油氣勘探,是指為了摸清勘探區(qū)域內,探明石油氣儲量,從而進行的地質相關活動,主要包括:地質調查、物理勘探、油氣鉆探等活動,是油氣開采的第一道重要、關鍵環(huán)節(jié)。其中鉆井平臺是開展油氣采集活動的重要基礎設施及保障,鉆井平臺主要分為海上平臺和陸地平臺,每種平臺又可細分不同種功能平臺,本文主要講解陸地石油鉆井平臺及其工業(yè)控制系統(tǒng)安全防護解決方案。
一、鉆井平臺系統(tǒng)組成
陸地鉆井平臺一般由油罐區(qū)、泵房區(qū)、固控區(qū)、動力及電傳動區(qū)、鉆臺區(qū)以及辦公住宿區(qū)組成。?
工業(yè)控制系統(tǒng)以PLC及RTU為主,以西門子PLC居多,西門子SIMATIC 300進行系統(tǒng)集成設計。使用STEP 7軟件進行編程和調試,通過PROTOOL軟件來實現(xiàn)現(xiàn)場的可視化,通過WINCC軟件實現(xiàn)數(shù)據(jù)采集、歷史歸檔和報表打印和遠程維護功能,通過SIMATIC Software Redundancy軟件中簡單的軟件機制就可使一個發(fā)生故障的主CPU由冗余CPU接管過來實現(xiàn)冗余備份和切換。
PLC控制系統(tǒng)分別布置在電控房和司鉆室,其中電控房內包括相互冗余的CPU和多套ET200M(IO采集單元),司鉆室包含ET200M。電控房內布置有:PLC控制機柜、發(fā)電機控制機柜、整流柜、VFD柜及MCC柜。司鉆室內鉆機機電、氣、液控制集于一體,除了包含ET200M(IO采集單元)的電控柜外,還包括主控制臺和輔助控制臺,具備鉆機操作、鉆井數(shù)據(jù)實時顯示,電氣系統(tǒng)運行監(jiān)控與顯示、聲光報警、故障指示等功能。
PLC控制系統(tǒng)可以完成對多臺電機(其中包括泥漿泵電機、絞車機和轉盤電機)的運行及聯(lián)鎖控制,還包括對發(fā)電機柜、整流柜的能耗參數(shù)、狀態(tài)以及鉆臺傳感器的數(shù)據(jù)采集、控制、報警、故障顯示。在鉆探過程中,對鉆臺絞車和轉盤的可靠性、操作性要求非常高,如果絞車或轉盤發(fā)生故障,在短時間內不能修復,則有可能造成井壁坍塌的大事故,因而系統(tǒng)多為冗余結構。?
隨著油氣鉆探技術的不斷升級,我國鉆井技術從人工機械化鉆井發(fā)展到自動化鉆井,自動化水平越來越高,集成度、可操作性、安全性也越來越高。十二五規(guī)劃以來,我國幾大石油集團對石油鉆探技術提出新的要求,更加高效的石油勘探技術被廣泛應用,勘探設計要求能夠實時掌握現(xiàn)場生產情況,這就需要將各個鉆探隊伍現(xiàn)場設備、井場相關生產數(shù)據(jù)傳輸至中心,進行統(tǒng)一調度指揮和監(jiān)測。由于井場數(shù)量龐大、分布廣泛,都需要接入調度中心,這對工業(yè)控制系統(tǒng)網絡提出新的挑戰(zhàn),在網絡建設過程當中必須要考慮互聯(lián)所帶來的網絡安全、管理歸屬、運維保障等安全問題。
網絡運行安全是網絡安全的重心,關鍵信息基礎設施安全則是重中之重,與國家安全、社會公共利益以及個人利益息息相關。為此《中華人民共和國網絡安全法》強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有主要的安全保護義務。
石油化工行業(yè)企業(yè)也相繼推出企業(yè)工控相關政策和要求,如企業(yè)應定期開展工控系統(tǒng)安全風險評估,制定可行的安全防護策略,總結防護經驗,完善防護措施,提升防御水平,及時定級,及時向有關部門備案。
二、安全需求分析
依據(jù)目前鉆探工控系統(tǒng)網絡安全現(xiàn)狀,在生產系統(tǒng)網絡安全建設項目時,所采用的安全產品應為國內安全廠家自主開發(fā)產品,符合國家安全產品相關規(guī)定及安全要求。安全防護效果應能夠滿足國家政策法規(guī)及各級主管單位的相關要求,具體安全需求如下:
2.1 一般要求
應符合GB 17859、GB/T 22240的要求,應遵循信息安全等級保護二級的要求(按照等級保護2.0版本)。
