摘要：本文通過(guò)對數字油田專(zhuān)用的油氣工業(yè)控制系統（OICS）進(jìn)行風(fēng)險分析，提出了分層分域、確定性行為預測的縱深防御方法，可有效解決油田OICS面臨的網(wǎng)絡(luò )安全問(wèn)題。

關(guān)鍵詞：工業(yè)控制系統；工業(yè)控制系統安全；數據采集與監視控制系統；縱深防御

Abstract:In this paper,based on the risk analysis of the OICS（Oilfield Industrial Control System）dedicated to digita loilfields,adefense-in-depth method of layered and domain-specific and deterministic behavior prediction is proposed,which can effectively solve the network security problems faced by OICS.

Key words:Industrial control system；Security of industrial control system；SCADA；Defense in depth

1 引言

隨著(zhù)中國經(jīng)濟的快速發(fā)展，石油、天然氣等能源產(chǎn)業(yè)在國家經(jīng)濟中的地位愈加顯著(zhù)。近年來(lái)國家大力倡導國家能源安全與能源儲備，客觀(guān)上向中國的能源產(chǎn)業(yè)提出了更高的要求，同時(shí)也提供了更多的發(fā)展空間。因此通過(guò)數字化遠程管理，有效控制生產(chǎn)過(guò)程中的關(guān)鍵技術(shù)環(huán)節，實(shí)現遠程調度指揮、監管、控制的大規模生產(chǎn)是目前眾多大型企業(yè)所企盼的。

技術(shù)在飛速發(fā)展的同時(shí)，不可避免的帶來(lái)了系統安全的各類(lèi)風(fēng)險和威脅，在數字油田的構建中，存在著(zhù)如系統終端平臺安全防護弱點(diǎn)、系統配置和軟件安全漏洞、工控協(xié)議安全問(wèn)題、私有協(xié)議的安全問(wèn)題、隱藏的后門(mén)和未知漏洞、TCP/IP自身的安全問(wèn)題、用戶(hù)權限控制的接入、網(wǎng)絡(luò )安全邊界防護、內部人員非法操作以及密鑰管理等各種信息安全風(fēng)險和漏洞。

數字油田系統一旦遭到破壞或入侵，會(huì )直接危害到原油的開(kāi)采和運輸，繼而影響到國家能源安全問(wèn)題，造成直接或間接的巨大經(jīng)濟損失，更會(huì )影響社會(huì )的安定團結。

油田自動(dòng)化利用自動(dòng)化手段對油水井站、計量間、閥組、聯(lián)合站（集氣站）、原油外輸系統、油罐及油田其他分散設施進(jìn)行自動(dòng)檢測、自動(dòng)控制，從而實(shí)現生產(chǎn)自動(dòng)化和管理自動(dòng)化。但是采油現場(chǎng)常常分布在人煙稀少的偏僻地區，交通通訊不便，分布地域廣泛，現場(chǎng)人員較少，大部分地區處于無(wú)人或少人職守狀態(tài)。一旦現場(chǎng)控制系統發(fā)生異常，可能導致發(fā)現晚、排查難、影響大等一系列問(wèn)題。

2 數字油田OICS風(fēng)險分析

2.1 網(wǎng)絡(luò )結構分析

油田網(wǎng)絡(luò )結構龐大，采油廠(chǎng)以下按照管理區劃分為多個(gè)管理區，管理區與采油廠(chǎng)通過(guò)專(zhuān)用光纖進(jìn)行通訊。

現場(chǎng)基本控制單元包括油井、配注站、注水站等不同的單元，包含的主要網(wǎng)絡(luò )設備和控制設備為RTU、PLC系統及攝像頭，現場(chǎng)基本控制單元通過(guò)無(wú)線(xiàn)傳輸的模式，將數據與匯聚點(diǎn)進(jìn)行通信，無(wú)線(xiàn)匯聚點(diǎn)通過(guò)專(zhuān)用光纖將數據上送到管理區生產(chǎn)指揮中心。注水站PLC系統通過(guò)專(zhuān)用光纖將數據上傳到管理區生產(chǎn)指揮中心，管理區生產(chǎn)指揮中心通過(guò)光纖將生產(chǎn)數據發(fā)送至辦公網(wǎng)絡(luò )。

管理區的網(wǎng)絡(luò )可以以三層兩網(wǎng)的模型進(jìn)行分析。兩網(wǎng)是指現場(chǎng)無(wú)線(xiàn)網(wǎng)絡(luò )和光纖網(wǎng)絡(luò )，三層分別是下層現場(chǎng)控制設備層、中間匯聚層、上層管理層，本文依據網(wǎng)絡(luò )和層次結構對威脅與脆弱性進(jìn)行分析。油田管理區網(wǎng)絡(luò )拓撲圖如圖1所示。

