技術分享|采油生產網工控安全典型實踐案例

一、案例背景

1、行業背景

近年來，隨著工業控制系統信息安全事件不斷發生，"震網"、"火焰"、"毒區"、"Havex"等惡意軟件嚴重影響了關鍵工業基礎設施的穩定運行，充分反映了工業控制系統信息安全面臨的嚴峻形勢。

2011年，國內某石化企業某裝置控制系統分別感染Conficker病毒，造成控制系統服務器與控制器通訊不同程度地中斷。

2012年，某國有大型油田公司下屬某作業區，系統運營商在對其DCS系統PKSC300軟硬件固件版本升級過程中，由于操作不當，導致整個控制網絡感染病毒，造成生產系統停車。最終，油田公司對所有操作終端和服務器進行了更換，DCS系統升級為PKSC900。

2015年，國內某大型石化公司控制網內已經部署了大量某外國品牌的工業防火墻，以為可以從此高枕無憂，但實際情況卻是控制網內大量工程師站、操作員站感染病毒，導致控制軟件運行緩慢，正常操作無法進行。

2016年，國內某國有大型油田管道公司下屬某分壓站的控制網絡遭到大量大數據包攻擊，導致其控制器以太網通訊故障，造成壓縮機停機。后更改為串口通訊，才得以保障其繼續運行，但由于通訊能力的限制，操作和數據顯示明顯延遲。

2017年5月份在全球范圍內爆發、蔓延的勒索病毒對中國石油石化行業的生產也產生了較大的影響，四大板塊涉及的工業生產網絡均有不同程度的感染，有個別油田整個采油廠和作業區大面積感染。

從以上列舉的部分實際案例來看，工控安全威脅長期以來就已存在，但由于信息的曝光度不高，并沒有引起廣泛重視。隨著兩化融合的推進，工業控制系統面臨的安全威脅就更加凸顯。面對越來越嚴峻的信息安全形勢，國家已高度重視工業控制系統信息安全工作，各級政府監管機構和行業組織也相繼發布通知或指南等指導性文件。

2、政策依據

• 工信部2011年下發451號文件《關于加強工業控制系統信息安全管理的通知》，明確規定加強重點領域工控信息系統安全管理措施；

• 《中華人民共和國網絡安全法》；

• 《信息安全技術 網絡安全等級保護基本要求》；

• 《工業控制系統信息安全防護指南》。

3、客戶簡介

XX油田作業區是新疆油田公司下屬的一個專門從事油氣田開發的二級單位，油區面積248.3平方公里,生產戰線長達128km。2014年，作業區生產超稠油248.3萬噸，成為全國最大的整裝超稠油油田。油田作業區一直致力于搭建一套實用有效的安全體系架構，解決工控網絡信息安全問題。

二、核心問題分析

1、安全需求分析

• 工業控制網絡體量龐大。

2014年油田作業區物聯網系統正式投用，構建了"無人值守、集中監控、按需巡檢"的生產管理新模式。目前已實現對作業區關鍵生產環節的集中監控與管理，包含SAGD及常規采油、接轉站計量、處理站、注汽系統等工藝，是作業區集中監控、生產指揮、輔助分析的重要場所。監測參數33000多點，日均報警信息近200條，已成為生產運行中不可或缺的組成，一旦系統因信息安全問題癱瘓，將直接影響全廠生產運行。

• 工業控制系統結構復雜。

作業區工控系統存在工控設備協議多、異構網絡結構復雜等問題，信息安全保障難度大，需從整體架構設計、安全管理、風險評估、技術設施和運維服務等方面入手，建設一套先進實用、完整可靠的油田工控系統信息安全保障體系。

• 工業控制網絡安全防御等級低、無災備能力。

現場工控網絡防御等級低，工業主機安全防護措施不完善，現場數據傳輸介質無法做到有效管控，由外部傳輸引入病毒和造成信息泄露的風險無法排除，曾發生過中控室工程師站和操作員站感染病毒，導致系統異常而影響監控的情況。

除上述安全風險外，根據《工業控制系統信息安全等級保護設計技術指南》、《工業控制系統信息安全防護指南》等相關政策指導文件并結合現場實際情況，現場還存在以下的安全需求：

