技术分享|采油生产网工控安全典型实践案例

一、案例背景

1、行业背景

近年来，随着工业控制系统信息安全事件不断发生，"震网"、"火焰"、"毒区"、"Havex"等恶意软件严重影响了关键工业基础设施的稳定运行，充分反映了工业控制系统信息安全面临的严峻形势。

2011年，国内某石化企业某装置控制系统分别感染Conficker病毒，造成控制系统服务器与控制器通讯不同程度地中断。

2012年，某国有大型油田公司下属某作业区，系统运营商在对其DCS系统PKSC300软硬件固件版本升级过程中，由于操作不当，导致整个控制网络感染病毒，造成生产系统停车。最终，油田公司对所有操作终端和服务器进行了更换，DCS系统升级为PKSC900。

2015年，国内某大型石化公司控制网内已经部署了大量某外国品牌的工业防火墙，以为可以从此高枕无忧，但实际情况却是控制网内大量工程师站、操作员站感染病毒，导致控制软件运行缓慢，正常操作无法进行。

2016年，国内某国有大型油田管道公司下属某分压站的控制网络遭到大量大数据包攻击，导致其控制器以太网通讯故障，造成压缩机停机。后更改为串口通讯，才得以保障其继续运行，但由于通讯能力的限制，操作和数据显示明显延迟。

2017年5月份在全球范围内爆发、蔓延的勒索病毒对中国石油石化行业的生产也产生了较大的影响，四大板块涉及的工业生产网络均有不同程度的感染，有个别油田整个采油厂和作业区大面积感染。

从以上列举的部分实际案例来看，工控安全威胁长期以来就已存在，但由于信息的曝光度不高，并没有引起广泛重视。随着两化融合的推进，工业控制系统面临的安全威胁就更加凸显。面对越来越严峻的信息安全形势，国家已高度重视工业控制系统信息安全工作，各级政府监管机构和行业组织也相继发布通知或指南等指导性文件。

2、政策依据

工信部2011年下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施；

《中华人民共和国网络安全法》；

《信息安全技术 网络安全等级保护基本要求》；

《工业控制系统信息安全防护指南》。

3、客户简介

XX油田作业区是新疆油田公司下属的一个专门从事油气田开发的二级单位，油区面积248.3平方公里,生产战线长达128km。2014年，作业区生产超稠油248.3万吨，成为全国最大的整装超稠油油田。油田作业区一直致力于搭建一套实用有效的安全体系架构，解决工控网络信息安全问题。



图1 石油开采现场图片

二、核心问题分析

1、安全需求分析

工业控制网络体量庞大。

2014年油田作业区物联网系统正式投用，构建了"无人值守、集中监控、按需巡检"的生产管理新模式。目前已实现对作业区关键生产环节的集中监控与管理，包含SAGD及常规采油、接转站计量、处理站、注汽系统等工艺，是作业区集中监控、生产指挥、辅助分析的重要场所。监测参数33000多点，日均报警信息近200条，已成为生产运行中不可或缺的组成，一旦系统因信息安全问题瘫痪，将直接影响全厂生产运行。

工业控制系统结构复杂。

作业区工控系统存在工控设备协议多、异构网络结构复杂等问题，信息安全保障难度大，需从整体架构设计、安全管理、风险评估、技术设施和运维服务等方面入手，建设一套先进实用、完整可靠的油田工控系统信息安全保障体系。

工业控制网络安全防御等级低、无灾备能力。

现场工控网络防御等级低，工业主机安全防护措施不完善，现场数据传输介质无法做到有效管控，由外部传输引入病毒和造成信息泄露的风险无法排除，曾发生过中控室工程师站和操作员站感染病毒，导致系统异常而影响监控的情况。

除上述安全风险外，根据《工业控制系统信息安全等级保护设计技术指南》、《工业控制系统信息安全防护指南》等相关政策指导文件并结合现场实际情况，现场还存在以下的安全需求：

