绿盟科技 杨博

1.背景

石油行业是工业自动化水平最高的行业之一。油气田生产高度依赖的工业控制系统是集网络通信、计算控制、物理过程于一体的复杂信息物理融合系统,充分利用了计算机网络的开放性、互连性与共享性,逐渐从封闭、孤立的模式向开放互联转化，控制网络与企业管理网络相连提高了管理效率，实现了生产高效运行。同时，大量IT技术的采用，使得油气田工业控制系统面临的网络安全威胁日趋严重。各种网络攻击技术的发展，使得单一的防御技术已经很难抵御网络威胁。作为生产运行系统，油气田工业控制系统网络安全防护是一个动态防护过程。

大批网络武器泄漏显著降低工业领域攻击门槛。美国中央情报局（CIA）、国家安全局（NSA）的网络武器资料泄露，这些网络武器的攻击对象包括微软、安卓、苹果ios、Linux等多种通用操作系统，以及车载智能系统和路由器等网络节点单元和智能设备，由于工业生产领域同样大量使用标准IT产品，使得不法分子可以利用这些网络武器入侵工业控制系统并发起攻击。

工业网络互联是工业生产数字化转型升级的必由之路，是企业提高生产质量和经济效益，降低生产管理成本的重要支撑，是我国扭转发展失衡局面、重构竞争优势、抢占产业制高点的重要机遇，但也给保障工业控制系统网络安全带来更为严峻的挑战。现有IT领域的安全产品和技术措施不适应工业网络化发展普及的步伐，工业网络集成大量控制设备和产品，导致更多安全漏洞产生，工业数据量爆炸性增加，互联互通使得工业生产网络的攻击泄密事件的数量飙升，所造成的影响也更为重大。

2.油气田工业控制系统网络安全风险分析

随着油气田工业生产过程广泛应用信息通信技术，其控制系统网络体现出急剧扩大的边界、不断增加的设备数量、越加复杂的交互行为等特点，一些原来针对信息系统的攻击也能对油气田控制系统造成巨大影响，给控制网络安全带来了新的威胁，其安全隐患主要来自通信网络、区域边界、计算环境、安全管控四个方面。

2.1通信网络中存在的风险

（1）公共通信链路无防护措施，存在数据传输安全风险

地区调度控制中心、区域控制中心与各场站控制系统之间下行的控制指令、上行的关键数据需要通过广域网公共通信链路进行传输，主要采用基于TCP/IP的工业以太网协议以及OPC协议，通信协议本身没有对报文做完整性、机密性保护，控制指令和各站实时过程数据均以明文传输，极易被恶意攻击者窃取信息数据或者对信息数据进行篡改，导致无法真实传递控制指令和反映当前各场站控制系统运行状态，相关重要数据存在被监听、篡改、伪造、重放等风险。

同时，各场站与控制中心之间建立通信连接时缺乏有效的身份认证机制，恶意攻击者能够冒用合法场站的身份向控制中心发送伪造的过程数据，或者伪装成控制中心欺骗场站向其发送过程数据或接受其伪造的控制指令，达到欺骗通信、欺骗控制的攻击目的，破坏油气田工业控制系统的正常运行甚至导致系统瘫痪。

（2）控制系统网络缺乏实时监控与审计，存在非法入侵风险

油气田工业控制系统网络中普遍缺乏对设备资产的管理与监控机制，导致未知终端设备能够轻易接入控制系统网络，使攻击者能够以这些设备为跳板侵入到控制系统网络发起攻击。同时，对控制系统网络运行情况缺乏监控感知和安全审计能力，无法及时发现控制系统网络中出现的可疑或攻击行为，一旦发生问题不能及时确定问题所在，靠人员经验排查耗费大量人力成本和时间成本。

2.2区域边界中存在的风险

（1）控制网络边界缺乏防护手段，存在来自网络空间的攻击风险

油气田工业控制系统利用不同的网络和通信技术来监控工艺生产的运行。为了提高生产效率，控制系统网络与企业管理信息网络相连却缺乏有效的隔离措施和数据流向控制策略，由于企业管理信息网络与互联网联通，极易导致恶意攻击者渗透进入油气田工业控制系统。

另一方面，调度控制中心网络、区域控制中心网络与各场站控制网络直接跨域相连，缺乏有效的区域隔离措施，任何一个网络的流量异常，都会扩散到其他网络，从而影响油气田工业控制系统的正常运行。同时，控制系统网络特点、工作环境和使用工控协议等方面与信息系统相比存在显著不同，不能使用IT防火墙为控制系统网络提供安全防护。

（2）控制系统内部各安全域之间防御不足，存在单点受攻击后扩散全网风险

控制网络未进行详细的层间、域间安全防护，系统边界不清楚，边界访问控制策略缺失，某一子系统一旦遭受到攻击，将有可能扩散到整个控制系统中。

2.3计算环境中存在的风险

（1）核心服务器没有配置有效安全防护措施，存在被攻击风险

调度控制中心及区域控制中心 SCADA 历史数据库和实时数据库服务器等关键服务器缺乏安全防护措施，导致其直接暴露在网络中。系统自身的安全策略未启用或配置薄弱。防病毒软件的安装不全面，即使安装后也不及时更新软件版本和恶意代码库。

（2）各类终端无防护措施，存在违规操作风险

工作人员误操作、外来人员非法操作对现场设备影响较大，系统终端可能存在病毒，同时工程师站、操作员站可能存在违规外联现象，存在重大安全隐患。

（3）安全风险评估不足，不能及时更新的系统漏洞

油气田工业控制系统中普遍使用了基于Windows操作系统的服务器、终端设备和应用软件，多数控制系统编程和组态软件对操作系统、数据库等软件的版本采用了强耦合的方式，版本的升级将会导致控制系统软件无法正常运转。为保障控制系统开车后稳定运行，其所使用的Windows平台通常不会被安装升级补丁、控制应用软件也不会被安装漏洞补丁，导致操作系统和控制应用软件存在被攻击的风险，埋下了安全隐患。另一方面，考虑控制应用软件的可用性，操作员站和工程师站一般不会被安装杀毒软件，或者被安装杀毒软件却不能及时升级到最新版本，无法有效应对病毒的攻击。