• 管理網與控制網、控制網內部之間數據分離不足，需要明確各自的安全邊界，并采取必要的訪問控制措施；

• 在油田作業區控制網絡環境中大量使用具有已知漏洞的標準IT產品，存在安全隱患，亟需通過技術手段防范并監測非法入侵及惡意攻擊行為對生產系統造成的影響；

• 在生產過程中，需進行大量的遠程操作和維護工作，缺乏遠程操作的安全管理及審計手段；

• 現行工業控制系統設施長期運行，累積了大量控制設備及配套軟件系統的漏洞，在無法進行補丁升級的情況下，需通過外部技術防護手段對其進行安全加固。

  ?

2、安全建設特點分析

• 安全防護產品部署設計需要基于工業現場的特點。

大量使用工業控制專用通信協議或規約：如OPC、Modbus、DNP3等協議直接使用或作為TCP/IP協議的應用層使用；

軟硬件升級困難：專有系統兼容性差、軟硬件升級較困難，一般很少進行系統升級，如需升級可能需要整個系統升級換代；

系統故障響應要求高：不可預料的中斷會造成經濟損失或災難，故障必須緊急響應處理；

需要集中監控運維：生產現場地域跨度大，集中監控及運維管理尤為重要。

• 工業控制系統對可用性、實時性方面要求較高。

在實施過程中如何保證現場業務正常運行不受影響是基本要求。

三、對策與措施

根據現場安全需求及安全建設特點，威努特深入調研并設計出一套貼合油田現場實際的安全建設流程：風險評估->方案設計->安全實施->安全運維。

1、風險評估

通過有重點、分主次對整個作業區生產業務板塊工業控制系統進行風險評估，分析工業控制系統信息安全現狀，最終形成針對當前安全現狀的評估報告。

?

2、方案設計

根據評估的工作結果進行綜合分析，獲取對工業控制系統安全防護設計具有指導意義的信息，威努特采用以"白名單"為基礎的工業控制系統信息安全"白環境"構建理念，對作業區工業控制系統采取"垂直分層、水平分區、邊界控制、主機防護、內部審計"的設計方針。

"垂直分層"即對工業控制系統垂直方向化分為四層：現場儀表層、工業控制層、生產管理層、信息管理層。

"水平分區"指各工業控制系統之間應該按相同安全防護級別，并對相互信任的系統進行分區分域，使整個工業控制系統在信息安全防護建設過程中做到縱向多層防御，橫向從點到面。

"邊界控制"即對系統邊界連接處要進行邊界防護和準入控制等。

"主機防護"即對工程師站、操作員站、OPC服務器等主機系統進行安全防護。

"內部審計"即對工業控制系統內操作人員的操作行為進行事前監控、事中記錄、事后定位，最后將各層面的日志統一收集起來，進行綜合分析，得出整個工業控制系統信息安全防護態勢，幫助信息安全管理人員對單位內部的安全狀況有個全面而細致的了解。

設計方案具體內容包含：

• 通過部署工業防火墻對作業區內的多個采油廠工控網絡進行區域隔離，配置不同的訪問控制策略，杜絕非法訪問行為；

• 在采油廠各工程師站、操作員站上部署工控主機衛士，通過白名單的方式，防止病毒對工業主機、工控網絡造成破壞。配合使用適配于工控主機衛士軟件的安全U盤實現數據的安全傳輸及信息防泄露；

• 在核心交換機上旁路部署監測審計平臺，對操作人員的行為進行審計和記錄，便于事后追蹤溯源；

• 部署統一安全管理平臺，對工業控制網絡部署的工業防火墻、監測審計平臺和工控主機衛士進行統一的配置和管理，并對其日志信息進行統一收集、分析和管理。

?

