技术分享 | 油气勘探钻井平台工业控制系统安全解决方案

油气勘探，是指为了摸清勘探区域内，探明石油气储量，从而进行的地质相关活动，主要包括：地质调查、物理勘探、油气钻探等活动，是油气开采的第一道重要、关键环节。其中钻井平台是开展油气采集活动的重要基础设施及保障，钻井平台主要分为海上平台和陆地平台，每种平台又可细分不同种功能平台，本文主要讲解陆地石油钻井平台及其工业控制系统安全防护解决方案。

陆地钻井平台一般由油罐区、泵房区、固控区、动力及电传动区、钻台区以及办公住宿区组成。 

工业控制系统以PLC及RTU为主，以西门子PLC居多，西门子SIMATIC 300进行系统集成设计。使用STEP 7软件进行编程和调试，通过PROTOOL软件来实现现场的可视化，通过WINCC软件实现数据采集、历史归档和报表打印和远程维护功能，通过SIMATIC Software Redundancy软件中简单的软件机制就可使一个发生故障的主CPU由冗余CPU接管过来实现冗余备份和切换。

PLC控制系统分别布置在电控房和司钻室，其中电控房内包括相互冗余的CPU和多套ET200M（IO采集单元），司钻室包含ET200M。电控房内布置有:PLC控制机柜、发电机控制机柜、整流柜、VFD柜及MCC柜。司钻室内钻机机电、气、液控制集于一体，除了包含ET200M（IO采集单元）的电控柜外，还包括主控制台和辅助控制台，具备钻机操作、钻井数据实时显示，电气系统运行监控与显示、声光报警、故障指示等功能。

PLC控制系统可以完成对多台电机(其中包括泥浆泵电机、绞车机和转盘电机)的运行及联锁控制，还包括对发电机柜、整流柜的能耗参数、状态以及钻台传感器的数据采集、控制、报警、故障显示。在钻探过程中，对钻台绞车和转盘的可靠性、操作性要求非常高，如果绞车或转盘发生故障，在短时间内不能修复，则有可能造成井壁坍塌的大事故，因而系统多为冗余结构。 

随着油气钻探技术的不断升级，我国钻井技术从人工机械化钻井发展到自动化钻井，自动化水平越来越高，集成度、可操作性、安全性也越来越高。十二五规划以来，我国几大石油集团对石油钻探技术提出新的要求，更加高效的石油勘探技术被广泛应用，勘探设计要求能够实时掌握现场生产情况，这就需要将各个钻探队伍现场设备、井场相关生产数据传输至中心，进行统一调度指挥和监测。由于井场数量庞大、分布广泛，都需要接入调度中心，这对工业控制系统网络提出新的挑战，在网络建设过程当中必须要考虑互联所带来的网络安全、管理归属、运维保障等安全问题。

网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重，与国家安全、社会公共利益以及个人利益息息相关。为此《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有主要的安全保护义务。

石油化工行业企业也相继推出企业工控相关政策和要求，如企业应定期开展工控系统安全风险评估，制定可行的安全防护策略，总结防护经验，完善防护措施，提升防御水平，及时定级，及时向有关部门备案。

依据目前钻探工控系统网络安全现状，在生产系统网络安全建设项目时，所采用的安全产品应为国内安全厂家自主开发产品，符合国家安全产品相关规定及安全要求。安全防护效果应能够满足国家政策法规及各级主管单位的相关要求，具体安全需求如下：