管理网与控制网、控制网内部之间数据分离不足，需要明确各自的安全边界，并采取必要的访问控制措施；

在油田作业区控制网络环境中大量使用具有已知漏洞的标准IT产品，存在安全隐患，亟需通过技术手段防范并监测非法入侵及恶意攻击行为对生产系统造成的影响；

在生产过程中，需进行大量的远程操作和维护工作，缺乏远程操作的安全管理及审计手段；

现行工业控制系统设施长期运行，累积了大量控制设备及配套软件系统的漏洞，在无法进行补丁升级的情况下，需通过外部技术防护手段对其进行安全加固。

2、安全建设特点分析

安全防护产品部署设计需要基于工业现场的特点。

大量使用工业控制专用通信协议或规约：如OPC、Modbus、DNP3等协议直接使用或作为TCP/IP协议的应用层使用；

软硬件升级困难：专有系统兼容性差、软硬件升级较困难，一般很少进行系统升级，如需升级可能需要整个系统升级换代；

系统故障响应要求高：不可预料的中断会造成经济损失或灾难，故障必须紧急响应处理；

需要集中监控运维：生产现场地域跨度大，集中监控及运维管理尤为重要。

工业控制系统对可用性、实时性方面要求较高。

在实施过程中如何保证现场业务正常运行不受影响是基本要求。

三、对策与措施

根据现场安全需求及安全建设特点，威努特深入调研并设计出一套贴合油田现场实际的安全建设流程：风险评估->方案设计->安全实施->安全运维。

1、风险评估

通过有重点、分主次对整个作业区生产业务板块工业控制系统进行风险评估，分析工业控制系统信息安全现状，最终形成针对当前安全现状的评估报告。



图1 风险评估方案

2、方案设计

根据评估的工作结果进行综合分析，获取对工业控制系统安全防护设计具有指导意义的信息，威努特采用以"白名单"为基础的工业控制系统信息安全"白环境"构建理念，对作业区工业控制系统采取"垂直分层、水平分区、边界控制、主机防护、内部审计"的设计方针。

"垂直分层"即对工业控制系统垂直方向化分为四层：现场仪表层、工业控制层、生产管理层、信息管理层。

"水平分区"指各工业控制系统之间应该按相同安全防护级别，并对相互信任的系统进行分区分域，使整个工业控制系统在信息安全防护建设过程中做到纵向多层防御，横向从点到面。

"边界控制"即对系统边界连接处要进行边界防护和准入控制等。

"主机防护"即对工程师站、操作员站、OPC服务器等主机系统进行安全防护。

"内部审计"即对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后定位，最后将各层面的日志统一收集起来，进行综合分析，得出整个工业控制系统信息安全防护态势，帮助信息安全管理人员对单位内部的安全状况有个全面而细致的了解。

设计方案具体内容包含：

通过部署工业防火墙对作业区内的多个采油厂工控网络进行区域隔离，配置不同的访问控制策略，杜绝非法访问行为；

在采油厂各工程师站、操作员站上部署工控主机卫士，通过白名单的方式，防止病毒对工业主机、工控网络造成破坏。配合使用适配于工控主机卫士软件的安全U盘实现数据的安全传输及信息防泄露；

