★李兆崇宁波和利时信息安全研究院有限公司

★郝坚勇杭州和利时自动化有限公司

★付海州宁波和利时信息安全研究院有限公司

★杨康杭州和利时自动化有限公司

★胡永钟宁波和利时信息安全研究院有限公司

关键词：信息安全；等级保护；私有协议；深度融合

1　项目概况

1.1　项目背景

某油田轻烃回收厂将油田生产的天然气中含有的乙烷组分进行回收，使该厂石油液体年产量从45万吨级跃升至120万吨级，成为该油田经济增长的新“引擎”。其中乙烷回收装置设计处理规模为每年100亿立方米天然气，是国内单列规模最大的乙烷回收装置之一。

1.2　项目简介

该油田轻烃回收厂厂内网络分为生产网与办公网，生产网主要承载与生产相关的控制系统的正常运行与流转，办公网主要承载信息化系统与日常办公的正常流转。生产网的乙烷回收工程控制系统均采用国产化系统，其分别采用和利时DCS/SIS系统实现乙烷回收工程自动化控制和采用和利时HiaPlantSCADA作为油气生产网/办公网数据库，并且为办公网信息化系统提供流程图的Web发布。

随着业务的不断发展，不仅需要对传统的办公网实现安全防护，还需要依据等保要求和现场业务实际需求对生产网的工控系统进行安全防护，并且随着智慧油田的逐步发展，生产网与办公网之间的交互逐步从单纯的数据交互转变到业务交互，也对跨网交互中的边界安全性提出了更高的防护要求。

1.3　项目目标

本项目为了实现对乙烷回收工程控制系统的安全保护，采用和利时全系列工控安全设备实现安全防护，按照等保三级要求进行建设，具体完成对乙烷回收控制系统的主机终端防护、边界隔离、流量审计、日志审计以及安全管理等方面的设计、安装、调试和投运工作，并且针对现场实际需求，与和利时HiaPlantSCADA数据库系统采取定制化协同开发实现了生产网办公网数据库同步的私有协议解析，将该功能模块嵌入到现场网闸中，实现了安全防护的同时，又解决了业务同步的问题。

2　项目实施

该项目整体按照等保三级建设，满足一个中心、三重防护的合规要求，首先对乙烷回收工程的相关控制系统实现了安全防护。为了给控制系统穿上“安全铠甲”，另外针对生产网与办公网之间的业务交互，本项目创新性地提出了“业务+安全”的防护理念，针对生产网与办公网之间的业务交互，定制开发了相关私有协议的深度解析，并将其嵌入到工业安全隔离网闸中，与国产化控制系统和国产化数据库实现协同防护，使得生产网与办公网真正实现了“业务安全交互”，推动了以往国外数据库的国产化替代，节省了大量的投资成本，项目建成后减少了部分维护人员，并且组织多次相关安全培训，帮助企业提升了维护人员的安全运维能力。

其中生产网与办公网安全交互部分功能示意图如图1所示。

图1 生产网与办公网安全交互部分功能示意图

整个项目中硬件平台部分包括：

（1）工业防火墙；

（2）工业安全网闸（内嵌私有协议解析模块）；

（3）工业网络审计系统（含入侵检测功能）；

（4）工业日志审计系统；

（5）工业安全管理平台。

软件平台部分包括：

（1）工业终端安全防护软件；

（2）主机加固软件。

具体实现方式如下：

（1）工业防火墙接入

通过工业防火墙产品的部署，建立DMZ区，在DMZ区部署防火墙，对生产网与办公网之间的网络边界进行逻辑隔离防护，实现web发布的同步。

（2）工业隔离网闸系统接入

通过工业隔离网闸的部署，在生产网数据库服务器与办公网数据库服务器之间部署工业安全网闸，采取定制化的私有协议深度解析，实现生产网与办公网的数据自动同步，解决了石油化工企业的一个难点，真正做到业务与安全的深度融合。

（3）工业网络审计系统接入

通过网络审计产品的部署，实现对工业网络流量状态的集中监测，实现了对各种工业协议的DPI，同时可以对安全事件进行追溯与查证，提供了强有力的事后分析，并且配备入侵检测模块，系统内置丰富的规则库，可通过对网络流量数据的分析，发现网络异常行为或攻击行为。

