技術分享 | 油氣勘探鉆井平臺工業(yè)控制系統(tǒng)安全解決方案
油氣勘探���,是指為了摸清勘探區(qū)域內,探明石油氣儲量���,從而進行的地質相關活動,主要包括:地質調查���、物理勘探���、油氣鉆探等活動���,是油氣開采的第一道重要���、關鍵環(huán)節(jié)���。其中鉆井平臺是開展油氣采集活動的重要基礎設施及保障���,鉆井平臺主要分為海上平臺和陸地平臺���,每種平臺又可細分不同種功能平臺,本文主要講解陸地石油鉆井平臺及其工業(yè)控制系統(tǒng)安全防護解決方案。
陸地鉆井平臺一般由油罐區(qū)、泵房區(qū)、固控區(qū)���、動力及電傳動區(qū)、鉆臺區(qū)以及辦公住宿區(qū)組成。?
工業(yè)控制系統(tǒng)以PLC及RTU為主,以西門子PLC居多,西門子SIMATIC 300進行系統(tǒng)集成設計���。使用STEP 7軟件進行編程和調試���,通過PROTOOL軟件來實現(xiàn)現(xiàn)場的可視化���,通過WINCC軟件實現(xiàn)數(shù)據(jù)采集、歷史歸檔和報表打印和遠程維護功能,通過SIMATIC Software Redundancy軟件中簡單的軟件機制就可使一個發(fā)生故障的主CPU由冗余CPU接管過來實現(xiàn)冗余備份和切換���。
PLC控制系統(tǒng)分別布置在電控房和司鉆室,其中電控房內包括相互冗余的CPU和多套ET200M(IO采集單元),司鉆室包含ET200M���。電控房內布置有:PLC控制機柜、發(fā)電機控制機柜、整流柜���、VFD柜及MCC柜���。司鉆室內鉆機機電���、氣���、液控制集于一體���,除了包含ET200M(IO采集單元)的電控柜外���,還包括主控制臺和輔助控制臺,具備鉆機操作���、鉆井數(shù)據(jù)實時顯示,電氣系統(tǒng)運行監(jiān)控與顯示���、聲光報警、故障指示等功能���。
PLC控制系統(tǒng)可以完成對多臺電機(其中包括泥漿泵電機、絞車機和轉盤電機)的運行及聯(lián)鎖控制���,還包括對發(fā)電機柜、整流柜的能耗參數(shù)���、狀態(tài)以及鉆臺傳感器的數(shù)據(jù)采集、控制���、報警���、故障顯示���。在鉆探過程中���,對鉆臺絞車和轉盤的可靠性���、操作性要求非常高,如果絞車或轉盤發(fā)生故障���,在短時間內不能修復,則有可能造成井壁坍塌的大事故���,因而系統(tǒng)多為冗余結構���。?
