海上石油氣開(kāi)采相對(duì)于陸地開(kāi)采其技術(shù)難度相對(duì)較大，由于環(huán)境的限制，不同于陸地的單井、計(jì)量間、聯(lián)合站、處理廠(chǎng)等，其主要通過(guò)海上石油平臺(tái)進(jìn)行開(kāi)采作業(yè)，這些平臺(tái)往往兼具了鉆井、采油、處理、存儲(chǔ)、輸送、辦公、生活等功能，因此也被稱(chēng)為移動(dòng)城堡。其主要包括井口平臺(tái)、中心平臺(tái)、FPSO等，通過(guò)海底管道、光纜與陸地生產(chǎn)中心相連，網(wǎng)絡(luò)通訊主要以光纖、微波為主。

1 海上平臺(tái)系統(tǒng)組成

海上石油平臺(tái)主要由工藝控制系統(tǒng)（PROCESS CONTROL SYSTEM，簡(jiǎn)稱(chēng)PCS）、緊急關(guān)斷系統(tǒng)（EMERGENCY SHUTDOWN SYSTEM，簡(jiǎn)稱(chēng)ESD）和火氣探測(cè)及消防系統(tǒng)（FIRE&GAS SYSTEM，簡(jiǎn)稱(chēng)F&G）組成。工藝控制系統(tǒng)一般設(shè)有多個(gè)遠(yuǎn)程I/O柜， ESD和F&G為兩套相對(duì)獨(dú)立的系統(tǒng)，可達(dá)到SIL3的級(jí)別。

PCS及ESD和F&G通過(guò)各自網(wǎng)絡(luò)獨(dú)立的光電轉(zhuǎn)換器和海底光纖芯線(xiàn)傳輸至CEP中控系統(tǒng)相應(yīng)的PCS及ESD和F&G系統(tǒng)。陸上終端中控室內(nèi)設(shè)有一套獨(dú)立于陸地終端控制系統(tǒng)的海上生產(chǎn)監(jiān)控系統(tǒng)PCS，用于臺(tái)風(fēng)狀態(tài)、海上操作人員撤離平臺(tái)的情況下、對(duì)平臺(tái)實(shí)施監(jiān)測(cè)和遙控關(guān)斷。設(shè)有冗余的I/O卡件，通過(guò)衛(wèi)星與海上通訊，通過(guò)陸上光纖與地區(qū)中心控制站通訊。

工藝控制系統(tǒng)多采用EMERSON公司的Delta V系統(tǒng)，霍尼韋爾系統(tǒng)，ABB系統(tǒng)、西門(mén)子系統(tǒng)等。ESD系統(tǒng)以康吉森、ABB、HIMA等為主。

2 關(guān)鍵業(yè)務(wù)挑戰(zhàn)

隨著信息化與工業(yè)化深度融合，數(shù)字海油、互聯(lián)海油、智慧海油的不斷建設(shè)，海上油田工控系統(tǒng)引入了信息、網(wǎng)絡(luò)、物聯(lián)網(wǎng)等技術(shù)，打破了孤立的狀態(tài)，和工控網(wǎng)絡(luò)內(nèi)外的系統(tǒng)進(jìn)行信息交互日益頻繁，而工控系統(tǒng)由于防護(hù)手段的缺失，必然面臨極大的風(fēng)險(xiǎn)。

3 網(wǎng)絡(luò)安全防護(hù)建議

1) 基本原則：

工業(yè)控制系統(tǒng)安全建設(shè)要以事實(shí)為依據(jù)，依據(jù)實(shí)地評(píng)估結(jié)果開(kāi)展針對(duì)性建設(shè)。

2) 技術(shù)策略：

以 “安全分區(qū)、縱深防護(hù)、統(tǒng)一監(jiān)控”的原則進(jìn)行建設(shè)。

“安全分區(qū)”：根據(jù)生產(chǎn)過(guò)程，將生產(chǎn)相關(guān)配套工業(yè)控制系統(tǒng)進(jìn)行縱向分區(qū)、橫向分域，規(guī)范網(wǎng)絡(luò)架構(gòu)，杜絕私搭亂建行為。

“縱深防護(hù)”：結(jié)合安全區(qū)、安全域劃分結(jié)果，在制定區(qū)、域邊界防護(hù)措施的同時(shí)，也要在安全區(qū)、安全域內(nèi)部關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)、關(guān)鍵設(shè)備部署異常行為、惡意代碼的檢測(cè)和防護(hù)措施，真正做到縱向到底、橫向到邊的全域防護(hù)。