參照中國石油油氣生產物聯(lián)網系統(tǒng)應符合油商密二級的要求。
2.2 物理與設備安全
1.2.1 在集團公司、勘探設計公司和作業(yè)隊分布部署的工業(yè)控制系統(tǒng)設備機房,應符合Q/SY1336中的建設規(guī)定,各級部署如下:
a)? 在集團公司部署的設備機房,宜按照A級數(shù)據(jù)中心機房要求建設或整改。
b)? 在勘探設計公司部署的設備機房,宜按照B級數(shù)據(jù)中心機房要求建設或整改。
1.2.2 室外設備安全應滿足以下要求:
a) 主要儀器儀表應加裝安全防護箱,箱體材料應選用不易生銹、耐磨損的材料,并具有一定承重能力。
b) 重點井、重點地區(qū)、高危地區(qū)、社會敏感地區(qū)應安裝攝像頭,便于實時視頻監(jiān)測,防止設備被盜。
1.2.3 設備宜有備用電力供應。
2.3 網絡安全
2.3.1 應將油氣生產物聯(lián)網系統(tǒng)網絡的基本安全域作以下劃分:
a) 辦公網:由辦公管理系統(tǒng)和決策支持系統(tǒng)組成的計算機網絡。范圍包含總部、油氣田公司、采油采氣廠至作業(yè)區(qū)及部分重點井站。
b) 生產網:以生產控制系統(tǒng)中產生的生產數(shù)據(jù)為主要流量的專用計算機網絡。范圍主要包括各油氣田公司作業(yè)區(qū)及以下井場、站場(廠)。
2.3.2 安全域邊界防護應滿足以下要求:
a) 隔離網閘:應在生產網與辦公網之間部署隔離網閘,保證油氣生產物聯(lián)網系統(tǒng)生產網的安全,隔離網閘是生產網與辦公網數(shù)據(jù)交換的唯一通道。
b) 防火墻:應在作業(yè)區(qū)生產網核心交換機前端部署防火墻設備,以保護作業(yè)區(qū)內部核心生產網絡的安全,抵御來自無線傳輸網絡的安全威脅。
c) 入侵檢測:宜在生產網作業(yè)區(qū)核心交換機旁路部署入侵檢測設備,并能與防火墻聯(lián)動,一旦檢測到網絡攻擊行為能通知防火墻進行阻斷。
同時須滿足等保2.0中關于網絡架構、通訊審計等安全要求,工業(yè)控制系統(tǒng)內部應劃分不同的安全域,安全域之間應采用技術隔離手段;應在網絡邊界、重要網絡節(jié)點進行安全審計。
鉆井平臺工控系統(tǒng)架構單一,但網絡中生產數(shù)據(jù)、采集數(shù)據(jù)、辦公數(shù)據(jù)、視頻數(shù)據(jù)融合,通過光纖或無線傳輸至調度中心,需要將數(shù)據(jù)業(yè)務進行分離。
鉆井平臺工控系統(tǒng)內應增加安全審計設備,可以對網絡中的攻擊行為、數(shù)據(jù)流量、重要操作等進行監(jiān)測審計,一旦出現(xiàn)安全事故無法進行事后審計。
鉆井平臺工控系統(tǒng)內應增加威脅檢測設備,識別和檢測信息管理大區(qū)的惡意代碼入侵和網絡攻擊行為,確??刂葡到y(tǒng)不易受到惡意代碼和惡意的網絡攻擊的破壞。
2.4 操作終端安全
操作終端安全應滿足以下要求:
a) 宜充分利用已部署的終端安全管理平臺,實現(xiàn)對油氣生產物聯(lián)網系統(tǒng)中的管理終端和用戶終端的安全性檢查,包括終端安全登錄、操作系統(tǒng)進程管理和設備接入認證等。
b) 宜為操作終端安裝防病毒軟件,提供病毒、木馬和蠕蟲查殺功能。
c) 同時還需滿足等保2.0中關于設備和計算安全通用安全要求+擴展要求,如安全審計要求:應對用戶操作行為和網絡安全事件進行審計。
鉆井平臺工控系統(tǒng)網絡中的服務器、工程師站和操作員站使用微軟windows操作系統(tǒng),由于生產控制網絡的封閉及控制系統(tǒng)對業(yè)務實時性要求較高,無法進行正常的系統(tǒng)漏洞升級操作,導致使用的微軟操作系統(tǒng)存在大量安全漏洞,“不法分子”可以利用操作系統(tǒng)的漏洞更加容易對操作系統(tǒng)進行攻擊。