（4）主机加固软件

通过部署主机加固软件以及加固服务，实现对主机终端系统的进一步安全加固。

（5）工业主机安全卫士

通过终端防护软件产品的部署，实现了基本的主机终端防护，防止了恶意代码的入侵，保护了计算环境的安全。

（6）工业日志审计系统接入

通过工业日志审计系统产品的部署，实现对安全设备、网络设备、主机系统、数据库等进行日志数据采集、分类和分析。

（7）工业安全管理平台接入

通过工业安全管理平台的部署，实现工控安全设备和集中管理系统的统一管控，实现对终端设备进行集中化的性能状态监控和安全策略管理，实现对工业网络安全态势的全面掌控，连通了安全防护孤岛，为安全管理者提供了决策依据，实现了工业信息安全处置闭环。

3　案例亮点及创新性

3.1应用效果

该项目针对油气生产网与办公网业务的特殊性，实现了工业隔离网闸定制研发数据库私有协议的解析，实现了国外数据库的国产化替代以及安全防护双重应用效果，其中使该厂的原有国外数据库替换为国产自主可控数据库，投入成本下降百分之30以上。另外该项目辅助客户实现了生产网与办公网系统流程图的同步，节约了维护成本，人力投入减小百分之40以上。

项目整体按照等保三级建设，满足一个中心、三重防护的合规要求，从安全计算环境、安全通信网络、安全区域边界与安全管理中心各个维度实现了工控系统的安全防护，防止了办公网的未知威胁入侵到工控网。

3.2案例亮点和创新点

该项目的实施与应用解决了油气行业一直存在的两个难点问题：

（1）生产网工控系统如何做好安全防护？

通过全系列工控安全防护设备的安全服务实现了对工控系统的体系化防护，满足等保三级防护水平。

（2）生产网与办公网之间如何实现业务的安全交互？

通过网闸定制功能实现了现场国产化私有协议的深度解析，使生产网与办公网数据和画面可以安全地进行交互，真正实现了“业务+安全”的防护理念，为石油化工行业类似应用场景做了成功示例。

3.3可复制推广价值分析

（1）石油化工行业类似场景的探索

解决生产网与办公网业务安全交互的问题，通过网闸定制功能实现现场国产化私有协议的深度解析，使生产网与办公网数据和画面可以安全地进行交互，真正实现了“业务+安全”的防护理念，为石油化工行业类似应用场景做了成功示例；

（2）经济效益

该项目从商业价值来看，可以从两个角度来说，首先依据合规，按照等保三级对现场工控系统进行了安全防护建设，辅助企业实现了安全生产，大大降低了被感染的风险和由此带来的经济损失。其次，该项目工控安全体系建设与现场工控系统实际情况进行了紧密结合，实现协同防护，网闸实现了现场国产实时数据库的定制化私有协议的深度解析，帮助客户实现了对以往PHD的国产化取代，大大节约了TCO成本。

（3）社会效益

乙烷回收工程是地方贯彻落实资源转化战略、增加石油液体产量、实现提质增效的一项重点工程，也是“十四五”转方式、调结构的重点项目，将为下游乙烯项目提供优质的乙烷原料，实现天然气资源的深度利用。

乙烷回收装置采取和利时国产化DCS/SIS系统以及国产化数据库HiaPlantSCADA数据库系统，本次工控安全项目实现对相关控制系统的安全防护，保证了乙烷回收装置控制系统的正常流转，为该重点工程提供了安全保障。

作者简介

李兆崇（1981-），男，河南平顶山人，高级工程师，学士，现就职于宁波和利时信息安全研究院有限公司，主要从事工业信息安全方面的研究。

郝坚勇（1990-），男，山西晋中人，中级工程师，学士，现就职于杭州和利时自动化有限公司，主要从事工业信息安全方面的研究。

付海州（1986-），男，陕西西安人，中级工程师，学士，现就职于宁波和利时信息安全研究院有限公司，主要从事工业信息安全方面的研究。

杨　康（1986-），男，陕西咸阳人，副高级工程师，学士，现就职于杭州和利时自动化有限公司，主要从事工业信息安全方面的研究。

胡永钟（1987-），男，福建三明人，中级工程师，硕士，现就职于宁波和利时信息安全研究院有限公司，主要从事工业信息安全方面的研究。

摘自《自动化博览》2024年1月刊