★贾志鹏（北京贝诺电子科技发展有限公司，甘肃庆阳745100）

★崔强（中国石油长庆油田分公司第一采油厂，甘肃庆阳716000）

★余杰，周婷，宋创（北京贝诺电子科技发展有限公司，甘肃庆阳745100）

关键词：油气田生产监控系统；安全分区；边界防护；网络安全监控；终端安全加固；安全管理中心；安全运维

1 引言

油气行业的生产调度通过生产监控系统进行有效管理与控制，生产监控系统的安全稳定是采油采气工作顺利开展的前提，关系到国家经济发展，是国家重要的基础设施。随着两化融合技术的发展，油气田企业不断提升生产技术装备的自动化水平和运营管理手段的信息化能力，快速提升了生产效率，但信息互联互通的同时也给油气田生产监控系统带来了更多的网络安全隐患。

油气田企业所在的能源行业是关乎国计民生的特殊行业，而近年来针对能源行业网络安全的攻击事件频发，对油气田安全防护问题的重视程度也必须随之提升。随着相应法律法规的发布，对油气田安全防护提出了更高的要求，因此，如何提升油气田生产监控系统的网络安全防护能力，成为亟需研究解决的问题。

2 油气田生产监控系统存在的安全问题

通过对多个油气田生产监控系统调研，发现当前油气田普遍缺乏边界防护、安全审计、入侵检测、主机防护等安全防护措施，其安全形势十分严峻，结合等级保护基本要求，典型问题总结如下：

2.1 安全技术方面的典型问题^[1]

（1）安全通信网络方面

生产监控系统与其他网络区域之间未采取可靠的技术隔离手段。

（2）安全区域边界方面

· 系统边界或区域未设置严格的访问控制策略及访问控制规则；

· 关键网络节点处未部署入侵检测设备，未根据最小权限原则配置访问控制策略，不能检测、防止或限制从内部发起的网络攻击行为；

· 未在安全区域配置安全审计系统，无法对网络行为进行安全审计、记录。

（3）安全计算环境方面

· 部分设备在远程管理时采用http方式，未采用加密措施；

· 网络设备、服务器账户未采用三权分立，存在账户共用的情况；

· 系统未重命名默认账户，未修改默认账户口令；

· 系统无登录失败处理功能；

· 未授予不同账户所需的最小权限；

· 默认共享和高危端口管理不到位；

· 主机未采取安全防护措施；

· 操作系统未最小化安装，存在多余的组件或服务；

· 系统审计日志功能未开启等。

（4）安全管理中心方面

缺乏安全管理中心的建设，无法对设备状态、恶意代码、安全审计等安全相关事项进行集中管理。

2.2 安全管理方面的典型问题

· 安全管理制度缺失；

· 安全管理机构、人员等不完善；

· 对介质（USB、光驱等）等运维管理不全面。

3 油气田生产监控系统网络安全整体解决方案

从生产监控系统安全角度出发，以等级保护2.0为设计依据，按照“一个中心，三重防护”的原则，构建安全通信网络、安全区域边界、安全计算环境^[2]等多重防护机制，在整体上保证各种安全措施的组合从外到内构成一个纵深的安全防御体系。

3.1 整体方案设计思路

（1）从网络边界划分和防护技术着手，改造网络拓扑、划分网络区域、清晰网络结构、规范网络边界，在各个边界有层次地实施边界防护措施，包括使用网闸、工业防火墙等各种隔离技术。

（2）对网络流量进行监控分析，及时检测和发现网络中存在的网络风险和攻击行为，并分析和记录生产监控系统中的操作行为和异常网络行为，便于事后进行事件取证和定责。

（3）所有操作站、工程师站、服务器上通过部署工业主机安全防护软件（白名单）对应用程序、移动存储介质、特定对象完整性等进行防护，阻止非法程序的运行。同时对主机、服务器、SCADA软件、网络设备、安全设备等终端的账户、权限、口令、审计、漏洞等进行安全加固。

（4）建立安全管理中心，对安全设备进行集中管控，通过单点登录、双因素认证、过程审计记录等实现运维过程的安全可控，此外，通过态势感知平台构建工控企业级安全大数据中心，为用户呈现企业内全面的工控网络态势环境，并对网络整体威胁概况提供可视化展示等。

（5）进行安全运维能力建设，指导油气田公司及时、有效、有序处置网络安全事件，提高应对网络安全事件能力，建立健全网络安全事件应急工作机制，预防和减少网络安全事件造成的损失。

3.2 安全分区与边界防护

油气田生产监控系统网络安全域是指根据生产监控系统的业务划分、应用的不同流程和系统等而划分的不同的安全区域。根据每个安全区域业务的重要程度使用不同的安全防护手段。因此可以将整个生产监控系统网络划分为比较小的安全区域，建设基于安全区域的安全防护体系。