鉆井平臺工控系統(tǒng)內工控主機沒有安裝任何殺毒軟件,或者安裝殺毒軟件但限于工業(yè)網絡現(xiàn)狀長期沒有進行代碼更新,缺少惡意代碼防護功能,一旦受到惡意代碼攻擊或感染,容易導致工業(yè)控制系統(tǒng)受到安全威脅,引發(fā)運行事故,造成人員財產損失。工控主機應安裝基于白名單的防護軟件。
鉆井平臺工控系統(tǒng)內的工控主機可以通過移動U盤等介質,移動介質可能在管理網和生產網之間交叉使用,難免會感染病毒或惡意代碼,進而導致上位機被攻擊,引發(fā)安全風險。應對外設計口進行移動介質授權管理。
2.5 應用系統(tǒng)用戶管理及身份認證
a) 應利用“用戶身份管理與訪問控制系統(tǒng)”,為生產管理子系統(tǒng)辦公網用戶提供用戶管理及身份認證服務。
b) 宜采用組態(tài)的用戶名密碼認證功能,為數(shù)據(jù)采集與監(jiān)控子系統(tǒng)生產網用戶提供用戶管理和身份認證服務。
c) 同時須滿足等保2.0中應用和數(shù)據(jù)安全的通用安全要求,安全審計要求。
根據(jù)ICS-CERT和CNVD權威統(tǒng)計,目前常用的工業(yè)控制軟件(如wincc、wonderware、ifix等),均或多或少存在安全漏洞,限于工廠實際情況又難以及時更新補丁,漏洞一旦被利用將導致安全事故。工業(yè)軟件的維護不應過多依靠供應商,不能為了維護方便,采用默認配置和默認口令。
鉆井平臺工控系統(tǒng)內的網絡設備、服務器、工程師站、操作員站等設備尚未具備日志審計功能且未統(tǒng)一留存,無法及時發(fā)現(xiàn)網絡威脅或違規(guī)行為,可能導致系統(tǒng)運行異常。
2.6 無線傳輸數(shù)據(jù)安全
a) 長距離無線傳輸(偏遠井站RTU到有線接入點)數(shù)據(jù)安全基于信元和信道兩方面進行規(guī)范:
b) 信元加密:對于有特定需求的油氣田公司的重點特殊區(qū)域可部署安裝信元加密設備。
2.7 工控安全管理需求
除了采用安全技術措施防護安全威脅外,安全管理制度也是必不可或缺的手段,所謂“三分技術,七分管理”就是這個道理。安全技術措施和安全管理措施可以相互補充,共同構建全面、有效的信息安全保障體系。
管理層主要考慮如下方面的內容:
? 梳理信息安全架構,完善工控安全管理組織體系;
? 收集行業(yè)規(guī)范,完善企業(yè)工控安全管理制度,制定針對性指導方針;
? 加強行業(yè)專業(yè)化人員安全管理、持續(xù)推進技術培訓;
? 規(guī)范工控安全系統(tǒng)建設管理體系,制定全生命周期管理策略;
? 規(guī)范工控系統(tǒng)運維管理建設,加強技術、產品、人員投入,提升運維管理水平。
三、網絡安全防護建議
根據(jù)鉆井平臺工業(yè)控制系統(tǒng)網絡安全現(xiàn)狀,結合工控系統(tǒng)運行環(huán)境相對穩(wěn)定、固化,系統(tǒng)更新頻率較低的特點。采用基于“白名單”機制的工業(yè)控制系統(tǒng)工控安全“白環(huán)境”解決方案,通過對工控網絡邊界、網絡流量、工程師站工作狀態(tài)等進行監(jiān)控,收集并分析工控網絡數(shù)據(jù)及軟件運行狀態(tài),建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型,構筑“三位一體”白名單解決方案,確保
? 只有可信任的設備,才能接入工控網絡
? 只有可信任的消息,才能在工控網絡上傳輸
? 只有可信任的軟件,才允許被執(zhí)行
工業(yè)控制系統(tǒng)安全建設依據(jù)“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的原則進行建設。
?“安全分區(qū)”:根據(jù)生產過程,將生產相關配套工業(yè)控制系統(tǒng)進行縱向分區(qū)、橫向分域,規(guī)范網絡架構,杜絕私搭亂建行為。
“縱深防護”:結合安全區(qū)、安全域劃分結果,在制定區(qū)、域邊界防護措施的同時,也要在安全區(qū)、安全域內部關鍵網絡節(jié)點、關鍵設備部署異常行為、惡意代碼的檢測和防護措施,真正做到縱向到底、橫向到邊的全域防護。
