采油廠工控系統防護策略研究及應用

喬龍巴特

[摘 要] 隨著物聯網的快速發展，采油廠信息化與工業化的深度融合，工控系統能夠極大地提高生產效率，但是工控網絡受到攻擊或感染病毒后將有可能導致控制系統發生故障，壓力、溫度、流量、液位、計量等指示失效，檢測系統連鎖報警失效，或各類儀表電磁閥及電源無供給。一旦重大危險源處于失控狀態，后果不堪設想，將危急現場操作人員和生態環境。

[關鍵詞] 工控系統；安全防護；防護策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 052

[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2018）11- 0118- 02

1 前 言

2014年采油廠的物聯網建成，采油廠工業控制網絡安全是信息化推進中出現的新問題，現場工控主機為保證過程控制系統相對的獨立性仍在使用WindowsXP操作系統，在工控系統投運后升級操作系統或者打補丁會存在工控系統崩潰或失效的安全運行風險，不打補丁不升級操作系統就會存在被攻擊的漏洞，傳統信息安全的防護方法起不到保護的作用，工控主機感染病毒現象嚴重，運維過程中重做系統等重復性維護工作量大，給安全生產帶來極大隱患。

工控系統自動化設備數目眾多，設備發生故障時維護人員是通過自己攜帶的U盤進行維護，然而工控系統內部無安全存儲傳輸介質、缺乏科學管理和技術防護手段，容易被非法入侵者通過傳輸介質破壞、篡改或刪除數據，同時存在著泄密的風險。

采油廠自動化服務器前端無任何安全訪問控制功能的設備，如防火墻、網閘等；沒有網絡管理平臺，無法對異常報文、異常流量進行檢測，網絡故障檢測依靠人工排查，效率低、耗時長，影響中控室集中監控。

2 采油廠工控系統簡述

采油廠工控系統結構可以分成三層：現場設備層、生產監控層、生產管理層。

（1）現場設備層：采油廠現場設備以網絡節點的形式掛接在現場總線網絡上，依照現場總線的協議標準，設備采用功能模塊的結構，通過組態設計，完成數據擷取、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能。

（2）生產監控層：主要由OPC Server 服務器、工程師站和操作員站組成，相對于PLC 下位機設備，它們都屬于上位機系統，通過SCADA、DCS系統各種運行參數和狀態，仿真顯示現場工況，實現現場無人值守和遠程監控。監控參數的圖形動畫表達和實時報警處理，傳達現場操作人員有效處理設備的報警狀態。

（3）生產管理層：包括實時數據庫、關系數據庫和生產管理平臺。同時提供生產過程監測、生產分析與工況診斷、物聯網設備管理、視頻監控、報表管理、數據管理、輔助分析與決策支持等功能。

工控網病毒防護承載著信息自動化業務的穩定性與時效性，工控網病毒防護是集中監控、遠程管理的保障基礎，可以為安全生產提供可靠的信息自動化平臺。采油廠在工控系統安全防護方面還存在著隱患。

3 工控系統防護策略建設

3.1 防護策略整體架構設計

采油廠工業控制系統防護策略分為生產管理層安全防護、生產監控層安全防護、現場設備層安全防護；按照邊界控制、主機監測、內部審計設計思路進行建設，使整個工業控制系統在信息安全防護建設過程中做到多層防御，從點到面防御。同時將各層面的日志統一收集、分析評價自動化網絡的信息安全態勢，以便管理人員實時監控物聯網運行狀況，對異常情況進行有效處理。

將網絡按“垂直分層、水平分區”進行分區域管理，縱向按邏輯結構分為：生產管理層（數據庫服務器、核心交換機）、生產監控層（工程師站、操作員站）、現場設備層（RTU、PLC等）；橫向按屬地單位劃分。對不同層級的區域配置不同的安全訪問控制策略和安全防護策略，防止非法攻擊行為發生，實現采油廠自動化網絡安全。

3.2 生產管理層安全防護

在3座處理站DCS控制柜與上位機之間部署3套工控防火墻，同時在3套處理站DCS系統與作業區自動化核心交換機之間部署3套工控防火墻；在生產監控中心SCADA系統與自動化核心交換機部署1套工控防火墻。

