★李兆崇寧波和利時(shí)信息安全研究院有限公司

★郝堅勇杭州和利時(shí)自動(dòng)化有限公司

★付海州寧波和利時(shí)信息安全研究院有限公司

★楊康杭州和利時(shí)自動(dòng)化有限公司

★胡永鐘寧波和利時(shí)信息安全研究院有限公司

關(guān)鍵詞：信息安全；等級保護；私有協(xié)議；深度融合

1　項目概況

1.1　項目背景

某油田輕烴回收廠(chǎng)將油田生產(chǎn)的天然氣中含有的乙烷組分進(jìn)行回收，使該廠(chǎng)石油液體年產(chǎn)量從45萬(wàn)噸級躍升至120萬(wàn)噸級，成為該油田經(jīng)濟增長(cháng)的新“引擎”。其中乙烷回收裝置設計處理規模為每年100億立方米天然氣，是國內單列規模最大的乙烷回收裝置之一。

1.2　項目簡(jiǎn)介

該油田輕烴回收廠(chǎng)廠(chǎng)內網(wǎng)絡(luò )分為生產(chǎn)網(wǎng)與辦公網(wǎng)，生產(chǎn)網(wǎng)主要承載與生產(chǎn)相關(guān)的控制系統的正常運行與流轉，辦公網(wǎng)主要承載信息化系統與日常辦公的正常流轉。生產(chǎn)網(wǎng)的乙烷回收工程控制系統均采用國產(chǎn)化系統，其分別采用和利時(shí)DCS/SIS系統實(shí)現乙烷回收工程自動(dòng)化控制和采用和利時(shí)HiaPlantSCADA作為油氣生產(chǎn)網(wǎng)/辦公網(wǎng)數據庫，并且為辦公網(wǎng)信息化系統提供流程圖的Web發(fā)布。

隨著(zhù)業(yè)務(wù)的不斷發(fā)展，不僅需要對傳統的辦公網(wǎng)實(shí)現安全防護，還需要依據等保要求和現場(chǎng)業(yè)務(wù)實(shí)際需求對生產(chǎn)網(wǎng)的工控系統進(jìn)行安全防護，并且隨著(zhù)智慧油田的逐步發(fā)展，生產(chǎn)網(wǎng)與辦公網(wǎng)之間的交互逐步從單純的數據交互轉變到業(yè)務(wù)交互，也對跨網(wǎng)交互中的邊界安全性提出了更高的防護要求。

1.3　項目目標

本項目為了實(shí)現對乙烷回收工程控制系統的安全保護，采用和利時(shí)全系列工控安全設備實(shí)現安全防護，按照等保三級要求進(jìn)行建設，具體完成對乙烷回收控制系統的主機終端防護、邊界隔離、流量審計、日志審計以及安全管理等方面的設計、安裝、調試和投運工作，并且針對現場(chǎng)實(shí)際需求，與和利時(shí)HiaPlantSCADA數據庫系統采取定制化協(xié)同開(kāi)發(fā)實(shí)現了生產(chǎn)網(wǎng)辦公網(wǎng)數據庫同步的私有協(xié)議解析，將該功能模塊嵌入到現場(chǎng)網(wǎng)閘中，實(shí)現了安全防護的同時(shí)，又解決了業(yè)務(wù)同步的問(wèn)題。

2　項目實(shí)施

該項目整體按照等保三級建設，滿(mǎn)足一個(gè)中心、三重防護的合規要求，首先對乙烷回收工程的相關(guān)控制系統實(shí)現了安全防護。為了給控制系統穿上“安全鎧甲”，另外針對生產(chǎn)網(wǎng)與辦公網(wǎng)之間的業(yè)務(wù)交互，本項目創(chuàng )新性地提出了“業(yè)務(wù)+安全”的防護理念，針對生產(chǎn)網(wǎng)與辦公網(wǎng)之間的業(yè)務(wù)交互，定制開(kāi)發(fā)了相關(guān)私有協(xié)議的深度解析，并將其嵌入到工業(yè)安全隔離網(wǎng)閘中，與國產(chǎn)化控制系統和國產(chǎn)化數據庫實(shí)現協(xié)同防護，使得生產(chǎn)網(wǎng)與辦公網(wǎng)真正實(shí)現了“業(yè)務(wù)安全交互”，推動(dòng)了以往國外數據庫的國產(chǎn)化替代，節省了大量的投資成本，項目建成后減少了部分維護人員，并且組織多次相關(guān)安全培訓，幫助企業(yè)提升了維護人員的安全運維能力。

