技术分享|采油生产网工控安全典型实践案例

显示全部楼层 · 2024-3-21 17:53:14

一、案例背景

1、行业背景

近年来，随着工业控制系统信息安全事件不断发生，"震网"、"火焰"、"毒区"、"Havex"等恶意软件严重影响了关键工业基础设施的稳定运行，充分反映了工业控制系统信息安全面临的严峻形势。

2011年，国内某石化企业某装置控制系统分别感染Conficker病毒，造成控制系统服务器与控制器通讯不同程度地中断。

2012年，某国有大型油田公司下属某作业区，系统运营商在对其DCS系统PKSC300软硬件固件版本升级过程中，由于操作不当，导致整个控制网络感染病毒，造成生产系统停车。最终，油田公司对所有操作终端和服务器进行了更换，DCS系统升级为PKSC900。

2015年，国内某大型石化公司控制网内已经部署了大量某外国品牌的工业防火墙，以为可以从此高枕无忧，但实际情况却是控制网内大量工程师站、操作员站感染病毒，导致控制软件运行缓慢，正常操作无法进行。

2016年，国内某国有大型油田管道公司下属某分压站的控制网络遭到大量大数据包攻击，导致其控制器以太网通讯故障，造成压缩机停机。后更改为串口通讯，才得以保障其继续运行，但由于通讯能力的限制，操作和数据显示明显延迟。

2017年5月份在全球范围内爆发、蔓延的勒索病毒对中国石油石化行业的生产也产生了较大的影响，四大板块涉及的工业生产网络均有不同程度的感染，有个别油田整个采油厂和作业区大面积感染。

从以上列举的部分实际案例来看，工控安全威胁长期以来就已存在，但由于信息的曝光度不高，并没有引起广泛重视。随着两化融合的推进，工业控制系统面临的安全威胁就更加凸显。面对越来越严峻的信息安全形势，国家已高度重视工业控制系统信息安全工作，各级政府监管机构和行业组织也相继发布通知或指南等指导性文件。

2、政策依据

3、客户简介

XX油田作业区是新疆油田公司下属的一个专门从事油气田开发的二级单位，油区面积248.3平方公里,生产战线长达128km。2014年，作业区生产超稠油248.3万吨，成为全国最大的整装超稠油油田。油田作业区一直致力于搭建一套实用有效的安全体系架构，解决工控网络信息安全问题。

图1 石油开采现场图片

二、核心问题分析

1、安全需求分析

2014年油田作业区物联网系统正式投用，构建了"无人值守、集中监控、按需巡检"的生产管理新模式。目前已实现对作业区关键生产环节的集中监控与管理，包含SAGD及常规采油、接转站计量、处理站、注汽系统等工艺，是作业区集中监控、生产指挥、辅助分析的重要场所。监测参数33000多点，日均报警信息近200条，已成为生产运行中不可或缺的组成，一旦系统因信息安全问题瘫痪，将直接影响全厂生产运行。

作业区工控系统存在工控设备协议多、异构网络结构复杂等问题，信息安全保障难度大，需从整体架构设计、安全管理、风险评估、技术设施和运维服务等方面入手，建设一套先进实用、完整可靠的油田工控系统信息安全保障体系。

现场工控网络防御等级低，工业主机安全防护措施不完善，现场数据传输介质无法做到有效管控，由外部传输引入病毒和造成信息泄露的风险无法排除，曾发生过中控室工程师站和操作员站感染病毒，导致系统异常而影响监控的情况。

除上述安全风险外，根据《工业控制系统信息安全等级保护设计技术指南》、《工业控制系统信息安全防护指南》等相关政策指导文件并结合现场实际情况，现场还存在以下的安全需求：