（1）安全分区

安全分区是工控安全防护体系的结构基础。油气田生产监控系统可以划分为井场、管理区、采油厂级和公司级。

（2）边界防护

· 在公司级与采油厂级之间部署工业网闸实现单向隔离^[3]，保证应用数据的单向传输，即从采油厂向公司级的生产数据单向上报；

· 在采油厂级与管理区之间部署工业防火墙，满足内部安全区域之间的网络隔离防护；

· 在各井场与管理区之间部署工业防火墙实现对井场生产监控系统的安全防护；

· 无线接入应采用自建的专用无线基站或采用边界隔离技术和加密技术，保证无线网络通过受控的边界设备接入内部网络^[2]。

油气田生产监控系统安全分区及边界防护部署如图1所示。

图1 油气田生产监控系统安全分区及边界防护部署图

3.3 网络安全监控

当生产监控系统出现安全事故后很难确定是误操作、恶意操作还是系统自身故障所导致，因此需要通过对通信流量进行检测、对操作行为进行审计，才能从全局分析安全事件所产生的原因。

（1）在采油厂以及管理区部署网络入侵检测系统，便于及时检测和发现网络中存在的网络风险和攻击行为。

（2）在采油厂以及管理区旁路部署工业网络安全审计系统，检测和记录工控系统中的操作行为和异常网络行为，便于事后进行事件取证和定责。工业网络安全审计系统对工控网络中的网络流量（管理区系统与各井场之间的通信、厂级系统与管理区之间的通信）进行采集、监测和分析，对流经的数据流量进行实时解析并分析安全风险。

油气田生产监控系统网络安全监控部署如图2所示。

图2 油气田生产监控系统网络安全监控部署图

3.4 终端安全加固

（1）主机防护

生产监控系统中会部署工程师站、操作员站等主机设备。大部分网络安全威胁比如病毒以及操作人员误操作等主要都是通过主机设备进入生产监控系统，使之成为系统中潜在的风险点。因此，必须对主机设备进行安全防护，可以通过部署主机白名单防护软件，对应用程序、移动存储介质、特定对象完整性等进行防护，阻止非法程序的运行。

（2）终端安全加固

针对终端除了部署白名单防护软件之外，还需要进行安全加固才能满足等级保护的要求，具体的措施主要体现在以下几个方面：

· 身份鉴别：对登录的用户进行身份标识和鉴别，配置登录失败处理功能，采用加密方式进行远程管理等；

· 访问控制：对登录的用户分配账户和权限，重命名或删除默认账户，及时删除或停用多余的、过期的账户，避免共享账户的存在等^[2]；

· 安全审计：启用安全审计功能，并进行定期备份，避免受到未预期的删除、修改或覆盖等，对审计进程进行保护，防止未经授权的中断^[2]，审计记录保留在本地或者上传到日志中心，且日志留存6个月以上；

· 入侵防范：遵循最小安装的原则，关闭不需要的系统服务、默认共享和高危端口，对通过网络进行管理的^[2]管理终端进行限制、定期进行漏洞修补等；

· 数据备份恢复：定期对重要业务数据和审计数据进行备份，重要业务数据要进行异地备份；

· 控制设备安全：PLC、RTU等控制设备开启身份鉴别、访问控制和安全审计功能，封闭控制设备的USB接口、串行口或多余网口等。

3.5 建立安全管理中心

尽管有了边界防护、网络安全监控、终端安全加固等安全措施，但是安全设备独立运维、无法从全局了解整体网络安全状态，会导致当出现安全问题时需要逐一排查安全设备、网络设备、服务器等日志和事件，极大地影响效率，因此需要建设安全管理中心来解决上述问题，具体如下：

（1）在采油厂级部署工业安全管理平台，实现对工业防火墙、安全审计、主机白名单防护等分布在网络中的安全设备或安全组件进行集中管控。

（2）采用安全运维审计技术对重要设备集中运维，实现集中账号管理、认证、授权、审计，并满足双因素认证的要求。

（3）在公司级部署态势感知平台，实时汇聚生产网络各种设备产生的日志告警数据、网络流量数据，构建工控企业级安全大数据中心。通过对安全大数据的深度挖掘和机器学习智能的分析，为用户呈现企业内全面的工控网络态势环境，并对网络整体威胁概况提供可视化展示等功能。

油气田生产监控系统安全管理中心建设如图3所示。

图3 油气田生产监控系统安全管理中心建设图

3.6 安全运维能力建设

油气田生产监控系统的安全防护离不开日常的使用和运维，如何最大化地发挥安全设备的安全防护能力，如何面对突发的安全事件，为生产系统长期安全稳定的运行提供持续支持，都依赖于安全运维的建设。

（1）安全规划

从业务需求出发，结合合规性要求，提取安全需求，从策略、组织、管理、技术、资源等多方面综合考虑，对生产系统的安全目标、任务、措施和步骤进行整体规划。

（2）安全设备运维

根据业务需求及变动，对安全设备策略进行更新、配置进行优化等。

（3）安全事件管理

对安全事件提供分析及处理能力，并且依据各类各级安全事件，编制应急预案和指导应急演练。

（4）日常安全运维

依据国家和行业相关标准，评估生产监控系统资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并进行相应的日常安全运维，包括日志信息的备份、安全培训、资产安全分析、主机安全加固、网络设备整改等。

