★賈志鵬（北京貝諾電子科技發(fā)展有限公司，甘肅慶陽745100）

★崔強（中國石油長慶油田分公司第一采油廠，甘肅慶陽716000）

★余杰，周婷，宋創(chuàng)（北京貝諾電子科技發(fā)展有限公司，甘肅慶陽745100）

關(guān)鍵詞：油氣田生產(chǎn)監(jiān)控系統(tǒng)；安全分區(qū)；邊界防護；網(wǎng)絡(luò)安全監(jiān)控；終端安全加固；安全管理中心；安全運維

1 引言

油氣行業(yè)的生產(chǎn)調(diào)度通過生產(chǎn)監(jiān)控系統(tǒng)進行有效管理與控制，生產(chǎn)監(jiān)控系統(tǒng)的安全穩(wěn)定是采油采氣工作順利開展的前提，關(guān)系到國家經(jīng)濟發(fā)展，是國家重要的基礎(chǔ)設(shè)施。隨著兩化融合技術(shù)的發(fā)展，油氣田企業(yè)不斷提升生產(chǎn)技術(shù)裝備的自動化水平和運營管理手段的信息化能力，快速提升了生產(chǎn)效率，但信息互聯(lián)互通的同時也給油氣田生產(chǎn)監(jiān)控系統(tǒng)帶來了更多的網(wǎng)絡(luò)安全隱患。

油氣田企業(yè)所在的能源行業(yè)是關(guān)乎國計民生的特殊行業(yè)，而近年來針對能源行業(yè)網(wǎng)絡(luò)安全的攻擊事件頻發(fā)，對油氣田安全防護問題的重視程度也必須隨之提升。隨著相應(yīng)法律法規(guī)的發(fā)布，對油氣田安全防護提出了更高的要求，因此，如何提升油氣田生產(chǎn)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護能力，成為亟需研究解決的問題。

2 油氣田生產(chǎn)監(jiān)控系統(tǒng)存在的安全問題

通過對多個油氣田生產(chǎn)監(jiān)控系統(tǒng)調(diào)研，發(fā)現(xiàn)當(dāng)前油氣田普遍缺乏邊界防護、安全審計、入侵檢測、主機防護等安全防護措施，其安全形勢十分嚴峻，結(jié)合等級保護基本要求，典型問題總結(jié)如下：

2.1 安全技術(shù)方面的典型問題^[1]

（1）安全通信網(wǎng)絡(luò)方面

生產(chǎn)監(jiān)控系統(tǒng)與其他網(wǎng)絡(luò)區(qū)域之間未采取可靠的技術(shù)隔離手段。

（2）安全區(qū)域邊界方面

· 系統(tǒng)邊界或區(qū)域未設(shè)置嚴格的訪問控制策略及訪問控制規(guī)則；

· 關(guān)鍵網(wǎng)絡(luò)節(jié)點處未部署入侵檢測設(shè)備，未根據(jù)最小權(quán)限原則配置訪問控制策略，不能檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

· 未在安全區(qū)域配置安全審計系統(tǒng)，無法對網(wǎng)絡(luò)行為進行安全審計、記錄。

（3）安全計算環(huán)境方面

· 部分設(shè)備在遠程管理時采用http方式，未采用加密措施；

· 網(wǎng)絡(luò)設(shè)備、服務(wù)器賬戶未采用三權(quán)分立，存在賬戶共用的情況；

· 系統(tǒng)未重命名默認賬戶，未修改默認賬戶口令；

· 系統(tǒng)無登錄失敗處理功能；

· 未授予不同賬戶所需的最小權(quán)限；

· 默認共享和高危端口管理不到位；

· 主機未采取安全防護措施；

· 操作系統(tǒng)未最小化安裝，存在多余的組件或服務(wù)；

· 系統(tǒng)審計日志功能未開啟等。

（4）安全管理中心方面

缺乏安全管理中心的建設(shè)，無法對設(shè)備狀態(tài)、惡意代碼、安全審計等安全相關(guān)事項進行集中管理。

2.2 安全管理方面的典型問題

· 安全管理制度缺失；

· 安全管理機構(gòu)、人員等不完善；

· 對介質(zhì)（USB、光驅(qū)等）等運維管理不全面。

3 油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全整體解決方案

從生產(chǎn)監(jiān)控系統(tǒng)安全角度出發(fā)，以等級保護2.0為設(shè)計依據(jù)，按照“一個中心，三重防護”的原則，構(gòu)建安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境^[2]等多重防護機制，在整體上保證各種安全措施的組合從外到內(nèi)構(gòu)成一個縱深的安全防御體系。

