一種海洋油氣田中控系統的網絡安全解決方案

李志剛，王 偉，武 岳，李墨林，劉文藝

（海洋石油工程股份有限公司，天津 300452）

0 引言

海洋石油平臺由于設備繁復、工藝復雜且造價昂貴，要求其中央控制系統不允許存在任何安全薄弱環節。過去，海洋石油平臺中央控制系統是單獨的、相對封閉的控制系統，隨著工業控制網絡的飛速發展，以及陸地終端對海洋油氣田各平臺數據互通的需求，增加了很多網絡，使得陸地終端與各平臺之間可以進行網絡通信，但通信數量和方式的增多，也增加了網絡安全方面的隱患。

本文主要針對目前海洋石油平臺中控系統主流的C/S網絡架構（即客戶端/服務器架構），提出了一種網絡安全加固的方案。該方案在原PCS、ESD、FGS 系統控制器與服務器、工作站之間增加工業級防火墻，通過工業防火墻隔離來自工作站對于系統控制器的潛在病毒威脅。

1 基本概念及防護原理

1.1 C/S網絡架構

Client/Server 架構，即客戶端/服務器架構。它把客戶端（Client，通常是一個采用圖形用戶界面的程序）與服務器（Server）區分開來，每一個客戶端都可以向一個服務器或應用程序服務器發出請求。客戶端通常包含一個或多個在用戶電腦上運行的程序，其通過數據庫連接訪問服務器端的數據[1]。這種架構可以把客戶機和服務器兩端硬件環境充分利用，將要處理的任務合理地分配到客戶機端和服務器端來實現，降低了系統的通訊開銷。

1.2 工業級防火墻

工業級防火墻包含兩部分：①自適應安全設備（ASA）；②FirePOWER 模塊。

ASA 提供防火墻功能，該防火墻功能可以基于配置的規則來允許或拒絕流量。FirePOWER 模塊能夠執行針對深度包檢測（DPI）的特定于應用的協議分析；IFW 可以通過本地自適應安全設備管理器（ASDM）或通過集中式管理服務器來管理。

工業級防火墻可通過配置的安全規則實現對網絡流量的控制[3]。其所提供的入侵防護系統，可用于在通過網絡進行通信時，檢測和控制應用級網絡通信和潛在惡意通信。此外，DPI 技術有助于實現對容許的網絡流量進行精細控制，并幫助識別和抵御潛在的系統風險；可檢查數據包以進行分類，并阻止應用層可能存在的CIP 寫入或CIP 讀取等操作，從而有助于維護工廠運營的完整性。

1.3 服務器與工作站防護

在服務器和工作站端，工業級防火墻為主機/設備提供基于策略的行為控制和檢測。因為操作系統修補并不總是可能的，AV 簽名不能定期更新，并且其他過程也不能總是及時有效地執行。防火墻控制應用程序行為，阻塞標識的進出通信量，并且通常提供基于主機的入侵預防和檢測[7]，其通過允許和阻止應用程序或用戶可能采取的特定動作來控制應用程序行為。例如，預防策略可以指定某個應用程序不能生成其他進程，包括病毒、蠕蟲和特洛伊木馬等危險進程。應用程序仍然可以讀取和寫入需要訪問的文件和目錄。

2 海洋石油平臺中控系統網絡加固方案

2.1 海洋石油平臺中控系統簡介

中控系統是海洋石油平臺的控制中樞，其采用集中監視管理、分散控制的方式，連續監測和控制海上油氣田生產設施及公用設施的正常運行，并對可燃、有害氣體泄漏、火災等意外情況進行實時監測，觸發報警并根據預定的因果邏輯去執行相應的關斷或消防等措施。可以說，中控系統一方面保證了海上石油平臺的生產、生活可以正常有序地進行，另一方面又對各種意外事故進行實時監測與控制，在整個海上石油平臺運行中起到了尤為關鍵的作用。

圖1 海洋石油平臺中控系統常用網絡架構Fig.1 Common network architecture of central control system of offshore oil platform