隨著油氣鉆探技術的不斷升級���,我國鉆井技術從人工機械化鉆井發(fā)展到自動化鉆井,自動化水平越來越高���,集成度���、可操作性���、安全性也越來越高���。十二五規(guī)劃以來,我國幾大石油集團對石油鉆探技術提出新的要求���,更加高效的石油勘探技術被廣泛應用,勘探設計要求能夠實時掌握現(xiàn)場生產情況���,這就需要將各個鉆探隊伍現(xiàn)場設備、井場相關生產數(shù)據(jù)傳輸至中心���,進行統(tǒng)一調度指揮和監(jiān)測。由于井場數(shù)量龐大、分布廣泛���,都需要接入調度中心,這對工業(yè)控制系統(tǒng)網絡提出新的挑戰(zhàn),在網絡建設過程當中必須要考慮互聯(lián)所帶來的網絡安全���、管理歸屬���、運維保障等安全問題���。
網絡運行安全是網絡安全的重心���,關鍵信息基礎設施安全則是重中之重���,與國家安全���、社會公共利益以及個人利益息息相關���。為此《中華人民共和國網絡安全法》強調在網絡安全等級保護制度的基礎上���,對關鍵信息基礎設施實行重點保護���,明確關鍵信息基礎設施的運營者負有主要的安全保護義務。
石油化工行業(yè)企業(yè)也相繼推出企業(yè)工控相關政策和要求���,如企業(yè)應定期開展工控系統(tǒng)安全風險評估,制定可行的安全防護策略���,總結防護經驗,完善防護措施���,提升防御水平,及時定級���,及時向有關部門備案���。
依據(jù)目前鉆探工控系統(tǒng)網絡安全現(xiàn)狀���,在生產系統(tǒng)網絡安全建設項目時���,所采用的安全產品應為國內安全廠家自主開發(fā)產品���,符合國家安全產品相關規(guī)定及安全要求���。安全防護效果應能夠滿足國家政策法規(guī)及各級主管單位的相關要求���,具體安全需求如下:
2.1 一般要求
應符合GB 17859���、GB/T 22240的要求���,應遵循信息安全等級保護二級的要求(按照等級保護2.0版本)���。
參照中國石油油氣生產物聯(lián)網系統(tǒng)應符合油商密二級的要求。
2.2 物理與設備安全
1.2.1 在集團公司���、勘探設計公司和作業(yè)隊分布部署的工業(yè)控制系統(tǒng)設備機房���,應符合Q/SY1336中的建設規(guī)定���,各級部署如下:
a)? 在集團公司部署的設備機房���,宜按照A級數(shù)據(jù)中心機房要求建設或整改���。
b)? 在勘探設計公司部署的設備機房���,宜按照B級數(shù)據(jù)中心機房要求建設或整改���。
1.2.2 室外設備安全應滿足以下要求:
a) 主要儀器儀表應加裝安全防護箱���,箱體材料應選用不易生銹���、耐磨損的材料���,并具有一定承重能力���。
b) 重點井���、重點地區(qū)���、高危地區(qū)���、社會敏感地區(qū)應安裝攝像頭���,便于實時視頻監(jiān)測���,防止設備被盜。
1.2.3 設備宜有備用電力供應���。
2.3 網絡安全
2.3.1 應將油氣生產物聯(lián)網系統(tǒng)網絡的基本安全域作以下劃分:
a) 辦公網:由辦公管理系統(tǒng)和決策支持系統(tǒng)組成的計算機網絡。范圍包含總部、油氣田公司、采油采氣廠至作業(yè)區(qū)及部分重點井站���。
b) 生產網:以生產控制系統(tǒng)中產生的生產數(shù)據(jù)為主要流量的專用計算機網絡。范圍主要包括各油氣田公司作業(yè)區(qū)及以下井場���、站場(廠)���。
2.3.2 安全域邊界防護應滿足以下要求:
a) 隔離網閘:應在生產網與辦公網之間部署隔離網閘���,保證油氣生產物聯(lián)網系統(tǒng)生產網的安全,隔離網閘是生產網與辦公網數(shù)據(jù)交換的唯一通道。