“統(tǒng)一監(jiān)控”：針對(duì)各安全區(qū)、安全域的防護(hù)措施、檢測(cè)及審計(jì)措施建立統(tǒng)一的、分級(jí)的監(jiān)控系統(tǒng)，統(tǒng)一監(jiān)控控制系統(tǒng)的的安全狀況。將安全風(fēng)險(xiǎn)進(jìn)行集中的展示，以風(fēng)險(xiǎn)等級(jí)的方式給出不同工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別，全面了解并掌握系統(tǒng)安全動(dòng)態(tài)。識(shí)全局、統(tǒng)籌管理、真正做到工控安全全域感知。

3) 核心技術(shù)：

海上平臺(tái)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)，要結(jié)合工控系統(tǒng)運(yùn)行環(huán)境相對(duì)穩(wěn)定、固化，系統(tǒng)更新頻率較低的特點(diǎn)。采用基于“白名單”機(jī)制的工業(yè)控制系統(tǒng)安全“白環(huán)境”解決方案，通過(guò)對(duì)工控網(wǎng)絡(luò)邊界、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)流量、操作終端行為等進(jìn)行全方位監(jiān)控和防護(hù)，收集并分析工控網(wǎng)絡(luò)、數(shù)據(jù)及軟件運(yùn)行狀態(tài)，建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線(xiàn)和模型，依據(jù)等級(jí)保護(hù) “一個(gè)中心、三重防護(hù)”指導(dǎo)方針，融合白名單技術(shù)解決方案，確保：

◇ 只有可信任的設(shè)備，才能接入工控網(wǎng)絡(luò)

◇ 只有可信任的消息，才能在工控網(wǎng)絡(luò)上傳輸

◇ 只有可信任的軟件，才能允許被執(zhí)行

◇ 只有一個(gè)中心平臺(tái)，才能進(jìn)行管控

“白環(huán)境”解決方案能夠保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行，安全建設(shè)內(nèi)容符合相關(guān)標(biāo)準(zhǔn)的要求，可以順利通過(guò)等級(jí)保保護(hù)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)和相關(guān)部門(mén)的信息安全檢查。

3.1、安全通訊網(wǎng)絡(luò)解決方案

1) 網(wǎng)絡(luò)架構(gòu)

在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)上建議做如下設(shè)計(jì)：

① 為了保障網(wǎng)絡(luò)通訊能力，帶寬應(yīng)滿(mǎn)足業(yè)務(wù)高峰期需要并留有一定余量；

② 海上平臺(tái)在允許條件下盡量采用光纖和無(wú)線(xiàn)通訊（如微波）兩種冗余形式，為了保障應(yīng)急通訊，建議增加北斗應(yīng)急通訊系統(tǒng)；

③ 工業(yè)控制系統(tǒng)與陸地終端（井口平臺(tái)等）或其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；

④ 海上工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間采用技術(shù)隔離手段；

2) 通信傳輸

由于在海上平臺(tái)人員緊急撤離后，需要進(jìn)行遠(yuǎn)程關(guān)斷法門(mén)操作，為了保正無(wú)線(xiàn)通訊過(guò)程中數(shù)據(jù)的完整性和保密性，建議在數(shù)據(jù)發(fā)送端和接收端部署工業(yè)防火墻，并啟用VPN功能，建立專(zhuān)用通訊鏈路。

3) 可信驗(yàn)證

利用工控安全監(jiān)測(cè)與審計(jì)自主學(xué)習(xí)白名單技術(shù)，進(jìn)行網(wǎng)絡(luò)通訊行為建模，記錄通訊設(shè)備關(guān)鍵配置參數(shù)；從而對(duì)通訊設(shè)備的系統(tǒng)引導(dǎo)程序程、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，在檢測(cè)到可信性受到破壞后進(jìn)行報(bào)警，并將結(jié)果送至全安全管理中心（即統(tǒng)一安全管理平臺(tái)）。

3.2、安全區(qū)域邊界解決方案

1) 區(qū)域邊界防護(hù)：

針對(duì)控制網(wǎng)工業(yè)控制系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，在海上中心平臺(tái)與井口平臺(tái)之間，與地區(qū)中心之間，部署工業(yè)防火墻實(shí)現(xiàn)邊界防護(hù)，阻止中心和生產(chǎn)平臺(tái)網(wǎng)絡(luò)之間的非法訪(fǎng)問(wèn)和攻擊。主要部署在區(qū)域出口，用于邊界隔離（不部署在上位機(jī)與控制器之間），因此對(duì)于控制系統(tǒng)本身的穩(wěn)定運(yùn)行沒(méi)有任何影響，不存在與系統(tǒng)兼容性問(wèn)題，主要對(duì)區(qū)域間工業(yè)通訊協(xié)議進(jìn)行重點(diǎn)防護(hù)。如果將來(lái)控制系統(tǒng)升級(jí)或更換，只需對(duì)其進(jìn)行策略調(diào)整即可。

