技術分享 | 油氣勘探鉆井平臺工業(yè)控制系統(tǒng)安全解決方案
油氣勘探����,是指為了摸清勘探區(qū)域內,探明石油氣儲量����,從而進行的地質相關活動,主要包括:地質調查����、物理勘探、油氣鉆探等活動,是油氣開采的第一道重要����、關鍵環(huán)節(jié)。其中鉆井平臺是開展油氣采集活動的重要基礎設施及保障,鉆井平臺主要分為海上平臺和陸地平臺,每種平臺又可細分不同種功能平臺,本文主要講解陸地石油鉆井平臺及其工業(yè)控制系統(tǒng)安全防護解決方案����。
陸地鉆井平臺一般由油罐區(qū)����、泵房區(qū)����、固控區(qū)����、動力及電傳動區(qū)����、鉆臺區(qū)以及辦公住宿區(qū)組成����。?
工業(yè)控制系統(tǒng)以PLC及RTU為主,以西門子PLC居多����,西門子SIMATIC 300進行系統(tǒng)集成設計。使用STEP 7軟件進行編程和調試,通過PROTOOL軟件來實現(xiàn)現(xiàn)場的可視化����,通過WINCC軟件實現(xiàn)數據采集����、歷史歸檔和報表打印和遠程維護功能,通過SIMATIC Software Redundancy軟件中簡單的軟件機制就可使一個發(fā)生故障的主CPU由冗余CPU接管過來實現(xiàn)冗余備份和切換。
PLC控制系統(tǒng)分別布置在電控房和司鉆室����,其中電控房內包括相互冗余的CPU和多套ET200M(IO采集單元)����,司鉆室包含ET200M����。電控房內布置有:PLC控制機柜、發(fā)電機控制機柜����、整流柜����、VFD柜及MCC柜����。司鉆室內鉆機機電、氣����、液控制集于一體����,除了包含ET200M(IO采集單元)的電控柜外,還包括主控制臺和輔助控制臺����,具備鉆機操作����、鉆井數據實時顯示����,電氣系統(tǒng)運行監(jiān)控與顯示����、聲光報警、故障指示等功能。
PLC控制系統(tǒng)可以完成對多臺電機(其中包括泥漿泵電機����、絞車機和轉盤電機)的運行及聯(lián)鎖控制,還包括對發(fā)電機柜、整流柜的能耗參數����、狀態(tài)以及鉆臺傳感器的數據采集����、控制����、報警����、故障顯示。在鉆探過程中,對鉆臺絞車和轉盤的可靠性����、操作性要求非常高����,如果絞車或轉盤發(fā)生故障����,在短時間內不能修復����,則有可能造成井壁坍塌的大事故����,因而系統(tǒng)多為冗余結構。?
隨著油氣鉆探技術的不斷升級����,我國鉆井技術從人工機械化鉆井發(fā)展到自動化鉆井����,自動化水平越來越高����,集成度、可操作性、安全性也越來越高����。十二五規(guī)劃以來����,我國幾大石油集團對石油鉆探技術提出新的要求,更加高效的石油勘探技術被廣泛應用,勘探設計要求能夠實時掌握現(xiàn)場生產情況����,這就需要將各個鉆探隊伍現(xiàn)場設備����、井場相關生產數據傳輸至中心����,進行統(tǒng)一調度指揮和監(jiān)測����。由于井場數量龐大、分布廣泛����,都需要接入調度中心����,這對工業(yè)控制系統(tǒng)網絡提出新的挑戰(zhàn),在網絡建設過程當中必須要考慮互聯(lián)所帶來的網絡安全����、管理歸屬����、運維保障等安全問題。
網絡運行安全是網絡安全的重心����,關鍵信息基礎設施安全則是重中之重����,與國家安全����、社會公共利益以及個人利益息息相關����。為此《中華人民共和國網絡安全法》強調在網絡安全等級保護制度的基礎上����,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有主要的安全保護義務����。
石油化工行業(yè)企業(yè)也相繼推出企業(yè)工控相關政策和要求����,如企業(yè)應定期開展工控系統(tǒng)安全風險評估����,制定可行的安全防護策略,總結防護經驗����,完善防護措施����,提升防御水平,及時定級����,及時向有關部門備案����。
依據目前鉆探工控系統(tǒng)網絡安全現(xiàn)狀����,在生產系統(tǒng)網絡安全建設項目時,所采用的安全產品應為國內安全廠家自主開發(fā)產品����,符合國家安全產品相關規(guī)定及安全要求����。安全防護效果應能夠滿足國家政策法規(guī)及各級主管單位的相關要求����,具體安全需求如下:
2.1 一般要求
應符合GB 17859、GB/T 22240的要求,應遵循信息安全等級保護二級的要求(按照等級保護2.0版本)����。
參照中國石油油氣生產物聯(lián)網系統(tǒng)應符合油商密二級的要求����。
2.2 物理與設備安全
1.2.1 在集團公司����、勘探設計公司和作業(yè)隊分布部署的工業(yè)控制系統(tǒng)設備機房����,應符合Q/SY1336中的建設規(guī)定����,各級部署如下:
a)? 在集團公司部署的設備機房����,宜按照A級數據中心機房要求建設或整改����。
b)? 在勘探設計公司部署的設備機房����,宜按照B級數據中心機房要求建設或整改。
1.2.2 室外設備安全應滿足以下要求:
a) 主要儀器儀表應加裝安全防護箱,箱體材料應選用不易生銹����、耐磨損的材料,并具有一定承重能力����。
b) 重點井����、重點地區(qū)����、高危地區(qū)����、社會敏感地區(qū)應安裝攝像頭����,便于實時視頻監(jiān)測,防止設備被盜����。
1.2.3 設備宜有備用電力供應����。
2.3 網絡安全
2.3.1 應將油氣生產物聯(lián)網系統(tǒng)網絡的基本安全域作以下劃分:
a) 辦公網:由辦公管理系統(tǒng)和決策支持系統(tǒng)組成的計算機網絡����。范圍包含總部����、油氣田公司����、采油采氣廠至作業(yè)區(qū)及部分重點井站����。
b) 生產網:以生產控制系統(tǒng)中產生的生產數據為主要流量的專用計算機網絡。范圍主要包括各油氣田公司作業(yè)區(qū)及以下井場����、站場(廠)����。
2.3.2 安全域邊界防護應滿足以下要求:
a) 隔離網閘:應在生產網與辦公網之間部署隔離網閘,保證油氣生產物聯(lián)網系統(tǒng)生產網的安全����,隔離網閘是生產網與辦公網數據交換的唯一通道����。
b) 防火墻:應在作業(yè)區(qū)生產網核心交換機前端部署防火墻設備,以保護作業(yè)區(qū)內部核心生產網絡的安全����,抵御來自無線傳輸網絡的安全威脅����。
c) 入侵檢測:宜在生產網作業(yè)區(qū)核心交換機旁路部署入侵檢測設備����,并能與防火墻聯(lián)動����,一旦檢測到網絡攻擊行為能通知防火墻進行阻斷。
同時須滿足等保2.0中關于網絡架構、通訊審計等安全要求����,工業(yè)控制系統(tǒng)內部應劃分不同的安全域����,安全域之間應采用技術隔離手段;應在網絡邊界、重要網絡節(jié)點進行安全審計����。
鉆井平臺工控系統(tǒng)架構單一����,但網絡中生產數據、采集數據����、辦公數據����、視頻數據融合����,通過光纖或無線傳輸至調度中心,需要將數據業(yè)務進行分離。
鉆井平臺工控系統(tǒng)內應增加安全審計設備����,可以對網絡中的攻擊行為����、數據流量、重要操作等進行監(jiān)測審計����,一旦出現(xiàn)安全事故無法進行事后審計����。
鉆井平臺工控系統(tǒng)內應增加威脅檢測設備����,識別和檢測信息管理大區(qū)的惡意代碼入侵和網絡攻擊行為,確保控制系統(tǒng)不易受到惡意代碼和惡意的網絡攻擊的破壞����。
2.4 操作終端安全
操作終端安全應滿足以下要求:
a) 宜充分利用已部署的終端安全管理平臺����,實現(xiàn)對油氣生產物聯(lián)網系統(tǒng)中的管理終端和用戶終端的安全性檢查,包括終端安全登錄、操作系統(tǒng)進程管理和設備接入認證等����。
b) 宜為操作終端安裝防病毒軟件����,提供病毒����、木馬和蠕蟲查殺功能����。
c) 同時還需滿足等保2.0中關于設備和計算安全通用安全要求+擴展要求����,如安全審計要求:應對用戶操作行為和網絡安全事件進行審計。
鉆井平臺工控系統(tǒng)網絡中的服務器����、工程師站和操作員站使用微軟windows操作系統(tǒng)����,由于生產控制網絡的封閉及控制系統(tǒng)對業(yè)務實時性要求較高����,無法進行正常的系統(tǒng)漏洞升級操作����,導致使用的微軟操作系統(tǒng)存在大量安全漏洞����,“不法分子”可以利用操作系統(tǒng)的漏洞更加容易對操作系統(tǒng)進行攻擊。