上位機與下位機、DCS與SCADA系統之間都實現區域防護，防止數據被破壞或信息外泄。在工控防火墻上啟用白名單功能實現主動防御，將工控網絡中可信的軟件或程序放入白名單，只有白名單中的軟件或程序才能被安裝和運行，可以有效阻止惡意病毒和木馬的入侵或非法程序的運行。防火墻開啟異常報文檢測和異常流量檢測功能實現被動防御，防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊的發生。

3.3 生產監控層安全防護

將采油廠工程師站、操作員站部署工控主機防護軟件。主機防護客戶端可獨立運行在工作站上，能夠監控分析應用程序和人工操作的行為特征、有效阻止包括震網病毒、Flame、Havex、BlackEnergy等在內的工控惡意程序或代碼在工控主機上的感染、執行和擴散。

主機防護客戶端能夠檢查操作系統開機時所加載的系統文件是否被修改，當發現工作站操作系統完整性被破壞時進行告警，防止操作系統被篡改和植入后門；保護運行進程的內存空間的完整性，防止緩沖區溢出等攻擊；管理員可定制添加需要監控的配置文件和關鍵注冊表鍵值，通過監控關鍵配置文件和注冊表的變更情況并形成報告，防止關鍵配置文件和注冊表被惡意篡改或破壞，從而為管理員的安全防護工作提供參考；對廠商已停止維護的老舊Windows主機設備的全面維護，具備良好的系統兼容性，不會出現傳統殺毒軟件對工控軟件的誤殺現象。

統一管理采油廠內部所有工控主機防護軟件客戶端，進行狀態監控及策略配置和下發，并收集、匯總、更新、同步單獨客戶端的白名單數據信息，統一收集單獨客戶端的審計信息，并進行數據分析。

通過對工控主機部署主機防護客戶端并進行統一管理防護主機，在管理上建立完善的工控系統安全運維方案、策略和計劃，加強日常安全培訓，嚴控處理流程，防止內部攻擊，實現終端安全防護，針對現階段難以解決的技術問題應通過管理手段進行彌補，切實提高工控系統的安全防護能力。工控系統信息安全是一個動態過程，需要在整個生命周期中持續進行，不斷完善改進。

3.4 現場設備層安全防護

增設自動化系統內部安全存儲傳輸介質——安全U盤，安全U盤分為普通區和安全區，不同使用環境配置不同的分區。普通區在未安裝工控主機衛士產品的計算機上可讀?。话踩謪^僅在安裝有工控主機加固的主機上，同時開放相應策略后才可看到和正常使用，實現“專區專用”。對安全分區進行加密，采用高強度商密算法，有效防止暴力破解導致的數據泄露。安全U盤結合工控主機加固移動存儲介質管理功能以及自身安全特性，可有效防御木馬、病毒等進入工控主機，保證工控主機安全。

加強管理存儲介質的管理，在工控設備拷貝傳輸數據時，禁止私自使用U盤進行拷貝數據，只能通過安全U盤拷貝數據，杜絕數據交換過程中因U盤濫用導致的病毒進入工控網絡環境并傳播的問題，提高工控主機安全性。

4 結論及認識

工控系統的安全防護應該說三分在技術，七分在管理，完善的安全控制制度、安全操作計劃、安全設備?？?、人員安全意識培養和管理都是工控系統安全防護效果的重要保障基礎。同時，在安全防護技術方面，三分在產品，七分在應用，一個安全防護產品直接部署到相應位置，無法發揮其應有的防護作用，要通過對工控系統的安全風險評估合理匹配并不斷調整相應的安全防護策略，因此工控系統的安全防護是一個動態的工作，要隨著安全風險類型和內容的變化，不斷優化、升級、調整工控系統安全防護之“盾”。

主要參考文獻

[1]程云龍.井下溫壓動態監測技術在SAGD生產中的應用[J].國外測井技術，2015（4）：45-46.

[2]韓菲，蔣能記. 兩化融合推進稠油SAGD高效開發[J].油氣田地面工程，2016，35（10）：80-82

[3]桑林翔，姜丹.重32井區SAGD開發階段生產參數優化[J].特種油氣藏，2016，23（1）：96-99.