2.2 中控系統常用網絡架構

海洋石油平臺中控系統通常采用一對互為冗余的服務器作為數據、歷史、報警及OPC 服務器，通過冗余的控制網接收來自PCS、ESD、FGS 控制層的數據，再對數據進行處理、存儲等工作。工作站主要用于讀取服務器的數據，并將數據呈現到操作界面上，以供用戶監視與操作[5]。冗余交換機用于連接監控層與下位機控制層，控制層PCS、ESD、FGS 的數據將通過這對交換機將數據傳輸到上位監控層。控制層又通過硬線及485 通信等方式與現場設備相連接，接收來自現場設備的電信號。圖1 為海洋石油平臺中控系統常用網絡架構。

2.3 加固后網絡架構圖

為了實現陸地終端與平臺中控系統間的數據互通，同時又要有效地保護平臺中控系統內部網絡的安全，本文提出了以下網絡加固的方案，如圖2 所示。

在中控系統內網與外部網絡之間加入工業級防火墻，將內網與外網隔離開來，根據需要，有針對性地采取相應的隔離措施，這樣便能在對外提供友好的服務的同時，最大限度地保護了內部網絡。針對不同資源提供不同安全級別的保護，構建一個DMZ 區域，DMZ 可以為主機環境提供網絡級的保護，能減少為不信任客戶提供服務而引發的危險，是放置公共信息的最佳位置。在一個非DMZ 系統中，內部網絡和主機的安全通常并不如人們想象的那樣堅固，提供給Internet 的服務產生了許多漏洞，使其他主機極易受到攻擊。但是，通過配置DMZ，可以將需要保護的應用程序服務器和數據庫系統放在內網中，把沒有包含敏感數據及需要傳送到外網的數據放置于DMZ 中，這樣就為應用系統安全提供了保障。DMZ 使包含重要數據的內部系統免于直接暴露給外部網絡而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ 設置的新的障礙。

圖2 加固后網絡架構Fig.2 Hardened network architecture

2.4 訪問控制策略

加固后的網絡架構確定后，需要確定以下6 條訪問控制策略：

1）內網可以訪問外網

內網的用戶顯然需要自由地訪問外網。在這一策略中，防火墻需要進行源地址轉換。

2）內網可以訪問DMZ

此策略是為了方便內網用戶使用和管理DMZ 中的服務器。

3）外網不能訪問內網

很顯然，內網中存放的是全部內部數據，這些數據不允許外網的用戶直接進行訪問。

4）外網可以訪問DMZ

DMZ 中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ 需要由防火墻完成對外地址到服務器實際地址的轉換[2]。

5）DMZ 訪問內網有限制

很明顯，如果違背此策略，則當入侵者攻陷DMZ 時，就可以進一步進攻到內網的重要數據。

6）DMZ 不能訪問外網

在網絡中，非軍事區（DMZ）是指為不信任系統提供服務的孤立網段，其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開，阻止內網和外網直接通信，以保證內網安全。

3 應用成果與展望

目前，南海某石油平臺的中控系統擬引入該套網絡安全系統，用于實現平臺與陸地終端的實時通信，即在陸地終端可以隨時監視來自平臺的生產數據。屆時，該套安全系統將24h 為平臺內網與外網之間的數據互通保駕護航。

隨著網絡信息安全的發展，越來越多的海洋石油平臺將趨向于建立平臺間乃至海上平臺與陸地終端間的數據通信。網絡鏈路的大量增加，尤其是當平臺內網需要與互聯網連接時，勢必會導致網絡安全風險的加大，這樣的風險對造價昂貴的海上石油平臺來講是不可接受的。因此，引入網絡安全系統將會成為越來越多平臺保護其控制系統內網不受侵害的最佳選擇。

4 結語

經過幾十年的發展，海洋石油平臺中控系統的自動化程度逐漸提高，隨之而來的對于平臺間以及平臺與陸地間的數據互通的需求也在快速增長。在未來的海洋石油平臺中控系統發展進程中，網絡安全加固將會是保證系統正常使用，保證平臺與外界數據互通可以安全進行的必要手段。相信隨著網絡信息安全技術的不斷發展，越來越多、越來越先進的安全加固解決方案將會應用于海洋石油平臺中控系統中，為海洋油氣田的安全生產及環境保護做出重大貢獻。