鉆井平臺工控系統(tǒng)內工控主機沒有安裝任何殺毒軟件����,或者安裝殺毒軟件但限于工業(yè)網絡現(xiàn)狀長期沒有進行代碼更新,缺少惡意代碼防護功能,一旦受到惡意代碼攻擊或感染����,容易導致工業(yè)控制系統(tǒng)受到安全威脅����,引發(fā)運行事故����,造成人員財產損失����。工控主機應安裝基于白名單的防護軟件����。
鉆井平臺工控系統(tǒng)內的工控主機可以通過移動U盤等介質,移動介質可能在管理網和生產網之間交叉使用����,難免會感染病毒或惡意代碼����,進而導致上位機被攻擊����,引發(fā)安全風險����。應對外設計口進行移動介質授權管理。
2.5 應用系統(tǒng)用戶管理及身份認證
a) 應利用“用戶身份管理與訪問控制系統(tǒng)”����,為生產管理子系統(tǒng)辦公網用戶提供用戶管理及身份認證服務。
b) 宜采用組態(tài)的用戶名密碼認證功能,為數據采集與監(jiān)控子系統(tǒng)生產網用戶提供用戶管理和身份認證服務����。
c) 同時須滿足等保2.0中應用和數據安全的通用安全要求����,安全審計要求����。
根據ICS-CERT和CNVD權威統(tǒng)計����,目前常用的工業(yè)控制軟件(如wincc、wonderware、ifix等)����,均或多或少存在安全漏洞����,限于工廠實際情況又難以及時更新補丁����,漏洞一旦被利用將導致安全事故����。工業(yè)軟件的維護不應過多依靠供應商����,不能為了維護方便����,采用默認配置和默認口令。
鉆井平臺工控系統(tǒng)內的網絡設備����、服務器����、工程師站����、操作員站等設備尚未具備日志審計功能且未統(tǒng)一留存,無法及時發(fā)現(xiàn)網絡威脅或違規(guī)行為����,可能導致系統(tǒng)運行異常����。
2.6 無線傳輸數據安全
a) 長距離無線傳輸(偏遠井站RTU到有線接入點)數據安全基于信元和信道兩方面進行規(guī)范:
b) 信元加密:對于有特定需求的油氣田公司的重點特殊區(qū)域可部署安裝信元加密設備����。
2.7 工控安全管理需求
除了采用安全技術措施防護安全威脅外,安全管理制度也是必不可或缺的手段����,所謂“三分技術����,七分管理”就是這個道理����。安全技術措施和安全管理措施可以相互補充,共同構建全面����、有效的信息安全保障體系����。
管理層主要考慮如下方面的內容:
? 梳理信息安全架構����,完善工控安全管理組織體系����;
? 收集行業(yè)規(guī)范����,完善企業(yè)工控安全管理制度����,制定針對性指導方針����;
? 加強行業(yè)專業(yè)化人員安全管理����、持續(xù)推進技術培訓����;
? 規(guī)范工控安全系統(tǒng)建設管理體系,制定全生命周期管理策略����;
? 規(guī)范工控系統(tǒng)運維管理建設����,加強技術����、產品、人員投入����,提升運維管理水平����。
根據鉆井平臺工業(yè)控制系統(tǒng)網絡安全現(xiàn)狀����,結合工控系統(tǒng)運行環(huán)境相對穩(wěn)定����、固化����,系統(tǒng)更新頻率較低的特點����。采用基于“白名單”機制的工業(yè)控制系統(tǒng)工控安全“白環(huán)境”解決方案����,通過對工控網絡邊界、網絡流量、工程師站工作狀態(tài)等進行監(jiān)控,收集并分析工控網絡數據及軟件運行狀態(tài),建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型����,構筑“三位一體”白名單解決方案����,確保
? 只有可信任的設備����,才能接入工控網絡
? 只有可信任的消息����,才能在工控網絡上傳輸
? 只有可信任的軟件,才允許被執(zhí)行
工業(yè)控制系統(tǒng)安全建設依據“安全分區(qū)����、縱深防護����、統(tǒng)一監(jiān)控”的原則進行建設。
?“安全分區(qū)”:根據生產過程����,將生產相關配套工業(yè)控制系統(tǒng)進行縱向分區(qū)����、橫向分域,規(guī)范網絡架構����,杜絕私搭亂建行為����。
