技發(fā)展有限公司，主要從事智能化、數字化、信息化方面的建設管理工作。

參考文獻：

[1]常季成,賈政,姜路.油田工控系統網(wǎng)絡(luò )安全現狀與發(fā)展趨勢[J].儀器儀表標準化與計量,2021,(2):21-25.

[2]GB/T22239-2019,信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求[S].

[3]楊斌.淺談?dòng)蜌馓镄袠I(yè)工控安全防御體系建設[J].通信管理與技術(shù),2021,(8):53-67.

摘自《自動(dòng)化博覽》2022年7月刊