2.1 一般要求

应符合GB 17859、GB/T 22240的要求，应遵循信息安全等级保护二级的要求（按照等级保护2.0版本）。

参照中国石油油气生产物联网系统应符合油商密二级的要求。

2.2 物理与设备安全

1.2.1 在集团公司、勘探设计公司和作业队分布部署的工业控制系统设备机房，应符合Q/SY1336中的建设规定，各级部署如下：

a)  在集团公司部署的设备机房，宜按照A级数据中心机房要求建设或整改。

b)  在勘探设计公司部署的设备机房，宜按照B级数据中心机房要求建设或整改。

1.2.2 室外设备安全应满足以下要求：

a) 主要仪器仪表应加装安全防护箱，箱体材料应选用不易生锈、耐磨损的材料，并具有一定承重能力。

b) 重点井、重点地区、高危地区、社会敏感地区应安装摄像头，便于实时视频监测，防止设备被盗。

1.2.3 设备宜有备用电力供应。

2.3 网络安全

2.3.1 应将油气生产物联网系统网络的基本安全域作以下划分：

a) 办公网：由办公管理系统和决策支持系统组成的计算机网络。范围包含总部、油气田公司、采油采气厂至作业区及部分重点井站。

b) 生产网：以生产控制系统中产生的生产数据为主要流量的专用计算机网络。范围主要包括各油气田公司作业区及以下井场、站场（厂）。

2.3.2 安全域边界防护应满足以下要求：

a) 隔离网闸：应在生产网与办公网之间部署隔离网闸，保证油气生产物联网系统生产网的安全，隔离网闸是生产网与办公网数据交换的唯一通道。

b) 防火墙：应在作业区生产网核心交换机前端部署防火墙设备，以保护作业区内部核心生产网络的安全，抵御来自无线传输网络的安全威胁。

c) 入侵检测：宜在生产网作业区核心交换机旁路部署入侵检测设备，并能与防火墙联动，一旦检测到网络攻击行为能通知防火墙进行阻断。

同时须满足等保2.0中关于网络架构、通讯审计等安全要求，工业控制系统内部应划分不同的安全域，安全域之间应采用技术隔离手段；应在网络边界、重要网络节点进行安全审计。

钻井平台工控系统架构单一，但网络中生产数据、采集数据、办公数据、视频数据融合，通过光纤或无线传输至调度中心，需要将数据业务进行分离。

钻井平台工控系统内应增加安全审计设备，可以对网络中的攻击行为、数据流量、重要操作等进行监测审计，一旦出现安全事故无法进行事后审计。

钻井平台工控系统内应增加威胁检测设备，识别和检测信息管理大区的恶意代码入侵和网络攻击行为，确保控制系统不易受到恶意代码和恶意的网络攻击的破坏。

2.4 操作终端安全

操作终端安全应满足以下要求：

a) 宜充分利用已部署的终端安全管理平台，实现对油气生产物联网系统中的管理终端和用户终端的安全性检查，包括终端安全登录、操作系统进程管理和设备接入认证等。

b) 宜为操作终端安装防病毒软件，提供病毒、木马和蠕虫查杀功能。

c) 同时还需满足等保2.0中关于设备和计算安全通用安全要求+扩展要求，如安全审计要求：应对用户操作行为和网络安全事件进行审计。

钻井平台工控系统网络中的服务器、工程师站和操作员站使用微软windows操作系统，由于生产控制网络的封闭及控制系统对业务实时性要求较高，无法进行正常的系统漏洞升级操作，导致使用的微软操作系统存在大量安全漏洞，“不法分子”可以利用操作系统的漏洞更加容易对操作系统进行攻击。

钻井平台工控系统内工控主机没有安装任何杀毒软件，或者安装杀毒软件但限于工业网络现状长期没有进行代码更新，缺少恶意代码防护功能，一旦受到恶意代码攻击或感染，容易导致工业控制系统受到安全威胁，引发运行事故，造成人员财产损失。工控主机应安装基于白名单的防护软件。

钻井平台工控系统内的工控主机可以通过移动U盘等介质，移动介质可能在管理网和生产网之间交叉使用，难免会感染病毒或恶意代码，进而导致上位机被攻击，引发安全风险。应对外设计口进行移动介质授权管理。

2.5 应用系统用户管理及身份认证

a) 应利用“用户身份管理与访问控制系统”，为生产管理子系统办公网用户提供用户管理及身份认证服务。

b) 宜采用组态的用户名密码认证功能，为数据采集与监控子系统生产网用户提供用户管理和身份认证服务。

c) 同时须满足等保2.0中应用和数据安全的通用安全要求，安全审计要求。

根据ICS-CERT和CNVD权威统计，目前常用的工业控制软件（如wincc、wonderware、ifix等），均或多或少存在安全漏洞，限于工厂实际情况又难以及时更新补丁，漏洞一旦被利用将导致安全事故。工业软件的维护不应过多依靠供应商，不能为了维护方便，采用默认配置和默认口令。