“縱深防護”:結合安全區(qū)����、安全域劃分結果,在制定區(qū)����、域邊界防護措施的同時����,也要在安全區(qū)����、安全域內部關鍵網絡節(jié)點、關鍵設備部署異常行為、惡意代碼的檢測和防護措施,真正做到縱向到底����、橫向到邊的全域防護。
“集中管理”:針對各安全區(qū)、安全域的防護措施、檢測及審計措施建立統(tǒng)一的����、分級的監(jiān)控系統(tǒng)����,統(tǒng)一監(jiān)控PLC系統(tǒng)的的安全狀況。將安全風險進行集中的展示����,以風險等級的方式給出不同工業(yè)控制系統(tǒng)的安全風險級別����,全面了解并掌握系統(tǒng)安全動態(tài)����。識全局、統(tǒng)籌管理、真正做到工控安全全域感知。
“白環(huán)境”解決方案能夠保障工業(yè)控制系統(tǒng)安全穩(wěn)定運行,安全建設內容符合相關標準的要求,可以順利通過等級保保護測評機構測評和相關部門的信息安全檢查。
3.1 網絡和通訊安全
1) 邊界物理隔離
參考中石油相關項目建設成功案例,安全防護重點考慮工業(yè)控制系統(tǒng)安全,因此,將工業(yè)控制系統(tǒng)與其他業(yè)務進行剝離����。并通過工業(yè)網閘進行物理隔離����,工業(yè)控制系統(tǒng)生產數據只與調度中心井場生產數據服務器進行單向通訊。
在不同級別安全域之間——“生產控制網”與“調度中心網”之間采用更加安全的物理隔離方法,部署工業(yè)單向OPC網閘����,實現(xiàn)數據的單向導通����。
2) 區(qū)域安全防護
針對生產網工業(yè)控制系統(tǒng)所面臨的安全風險,在遠程調度指揮中心與井場之間,部署工業(yè)防火墻實現(xiàn)邊界防護,阻止調度指揮中心和生產井場網絡之間的非法訪問和攻擊。
工業(yè)防火墻����,用于不同工藝單元邊界之間隔離����,因此對于控制系統(tǒng)本身的穩(wěn)定運行沒有任何影響,不存在與系統(tǒng)兼容性問題,主要對區(qū)域間工業(yè)通訊協(xié)議進行重點防護����。
如果將來控制系統(tǒng)升級或更換����,只需對其進行策略調整即可����。
3) 入侵檢測
入侵檢測系統(tǒng)采用旁路部署方式����,能夠實時檢測數千種網絡攻擊行為,有效的為網絡邊界提供全景的網絡安全攻擊感知能力����,使其詳細的掌握工業(yè)環(huán)網中的安全情況����。
4) 安全審計
在企業(yè)生產網部署工控安全審計產品����,實現(xiàn)網絡的3大審計檢測功能����,即網絡通訊行為審計����、網絡操作行為審計和無流量監(jiān)測,可為網絡安全事件提供追溯����。
部署工控安全監(jiān)測與審計系統(tǒng)����,采用交換機旁路方式收集網絡通訊數據����,建立網絡通訊行為白名單����,從而發(fā)現(xiàn)違反白名單策略的行為����。
在控制網交換機部署工控安全監(jiān)測與審計系統(tǒng),鏡像控制網流經此交換機的所有數據����,審計數據向集中管理平臺集中匯報����,由平臺進行集中管理����,統(tǒng)一收集網絡日志,通過建模分析當前網絡安全狀態(tài)����,為管理員提供可視化的操作行為����、異常波動����、告警信息,做到事前監(jiān)控����,事后可追溯原因。
3.2 設備和計算安全
部署工控主機衛(wèi)士對系統(tǒng)內主機進行防護,主機衛(wèi)士采用“白名單”管理技術,通過對數據采集和分析����,其內置智能學習模塊會自動生成工業(yè)控制軟件正常行為的白名單����,與現(xiàn)網中的實時傳輸數據進行比較、匹配、判斷����。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征����,其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警,以此避免主機網絡受到未知漏洞威脅����,同時還可以有效的阻止操作人員異常操作帶來的危害����。