圖1 油田OICS網(wǎng)絡(luò )拓撲圖

2.2 整體風(fēng)險分析

依據網(wǎng)絡(luò )拓撲圖以及網(wǎng)絡(luò )結構并結合目前已有的技術(shù)安全措施，現有的安全隱患包括以下幾個(gè)方面。

（1）網(wǎng)絡(luò )設備準入控制隱患

整個(gè)油田的網(wǎng)絡(luò )終端設備部署在野外現場(chǎng)，難以有效地采用門(mén)禁等措施來(lái)管控整個(gè)網(wǎng)絡(luò )，生產(chǎn)網(wǎng)較容易被外來(lái)人員接入其他網(wǎng)絡(luò )設備，難以對第三方非法接入進(jìn)行報警和阻斷，存在較大安全隱患。

（2）無(wú)線(xiàn)通信缺乏認證

現場(chǎng)設備如油井、配注站等以無(wú)線(xiàn)方式與匯聚塔通訊，工控數據也通過(guò)無(wú)線(xiàn)方式與OICS服務(wù)器通訊，缺乏有效的身份認證。

（3）生產(chǎn)網(wǎng)和辦公網(wǎng)接口

生產(chǎn)網(wǎng)包含了工控網(wǎng)絡(luò )與視頻網(wǎng)絡(luò )，數據量龐大，目前未做任何的防護措施，給生產(chǎn)安全帶來(lái)巨大的風(fēng)險。

（4）工控網(wǎng)與視頻網(wǎng)合用威脅

生產(chǎn)網(wǎng)包含了工控網(wǎng)絡(luò )與視頻網(wǎng)絡(luò )，工控網(wǎng)與視頻網(wǎng)合用，數據量龐大，數據的格式、協(xié)議、保密性要求與傳輸延時(shí)要求等均存在巨大差異，業(yè)務(wù)差別大、安全需求差別也很大。兩網(wǎng)使用同一根光纖傳輸存在較大安全隱患。

（5）缺乏有效的防病毒措施

工程師站、操作站、視頻監控站、數據庫服務(wù)器、數采及視頻服務(wù)器等都在同一網(wǎng)絡(luò )中，與上層辦公網(wǎng)絡(luò )等無(wú)隔離防護，雖然安裝了360防病毒軟件，但360防病毒軟件本身只能針對常規的病毒并不適用工控網(wǎng)絡(luò )，對工控系統的病毒防護存在誤殺風(fēng)險。

（6）針對特定工控系統的攻擊

黑客可能利用木馬、病毒（如最近的勒索病毒以及針對工控系統的震網(wǎng)病毒）、文件擺渡或其他手段進(jìn)入工控網(wǎng)絡(luò )，對工控系統控制器發(fā)出惡意指令（如控制器啟停指令、修改系統時(shí)間、修改工藝參數、對動(dòng)設備進(jìn)行啟停操作等），導致工控系統宕機停產(chǎn)或出現嚴重的安全事故。

（7）對網(wǎng)絡(luò )流量缺乏有效的監控措施

現場(chǎng)生產(chǎn)網(wǎng)絡(luò )分布位置廣泛，設備多（如一個(gè)匯聚點(diǎn)連接了幾十口油井，每個(gè)油井上包含了眾多的儀表及設備），網(wǎng)絡(luò )結構復雜，缺少有效的網(wǎng)絡(luò )流量監控措施，在危險發(fā)生時(shí)難以有效發(fā)現威脅來(lái)源及可能造成的影響，難以有效地對威脅進(jìn)行快速響應來(lái)降低對生產(chǎn)的影響。

（8）未進(jìn)行分區域隔離

匯聚點(diǎn)之間、注水站之間以及匯聚點(diǎn)與注水站之間只是通過(guò)劃分VLAN來(lái)分區，但是VLAN方式并不能防范病毒的擴散以及黑客的入侵行為。

（9）漏洞利用風(fēng)險

事實(shí)證明，99%以上攻擊都是利用已公布并有修補措施、但用戶(hù)未修補的漏洞。操作系統和應用漏洞能夠直接威脅數據的完整性和機密性，流行蠕蟲(chóng)的傳播通常也依賴(lài)于嚴重的安全漏洞，黑客的主動(dòng)攻擊往往離不開(kāi)對漏洞的利用。

（10）行為抵賴(lài)風(fēng)險

如何有效監控業(yè)務(wù)系統訪(fǎng)問(wèn)行為和敏感信息傳播，準確掌握網(wǎng)絡(luò )系統的安全狀態(tài)，及時(shí)發(fā)現違反安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，事后追查取證，滿(mǎn)足合規性審計要求，是迫切需要解決的問(wèn)題。