钻井平台工控系统内的网络设备、服务器、工程师站、操作员站等设备尚未具备日志审计功能且未统一留存，无法及时发现网络威胁或违规行为，可能导致系统运行异常。

2.6 无线传输数据安全

a) 长距离无线传输（偏远井站RTU到有线接入点）数据安全基于信元和信道两方面进行规范：

b) 信元加密：对于有特定需求的油气田公司的重点特殊区域可部署安装信元加密设备。

2.7 工控安全管理需求

除了采用安全技术措施防护安全威胁外，安全管理制度也是必不可或缺的手段，所谓“三分技术，七分管理”就是这个道理。安全技术措施和安全管理措施可以相互补充，共同构建全面、有效的信息安全保障体系。

管理层主要考虑如下方面的内容：

 梳理信息安全架构，完善工控安全管理组织体系；

 收集行业规范，完善企业工控安全管理制度，制定针对性指导方针；

 加强行业专业化人员安全管理、持续推进技术培训；

 规范工控安全系统建设管理体系，制定全生命周期管理策略；

 规范工控系统运维管理建设，加强技术、产品、人员投入，提升运维管理水平。

根据钻井平台工业控制系统网络安全现状，结合工控系统运行环境相对稳定、固化，系统更新频率较低的特点。采用基于“白名单”机制的工业控制系统工控安全“白环境”解决方案，通过对工控网络边界、网络流量、工程师站工作状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，构筑“三位一体”白名单解决方案，确保

 只有可信任的设备，才能接入工控网络

 只有可信任的消息，才能在工控网络上传输

 只有可信任的软件，才允许被执行

工业控制系统安全建设依据“安全分区、纵深防护、统一监控”的原则进行建设。

 “安全分区”：根据生产过程，将生产相关配套工业控制系统进行纵向分区、横向分域，规范网络架构，杜绝私搭乱建行为。

“纵深防护”：结合安全区、安全域划分结果，在制定区、域边界防护措施的同时，也要在安全区、安全域内部关键网络节点、关键设备部署异常行为、恶意代码的检测和防护措施，真正做到纵向到底、横向到边的全域防护。

“集中管理”：针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统，统一监控PLC系统的的安全状况。将安全风险进行集中的展示，以风险等级的方式给出不同工业控制系统的安全风险级别，全面了解并掌握系统安全动态。识全局、统筹管理、真正做到工控安全全域感知。

“白环境”解决方案能够保障工业控制系统安全稳定运行，安全建设内容符合相关标准的要求，可以顺利通过等级保保护测评机构测评和相关部门的信息安全检查。

3.1 网络和通讯安全

1) 边界物理隔离

参考中石油相关项目建设成功案例，安全防护重点考虑工业控制系统安全，因此，将工业控制系统与其他业务进行剥离。并通过工业网闸进行物理隔离，工业控制系统生产数据只与调度中心井场生产数据服务器进行单向通讯。

在不同级别安全域之间——“生产控制网”与“调度中心网”之间采用更加安全的物理隔离方法，部署工业单向OPC网闸，实现数据的单向导通。

2) 区域安全防护

针对生产网工业控制系统所面临的安全风险，在远程调度指挥中心与井场之间，部署工业防火墙实现边界防护，阻止调度指挥中心和生产井场网络之间的非法访问和攻击。

工业防火墙，用于不同工艺单元边界之间隔离，因此对于控制系统本身的稳定运行没有任何影响，不存在与系统兼容性问题，主要对区域间工业通讯协议进行重点防护。

如果将来控制系统升级或更换，只需对其进行策略调整即可。

3) 入侵检测

入侵检测系统采用旁路部署方式，能够实时检测数千种网络攻击行为，有效的为网络边界提供全景的网络安全攻击感知能力，使其详细的掌握工业环网中的安全情况。

4) 安全审计

在企业生产网部署工控安全审计产品，实现网络的3大审计检测功能，即网络通讯行为审计、网络操作行为审计和无流量监测，可为网络安全事件提供追溯。

部署工控安全监测与审计系统，采用交换机旁路方式收集网络通讯数据，建立网络通讯行为白名单，从而发现违反白名单策略的行为。

在控制网交换机部署工控安全监测与审计系统，镜像控制网流经此交换机的所有数据，审计数据向集中管理平台集中汇报，由平台进行集中管理，统一收集网络日志，通过建模分析当前网络安全状态，为管理员提供可视化的操作行为、异常波动、告警信息，做到事前监控，事后可追溯原因。