3、安全實施

基于現場情況，為保證快速安全的實施，威努特針對各安全產品采取適用于現場的實施方案。

工控主機衛士實施方案：因現場主機存在病毒感染情況，特制定主機衛士的安裝流程如下：

• 搭建工業主機測試環境，測試主機安裝與實際現場相一致的操作系統、應用軟件并進行測試；

• 對現場目標主機進行全盤備份；

• 對現場目標主機進行殺毒；

• 在現場目標主機上安裝部署工控主機衛士軟件，并對主機進行安全加固；

• 通過輪流替換的方式，逐步部署所有工控主機。

• 制定工業防火墻實施方案如下：

• 準備工作：包括設備靜態測試、基礎策略配置、線纜鋪設等；

• ?網絡切割：防火墻接入業務網，開啟學習模式自學習網絡中的工控協議；

• ?策略驗證：將防火墻開啟告警模式，驗證工控協議白名單的有效性，根據報警日志對白名單策略進行優化調整；

• ?設為防護模式：在驗證策略無誤后防火墻開啟防護模式，實現網絡安全防護。

防火墻實施過程中，除了插拔網線的短暫瞬間，對整體網絡的業務運行幾乎未產生影響。另外工業防火墻工業級硬件設計、透明部署模式、硬件Bypass設計、軟件故障自動檢測機制、fail-open故障處理原則和三種工作模式設計，極大降低配置難度及誤配置風險，從而對現場實施風險做到了有效控制。

制定統一安全管理平臺及監測審計平臺實施方案如下：

• 統一安全管理平臺及監測審計采用旁路部署模式，對現場業務不會產生任何安全方面的影響。

基于前期合理的實施方案設計和實施過程中技術工程師的精準把控，有效的規避了項目實施過程可能產生的風險，最終零事故、高效高質量的完成了整個項目的實施。

4、安全運維

對于工控系統信息安全的長期運維來說，如果沒有針對性的管理保障體系，很難保證系統長期穩定運行，很難保證能夠發揮出系統的最佳優勢，從而很難保證長期安全。因此對油田工控系統信息安全管理體系需要進行專門的設計，逐步建立工控系統信息安全管理組織機構，按照標準的安全管理流程進行規范化的工控系統安全管理和監督，形成符合現狀的管理體系，從而保障工控系統安全持久運行。

依托于原有信息安全管理組織，建立健全工控安全管理組織機構框架。培養面向工控系統信息安全領域不同崗位的人才，覆蓋領導、協調、分析、運行、保障等職能，使之具備從上而下的工作能力，從而建立起能服務于工控系統信息安全運維監控、響應恢復的專業團隊。

四、案例特色及應用價值

1、防護方案特點

根據"風險分析+執行策略+系統實施+漏洞監測+實時響應+安全恢復=系統安全"的建設思路，油田作業區工控系統安全構建了多層次、全方位、立體化的體系架構。以保障工控系統信息安全、穩定運行為出發點，結合油田生產過程的多樣化，研究建立安全風險模型，奠定了安全技術與運行管理的基礎。融合工業防火墻、"白名單"防護、統一安全管理等技術，建立了以主動安全防御為核心的技術體系，實現了"分區分域、縱深防御、統一監控"的建設目標，提高了工控系統信息安全風險防控能力。結合運行、管理、技術三個方面，建立起可管理、可控制、可信任的工控安全運行管理體系并形成長效運行管理機制。

2、應用價值

• 有效提升工控系統信息安全防御能力，實現了訪問控制、協議過濾、病毒防御、主機加固、安全監控等功能，保障了生產監控業務的連續性，減少因服務中斷給油田作業區造成的潛在經濟損失，為油田生產運行安全保駕護航。

• 實現了對工控系統內所有工控安全防護設備及系統的統一管理，降低運維管理成本。

• 在2017年爆發的"勒索"病毒事件中，與油田公司某兄弟單位大面積感染導致的工控系統癱瘓相比，作業區工控系統未發生感染事件，節約了系統維護和設備購置費用，直接與間接經濟效益均很可觀。

• 通過不斷建設和完善工控系統的信息安全組織機構、管理制度和運行管理流程，提高了作業區工控系統信息安全保護能力、風險識別與評估能力、綜合管理能力和應急處理能力。

• 作業區工控系統信息安全統一監測審計，提高了管理效率，降低人員維護工作量。

• 提高了員工信息安全意識，降低工控系統信息安全事件發生的概率。