3.1 整體方案設(shè)計思路

（1）從網(wǎng)絡(luò)邊界劃分和防護技術(shù)著手，改造網(wǎng)絡(luò)拓撲、劃分網(wǎng)絡(luò)區(qū)域、清晰網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)范網(wǎng)絡(luò)邊界，在各個邊界有層次地實施邊界防護措施，包括使用網(wǎng)閘、工業(yè)防火墻等各種隔離技術(shù)。

（2）對網(wǎng)絡(luò)流量進行監(jiān)控分析，及時檢測和發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)風(fēng)險和攻擊行為，并分析和記錄生產(chǎn)監(jiān)控系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，便于事后進行事件取證和定責(zé)。

（3）所有操作站、工程師站、服務(wù)器上通過部署工業(yè)主機安全防護軟件（白名單）對應(yīng)用程序、移動存儲介質(zhì)、特定對象完整性等進行防護，阻止非法程序的運行。同時對主機、服務(wù)器、SCADA軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等終端的賬戶、權(quán)限、口令、審計、漏洞等進行安全加固。

（4）建立安全管理中心，對安全設(shè)備進行集中管控，通過單點登錄、雙因素認證、過程審計記錄等實現(xiàn)運維過程的安全可控，此外，通過態(tài)勢感知平臺構(gòu)建工控企業(yè)級安全大數(shù)據(jù)中心，為用戶呈現(xiàn)企業(yè)內(nèi)全面的工控網(wǎng)絡(luò)態(tài)勢環(huán)境，并對網(wǎng)絡(luò)整體威脅概況提供可視化展示等。

（5）進行安全運維能力建設(shè)，指導(dǎo)油氣田公司及時、有效、有序處置網(wǎng)絡(luò)安全事件，提高應(yīng)對網(wǎng)絡(luò)安全事件能力，建立健全網(wǎng)絡(luò)安全事件應(yīng)急工作機制，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失。

3.2 安全分區(qū)與邊界防護

油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全域是指根據(jù)生產(chǎn)監(jiān)控系統(tǒng)的業(yè)務(wù)劃分、應(yīng)用的不同流程和系統(tǒng)等而劃分的不同的安全區(qū)域。根據(jù)每個安全區(qū)域業(yè)務(wù)的重要程度使用不同的安全防護手段。因此可以將整個生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)劃分為比較小的安全區(qū)域，建設(shè)基于安全區(qū)域的安全防護體系。

（1）安全分區(qū)

安全分區(qū)是工控安全防護體系的結(jié)構(gòu)基礎(chǔ)。油氣田生產(chǎn)監(jiān)控系統(tǒng)可以劃分為井場、管理區(qū)、采油廠級和公司級。

（2）邊界防護

· 在公司級與采油廠級之間部署工業(yè)網(wǎng)閘實現(xiàn)單向隔離^[3]，保證應(yīng)用數(shù)據(jù)的單向傳輸，即從采油廠向公司級的生產(chǎn)數(shù)據(jù)單向上報；

· 在采油廠級與管理區(qū)之間部署工業(yè)防火墻，滿足內(nèi)部安全區(qū)域之間的網(wǎng)絡(luò)隔離防護；

· 在各井場與管理區(qū)之間部署工業(yè)防火墻實現(xiàn)對井場生產(chǎn)監(jiān)控系統(tǒng)的安全防護；

· 無線接入應(yīng)采用自建的專用無線基站或采用邊界隔離技術(shù)和加密技術(shù)，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)^[2]。

油氣田生產(chǎn)監(jiān)控系統(tǒng)安全分區(qū)及邊界防護部署如圖1所示。

圖1 油氣田生產(chǎn)監(jiān)控系統(tǒng)安全分區(qū)及邊界防護部署圖

3.3 網(wǎng)絡(luò)安全監(jiān)控

當(dāng)生產(chǎn)監(jiān)控系統(tǒng)出現(xiàn)安全事故后很難確定是誤操作、惡意操作還是系統(tǒng)自身故障所導(dǎo)致，因此需要通過對通信流量進行檢測、對操作行為進行審計，才能從全局分析安全事件所產(chǎn)生的原因。

（1）在采油廠以及管理區(qū)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，便于及時檢測和發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)風(fēng)險和攻擊行為。