“集中管理”:針對各安全區(qū)、安全域的防護措施、檢測及審計措施建立統(tǒng)一的、分級的監(jiān)控系統(tǒng),統(tǒng)一監(jiān)控PLC系統(tǒng)的的安全狀況。將安全風險進行集中的展示,以風險等級的方式給出不同工業(yè)控制系統(tǒng)的安全風險級別,全面了解并掌握系統(tǒng)安全動態(tài)。識全局、統(tǒng)籌管理、真正做到工控安全全域感知。
“白環(huán)境”解決方案能夠保障工業(yè)控制系統(tǒng)安全穩(wěn)定運行,安全建設內容符合相關標準的要求,可以順利通過等級保保護測評機構測評和相關部門的信息安全檢查。
3.1 網絡和通訊安全
1) 邊界物理隔離
參考中石油相關項目建設成功案例,安全防護重點考慮工業(yè)控制系統(tǒng)安全,因此,將工業(yè)控制系統(tǒng)與其他業(yè)務進行剝離。并通過工業(yè)網閘進行物理隔離,工業(yè)控制系統(tǒng)生產數(shù)據(jù)只與調度中心井場生產數(shù)據(jù)服務器進行單向通訊。
在不同級別安全域之間——“生產控制網”與“調度中心網”之間采用更加安全的物理隔離方法,部署工業(yè)單向OPC網閘,實現(xiàn)數(shù)據(jù)的單向導通。
2) 區(qū)域安全防護
針對生產網工業(yè)控制系統(tǒng)所面臨的安全風險,在遠程調度指揮中心與井場之間,部署工業(yè)防火墻實現(xiàn)邊界防護,阻止調度指揮中心和生產井場網絡之間的非法訪問和攻擊。
工業(yè)防火墻,用于不同工藝單元邊界之間隔離,因此對于控制系統(tǒng)本身的穩(wěn)定運行沒有任何影響,不存在與系統(tǒng)兼容性問題,主要對區(qū)域間工業(yè)通訊協(xié)議進行重點防護。
如果將來控制系統(tǒng)升級或更換,只需對其進行策略調整即可。
3) 入侵檢測
入侵檢測系統(tǒng)采用旁路部署方式,能夠實時檢測數(shù)千種網絡攻擊行為,有效的為網絡邊界提供全景的網絡安全攻擊感知能力,使其詳細的掌握工業(yè)環(huán)網中的安全情況。
4) 安全審計
在企業(yè)生產網部署工控安全審計產品,實現(xiàn)網絡的3大審計檢測功能,即網絡通訊行為審計、網絡操作行為審計和無流量監(jiān)測,可為網絡安全事件提供追溯。
部署工控安全監(jiān)測與審計系統(tǒng),采用交換機旁路方式收集網絡通訊數(shù)據(jù),建立網絡通訊行為白名單,從而發(fā)現(xiàn)違反白名單策略的行為。
在控制網交換機部署工控安全監(jiān)測與審計系統(tǒng),鏡像控制網流經此交換機的所有數(shù)據(jù),審計數(shù)據(jù)向集中管理平臺集中匯報,由平臺進行集中管理,統(tǒng)一收集網絡日志,通過建模分析當前網絡安全狀態(tài),為管理員提供可視化的操作行為、異常波動、告警信息,做到事前監(jiān)控,事后可追溯原因。
3.2 設備和計算安全
部署工控主機衛(wèi)士對系統(tǒng)內主機進行防護,主機衛(wèi)士采用“白名單”管理技術,通過對數(shù)據(jù)采集和分析,其內置智能學習模塊會自動生成工業(yè)控制軟件正常行為的白名單,與現(xiàn)網中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征,其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警,以此避免主機網絡受到未知漏洞威脅,同時還可以有效的阻止操作人員異常操作帶來的危害。
