技术分享 | 海洋石油开采平台工业控制系统安全解决方案

海上石油气开采相对于陆地开采其技术难度相对较大，由于环境的限制，不同于陆地的单井、计量间、联合站、处理厂等，其主要通过海上石油平台进行开采作业，这些平台往往兼具了钻井、采油、处理、存储、输送、办公、生活等功能，因此也被称为移动城堡。其主要包括井口平台、中心平台、FPSO等，通过海底管道、光缆与陆地生产中心相连，网络通讯主要以光纤、微波为主。



1 海上平台系统组成
海上石油平台主要由工艺控制系统（PROCESS CONTROL SYSTEM，简称PCS）、紧急关断系统（EMERGENCY SHUTDOWN SYSTEM，简称ESD）和火气探测及消防系统（FIRE&GAS SYSTEM，简称F&G）组成。工艺控制系统一般设有多个远程I/O柜， ESD和F&G为两套相对独立的系统，可达到SIL3的级别。PCS系统与ESD和F&G是两个相对独立的网络，ESD和PCS间通过RS485和硬线相连进行信号传输，F&G系统的信号也通过此串口传输至PCS，所有信号通过卫星传输至陆上终端，如下图所示：



海上石油中心平台控制网示意图

PCS及ESD和F&G通过各自网络独立的光电转换器和海底光纤芯线传输至CEP中控系统相应的PCS及ESD和F&G系统。陆上终端中控室内设有一套独立于陆地终端控制系统的海上生产监控系统PCS，用于台风状态、海上操作人员撤离平台的情况下、对平台实施监测和遥控关断。设有冗余的I/O卡件，通过卫星与海上通讯，通过陆上光纤与地区中心控制站通讯。

工艺控制系统多采用EMERSON公司的Delta V系统，霍尼韦尔系统，ABB系统、西门子系统等。ESD系统以康吉森、ABB、HIMA等为主。

2 关键业务挑战
随着信息化与工业化深度融合，数字海油、互联海油、智慧海油的不断建设，海上油田工控系统引入了信息、网络、物联网等技术，打破了孤立的状态，和工控网络内外的系统进行信息交互日益频繁，而工控系统由于防护手段的缺失，必然面临极大的风险。

海上石油平台不仅仅承载着我国能源采集任务，更是我国本土安全的第一道防线，其重要性不言而喻。随着油气开采自动化水平的提高，中心对平台的远程监管，生产调度管理，无人值守（还有一种情况：当平台发生危险、人员撤离，这时需要陆地中心或者中心平台可以远程快速关断阀门）等需求，海上平台与陆地联系越来越密切，面临着来自各个层面的挑战：

（1）外部攻击的发展：外部攻击可能有很多种来源，包括敌对政府、恐怖主义组织、恶意入侵、偶然事件。近年来由政府支持的黑客组织成为工业控制系统外部攻击的主力，出于经济利益的民间组织、个人黑客对工控系统的威胁也越来越大。一旦侵入海上石油平台网络，获取区域石油开采信息，进而推测出区域油藏储量，这些敏感信息一旦泄露，将给国家带来巨大经济损失。又或者侵入电力网络，停止电力供应，搭载服务失效，其后果可能是灾难性的。由于在含有多个域的控制系统中，域间没有遵循国际ANSI/ISA-99区域防护理念进行域间隔离，难以确保即使一个域受到安全威胁，也不会影响到其他域的正常运转。虽然ACL技术可以实现子系统的隔离，但网络仍有域间威胁传播的风险，应采取专业的工业防火墙区域间隔离设备进行隔离以降低安全风险。

（2）内部威胁的加剧：数据库服务器、WEB服务器、历史数据库服务器是远程采集与查询核心节点，也是系统组态和系统维护的核心。作为人机交互最为频繁的节点，且同时具备对控制站进行下装的关键节点，是整个系统中的高风险点，一旦受到人为或非人为的病毒感染或攻击，都会对整个系统的运行安全造成威胁。为保证数据和系统的安全性，逻辑隔离、单向控制是必不可少的。

（3）应用系统的威胁：鉴于系统信息安全特殊性，各服务器、站等基于操作系统的节点都存在环境限制所不可修复的漏洞，这些节点都存在被病毒感染和恶意代码攻击的危险。设备提供商的应用程序可能存在后门、漏洞等问题，而工控系统的验收测试目前还主要停留在功能方面，对于安全方面缺乏测试力度和规范，没有第三方安全厂商的独立性测试，导致工控厂商统一承担了设备制造、软件开发、集成测试等诸多环节的工作，在测试过程中，安全问题容易隐藏或被忽略。

（4）第三方维护人员的威胁：系统建设在发展的过程中，由于海上平台其特殊的、高级技术的采用，油田专业人才的匮乏，新技术带来的挑战等诸多因素，海上采油平台的运行、维护不得不依赖设备供货商、集成商，甚至远程维护。如何有效地对第三方人员的操作行为进行监管，是目前面临的一个关键问题。