4 油气田生产监控系统网络安全方案应用

在某油气田生产监控系统中，由于地域范围太广，大部分底层井场以及站场（处理站、集输站、计量站、中转油库等）的生产数据通过分布在生产区域的无线通讯装置（如通讯铁塔）进行汇聚（到汇聚通讯塔、中心通讯塔等），再通过光纤接入主干网核心交换机；部分近距离大型站场（联合站）的生产数据则通过光纤直接接入主干网核心交换机，生产管理中心的生产监控系统实时数据服务器通过核心交换机获取相应的生产数据。

根据油气田生产监控系统网络安全整体解决方案的思路，我们进行了网络安全建设，网络安全系统部署如图4所示。

图4 网络安全系统部署图

（1）安全分区

将生产监控系统划分为井场、站场、生产管理中心和生产指挥中心四个安全区域。

（2）边界防护

在井场与生产管理中心之间、站场与生产管理中心之间，部署工业防火墙，通过白名单功能对正常通信行为学习后，生成指令级防护策略，对井场、站场与生产管理中心间的工控指令攻击、控制参数修改等进行有效防护；同时在生产管理中心和生产指挥中心之间部署了工业网闸，仅允许实时数据库的生产数据和流媒体服务器的视频数据单向传输，具体到双方的IP地址、MAC地址、端口、协议等。

（3）网络安全监控

在生产管理中心部署工业网络安全审计系统和入侵检测系统以及部分重要大型站场（处理站、集输站、计量站、中转油库等）部署工业安全审计系统，实现生产监控系统的运行期行为模型分析，包括已知行为模型分析（工业安全审计系统）和未知行为模型分析（入侵检测系统）。

通过对油气田生产监控系统网络结构特征、设备和协议类型信息采集（如网络拓扑、设备清册、协议清册、业务数据流等），并将其导入工业安全审计系统以及入侵检测系统，可进行生产监控系统中设备和协议脆弱性关联分析和行为模型分析，进而实现系统的威胁影响度量分析。

（4）终端安全加固

对生产监控系统内工程师站、操作员站和服务器采用主机卫士（主机白名单防护软件）进行安全防护，仅允许上位机监控软件、数据库等必要的进程运行，禁止一切未知程序和脚本的执行，从根本上保障主机运行环境的安全。

（5）安全运维审计

在生产管理中心运维区域部署堡垒机，采用安全运维审计技术对服务器、网络交换、网络安全等设备集中运维，可以实现单点登录、集中账号管理、身份认证、资源授权、访问控制以及操作审计等功能。

（6）集中安全管理

在生产管理中心部署工业安全管理平台，对工业防火墙、工业网络安全审计系统以及主机卫士等进行统一策略管理和实时监控，提升对整个生产监控系统网络的安全监控和管理效率。

（7）态势感知

在生产指挥中心部署态势感知平台，收集生产监控系统网络内的日志及告警信息，对多源异构数据进行关联和识别，发现潜在漏洞、预测未知攻击，对当前工业系统全局网络安全状况进行综合分析与评估；并对恶意代码、漏洞、攻击方法等进行搜集、整理和分析后，与权威漏洞库进行关联评测，进行预警与展示，提高全局网络安全防御能力。

5 方案意义

油气田生产监控系统网络安全整体解决方案在油气行业领域具有很高的应用价值和指导意义。

（1）依据国家信息安全等级保护制度结合业务情况实现了生产监控系统的安全防护，满足国家合规性要求。

（2）满足集团公司网络安全管理办法对所属企事业单位工控安全防护要求。

（3）提高了生产监控系统运行稳定性，加强了系统的安全管理和技术防护能力，防范黑客及恶意代码等对生产监控系统的攻击及侵害，保障企业生产系统的安全稳定运行，提高维护工作速度，提升工作效率。

6 结论

随着工业化与信息化的深度融合，油气田原有的生产监控系统的封闭环境逐步被打破，网络安全问题日益突出，安全威胁不断升级。实际应用证明，通过安全分区、边界防护、网络安全监控、终端安全加固、安全管理中心建立等方面形成的整体解决方案，可以切实提高油气田生产监控系统的安全防护能力，同时通过安全运维能力的建设，可以逐步提升应对安全威胁的能力。

然而在当前工业互联网新形势下，随着攻击手段的多样化，对安全防护技术、安全防护方案及安全运维能力提出了更高要求，需要更多的应用来促进方案的不断成熟。

作者简介：

贾志鹏 （1984-），男，甘肃庆阳人，信息工程工程师，学士，现就职于北京贝诺电子科技发展有限公司，主要从事智能化、数字化、信息化方面的建设管理工作。

参考文献：

[1]常季成,贾政,姜路.油田工控系统网络安全现状与发展趋势[J].仪器仪表标准化与计量,2021,(2):21-25.

[2]GB/T22239-2019,信息安全技术网络安全等级保护基本要求[S].

[3]杨斌.浅谈油气田行业工控安全防御体系建设[J].通信管理与技术,2021,(8):53-67.

摘自《自动化博览》2022年7月刊