主機安全防護軟件基于應用程序白名單技術,其主要作用是對主機現(xiàn)有運行環(huán)境做指紋識別,它不同于病毒軟件不會刪除任何文件和進程,更不會存在誤殺的可能。介于工業(yè)環(huán)境下工控主機相對穩(wěn)定的現(xiàn)狀,對其防護的重點在于保護現(xiàn)有狀態(tài)的安全穩(wěn)定運行,白名單技術不僅不會干擾主機進程及專用軟件的正常通訊,還可以從源頭截斷病毒爆發(fā)的環(huán)境。其對工業(yè)專用軟件和主機沒有型號和廠家限制,也不存在兼容性問題。對于不屬于白名單的程序只會進行攔截并產生告警,告警信息可以上傳到集中管理平臺,同時配合配套的安全授權U盤(存儲空間在16G左右,可以滿足大部分臨時數(shù)據(jù)的安全擺渡,對于更大容量的數(shù)據(jù)則采用光盤讀取),實現(xiàn)移動端口的管控,這些信息都可以在集中管理平臺看到。
3.3 應用和數(shù)據(jù)安全
由于鉆井平臺對生產網絡主機的管理相對比較嚴格,但由于數(shù)量龐大且分布分散,更是對于工程師站等關鍵部位無法做到絕對隔離,在調度管理中心網部署運維管理平臺,實現(xiàn)生產網主機的安全管控及權限管理。
井場生產網絡的上位機、工程師站、操作員站、服務器、網絡設備、安全設備,并且存在遠程編程組態(tài)需求(西門子TC35?Terminal?GSM調制解調器),面對數(shù)量如此眾多且分散分布的設備,如何高效、安全的進行統(tǒng)一管理就是一個問題,設備資產管理不善也會帶來一定的工控安全隱患,尤其是在使用遠程維護VPN通道時,沒有運維操作審計,將會給生產網絡安全帶來極大隱患,為確保生產網絡的運維管理滿足等級保護的身份鑒別、訪問控制、安全審計的相關要求,需要在生產網絡旁路部署運維管理平臺,實現(xiàn)運行維護管理的身份鑒別、訪問控制和安全審計。
3.4 集中管理
借鑒 “一個中心、三重防護”的縱深防御模型。采用“一個中心、三重發(fā)現(xiàn)”的建設理念,其中一個中心是指生產安全集中監(jiān)測平臺,三重發(fā)現(xiàn)是指在SCADA網絡,發(fā)現(xiàn)網絡區(qū)域邊界、網絡通信、計算環(huán)境安全問題的能力。生產安全集中監(jiān)測平臺通過報警防護反饋給調度中心,對SCADA系統(tǒng)安全防護進行監(jiān)督。
生產安全集中監(jiān)測平臺部署在網絡核心交換機上,旁路部署方式,負責非法外聯(lián)監(jiān)測、異常攻擊監(jiān)測、安全合規(guī)監(jiān)測、惡意代碼監(jiān)測、設備運行狀態(tài)監(jiān)測、網絡異常訪問監(jiān)測、非法程序啟動監(jiān)測、主機非法外聯(lián)監(jiān)測等內容。
通過對被監(jiān)測對象流量、日志、告警的收集,通過多樣的標準接口方式把數(shù)據(jù)上送至數(shù)據(jù)存儲和分析層,基于對原始安全數(shù)據(jù)的整合、分析支撐上層應用服務如風險分析、異常檢測等,最終實現(xiàn)對全網整體安全態(tài)勢的可視化展示、安全預警及知識庫管理。
四、小結
石油氣資源作為不可再生資源,已成為世界各國的戰(zhàn)略性資源。各國進一步升級石油開采技術的同時,也在積極加強石油氣開采生產網絡的安全防護建設。世界各國信息安全廠商已將目標集聚SCADA系統(tǒng)安全,如以色列8200部隊前管理人員所創(chuàng)建的Claroty公司,以色列國防子公司Cyberbit等。
世界網絡安全強國的發(fā)展歷程及思維,對我國關鍵基礎信息設施網絡安全強國建設,具有重要的思考和借鑒意義。作為國內業(yè)界具有一定影響力的專業(yè)工控安全企業(yè),通過幾年的技術積累,對我國網絡安全產業(yè)總體態(tài)勢的研究,結合行業(yè)的實際需求,研發(fā)出多款針對性安全產品,在吸收國內外安全產品先進經驗的同時,積極創(chuàng)新發(fā)展,實現(xiàn)行業(yè)彎道超車。
作為工業(yè)網絡安全服務商,迄今已服務電力、石油、軌交、制造、燃氣、水務、煙草、煤炭、科研機構等領域的數(shù)十家客戶。在石油化工領域三中科技將繼續(xù)為保障“奉獻能源,創(chuàng)造和諧”提供堅實的網絡安全原動力。
版權所有:鄭州三中網安科技有限公司 豫ICP備2020036495號-1 ?? | 豫公網安備 41019702002241號 | 站點地圖 | 人才招聘 | 聯(lián)系我們 |