（2）在采油廠以及管理區(qū)旁路部署工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)，檢測和記錄工控系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，便于事后進行事件取證和定責(zé)。工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量（管理區(qū)系統(tǒng)與各井場之間的通信、廠級系統(tǒng)與管理區(qū)之間的通信）進行采集、監(jiān)測和分析，對流經(jīng)的數(shù)據(jù)流量進行實時解析并分析安全風(fēng)險。

油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控部署如圖2所示。

圖2 油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控部署圖

3.4 終端安全加固

（1）主機防護

生產(chǎn)監(jiān)控系統(tǒng)中會部署工程師站、操作員站等主機設(shè)備。大部分網(wǎng)絡(luò)安全威脅比如病毒以及操作人員誤操作等主要都是通過主機設(shè)備進入生產(chǎn)監(jiān)控系統(tǒng)，使之成為系統(tǒng)中潛在的風(fēng)險點。因此，必須對主機設(shè)備進行安全防護，可以通過部署主機白名單防護軟件，對應(yīng)用程序、移動存儲介質(zhì)、特定對象完整性等進行防護，阻止非法程序的運行。

（2）終端安全加固

針對終端除了部署白名單防護軟件之外，還需要進行安全加固才能滿足等級保護的要求，具體的措施主要體現(xiàn)在以下幾個方面：

· 身份鑒別：對登錄的用戶進行身份標(biāo)識和鑒別，配置登錄失敗處理功能，采用加密方式進行遠程管理等；

· 訪問控制：對登錄的用戶分配賬戶和權(quán)限，重命名或刪除默認賬戶，及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在等^[2]；

· 安全審計：啟用安全審計功能，并進行定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等，對審計進程進行保護，防止未經(jīng)授權(quán)的中斷^[2]，審計記錄保留在本地或者上傳到日志中心，且日志留存6個月以上；

· 入侵防范：遵循最小安裝的原則，關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口，對通過網(wǎng)絡(luò)進行管理的^[2]管理終端進行限制、定期進行漏洞修補等；

· 數(shù)據(jù)備份恢復(fù)：定期對重要業(yè)務(wù)數(shù)據(jù)和審計數(shù)據(jù)進行備份，重要業(yè)務(wù)數(shù)據(jù)要進行異地備份；

· 控制設(shè)備安全：PLC、RTU等控制設(shè)備開啟身份鑒別、訪問控制和安全審計功能，封閉控制設(shè)備的USB接口、串行口或多余網(wǎng)口等。

3.5 建立安全管理中心

盡管有了邊界防護、網(wǎng)絡(luò)安全監(jiān)控、終端安全加固等安全措施，但是安全設(shè)備獨立運維、無法從全局了解整體網(wǎng)絡(luò)安全狀態(tài)，會導(dǎo)致當(dāng)出現(xiàn)安全問題時需要逐一排查安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等日志和事件，極大地影響效率，因此需要建設(shè)安全管理中心來解決上述問題，具體如下：

（1）在采油廠級部署工業(yè)安全管理平臺，實現(xiàn)對工業(yè)防火墻、安全審計、主機白名單防護等分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行集中管控。

（2）采用安全運維審計技術(shù)對重要設(shè)備集中運維，實現(xiàn)集中賬號管理、認證、授權(quán)、審計，并滿足雙因素認證的要求。

（3）在公司級部署態(tài)勢感知平臺，實時匯聚生產(chǎn)網(wǎng)絡(luò)各種設(shè)備產(chǎn)生的日志告警數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)，構(gòu)建工控企業(yè)級安全大數(shù)據(jù)中心。通過對安全大數(shù)據(jù)的深度挖掘和機器學(xué)習(xí)智能的分析，為用戶呈現(xiàn)企業(yè)內(nèi)全面的工控網(wǎng)絡(luò)態(tài)勢環(huán)境，并對網(wǎng)絡(luò)整體威脅概況提供可視化展示等功能。

油氣田生產(chǎn)監(jiān)控系統(tǒng)安全管理中心建設(shè)如圖3所示。

圖3 油氣田生產(chǎn)監(jiān)控系統(tǒng)安全管理中心建設(shè)圖

3.6 安全運維能力建設(shè)

油氣田生產(chǎn)監(jiān)控系統(tǒng)的安全防護離不開日常的使用和運維，如何最大化地發(fā)揮安全設(shè)備的安全防護能力，如何面對突發(fā)的安全事件，為生產(chǎn)系統(tǒng)長期安全穩(wěn)定的運行提供持續(xù)支持，都依賴于安全運維的建設(shè)。