其中生產(chǎn)網(wǎng)與辦公網(wǎng)安全交互部分功能示意圖如圖1所示。

圖1 生產(chǎn)網(wǎng)與辦公網(wǎng)安全交互部分功能示意圖

整個(gè)項目中硬件平臺部分包括：

（1）工業(yè)防火墻；

（2）工業(yè)安全網(wǎng)閘（內嵌私有協(xié)議解析模塊）；

（3）工業(yè)網(wǎng)絡(luò )審計系統（含入侵檢測功能）；

（4）工業(yè)日志審計系統；

（5）工業(yè)安全管理平臺。

軟件平臺部分包括：

（1）工業(yè)終端安全防護軟件；

（2）主機加固軟件。

具體實(shí)現方式如下：

（1）工業(yè)防火墻接入

通過(guò)工業(yè)防火墻產(chǎn)品的部署，建立DMZ區，在DMZ區部署防火墻，對生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡(luò )邊界進(jìn)行邏輯隔離防護，實(shí)現web發(fā)布的同步。

（2）工業(yè)隔離網(wǎng)閘系統接入

通過(guò)工業(yè)隔離網(wǎng)閘的部署，在生產(chǎn)網(wǎng)數據庫服務(wù)器與辦公網(wǎng)數據庫服務(wù)器之間部署工業(yè)安全網(wǎng)閘，采取定制化的私有協(xié)議深度解析，實(shí)現生產(chǎn)網(wǎng)與辦公網(wǎng)的數據自動(dòng)同步，解決了石油化工企業(yè)的一個(gè)難點(diǎn)，真正做到業(yè)務(wù)與安全的深度融合。

（3）工業(yè)網(wǎng)絡(luò )審計系統接入

通過(guò)網(wǎng)絡(luò )審計產(chǎn)品的部署，實(shí)現對工業(yè)網(wǎng)絡(luò )流量狀態(tài)的集中監測，實(shí)現了對各種工業(yè)協(xié)議的DPI，同時(shí)可以對安全事件進(jìn)行追溯與查證，提供了強有力的事后分析，并且配備入侵檢測模塊，系統內置豐富的規則庫，可通過(guò)對網(wǎng)絡(luò )流量數據的分析，發(fā)現網(wǎng)絡(luò )異常行為或攻擊行為。

（4）主機加固軟件

通過(guò)部署主機加固軟件以及加固服務(wù)，實(shí)現對主機終端系統的進(jìn)一步安全加固。

（5）工業(yè)主機安全衛士

通過(guò)終端防護軟件產(chǎn)品的部署，實(shí)現了基本的主機終端防護，防止了惡意代碼的入侵，保護了計算環(huán)境的安全。

（6）工業(yè)日志審計系統接入

通過(guò)工業(yè)日志審計系統產(chǎn)品的部署，實(shí)現對安全設備、網(wǎng)絡(luò )設備、主機系統、數據庫等進(jìn)行日志數據采集、分類(lèi)和分析。

（7）工業(yè)安全管理平臺接入

通過(guò)工業(yè)安全管理平臺的部署，實(shí)現工控安全設備和集中管理系統的統一管控，實(shí)現對終端設備進(jìn)行集中化的性能狀態(tài)監控和安全策略管理，實(shí)現對工業(yè)網(wǎng)絡(luò )安全態(tài)勢的全面掌控，連通了安全防護孤島，為安全管理者提供了決策依據，實(shí)現了工業(yè)信息安全處置閉環(huán)。

3　案例亮點(diǎn)及創(chuàng )新性

3.1應用效果

該項目針對油氣生產(chǎn)網(wǎng)與辦公網(wǎng)業(yè)務(wù)的特殊性，實(shí)現了工業(yè)隔離網(wǎng)閘定制研發(fā)數據庫私有協(xié)議的解析，實(shí)現了國外數據庫的國產(chǎn)化替代以及安全防護雙重應用效果，其中使該廠(chǎng)的原有國外數據庫替換為國產(chǎn)自主可控數據庫，投入成本下降百分之30以上。另外該項目輔助客戶(hù)實(shí)現了生產(chǎn)網(wǎng)與辦公網(wǎng)系統流程圖的同步，節約了維護成本，人力投入減小百分之40以上。