在核心交换机上旁路部署监测审计平台，对操作人员的行为进行审计和记录，便于事后追踪溯源；

部署统一安全管理平台，对工业控制网络部署的工业防火墙、监测审计平台和工控主机卫士进行统一的配置和管理，并对其日志信息进行统一收集、分析和管理。

图2 安全防护方案

3、安全实施

基于现场情况，为保证快速安全的实施，威努特针对各安全产品采取适用于现场的实施方案。

工控主机卫士实施方案：因现场主机存在病毒感染情况，特制定主机卫士的安装流程如下：

搭建工业主机测试环境，测试主机安装与实际现场相一致的操作系统、应用软件并进行测试；

对现场目标主机进行全盘备份；

对现场目标主机进行杀毒；

在现场目标主机上安装部署工控主机卫士软件，并对主机进行安全加固；

通过轮流替换的方式，逐步部署所有工控主机。

制定工业防火墙实施方案如下：

准备工作：包括设备静态测试、基础策略配置、线缆铺设等；

网络切割：防火墙接入业务网，开启学习模式自学习网络中的工控协议；

策略验证：将防火墙开启告警模式，验证工控协议白名单的有效性，根据报警日志对白名单策略进行优化调整；

设为防护模式：在验证策略无误后防火墙开启防护模式，实现网络安全防护。

防火墙实施过程中，除了插拔网线的短暂瞬间，对整体网络的业务运行几乎未产生影响。另外工业防火墙工业级硬件设计、透明部署模式、硬件Bypass设计、软件故障自动检测机制、fail-open故障处理原则和三种工作模式设计，极大降低配置难度及误配置风险，从而对现场实施风险做到了有效控制。

制定统一安全管理平台及监测审计平台实施方案如下：

统一安全管理平台及监测审计采用旁路部署模式，对现场业务不会产生任何安全方面的影响。

基于前期合理的实施方案设计和实施过程中技术工程师的精准把控，有效的规避了项目实施过程可能产生的风险，最终零事故、高效高质量的完成了整个项目的实施。

4、安全运维

对于工控系统信息安全的长期运维来说，如果没有针对性的管理保障体系，很难保证系统长期稳定运行，很难保证能够发挥出系统的最佳优势，从而很难保证长期安全。因此对油田工控系统信息安全管理体系需要进行专门的设计，逐步建立工控系统信息安全管理组织机构，按照标准的安全管理流程进行规范化的工控系统安全管理和监督，形成符合现状的管理体系，从而保障工控系统安全持久运行。

依托于原有信息安全管理组织，建立健全工控安全管理组织机构框架。培养面向工控系统信息安全领域不同岗位的人才，覆盖领导、协调、分析、运行、保障等职能，使之具备从上而下的工作能力，从而建立起能服务于工控系统信息安全运维监控、响应恢复的专业团队。

四、案例特色及应用价值

1、防护方案特点

根据"风险分析+执行策略+系统实施+漏洞监测+实时响应+安全恢复=系统安全"的建设思路，油田作业区工控系统安全构建了多层次、全方位、立体化的体系架构。以保障工控系统信息安全、稳定运行为出发点，结合油田生产过程的多样化，研究建立安全风险模型，奠定了安全技术与运行管理的基础。融合工业防火墙、"白名单"防护、统一安全管理等技术，建立了以主动安全防御为核心的技术体系，实现了"分区分域、纵深防御、统一监控"的建设目标，提高了工控系统信息安全风险防控能力。结合运行、管理、技术三个方面，建立起可管理、可控制、可信任的工控安全运行管理体系并形成长效运行管理机制。

2、应用价值

有效提升工控系统信息安全防御能力，实现了访问控制、协议过滤、病毒防御、主机加固、安全监控等功能，保障了生产监控业务的连续性，减少因服务中断给油田作业区造成的潜在经济损失，为油田生产运行安全保驾护航。

实现了对工控系统内所有工控安全防护设备及系统的统一管理，降低运维管理成本。

在2017年爆发的"勒索"病毒事件中，与油田公司某兄弟单位大面积感染导致的工控系统瘫痪相比，作业区工控系统未发生感染事件，节约了系统维护和设备购置费用，直接与间接经济效益均很可观。

通过不断建设和完善工控系统的信息安全组织机构、管理制度和运行管理流程，提高了作业区工控系统信息安全保护能力、风险识别与评估能力、综合管理能力和应急处理能力。

作业区工控系统信息安全统一监测审计，提高了管理效率，降低人员维护工作量。

提高了员工信息安全意识，降低工控系统信息安全事件发生的概率。

---

威努特工控安全
专注工控·捍卫安全