b) 防火墻:應在作業(yè)區(qū)生產網核心交換機前端部署防火墻設備���,以保護作業(yè)區(qū)內部核心生產網絡的安全,抵御來自無線傳輸網絡的安全威脅。
c) 入侵檢測:宜在生產網作業(yè)區(qū)核心交換機旁路部署入侵檢測設備���,并能與防火墻聯(lián)動���,一旦檢測到網絡攻擊行為能通知防火墻進行阻斷���。
同時須滿足等保2.0中關于網絡架構���、通訊審計等安全要求,工業(yè)控制系統(tǒng)內部應劃分不同的安全域,安全域之間應采用技術隔離手段;應在網絡邊界、重要網絡節(jié)點進行安全審計。
鉆井平臺工控系統(tǒng)架構單一���,但網絡中生產數(shù)據(jù)���、采集數(shù)據(jù)、辦公數(shù)據(jù)���、視頻數(shù)據(jù)融合���,通過光纖或無線傳輸至調度中心���,需要將數(shù)據(jù)業(yè)務進行分離���。
鉆井平臺工控系統(tǒng)內應增加安全審計設備���,可以對網絡中的攻擊行為���、數(shù)據(jù)流量���、重要操作等進行監(jiān)測審計���,一旦出現(xiàn)安全事故無法進行事后審計���。
鉆井平臺工控系統(tǒng)內應增加威脅檢測設備���,識別和檢測信息管理大區(qū)的惡意代碼入侵和網絡攻擊行為���,確?��?刂葡到y(tǒng)不易受到惡意代碼和惡意的網絡攻擊的破壞���。
2.4 操作終端安全
操作終端安全應滿足以下要求:
a) 宜充分利用已部署的終端安全管理平臺���,實現(xiàn)對油氣生產物聯(lián)網系統(tǒng)中的管理終端和用戶終端的安全性檢查���,包括終端安全登錄���、操作系統(tǒng)進程管理和設備接入認證等。
b) 宜為操作終端安裝防病毒軟件���,提供病毒、木馬和蠕蟲查殺功能���。
c) 同時還需滿足等保2.0中關于設備和計算安全通用安全要求+擴展要求,如安全審計要求:應對用戶操作行為和網絡安全事件進行審計���。
鉆井平臺工控系統(tǒng)網絡中的服務器、工程師站和操作員站使用微軟windows操作系統(tǒng)���,由于生產控制網絡的封閉及控制系統(tǒng)對業(yè)務實時性要求較高,無法進行正常的系統(tǒng)漏洞升級操作���,導致使用的微軟操作系統(tǒng)存在大量安全漏洞,“不法分子”可以利用操作系統(tǒng)的漏洞更加容易對操作系統(tǒng)進行攻擊���。
鉆井平臺工控系統(tǒng)內工控主機沒有安裝任何殺毒軟件,或者安裝殺毒軟件但限于工業(yè)網絡現(xiàn)狀長期沒有進行代碼更新���,缺少惡意代碼防護功能,一旦受到惡意代碼攻擊或感染���,容易導致工業(yè)控制系統(tǒng)受到安全威脅,引發(fā)運行事故���,造成人員財產損失。工控主機應安裝基于白名單的防護軟件���。
鉆井平臺工控系統(tǒng)內的工控主機可以通過移動U盤等介質���,移動介質可能在管理網和生產網之間交叉使用,難免會感染病毒或惡意代碼,進而導致上位機被攻擊���,引發(fā)安全風險。應對外設計口進行移動介質授權管理���。
2.5 應用系統(tǒng)用戶管理及身份認證
a) 應利用“用戶身份管理與訪問控制系統(tǒng)”,為生產管理子系統(tǒng)辦公網用戶提供用戶管理及身份認證服務���。
b) 宜采用組態(tài)的用戶名密碼認證功能���,為數(shù)據(jù)采集與監(jiān)控子系統(tǒng)生產網用戶提供用戶管理和身份認證服務���。
c) 同時須滿足等保2.0中應用和數(shù)據(jù)安全的通用安全要求���,安全審計要求���。
根據(jù)ICS-CERT和CNVD權威統(tǒng)計���,目前常用的工業(yè)控制軟件(如wincc���、wonderware���、ifix等)���,均或多或少存在安全漏洞,限于工廠實際情況又難以及時更新補丁���,漏洞一旦被利用將導致安全事故。工業(yè)軟件的維護不應過多依靠供應商,不能為了維護方便,采用默認配置和默認口令。