3 數字油田OICS縱深防御建設

3.1 安全建設基本原則

對于工控安全建設，應當以適度安全為核心，以重點(diǎn)保護為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護重要的業(yè)務(wù)系統，在方案設計中應當遵循以下幾項原則。

（1）適度安全

任何系統都不能做到絕對的安全，在進(jìn)行工控安全等級保護規劃中，要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷，因此在進(jìn)行等級保護設計的過(guò)程中，一方面要嚴格遵循基本要求，從物理、網(wǎng)絡(luò )、主機、應用、數據等層面加強防護措施，保障信息系統的機密性、完整性和可用性，另外也要綜合成本的角度，針對系統的實(shí)際風(fēng)險，提出對應的保護強度，并按照保護強度進(jìn)行安全防護系統的設計和建設，從而有效控制成本。

（2）技術(shù)管理并重

工控安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為工控安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的工控安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結合起來(lái)，更有效地保障信息系統的整體安全性，形成技術(shù)和管理兩個(gè)部分的建設方案。

（3）分區分域建設

對工控系統進(jìn)行安全保護的有效方法就是分區分域，由于工控系統中各個(gè)資產(chǎn)的重要性是不同的，并且訪(fǎng)問(wèn)特點(diǎn)也不盡相同，因此需要把具有相似特點(diǎn)的資產(chǎn)集合起來(lái)，進(jìn)行總體防護，從而可更好地保障安全策略的有效性和一致性；另外分區分域還有助于對網(wǎng)絡(luò )系統進(jìn)行集中管理，一旦其中某些安全區域內發(fā)生安全事件，可通過(guò)嚴格的邊界安全防護限制事件在整網(wǎng)蔓延。

（4）合規性

安全保護體系應當同時(shí)考慮與其他標準的符合性，技術(shù)部分參考《GBT25070-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》進(jìn)行設計，管理方面同時(shí)參考《GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》以及IEC 27001安全管理指南，使建成后的等級保護體系更具有廣泛的實(shí)用性。

（5）動(dòng)態(tài)調整

工控安全問(wèn)題不是靜態(tài)的，它總是隨著(zhù)管理相關(guān)的組織策略、組織架構、信息系統和操作流程的改變而改變，因此必須要跟蹤信息系統的變化情況，調整安全保護措施。

3.2 安全防御方案

3.2.1 分層分域構建縱深防御體系

分層分域的目的是通過(guò)分層劃分不同的系統集合，根據不同系統的特點(diǎn)采取相應的防護手段，例如工控區域的特點(diǎn)是以高可用性為優(yōu)先原則，而管理區應以機密性為優(yōu)先原則；分域則是依據最小業(yè)務(wù)系統的原則避免安全風(fēng)險的擴散。對于處于生產(chǎn)管理區但需要和OICS實(shí)時(shí)服務(wù)器通訊的功能服務(wù)器建議設立工控DMZ區，將這些功能服務(wù)器單獨部署在工控DMZ區內，分層分域部署如圖2所示。

圖2 油田OICS分層分域圖

在生產(chǎn)管理層與工控DMZ層的邊界設置帶有入侵檢測裝置的下一代防火墻，依據訪(fǎng)問(wèn)控制關(guān)系配置訪(fǎng)問(wèn)控制列表（ACL），同時(shí)可以對入侵行為進(jìn)行監測報警。

在工控DMZ層與監控層的邊界設置工業(yè)單向網(wǎng)閘，防止工控DMZ層感染的病毒滲透到監控層，由于單向網(wǎng)閘采用2+1架構，可以阻斷兩個(gè)網(wǎng)絡(luò )的實(shí)時(shí)連接，防止黑客的入侵行為。

在監控層與設備控制層邊界依據業(yè)務(wù)特點(diǎn)劃分最小業(yè)務(wù)單元設置工業(yè)防火墻，由于工業(yè)防火墻采用白名單機制，可以阻斷所有非白名單的流量，同時(shí)具備BYPASS功能，可以用于要求高可用性的工控網(wǎng)絡(luò )中。監視站與服務(wù)器之間也可設置工業(yè)防火墻，實(shí)現確定性的指令級控制，由于每臺監視站的監視范圍和控制功能的不同，可以依據控制范圍和控制功能設置可監視和控制的位號的白名單，實(shí)現精準的控制防止誤操作以及人為破壞。

3.2.2 確定性的可預測行為監視

油田OICS是實(shí)時(shí)的工業(yè)控制系統，按照掃描周期完成數據的采集、數據的模數轉換、應用控制策略的執行、數據的數模轉換、控制型號的執行，因而網(wǎng)絡(luò )中的流量的大小、協(xié)議的類(lèi)型、控制的點(diǎn)位等均為確定性的。通過(guò)分析工控核心交換機的鏡像流量，結合生產(chǎn)業(yè)務(wù)關(guān)系的關(guān)聯(lián)分析，對行為建模預測性判斷，并對風(fēng)險報警。行為監測設備部署如圖3所示。