2.4安全管控风险

（1）工业控制系统网络安全缺乏统一管控，安全风险与事件无法及时发现

油气田工业生产环境中控制系统和设备软件版本、开放端口情况各异，同时各系统和设备配置情况多样，且地理位置分散，缺乏针对安全设备、控制设备、SCADA系统整体安全情况的统一监管手段，无法实现企业全局的安全态势感知、分析与呈现，存在安全信息不互通、安全策略不一致、安全事件无法及时发现等问题，存在较大风险。

（2）工业控制系统网络安全缺乏风险评估与应急响应能力，无法持续保障系统网络安全。

油气田企业在工业控制系统网络安全保障能力技术储备方面不足，工业控制系统建成投产后无法对其进行事前、事中、事后全过程的网络安全管控。工业控制系统在上线前未进行有效的安全性测试，在系统运行期间不能及时对系统的网络安全风险采取补救措施，在网络安全事件发生后无法快速应对以降低企业生产损失。

3.油气田工业控制系统网络安全防护设计

3.1总体框架设计

油气田工业控制系统网络安全总体防护框架是将等级保护基本要求、安全设计要求与安全风险应对充分融合并提炼，形成“一个基础保障、一个平台管控下的三重防护体系”，确保工业控制系统安全可持续运行。总体防护框架如下图所示：

图1 安全技术总体框架

3.2总体部署

为了满足网络安全等级保护对油气田工业控制系统的要求，对油气田工业控制系统的调度层、监控层、现场层按照不同层级处理的业务数据的不同，采用不同的网络安全保护措施，网络安全防护措施如下图所示。

图 2 网络安全防护总体部署

(1)广域网通信防护

针对油气田工业控制系统广域网数据通信的接入身份认证和数据安全防护要求，基于国产密码算法为利用公网有线、无线链路进行控制指令和重要数据传输提供加密和认证保护，保证数据传输和远控指令的安全，实现数据传输的机密性、完整性保护，避免信息传输过程中的泄漏和被纂改。

(2)区域安全隔离

依据业务的重要性、类别、功能等因素对工业控制系统网络进行划分，按照“纵向分层，横向分区”的原则，在不同系统、不同层和不同分区之间采用工业安全隔离装置和工业防火墙对数据流和业务操作实施检测、控制和保护；采用工控入侵检测系统和工控安全审计系统对网络中的攻击入侵行为进行及时发现与预警，对网络中的流量行为进行实时监测与审计。

(3)计算环境可信

对工业控制系统中所有的主机和终端实施集中的安全配置和监控审计，将安全危害从源头进行检测和遏制。通过部署主机安全卫士采用白名单机制，拦截一切未知程序和脚本的执行；部署工控漏洞扫描系统实现漏洞扫描、配置核查等功能。

(4)集中管控保障

系统网络安全风险识别、防御、响应、处置一体化综合性的网络安全防护体系的迭代前进离不开对全网安全态势的有效掌握，通过部署工业网络安全监测预警平台，实现对油气田工业控制系统网络安全态势全面感知。

4.油气田工业控制系统安全防护总结

4.1解决工业控制系统与管理信息系统互联的需求

随着油气田生产企业的规模化发展以及智能制造的提出，在生产过程中工业控制系统和管理信息系统之间信息传递越来越多，原始的数据孤岛严重阻碍了企业的发展速度，促使工业控制系统和管理信息系统间的网络互联互通越来越迫切。

该方案在管理信息系统与工业控制系统之间采用工业安全隔离装置，通过深度定制私有协议策略，以透明代理的方式在两个系统之间深度解析控制数据交换和业务往来，解决了工业控制系统和管理信息系统之间网络通信方面存在的安全威胁，保证两个不同的系统独立运行的前提下，实现网络互连和数据交换。

4.2整体防护与监控工业控制系统

解决了油气田工业控制系统中普遍存在的扁平化网络的问题，依据业务的重要性、类别、功能等因素对工业控制系统网络进行划分，按照“纵向分层，横向分区”的原则实施，纵向分为调度层、监控层和现场层，横向按照物理位置和功能结构分为联合站/增压站区、气处理站区和井场区等。该方案为油气田工业控制系统中区域化隔离提出合理的划分方式。

在不同网络层和不同逻辑区之间采用了工业防火墙实施安全隔离，深度定制工业防护策略，对不同网络和不同分区之间的数据业务实施白名单检测和防护，解决工业控制系统内部不同网络之间具体数据和业务的精准控制。

同时，在不同区域之间采用工控入侵检测和工控安全审计系统，依据工业控制系统的资产和业务白名单，对区域之间的数据和业务实施深度和实时的监测。通过工业网络安全监测预警平台与安全设备、网络设备等协同联动，为油气田工业控制系统安全防护打造了“事前预防、事发控制”的全面监控和防御体系。

4.3全面规范主机管理和操作审计

针对油气田工业控制系统中存在的种类繁多、管理不清的主机和终端的安全风险，采用主机安全卫士统一部署，对所有主机实施统一规范的安全配置策略和集中的主机操作审计，该安全防护系统可以在工业控制系统内部解决普遍存在的系统补丁升级、杀毒软件安全与升级等需求，解决了主机管控和病毒防护在油气田工业控制系统中难以实施的问题。