項目整體按照等保三級建設，滿(mǎn)足一個(gè)中心、三重防護的合規要求，從安全計算環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界與安全管理中心各個(gè)維度實(shí)現了工控系統的安全防護，防止了辦公網(wǎng)的未知威脅入侵到工控網(wǎng)。

3.2案例亮點(diǎn)和創(chuàng )新點(diǎn)

該項目的實(shí)施與應用解決了油氣行業(yè)一直存在的兩個(gè)難點(diǎn)問(wèn)題：

（1）生產(chǎn)網(wǎng)工控系統如何做好安全防護？

通過(guò)全系列工控安全防護設備的安全服務(wù)實(shí)現了對工控系統的體系化防護，滿(mǎn)足等保三級防護水平。

（2）生產(chǎn)網(wǎng)與辦公網(wǎng)之間如何實(shí)現業(yè)務(wù)的安全交互？

通過(guò)網(wǎng)閘定制功能實(shí)現了現場(chǎng)國產(chǎn)化私有協(xié)議的深度解析，使生產(chǎn)網(wǎng)與辦公網(wǎng)數據和畫(huà)面可以安全地進(jìn)行交互，真正實(shí)現了“業(yè)務(wù)+安全”的防護理念，為石油化工行業(yè)類(lèi)似應用場(chǎng)景做了成功示例。

3.3可復制推廣價(jià)值分析

（1）石油化工行業(yè)類(lèi)似場(chǎng)景的探索

解決生產(chǎn)網(wǎng)與辦公網(wǎng)業(yè)務(wù)安全交互的問(wèn)題，通過(guò)網(wǎng)閘定制功能實(shí)現現場(chǎng)國產(chǎn)化私有協(xié)議的深度解析，使生產(chǎn)網(wǎng)與辦公網(wǎng)數據和畫(huà)面可以安全地進(jìn)行交互，真正實(shí)現了“業(yè)務(wù)+安全”的防護理念，為石油化工行業(yè)類(lèi)似應用場(chǎng)景做了成功示例；

（2）經(jīng)濟效益

該項目從商業(yè)價(jià)值來(lái)看，可以從兩個(gè)角度來(lái)說(shuō)，首先依據合規，按照等保三級對現場(chǎng)工控系統進(jìn)行了安全防護建設，輔助企業(yè)實(shí)現了安全生產(chǎn)，大大降低了被感染的風(fēng)險和由此帶來(lái)的經(jīng)濟損失。其次，該項目工控安全體系建設與現場(chǎng)工控系統實(shí)際情況進(jìn)行了緊密結合，實(shí)現協(xié)同防護，網(wǎng)閘實(shí)現了現場(chǎng)國產(chǎn)實(shí)時(shí)數據庫的定制化私有協(xié)議的深度解析，幫助客戶(hù)實(shí)現了對以往PHD的國產(chǎn)化取代，大大節約了TCO成本。

（3）社會(huì )效益

乙烷回收工程是地方貫徹落實(shí)資源轉化戰略、增加石油液體產(chǎn)量、實(shí)現提質(zhì)增效的一項重點(diǎn)工程，也是“十四五”轉方式、調結構的重點(diǎn)項目，將為下游乙烯項目提供優(yōu)質(zhì)的乙烷原料，實(shí)現天然氣資源的深度利用。

乙烷回收裝置采取和利時(shí)國產(chǎn)化DCS/SIS系統以及國產(chǎn)化數據庫HiaPlantSCADA數據庫系統，本次工控安全項目實(shí)現對相關(guān)控制系統的安全防護，保證了乙烷回收裝置控制系統的正常流轉，為該重點(diǎn)工程提供了安全保障。

作者簡(jiǎn)介

李兆崇（1981-），男，河南平頂山人，高級工程師，學(xué)士，現就職于寧波和利時(shí)信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

郝堅勇（1990-），男，山西晉中人，中級工程師，學(xué)士，現就職于杭州和利時(shí)自動(dòng)化有限公司，主要從事工業(yè)信息安全方面的研究。

付海州（1986-），男，陜西西安人，中級工程師，學(xué)士，現就職于寧波和利時(shí)信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

楊　康（1986-），男，陜西咸陽(yáng)人，副高級工程師，學(xué)士，現就職于杭州和利時(shí)自動(dòng)化有限公司，主要從事工業(yè)信息安全方面的研究。

胡永鐘（1987-），男，福建三明人，中級工程師，碩士，現就職于寧波和利時(shí)信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