鉆井平臺工控系統(tǒng)內的網絡設備���、服務器、工程師站、操作員站等設備尚未具備日志審計功能且未統(tǒng)一留存,無法及時發(fā)現(xiàn)網絡威脅或違規(guī)行為���,可能導致系統(tǒng)運行異常。
2.6 無線傳輸數(shù)據(jù)安全
a) 長距離無線傳輸(偏遠井站RTU到有線接入點)數(shù)據(jù)安全基于信元和信道兩方面進行規(guī)范:
b) 信元加密:對于有特定需求的油氣田公司的重點特殊區(qū)域可部署安裝信元加密設備。
2.7 工控安全管理需求
除了采用安全技術措施防護安全威脅外���,安全管理制度也是必不可或缺的手段���,所謂“三分技術���,七分管理”就是這個道理���。安全技術措施和安全管理措施可以相互補充,共同構建全面、有效的信息安全保障體系���。
管理層主要考慮如下方面的內容:
? 梳理信息安全架構,完善工控安全管理組織體系;
? 收集行業(yè)規(guī)范���,完善企業(yè)工控安全管理制度���,制定針對性指導方針���;
? 加強行業(yè)專業(yè)化人員安全管理、持續(xù)推進技術培訓;
? 規(guī)范工控安全系統(tǒng)建設管理體系,制定全生命周期管理策略���;
? 規(guī)范工控系統(tǒng)運維管理建設,加強技術���、產品���、人員投入���,提升運維管理水平���。
根據(jù)鉆井平臺工業(yè)控制系統(tǒng)網絡安全現(xiàn)狀���,結合工控系統(tǒng)運行環(huán)境相對穩(wěn)定���、固化���,系統(tǒng)更新頻率較低的特點���。采用基于“白名單”機制的工業(yè)控制系統(tǒng)工控安全“白環(huán)境”解決方案���,通過對工控網絡邊界���、網絡流量���、工程師站工作狀態(tài)等進行監(jiān)控���,收集并分析工控網絡數(shù)據(jù)及軟件運行狀態(tài)���,建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型���,構筑“三位一體”白名單解決方案���,確保
? 只有可信任的設備,才能接入工控網絡
? 只有可信任的消息,才能在工控網絡上傳輸
? 只有可信任的軟件���,才允許被執(zhí)行
工業(yè)控制系統(tǒng)安全建設依據(jù)“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的原則進行建設���。
?“安全分區(qū)”:根據(jù)生產過程���,將生產相關配套工業(yè)控制系統(tǒng)進行縱向分區(qū)���、橫向分域���,規(guī)范網絡架構���,杜絕私搭亂建行為。
“縱深防護”:結合安全區(qū)���、安全域劃分結果,在制定區(qū)���、域邊界防護措施的同時���,也要在安全區(qū)���、安全域內部關鍵網絡節(jié)點���、關鍵設備部署異常行為���、惡意代碼的檢測和防護措施���,真正做到縱向到底���、橫向到邊的全域防護���。
“集中管理”:針對各安全區(qū)���、安全域的防護措施���、檢測及審計措施建立統(tǒng)一的���、分級的監(jiān)控系統(tǒng),統(tǒng)一監(jiān)控PLC系統(tǒng)的的安全狀況。將安全風險進行集中的展示,以風險等級的方式給出不同工業(yè)控制系統(tǒng)的安全風險級別,全面了解并掌握系統(tǒng)安全動態(tài)���。識全局、統(tǒng)籌管理、真正做到工控安全全域感知���。
“白環(huán)境”解決方案能夠保障工業(yè)控制系統(tǒng)安全穩(wěn)定運行���,安全建設內容符合相關標準的要求���,可以順利通過等級保保護測評機構測評和相關部門的信息安全檢查���。
3.1 網絡和通訊安全
1) 邊界物理隔離