圖3 工控安全監測審計設備位置圖

主要實(shí)現以下功能：

（1）資產(chǎn)數量的確定性，對入侵設備的可預測分析；

（2）資產(chǎn)訪(fǎng)問(wèn)關(guān)系的確定性，對異常的訪(fǎng)問(wèn)行為的可預測分析；

（3）流量特征的確定性，對惡意文件、入侵的可預測分析；

（4）業(yè)務(wù)行為（組態(tài)的下載、上傳、對設備的操作）的確定性，對入侵檢測的可預測分析；

（5）變更計劃的確定性，對入侵或工控專(zhuān)有病毒（如：火焰、震網(wǎng)）研判的可預測性分析；

（6）生產(chǎn)運維計劃的確定性，對入侵等異常行為的可預測分析。

3.2.3 確定性的可預測主機加固

油田OICS的操作站、服務(wù)器、工程師站由于高可用性的要求無(wú)法安裝系統補丁及殺毒軟件，存在巨大的安全隱患，成為了病毒的中轉站，同時(shí)也是黑客入侵的主要攻擊對象。對于工控的主機防護可以采用基于白名單進(jìn)程管控的工控主機衛士來(lái)實(shí)現。

主要實(shí)現功能如下：

（1）主機進(jìn)程的確定性，惡意進(jìn)程的可預測性防護，結合業(yè)務(wù)流程阻止非預測的額外進(jìn)程運行；

（2）主機服務(wù)端口的確定性，異常行為的可預測性防護，結合相關(guān)程序的日常端口行為阻止非預期端口開(kāi)放；

（3）主機訪(fǎng)問(wèn)關(guān)系的確定性，異常訪(fǎng)問(wèn)的可預測性防護，通過(guò)流量畫(huà)像精準展示異常連接；

（4）主機運維的確定性，異常行為的可預測性發(fā)現，結合運維日志發(fā)現非預期的主機行為。

3.2.4 可視化的安全運營(yíng)

在數字油田OICS中建設了一些安全設備后，會(huì )產(chǎn)生眾多的事件和日志，為統一管理工業(yè)控制的系統設備、安全設備及日志信息，將多個(gè)設備日志信息關(guān)聯(lián)分析，需要建設一套工控安全運營(yíng)中心，此平臺與傳統管理網(wǎng)的平臺不同之處有如下幾點(diǎn)：

（1）該平臺應該能夠直接收集工業(yè)交換機及工控應用系統的信息；

（2）該平臺能夠分析工控網(wǎng)絡(luò )中的設備互聯(lián)狀況，包括流量、時(shí)間、工控協(xié)議等元素建立白名單規則，及時(shí)有效發(fā)現異常并報警；

（3）該平臺的關(guān)聯(lián)分析與傳統事件關(guān)聯(lián)分析模型不同；

（4）適應工控網(wǎng)絡(luò )的特性，工控安全運營(yíng)中心不再以日志為主要分析手段，而是采用流量行為分析為主、事件分析為輔的技術(shù)路線(xiàn)，通過(guò)安全監控、風(fēng)險分析、流量秩序監控三大方面來(lái)描述當前的安全狀況。

該平臺產(chǎn)品是面向工控環(huán)境的安全管理解決方案，結合工業(yè)控制協(xié)議的深度解析工作，實(shí)現工業(yè)控制環(huán)境下流量行為的合規審計，減輕運維人員的維護工作量，讓風(fēng)險及網(wǎng)絡(luò )行為直觀(guān)展示，讓入侵和病毒無(wú)所遁形。

4 結語(yǔ)

數字油田的OICS是油田的大腦，一旦受到破壞其影響不僅限于直觀(guān)的經(jīng)濟損失，還會(huì )直接影響普通民眾的日常生活甚至造成人員傷亡，更為嚴重的是會(huì )影響到國家的安全和社會(huì )的穩定。國外敵對勢力的破壞仍然存在，不法分子的滲透與日俱增，加強油田企業(yè)OICS的網(wǎng)絡(luò )安全防護已經(jīng)勢在必行。

作者簡(jiǎn)介：

魯玉慶（1966- ），男，山東濰坊人，高級工程師，現就職于中石化股份有限公司勝利油田分公司，研究方向為油田板塊工業(yè)控制系統及油氣生產(chǎn)信息化核心技術(shù)研究及應用。

摘自《自動(dòng)化博覽》2020年6月刊