（1）安全規(guī)劃

從業(yè)務(wù)需求出發(fā)，結(jié)合合規(guī)性要求，提取安全需求，從策略、組織、管理、技術(shù)、資源等多方面綜合考慮，對生產(chǎn)系統(tǒng)的安全目標(biāo)、任務(wù)、措施和步驟進行整體規(guī)劃。

（2）安全設(shè)備運維

根據(jù)業(yè)務(wù)需求及變動，對安全設(shè)備策略進行更新、配置進行優(yōu)化等。

（3）安全事件管理

對安全事件提供分析及處理能力，并且依據(jù)各類各級安全事件，編制應(yīng)急預(yù)案和指導(dǎo)應(yīng)急演練。

（4）日常安全運維

依據(jù)國家和行業(yè)相關(guān)標(biāo)準，評估生產(chǎn)監(jiān)控系統(tǒng)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并進行相應(yīng)的日常安全運維，包括日志信息的備份、安全培訓(xùn)、資產(chǎn)安全分析、主機安全加固、網(wǎng)絡(luò)設(shè)備整改等。

4 油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全方案應(yīng)用

在某油氣田生產(chǎn)監(jiān)控系統(tǒng)中，由于地域范圍太廣，大部分底層井場以及站場（處理站、集輸站、計量站、中轉(zhuǎn)油庫等）的生產(chǎn)數(shù)據(jù)通過分布在生產(chǎn)區(qū)域的無線通訊裝置（如通訊鐵塔）進行匯聚（到匯聚通訊塔、中心通訊塔等），再通過光纖接入主干網(wǎng)核心交換機；部分近距離大型站場（聯(lián)合站）的生產(chǎn)數(shù)據(jù)則通過光纖直接接入主干網(wǎng)核心交換機，生產(chǎn)管理中心的生產(chǎn)監(jiān)控系統(tǒng)實時數(shù)據(jù)服務(wù)器通過核心交換機獲取相應(yīng)的生產(chǎn)數(shù)據(jù)。

根據(jù)油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全整體解決方案的思路，我們進行了網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)安全系統(tǒng)部署如圖4所示。

圖4 網(wǎng)絡(luò)安全系統(tǒng)部署圖

（1）安全分區(qū)

將生產(chǎn)監(jiān)控系統(tǒng)劃分為井場、站場、生產(chǎn)管理中心和生產(chǎn)指揮中心四個安全區(qū)域。

（2）邊界防護

在井場與生產(chǎn)管理中心之間、站場與生產(chǎn)管理中心之間，部署工業(yè)防火墻，通過白名單功能對正常通信行為學(xué)習(xí)后，生成指令級防護策略，對井場、站場與生產(chǎn)管理中心間的工控指令攻擊、控制參數(shù)修改等進行有效防護；同時在生產(chǎn)管理中心和生產(chǎn)指揮中心之間部署了工業(yè)網(wǎng)閘，僅允許實時數(shù)據(jù)庫的生產(chǎn)數(shù)據(jù)和流媒體服務(wù)器的視頻數(shù)據(jù)單向傳輸，具體到雙方的IP地址、MAC地址、端口、協(xié)議等。

（3）網(wǎng)絡(luò)安全監(jiān)控

在生產(chǎn)管理中心部署工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)和入侵檢測系統(tǒng)以及部分重要大型站場（處理站、集輸站、計量站、中轉(zhuǎn)油庫等）部署工業(yè)安全審計系統(tǒng)，實現(xiàn)生產(chǎn)監(jiān)控系統(tǒng)的運行期行為模型分析，包括已知行為模型分析（工業(yè)安全審計系統(tǒng)）和未知行為模型分析（入侵檢測系統(tǒng)）。

通過對油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)特征、設(shè)備和協(xié)議類型信息采集（如網(wǎng)絡(luò)拓撲、設(shè)備清冊、協(xié)議清冊、業(yè)務(wù)數(shù)據(jù)流等），并將其導(dǎo)入工業(yè)安全審計系統(tǒng)以及入侵檢測系統(tǒng)，可進行生產(chǎn)監(jiān)控系統(tǒng)中設(shè)備和協(xié)議脆弱性關(guān)聯(lián)分析和行為模型分析，進而實現(xiàn)系統(tǒng)的威脅影響度量分析。