2、安全建设特点分析

大量使用工业控制专用通信协议或规约：如OPC、Modbus、DNP3等协议直接使用或作为TCP/IP协议的应用层使用；

软硬件升级困难：专有系统兼容性差、软硬件升级较困难，一般很少进行系统升级，如需升级可能需要整个系统升级换代；

系统故障响应要求高：不可预料的中断会造成经济损失或灾难，故障必须紧急响应处理；

需要集中监控运维：生产现场地域跨度大，集中监控及运维管理尤为重要。

在实施过程中如何保证现场业务正常运行不受影响是基本要求。

三、对策与措施

根据现场安全需求及安全建设特点，威努特深入调研并设计出一套贴合油田现场实际的安全建设流程：风险评估->方案设计->安全实施->安全运维。

1、风险评估

通过有重点、分主次对整个作业区生产业务板块工业控制系统进行风险评估，分析工业控制系统信息安全现状，最终形成针对当前安全现状的评估报告。

图1 风险评估方案

2、方案设计

根据评估的工作结果进行综合分析，获取对工业控制系统安全防护设计具有指导意义的信息，威努特采用以"白名单"为基础的工业控制系统信息安全"白环境"构建理念，对作业区工业控制系统采取"垂直分层、水平分区、边界控制、主机防护、内部审计"的设计方针。

"垂直分层"即对工业控制系统垂直方向化分为四层：现场仪表层、工业控制层、生产管理层、信息管理层。

"水平分区"指各工业控制系统之间应该按相同安全防护级别，并对相互信任的系统进行分区分域，使整个工业控制系统在信息安全防护建设过程中做到纵向多层防御，横向从点到面。

"边界控制"即对系统边界连接处要进行边界防护和准入控制等。

"主机防护"即对工程师站、操作员站、OPC服务器等主机系统进行安全防护。

"内部审计"即对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后定位，最后将各层面的日志统一收集起来，进行综合分析，得出整个工业控制系统信息安全防护态势，帮助信息安全管理人员对单位内部的安全状况有个全面而细致的了解。

设计方案具体内容包含：

图2 安全防护方案

3、安全实施

基于现场情况，为保证快速安全的实施，威努特针对各安全产品采取适用于现场的实施方案。

工控主机卫士实施方案：因现场主机存在病毒感染情况，特制定主机卫士的安装流程如下：

防火墙实施过程中，除了插拔网线的短暂瞬间，对整体网络的业务运行几乎未产生影响。另外工业防火墙工业级硬件设计、透明部署模式、硬件Bypass设计、软件故障自动检测机制、fail-open故障处理原则和三种工作模式设计，极大降低配置难度及误配置风险，从而对现场实施风险做到了有效控制。

制定统一安全管理平台及监测审计平台实施方案如下：

基于前期合理的实施方案设计和实施过程中技术工程师的精准把控，有效的规避了项目实施过程可能产生的风险，最终零事故、高效高质量的完成了整个项目的实施。

4、安全运维

对于工控系统信息安全的长期运维来说，如果没有针对性的管理保障体系，很难保证系统长期稳定运行，很难保证能够发挥出系统的最佳优势，从而很难保证长期安全。因此对油田工控系统信息安全管理体系需要进行专门的设计，逐步建立工控系统信息安全管理组织机构，按照标准的安全管理流程进行规范化的工控系统安全管理和监督，形成符合现状的管理体系，从而保障工控系统安全持久运行。

依托于原有信息安全管理组织，建立健全工控安全管理组织机构框架。培养面向工控系统信息安全领域不同岗位的人才，覆盖领导、协调、分析、运行、保障等职能，使之具备从上而下的工作能力，从而建立起能服务于工控系统信息安全运维监控、响应恢复的专业团队。

四、案例特色及应用价值

1、防护方案特点

根据"风险分析+执行策略+系统实施+漏洞监测+实时响应+安全恢复=系统安全"的建设思路，油田作业区工控系统安全构建了多层次、全方位、立体化的体系架构。以保障工控系统信息安全、稳定运行为出发点，结合油田生产过程的多样化，研究建立安全风险模型，奠定了安全技术与运行管理的基础。融合工业防火墙、"白名单"防护、统一安全管理等技术，建立了以主动安全防御为核心的技术体系，实现了"分区分域、纵深防御、统一监控"的建设目标，提高了工控系统信息安全风险防控能力。结合运行、管理、技术三个方面，建立起可管理、可控制、可信任的工控安全运行管理体系并形成长效运行管理机制。

2、应用价值

威努特工控安全
专注工控·捍卫安全

技术分享|采油生产网工控安全典型实践案例

本帖子中包含更多资源