主機安全防護軟件基于應用程序白名單技術����,其主要作用是對主機現(xiàn)有運行環(huán)境做指紋識別,它不同于病毒軟件不會刪除任何文件和進程,更不會存在誤殺的可能����。介于工業(yè)環(huán)境下工控主機相對穩(wěn)定的現(xiàn)狀����,對其防護的重點在于保護現(xiàn)有狀態(tài)的安全穩(wěn)定運行����,白名單技術不僅不會干擾主機進程及專用軟件的正常通訊����,還可以從源頭截斷病毒爆發(fā)的環(huán)境。其對工業(yè)專用軟件和主機沒有型號和廠家限制����,也不存在兼容性問題。對于不屬于白名單的程序只會進行攔截并產生告警,告警信息可以上傳到集中管理平臺����,同時配合配套的安全授權U盤(存儲空間在16G左右����,可以滿足大部分臨時數據的安全擺渡,對于更大容量的數據則采用光盤讀取)����,實現(xiàn)移動端口的管控����,這些信息都可以在集中管理平臺看到����。
3.3 應用和數據安全
由于鉆井平臺對生產網絡主機的管理相對比較嚴格,但由于數量龐大且分布分散,更是對于工程師站等關鍵部位無法做到絕對隔離����,在調度管理中心網部署運維管理平臺����,實現(xiàn)生產網主機的安全管控及權限管理����。
井場生產網絡的上位機、工程師站����、操作員站����、服務器、網絡設備����、安全設備����,并且存在遠程編程組態(tài)需求(西門子TC35?Terminal?GSM調制解調器)����,面對數量如此眾多且分散分布的設備,如何高效����、安全的進行統(tǒng)一管理就是一個問題����,設備資產管理不善也會帶來一定的工控安全隱患,尤其是在使用遠程維護VPN通道時����,沒有運維操作審計,將會給生產網絡安全帶來極大隱患,為確保生產網絡的運維管理滿足等級保護的身份鑒別����、訪問控制����、安全審計的相關要求����,需要在生產網絡旁路部署運維管理平臺����,實現(xiàn)運行維護管理的身份鑒別����、訪問控制和安全審計。
3.4 集中管理
借鑒 “一個中心����、三重防護”的縱深防御模型����。采用“一個中心����、三重發(fā)現(xiàn)”的建設理念����,其中一個中心是指生產安全集中監(jiān)測平臺����,三重發(fā)現(xiàn)是指在SCADA網絡����,發(fā)現(xiàn)網絡區(qū)域邊界����、網絡通信����、計算環(huán)境安全問題的能力。生產安全集中監(jiān)測平臺通過報警防護反饋給調度中心����,對SCADA系統(tǒng)安全防護進行監(jiān)督����。
生產安全集中監(jiān)測平臺部署在網絡核心交換機上,旁路部署方式����,負責非法外聯(lián)監(jiān)測、異常攻擊監(jiān)測����、安全合規(guī)監(jiān)測����、惡意代碼監(jiān)測����、設備運行狀態(tài)監(jiān)測����、網絡異常訪問監(jiān)測����、非法程序啟動監(jiān)測����、主機非法外聯(lián)監(jiān)測等內容����。
通過對被監(jiān)測對象流量����、日志����、告警的收集����,通過多樣的標準接口方式把數據上送至數據存儲和分析層����,基于對原始安全數據的整合����、分析支撐上層應用服務如風險分析����、異常檢測等,最終實現(xiàn)對全網整體安全態(tài)勢的可視化展示、安全預警及知識庫管理����。
石油氣資源作為不可再生資源����,已成為世界各國的戰(zhàn)略性資源。各國進一步升級石油開采技術的同時����,也在積極加強石油氣開采生產網絡的安全防護建設。世界各國信息安全廠商已將目標集聚SCADA系統(tǒng)安全����,如以色列8200部隊前管理人員所創(chuàng)建的Claroty公司����,以色列國防子公司Cyberbit等。
世界網絡安全強國的發(fā)展歷程及思維����,對我國關鍵基礎信息設施網絡安全強國建設,具有重要的思考和借鑒意義����。作為國內業(yè)界具有一定影響力的專業(yè)工控安全企業(yè)����,通過幾年的技術積累����,對我國網絡安全產業(yè)總體態(tài)勢的研究����,結合行業(yè)的實際需求����,研發(fā)出多款針對性安全產品,在吸收國內外安全產品先進經驗的同時,積極創(chuàng)新發(fā)展����,實現(xiàn)行業(yè)彎道超車����。
作為工業(yè)網絡安全服務商,迄今已服務電力、石油、軌交����、制造����、燃氣����、水務����、煙草����、煤炭、科研機構等領域的數十家客戶。在石油化工領域三中科技將繼續(xù)為保障“奉獻能源,創(chuàng)造和諧”提供堅實的網絡安全原動力����。