2) 入侵檢測(cè)：

工控入侵檢測(cè)系統(tǒng)采用旁路部署方式，能夠?qū)崟r(shí)檢測(cè)數(shù)千種網(wǎng)絡(luò)攻擊行為，有效的為網(wǎng)絡(luò)邊界提供全景的網(wǎng)絡(luò)安全攻擊感知能力，使其詳細(xì)的掌握工業(yè)網(wǎng)中的安全情況。

3) 安全審計(jì)：

在控制網(wǎng)部署工控安全審計(jì)產(chǎn)品，實(shí)現(xiàn)網(wǎng)絡(luò)的3大審計(jì)檢測(cè)功能，即網(wǎng)絡(luò)通訊行為審計(jì)、網(wǎng)絡(luò)操作行為審計(jì)和無(wú)流量監(jiān)測(cè)，可為網(wǎng)絡(luò)安全事件提供追溯。部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)，采用交換機(jī)旁路方式收集網(wǎng)絡(luò)通訊數(shù)據(jù)，建立網(wǎng)絡(luò)通訊行為白名單，從而發(fā)現(xiàn)違反白名單策略的行為。

在控制網(wǎng)交換機(jī)部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)，鏡像控制網(wǎng)流經(jīng)此交換機(jī)的所有數(shù)據(jù)，審計(jì)數(shù)據(jù)向統(tǒng)一安全管理平臺(tái)集中匯報(bào)，由平臺(tái)進(jìn)行集中管理，統(tǒng)一收集網(wǎng)絡(luò)日志，通過(guò)建模分析當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，為管理員提供可視化的操作行為、異常波動(dòng)、告警信息，做到事前監(jiān)控，事后可追溯原因。

3.3、安全計(jì)算環(huán)境解決方案：

1) 主機(jī)防護(hù)

部署工控主機(jī)衛(wèi)士對(duì)系統(tǒng)內(nèi)主機(jī)進(jìn)行防護(hù)，主機(jī)衛(wèi)士采用“白名單”管理技術(shù)，通過(guò)對(duì)數(shù)據(jù)采集和分析，其內(nèi)置智能學(xué)習(xí)模塊會(huì)自動(dòng)生成工業(yè)控制軟件正常行為的白名單，與現(xiàn)網(wǎng)中的實(shí)時(shí)傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶(hù)節(jié)點(diǎn)的行為不符合白名單中的行為特征，其主機(jī)安全防護(hù)系統(tǒng)將會(huì)對(duì)此行為進(jìn)行阻斷或告警，以此避免主機(jī)網(wǎng)絡(luò)受到未知漏洞威脅。

如果將來(lái)控制系統(tǒng)升級(jí)或更換，只需對(duì)其進(jìn)行策略調(diào)整即可。

2) 身份認(rèn)證及審計(jì)

由于海上平臺(tái)對(duì)生產(chǎn)網(wǎng)絡(luò)主機(jī)的管理相對(duì)比較嚴(yán)格，但對(duì)于整個(gè)油田群、作業(yè)區(qū)公司、地區(qū)分公司來(lái)說(shuō)，由于數(shù)量龐大且分布分散，更是對(duì)于工程師站等關(guān)鍵部位無(wú)法做到絕對(duì)隔離，平臺(tái)某些關(guān)鍵設(shè)備，如壓縮機(jī)遠(yuǎn)程診斷系統(tǒng)等，大多數(shù)采取遠(yuǎn)程運(yùn)維方式。在陸地終端或者區(qū)域中心網(wǎng)部署運(yùn)維管理平臺(tái)，實(shí)現(xiàn)生產(chǎn)網(wǎng)主機(jī)的安全運(yùn)維及權(quán)限管理。

陸地終端運(yùn)維管理平臺(tái)部署示意圖（紅色箭頭指示部分）

生產(chǎn)網(wǎng)絡(luò)的上位機(jī)、工程師站、操作員站、數(shù)據(jù)服務(wù)器、安全設(shè)備，存在遠(yuǎn)程管理、監(jiān)控需求，面對(duì)數(shù)量如此眾多且分散分布的設(shè)備，如何高效、安全的進(jìn)行統(tǒng)一管理就是一個(gè)問(wèn)題，設(shè)備資產(chǎn)管理不善也會(huì)帶來(lái)一定的工控安全隱患，尤其是在使用遠(yuǎn)程維護(hù)VPN通道時(shí)，沒(méi)有運(yùn)維操作審計(jì)，將會(huì)給生產(chǎn)網(wǎng)絡(luò)安全帶來(lái)極大隱患，為確保生產(chǎn)網(wǎng)絡(luò)的運(yùn)維管理滿(mǎn)足等級(jí)保護(hù)的身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)的相關(guān)要求，需要在生產(chǎn)網(wǎng)絡(luò)旁路部署運(yùn)維管理平臺(tái)，以滿(mǎn)足等級(jí)保護(hù)相關(guān)要求。