參考中石油相關項目建設成功案例���,安全防護重點考慮工業(yè)控制系統(tǒng)安全,因此���,將工業(yè)控制系統(tǒng)與其他業(yè)務進行剝離。并通過工業(yè)網閘進行物理隔離���,工業(yè)控制系統(tǒng)生產數(shù)據(jù)只與調度中心井場生產數(shù)據(jù)服務器進行單向通訊。
在不同級別安全域之間——“生產控制網”與“調度中心網”之間采用更加安全的物理隔離方法���,部署工業(yè)單向OPC網閘���,實現(xiàn)數(shù)據(jù)的單向導通���。
2) 區(qū)域安全防護
針對生產網工業(yè)控制系統(tǒng)所面臨的安全風險���,在遠程調度指揮中心與井場之間,部署工業(yè)防火墻實現(xiàn)邊界防護���,阻止調度指揮中心和生產井場網絡之間的非法訪問和攻擊。
工業(yè)防火墻���,用于不同工藝單元邊界之間隔離���,因此對于控制系統(tǒng)本身的穩(wěn)定運行沒有任何影響���,不存在與系統(tǒng)兼容性問題���,主要對區(qū)域間工業(yè)通訊協(xié)議進行重點防護���。
如果將來控制系統(tǒng)升級或更換���,只需對其進行策略調整即可���。
3) 入侵檢測
入侵檢測系統(tǒng)采用旁路部署方式���,能夠實時檢測數(shù)千種網絡攻擊行為���,有效的為網絡邊界提供全景的網絡安全攻擊感知能力���,使其詳細的掌握工業(yè)環(huán)網中的安全情況。
4) 安全審計
在企業(yè)生產網部署工控安全審計產品���,實現(xiàn)網絡的3大審計檢測功能,即網絡通訊行為審計���、網絡操作行為審計和無流量監(jiān)測,可為網絡安全事件提供追溯���。
部署工控安全監(jiān)測與審計系統(tǒng)���,采用交換機旁路方式收集網絡通訊數(shù)據(jù),建立網絡通訊行為白名單,從而發(fā)現(xiàn)違反白名單策略的行為���。
在控制網交換機部署工控安全監(jiān)測與審計系統(tǒng),鏡像控制網流經此交換機的所有數(shù)據(jù),審計數(shù)據(jù)向集中管理平臺集中匯報,由平臺進行集中管理���,統(tǒng)一收集網絡日志,通過建模分析當前網絡安全狀態(tài),為管理員提供可視化的操作行為���、異常波動、告警信息,做到事前監(jiān)控,事后可追溯原因���。
3.2 設備和計算安全
部署工控主機衛(wèi)士對系統(tǒng)內主機進行防護���,主機衛(wèi)士采用“白名單”管理技術���,通過對數(shù)據(jù)采集和分析���,其內置智能學習模塊會自動生成工業(yè)控制軟件正常行為的白名單���,與現(xiàn)網中的實時傳輸數(shù)據(jù)進行比較���、匹配���、判斷���。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征���,其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警���,以此避免主機網絡受到未知漏洞威脅,同時還可以有效的阻止操作人員異常操作帶來的危害���。
主機安全防護軟件基于應用程序白名單技術���,其主要作用是對主機現(xiàn)有運行環(huán)境做指紋識別���,它不同于病毒軟件不會刪除任何文件和進程���,更不會存在誤殺的可能���。介于工業(yè)環(huán)境下工控主機相對穩(wěn)定的現(xiàn)狀��,對其防護的重點在于保護現(xiàn)有狀態(tài)的安全穩(wěn)定運行��,白名單技術不僅不會干擾主機進程及專用軟件的正常通訊,還可以從源頭截斷病毒爆發(fā)的環(huán)境��。其對工業(yè)專用軟件和主機沒有型號和廠家限制��,也不存在兼容性問題��。對于不屬于白名單的程序只會進行攔截并產生告警,告警信息可以上傳到集中管理平臺��,同時配合配套的安全授權U盤(存儲空間在16G左右��,可以滿足大部分臨時數(shù)據(jù)的安全擺渡��,對于更大容量的數(shù)據(jù)則采用光盤讀取),實現(xiàn)移動端口的管控,這些信息都可以在集中管理平臺看到��。