（4）終端安全加固

對生產(chǎn)監(jiān)控系統(tǒng)內(nèi)工程師站、操作員站和服務(wù)器采用主機衛(wèi)士（主機白名單防護軟件）進行安全防護，僅允許上位機監(jiān)控軟件、數(shù)據(jù)庫等必要的進程運行，禁止一切未知程序和腳本的執(zhí)行，從根本上保障主機運行環(huán)境的安全。

（5）安全運維審計

在生產(chǎn)管理中心運維區(qū)域部署堡壘機，采用安全運維審計技術(shù)對服務(wù)器、網(wǎng)絡(luò)交換、網(wǎng)絡(luò)安全等設(shè)備集中運維，可以實現(xiàn)單點登錄、集中賬號管理、身份認證、資源授權(quán)、訪問控制以及操作審計等功能。

（6）集中安全管理

在生產(chǎn)管理中心部署工業(yè)安全管理平臺，對工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)以及主機衛(wèi)士等進行統(tǒng)一策略管理和實時監(jiān)控，提升對整個生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)的安全監(jiān)控和管理效率。

（7）態(tài)勢感知

在生產(chǎn)指揮中心部署態(tài)勢感知平臺，收集生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)的日志及告警信息，對多源異構(gòu)數(shù)據(jù)進行關(guān)聯(lián)和識別，發(fā)現(xiàn)潛在漏洞、預(yù)測未知攻擊，對當(dāng)前工業(yè)系統(tǒng)全局網(wǎng)絡(luò)安全狀況進行綜合分析與評估；并對惡意代碼、漏洞、攻擊方法等進行搜集、整理和分析后，與權(quán)威漏洞庫進行關(guān)聯(lián)評測，進行預(yù)警與展示，提高全局網(wǎng)絡(luò)安全防御能力。

5 方案意義

油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全整體解決方案在油氣行業(yè)領(lǐng)域具有很高的應(yīng)用價值和指導(dǎo)意義。

（1）依據(jù)國家信息安全等級保護制度結(jié)合業(yè)務(wù)情況實現(xiàn)了生產(chǎn)監(jiān)控系統(tǒng)的安全防護，滿足國家合規(guī)性要求。

（2）滿足集團公司網(wǎng)絡(luò)安全管理辦法對所屬企事業(yè)單位工控安全防護要求。

（3）提高了生產(chǎn)監(jiān)控系統(tǒng)運行穩(wěn)定性，加強了系統(tǒng)的安全管理和技術(shù)防護能力，防范黑客及惡意代碼等對生產(chǎn)監(jiān)控系統(tǒng)的攻擊及侵害，保障企業(yè)生產(chǎn)系統(tǒng)的安全穩(wěn)定運行，提高維護工作速度，提升工作效率。

6 結(jié)論

隨著工業(yè)化與信息化的深度融合，油氣田原有的生產(chǎn)監(jiān)控系統(tǒng)的封閉環(huán)境逐步被打破，網(wǎng)絡(luò)安全問題日益突出，安全威脅不斷升級。實際應(yīng)用證明，通過安全分區(qū)、邊界防護、網(wǎng)絡(luò)安全監(jiān)控、終端安全加固、安全管理中心建立等方面形成的整體解決方案，可以切實提高油氣田生產(chǎn)監(jiān)控系統(tǒng)的安全防護能力，同時通過安全運維能力的建設(shè)，可以逐步提升應(yīng)對安全威脅的能力。

然而在當(dāng)前工業(yè)互聯(lián)網(wǎng)新形勢下，隨著攻擊手段的多樣化，對安全防護技術(shù)、安全防護方案及安全運維能力提出了更高要求，需要更多的應(yīng)用來促進方案的不斷成熟。

作者簡介：

賈志鵬 （1984-），男，甘肅慶陽人，信息工程工程師，學(xué)士，現(xiàn)就職于北京貝諾電子科技發(fā)展有限公司，主要從事智能化、數(shù)字化、信息化方面的建設(shè)管理工作。

參考文獻：

[1]常季成,賈政,姜路.油田工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀與發(fā)展趨勢[J].儀器儀表標(biāo)準化與計量,2021,(2):21-25.

[2]GB/T22239-2019,信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[S].

[3]楊斌.淺談油氣田行業(yè)工控安全防御體系建設(shè)[J].通信管理與技術(shù),2021,(8):53-67.

摘自《自動化博覽》2022年7月刊