3.2 设备和计算安全

部署工控主机卫士对系统内主机进行防护，主机卫士采用“白名单”管理技术，通过对数据采集和分析，其内置智能学习模块会自动生成工业控制软件正常行为的白名单，与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征，其主机安全防护系统将会对此行为进行阻断或告警，以此避免主机网络受到未知漏洞威胁，同时还可以有效的阻止操作人员异常操作带来的危害。

主机安全防护软件基于应用程序白名单技术，其主要作用是对主机现有运行环境做指纹识别，它不同于病毒软件不会删除任何文件和进程，更不会存在误杀的可能。介于工业环境下工控主机相对稳定的现状，对其防护的重点在于保护现有状态的安全稳定运行，白名单技术不仅不会干扰主机进程及专用软件的正常通讯，还可以从源头截断病毒爆发的环境。其对工业专用软件和主机没有型号和厂家限制，也不存在兼容性问题。对于不属于白名单的程序只会进行拦截并产生告警，告警信息可以上传到集中管理平台，同时配合配套的安全授权U盘（存储空间在16G左右，可以满足大部分临时数据的安全摆渡，对于更大容量的数据则采用光盘读取），实现移动端口的管控，这些信息都可以在集中管理平台看到。

3.3 应用和数据安全

由于钻井平台对生产网络主机的管理相对比较严格，但由于数量庞大且分布分散，更是对于工程师站等关键部位无法做到绝对隔离，在调度管理中心网部署运维管理平台，实现生产网主机的安全管控及权限管理。

井场生产网络的上位机、工程师站、操作员站、服务器、网络设备、安全设备，并且存在远程编程组态需求（西门子TC35 Terminal GSM调制解调器），面对数量如此众多且分散分布的设备，如何高效、安全的进行统一管理就是一个问题，设备资产管理不善也会带来一定的工控安全隐患，尤其是在使用远程维护VPN通道时，没有运维操作审计，将会给生产网络安全带来极大隐患，为确保生产网络的运维管理满足等级保护的身份鉴别、访问控制、安全审计的相关要求，需要在生产网络旁路部署运维管理平台，实现运行维护管理的身份鉴别、访问控制和安全审计。

3.4 集中管理

借鉴 “一个中心、三重防护”的纵深防御模型。采用“一个中心、三重发现”的建设理念，其中一个中心是指生产安全集中监测平台，三重发现是指在SCADA网络，发现网络区域边界、网络通信、计算环境安全问题的能力。生产安全集中监测平台通过报警防护反馈给调度中心，对SCADA系统安全防护进行监督。

生产安全集中监测平台部署在网络核心交换机上，旁路部署方式，负责非法外联监测、异常攻击监测、安全合规监测、恶意代码监测、设备运行状态监测、网络异常访问监测、非法程序启动监测、主机非法外联监测等内容。

通过对被监测对象流量、日志、告警的收集，通过多样的标准接口方式把数据上送至数据存储和分析层，基于对原始安全数据的整合、分析支撑上层应用服务如风险分析、异常检测等，最终实现对全网整体安全态势的可视化展示、安全预警及知识库管理。

石油气资源作为不可再生资源，已成为世界各国的战略性资源。各国进一步升级石油开采技术的同时，也在积极加强石油气开采生产网络的安全防护建设。世界各国信息安全厂商已将目标集聚SCADA系统安全，如以色列8200部队前管理人员所创建的Claroty公司，以色列国防子公司Cyberbit等。

世界网络安全强国的发展历程及思维，对我国关键基础信息设施网络安全强国建设，具有重要的思考和借鉴意义。作为国内业界具有一定影响力的专业工控安全企业，通过几年的技术积累，对我国网络安全产业总体态势的研究，结合行业的实际需求，研发出多款针对性安全产品，在吸收国内外安全产品先进经验的同时，积极创新发展，实现行业弯道超车。

作为工业网络安全服务商，迄今已服务电力、石油、轨交、制造、燃气、水务、烟草、煤炭、科研机构等领域的数十家客户。在石油化工领域三中科技将继续为保障“奉献能源，创造和谐”提供坚实的网络安全原动力。