3.3 應用和數(shù)據(jù)安全
由于鉆井平臺對生產網絡主機的管理相對比較嚴格��,但由于數(shù)量龐大且分布分散��,更是對于工程師站等關鍵部位無法做到絕對隔離��,在調度管理中心網部署運維管理平臺��,實現(xiàn)生產網主機的安全管控及權限管理。
井場生產網絡的上位機��、工程師站��、操作員站��、服務器、網絡設備��、安全設備��,并且存在遠程編程組態(tài)需求(西門子TC35?Terminal?GSM調制解調器)��,面對數(shù)量如此眾多且分散分布的設備,如何高效��、安全的進行統(tǒng)一管理就是一個問題��,設備資產管理不善也會帶來一定的工控安全隱患��,尤其是在使用遠程維護VPN通道時,沒有運維操作審計��,將會給生產網絡安全帶來極大隱患��,為確保生產網絡的運維管理滿足等級保護的身份鑒別��、訪問控制��、安全審計的相關要求��,需要在生產網絡旁路部署運維管理平臺,實現(xiàn)運行維護管理的身份鑒別��、訪問控制和安全審計��。
3.4 集中管理
借鑒 “一個中心��、三重防護”的縱深防御模型��。采用“一個中心、三重發(fā)現(xiàn)”的建設理念��,其中一個中心是指生產安全集中監(jiān)測平臺��,三重發(fā)現(xiàn)是指在SCADA網絡��,發(fā)現(xiàn)網絡區(qū)域邊界、網絡通信��、計算環(huán)境安全問題的能力��。生產安全集中監(jiān)測平臺通過報警防護反饋給調度中心��,對SCADA系統(tǒng)安全防護進行監(jiān)督��。
生產安全集中監(jiān)測平臺部署在網絡核心交換機上,旁路部署方式,負責非法外聯(lián)監(jiān)測��、異常攻擊監(jiān)測��、安全合規(guī)監(jiān)測��、惡意代碼監(jiān)測、設備運行狀態(tài)監(jiān)測、網絡異常訪問監(jiān)測��、非法程序啟動監(jiān)測��、主機非法外聯(lián)監(jiān)測等內容��。
通過對被監(jiān)測對象流量��、日志��、告警的收集,通過多樣的標準接口方式把數(shù)據(jù)上送至數(shù)據(jù)存儲和分析層,基于對原始安全數(shù)據(jù)的整合��、分析支撐上層應用服務如風險分析��、異常檢測等��,最終實現(xiàn)對全網整體安全態(tài)勢的可視化展示、安全預警及知識庫管理。
石油氣資源作為不可再生資源��,已成為世界各國的戰(zhàn)略性資源��。各國進一步升級石油開采技術的同時��,也在積極加強石油氣開采生產網絡的安全防護建設。世界各國信息安全廠商已將目標集聚SCADA系統(tǒng)安全,如以色列8200部隊前管理人員所創(chuàng)建的Claroty公司��,以色列國防子公司Cyberbit等��。
世界網絡安全強國的發(fā)展歷程及思維��,對我國關鍵基礎信息設施網絡安全強國建設��,具有重要的思考和借鑒意義��。作為國內業(yè)界具有一定影響力的專業(yè)工控安全企業(yè),通過幾年的技術積累,對我國網絡安全產業(yè)總體態(tài)勢的研究,結合行業(yè)的實際需求,研發(fā)出多款針對性安全產品��,在吸收國內外安全產品先進經驗的同時��,積極創(chuàng)新發(fā)展��,實現(xiàn)行業(yè)彎道超車。
作為工業(yè)網絡安全服務商��,迄今已服務電力��、石油、軌交��、制造��、燃氣��、水務、煙草��、煤炭、科研機構等領域的數(shù)十家客戶��。在石油化工領域三中科技將繼續(xù)為保障“奉獻能源��,創(chuàng)造和諧”提供堅實的網絡安全原動力��。