（5）各种病毒的威胁：未知病毒通过公用、专用、私有移动存储设备，第三方便携调试设备，办公网络等入侵工控系统，一旦侵入工控网络后，可能自动收集有用信息，如工业协议关键业务指令等，有针对性的对工控设备进行攻击并在工控主机之间迅速传播，如“震网”病毒。而非工控病毒则往往会主动检测局域网内计算机的漏洞，进行横向传播、纵向渗透，比如利用“永恒之蓝”漏洞的勒索病毒。无论病毒的破坏力是否强悍，其传播与复制的能力，往往极大地消耗主机及网络带宽资源，严重时有可能造成网络瘫痪，比如著名的“Confiker”病毒。因此，病毒是工控系统网络安全的主要潜在威胁。

3 网络安全防护建议
1) 基本原则：

工业控制系统安全建设要以事实为依据，依据实地评估结果开展针对性建设。

2) 技术策略：

以 “安全分区、纵深防护、统一监控”的原则进行建设。

“安全分区”：根据生产过程，将生产相关配套工业控制系统进行纵向分区、横向分域，规范网络架构，杜绝私搭乱建行为。

“纵深防护”：结合安全区、安全域划分结果，在制定区、域边界防护措施的同时，也要在安全区、安全域内部关键网络节点、关键设备部署异常行为、恶意代码的检测和防护措施，真正做到纵向到底、横向到边的全域防护。

“统一监控”：针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统，统一监控控制系统的的安全状况。将安全风险进行集中的展示，以风险等级的方式给出不同工业控制系统的安全风险级别，全面了解并掌握系统安全动态。识全局、统筹管理、真正做到工控安全全域感知。

3) 核心技术：

海上平台工业控制系统网络安全防护，要结合工控系统运行环境相对稳定、固化，系统更新频率较低的特点。采用基于“白名单”机制的工业控制系统安全“白环境”解决方案，通过对工控网络边界、关键网络节点流量、操作终端行为等进行全方位监控和防护，收集并分析工控网络、数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，依据等级保护 “一个中心、三重防护”指导方针，融合白名单技术解决方案，确保：

◇ 只有可信任的设备，才能接入工控网络

◇ 只有可信任的消息，才能在工控网络上传输

◇ 只有可信任的软件，才能允许被执行

◇ 只有一个中心平台，才能进行管控

“白环境”解决方案能够保障工业控制系统安全稳定运行，安全建设内容符合相关标准的要求，可以顺利通过等级保保护测评机构测评和相关部门的信息安全检查。

总体安全防护部署如图所示：



注：想了解更多关于井口平台、FPSO、陆地终端以及海洋石油网络架构，欢迎致电北京威努特技术有限公司。

3.1、安全通讯网络解决方案

1) 网络架构

在网络架构设计上建议做如下设计：

① 为了保障网络通讯能力，带宽应满足业务高峰期需要并留有一定余量；

② 海上平台在允许条件下尽量采用光纤和无线通讯（如微波）两种冗余形式，为了保障应急通讯，建议增加北斗应急通讯系统；

③ 工业控制系统与陆地终端（井口平台等）或其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段；

④ 海上工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间采用技术隔离手段；

2) 通信传输

由于在海上平台人员紧急撤离后，需要进行远程关断法门操作，为了保正无线通讯过程中数据的完整性和保密性，建议在数据发送端和接收端部署工业防火墙，并启用VPN功能，建立专用通讯链路。

3) 可信验证

利用工控安全监测与审计自主学习白名单技术，进行网络通讯行为建模，记录通讯设备关键配置参数；从而对通讯设备的系统引导程序程、系统程序、重要配置参数和通信应用程序等进行可信验证，在检测到可信性受到破坏后进行报警，并将结果送至全安全管理中心（即统一安全管理平台）。

3.2、安全区域边界解决方案

1) 区域边界防护：

针对控制网工业控制系统所面临的安全风险，在海上中心平台与井口平台之间，与地区中心之间，部署工业防火墙实现边界防护，阻止中心和生产平台网络之间的非法访问和攻击。

主要部署在区域出口，用于边界隔离（不部署在上位机与控制器之间），因此对于控制系统本身的稳定运行没有任何影响，不存在与系统兼容性问题，主要对区域间工业通讯协议进行重点防护。

如果将来控制系统升级或更换，只需对其进行策略调整即可。

2) 入侵检测：

工控入侵检测系统采用旁路部署方式，能够实时检测数千种网络攻击行为，有效的为网络边界提供全景的网络安全攻击感知能力，使其详细的掌握工业网中的安全情况。

3) 安全审计：

在控制网部署工控安全审计产品，实现网络的3大审计检测功能，即网络通讯行为审计、网络操作行为审计和无流量监测，可为网络安全事件提供追溯。

部署工控安全监测与审计系统，采用交换机旁路方式收集网络通讯数据，建立网络通讯行为白名单，从而发现违反白名单策略的行为。

在控制网交换机部署工控安全监测与审计系统，镜像控制网流经此交换机的所有数据，审计数据向统一安全管理平台集中汇报，由平台进行集中管理，统一收集网络日志，通过建模分析当前网络安全状态，为管理员提供可视化的操作行为、异常波动、告警信息，做到事前监控，事后可追溯原因。

3.3、安全计算环境解决方案：

1) 主机防护

部署工控主机卫士对系统内主机进行防护，主机卫士采用“白名单”管理技术，通过对数据采集和分析，其内置智能学习模块会自动生成工业控制软件正常行为的白名单，与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征，其主机安全防护系统将会对此行为进行阻断或告警，以此避免主机网络受到未知漏洞威胁。

主机安全防护软件基于白名单技术，其主要作用是对主机现有运行环境做指纹识别，它不同于病毒软件不会删除任何文件和进程，更不会存在误杀的可能。介于工业环境下工控主机相对稳定的现状，对其防护的重点在于保护现有状态的安全稳定运行，白名单技术不仅不会干扰主机进程及专用软件的正常通讯，还可以从源头截断病毒爆发的环境。其对工业专用软件和主机没有型号和厂家限制，也不存在兼容性问题。对于不属于白名单的程序只会进行拦截并产生告警，告警信息可以上传到统一管理平台，同时配合配套的安全授权U盘（存储空间在16G左右，可以满足大部分临时数据的安全摆渡，对于更大容量的数据则采用光盘读取），实现移动端口的管控，这些信息都可以在统一管理平台看到。

如果将来控制系统升级或更换，只需对其进行策略调整即可。

2) 身份认证及审计

由于海上平台对生产网络主机的管理相对比较严格，但对于整个油田群、作业区公司、地区分公司来说，由于数量庞大且分布分散，更是对于工程师站等关键部位无法做到绝对隔离，平台某些关键设备，如压缩机远程诊断系统等，大多数采取远程运维方式。在陆地终端或者区域中心网部署运维管理平台，实现生产网主机的安全运维及权限管理。



陆地终端运维管理平台部署示意图（红色箭头指示部分）

生产网络的上位机、工程师站、操作员站、数据服务器、安全设备，存在远程管理、监控需求，面对数量如此众多且分散分布的设备，如何高效、安全的进行统一管理就是一个问题，设备资产管理不善也会带来一定的工控安全隐患，尤其是在使用远程维护VPN通道时，没有运维操作审计，将会给生产网络安全带来极大隐患，为确保生产网络的运维管理满足等级保护的身份鉴别、访问控制、安全审计的相关要求，需要在生产网络旁路部署运维管理平台，以满足等级保护相关要求。

3.4、安全管理中心：

部署统一安全管理平台用来统一管理工业防火墙，工控主机卫士，审计平台、入侵检测平台等设备数据。

统一管理平台采用被动方式采集用户网络中各工控产品海量数据信息，并进行管理、配置和运维，对整个生产网络中每个可部署节点进行策略配置下发、网络流量分析，告警、日志、审计等信息记录和查询，并出具丰富的报表报告。实时掌握工业控制网络情况，一旦网络出现问题，及时定位问题发生位置和原因，获悉企业工业控制网络整体的安全状态，实现全生命周期的日志管理。

4 小结
威努特公司成立于2014年9月，是国内专注于工控安全领域的高新技术企业。公司以研发工控安全产品为基础，打造多行业安全解决方案，提供培训、咨询、评估、建设及运维全流程安全服务。公司已通过ISO9001质量管理体系认证、ISO27001信息安全管理体系认证，是“CNNVD技术支撑单位”、“国家网络与信息安全信息通报机制技术支持单位”、“国家工业信息安全产业联盟”成员单位、“工业控制系统信息安全技术国家工程实验室”理事单位。

威努特作为最早提出工业网络安全“白环境”理念的安全厂商，迄今已服务电力、石油、化工、轨交、制造、燃气、水务、军工、烟草、煤炭、高校及科研机构等领域的三百余家客户。受邀参与“G20峰会”、“一带一路”国际合作高峰论坛、2017年第十九次全国代表大会、2018年两会等重大活动的网络安全保障工作。威努特致力于为客户构建安全可靠的工业网络环境，为国家关键信息基础设施运行安全提供有力保障，为中国制造2025保驾护航，为建设网络安全强国添砖加瓦！威努特将继续为保障“数字海油”“互联海油”“智慧海油”提供生产系统网络坚实的安全保障。

更多阅读：

技术分享 | 零拷贝技术在网络报文处理中的应用

技术分享 | 工控可信网络连接替代方案简介

技术分享 | 2018年SANS关于IIoT的安全调查报告

威努特助力西部关键基础设施建设，新疆石油石化行业工控安全技术研讨会成功召开

《威努特工控安全行业资讯第十七期》

<hr>


威努特工控安全

专注工控·捍卫安全