从操控中心到海上平台，威努特构建海上智能油田安全防线

背景简介

现如今，中国油气勘探开发技术已达到世界领先水平，但受地质条件、油藏条件的限制，油气开采的成本居高不下，传统降本增效手段已无法满足国内油气开采企业高质量、可持续发展的需求。因此，应用新一代信息技术赋能油田业务，探索新的效益增长模式，对油气开采降本增效具有重要意义。

但随着油气开采企业数字化、智能化改造的稳步推进，油气开采企业面临的网络安全风险也随之增多，据统计，过去的几年内，在能源行业所有网络攻击事件中，针对油气基础设施的事件占比约为1/3，能源行业已成为全球第二大易受网络攻击的行业。（数据来源：行业分析机构标普全球普氏“原油安全哨兵”研究项目统计）

近年来油气行业网络安全事件如下：

图1 近年来油气行业网络安全事件

一系列网络安全事件给我国油气开采企业敲响了警钟。党的十八大以来，习近平总书记提出“四个革命、一个合作”能源安全新战略，多次对能源安全作出重要指示，强调了石油战线始终是共和国改革发展的一面旗帜，充分说明了石油对于我国能源安全的重要意义。作为保障我国石油供给的油气开采行业，进行工控安全建设已迫在眉睫！

现状分析

近年来，海上油田在信息技术快速发展的浪潮下，启动“智能化”建设。数以万计的传感、视频、计量设备为海上石油平台安上“眼睛”，使电潜泵、电气设备、仪控设备等设备的运行情况可以实时智能感知、自动上传、故障预警和综合诊断。依托智能化设备设施，海上油田可实时监测跟踪、精细管理，摆脱了对人的依赖，管理人员在陆地操控中心即可对油田生产实时监测和远程巡检，实现跨专业、跨部门、跨地域的协同指挥决策。

海上智能油田通常分为工控网和集团专网，分别承载中控系统和生产监测系统，海底光缆将海上平台的生产监控数据、人员定位数据、监控视频传输至陆地操控中心虚拟化服务器集群，实现海上平台生产数据的集中采集、计算处理与统一展示。

中控系统是油田生产的“中枢神经”，负责油田现场生产工艺的实时监测和控制，主要部署关乎油气开采的工业控制系统；生产监测系统主要是采集和监测海上平台关键系统和设备设施的运行状态，并利用算法模型进行分析和预测，以提高对关键系统和设备设施的智能化管理水平，包括CCTV、EMS监测、海管腐蚀监测、导管架监测、透平数据采集、配电盘预警、导管架阴极保护、注水泵监测、变压器监测、海管监测、海缆监测、移动终端、低压绝缘监视、母排监测、人员定位、仪表健康管理、无人机、巡检机器人、中控健康管理、管线检测预警等二十余个子系统。

但伴随着海上平台与陆地操控中心生产监测数据传输网络的打通，海上智能油田工控安全风险也被放大，前期工控系统网络设计只考虑数据传输的稳定性和可靠性，工控系统整体缺乏安全防护能力，一旦某个海上平台遭受攻击，极易影响海上智能油田工控系统整体的稳定运行，从而造成重大生产事故。

海上智能油田存在以下网络安全风险：

1. 边界防护能力薄弱

海上平台与陆地操控中心的网络边界往往不具备访问控制措施。无法针对通过网络边界的工业协议实行深度解析与过滤，黑客容易通过对工业协议的篡改对工业控制系统造成破坏，如篡改工业控制系统的组态信息或对工业控制系统下达停车指令，进而造成生产事故；

2. 局域网流量分析能力差

缺少有效的流量分析能力，无法对局域网内异常指令下发、违规操作行为、恶意攻击流量进行实时监测，一旦网络中出现恶意网络攻击事件，无法及时发现安全风险；

3. 工控主机防护缺失

工控主机缺少有效的安全防护措施，即使部分工控主机安装了杀毒软件，但杀毒软件过度依赖病毒特征库，无法实现对新型病毒的防护。且当前工控主机存在非授权移动介质滥用，手机接入工控主机充电等情况，此类移动介质极易被恶意代码感染，并通过USB接口间接感染工控主机，因而存在工控主机被病毒感染的风险；

4. 海上平台通勤不便，管理困难

海上平台通勤主要依靠船舶或直升机摆渡，平台之间相距较远，通常出海巡检需要提前报备，并根据摆渡船或直升机的排期才能出海，每次出海等待时间往往在7天以上，因而海上平台安全设备的事件查看、收集极为不便，无法以全局视角对海上智能油田整体网络安全情况进行分析，且安全响应效率低下。

方案建设

基于上述安全现状，威努特结合海上油田实际情况，同时满足GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、QHS 5054-2019《工业控制系统信息安全管理指南》、QHS 5073-2020《工业控制系统网络安全防护技术要求》的要求，以“分区分域、整体保护、积极预防、动态管理”为总体策略，打造集远程操控中心+海上平台为一体的海上智能油田网络防御体系，部署架构如下图所示：

图2 海上智能油田网络防御体系架构示意图

▪️ 构建平台级网络边界防线

在海上平台网络边界部署工业防火墙，得益于威努特工业防火墙广泛的工业协议解析能力，对海上平台常见的ABB、OPC、Modbus等工业协议进行深度解析，构建工业协议通信“白名单”，实现功能码、值域级的访问控制，有效避免外部对海上平台工业控制系统的漏洞利用和攻击，实现海上油田的安全区域边界防护。

图3 工业防火墙-启发式自学习建立Modbus防护白名单

图4 工业防火墙-深度解析并拦截非法Modbus指令

▪️ 建立流量威胁预警机制

在陆地开关站的汇聚网络节点旁路部署入侵检测系统，采用IDS、AV等功能模块对网络流量中的安全威胁进行检测分析，检测陆地操控中心与海上平台间的流量，发现高危入侵行为及恶意病毒，提醒安全管理员及时响应。

图5 入侵检测系统-安全事件记录

在海上平台关键网络节点部署工控安全监测与审计系统，通过智能学习，自动建立局域网内安全工控协议通信基线，对任何违反基线的Modbus、OPC等工控协议的载荷指令进行记录，解决了网络中缺少针对用户关键行为审计的问题。

图6 工控安全监测与审计系统-Modbus白名单

▪️ 构筑主机安全防护壁垒

在中控系统、生产监测系统的上位机、APP站和远程终端服务器等工控主机上部署工控主机卫士，通过程序白名单功能，结合威努特工控安全专家的实际场景分析，仅开放必要工控系统进程、组态软件文件的轻量级“白名单”，有效阻止非法进程、恶意代码在工控主机的感染、执行和扩散。

图7 工控主机卫士-程序白名单

利用工控主机卫士的外设管控功能，彻底关闭操作系统的蓝牙、无线功能，阻止由无线介质造成的违规外联事件；同时，通过灵活控制特定U盘“禁用、只读、可读写”的权限，根据实际需要，为海上平台特定U盘进行注册，工控主机卫士仅对注册的U盘开放读写权限，其他外部U盘无法使用，在符合外设管控要求的基础上保证日常移动介质安全使用。

图8 工控主机卫士-仅允许注册过的U盘使用

▪️ 打造作业区网络安全管理中心

为了解决海上平台分散、登陆维护不便的窘境，在作业区陆地操控中心建立安全管理中心，并部署统一安全管理平台和日志审计与分析系统。在陆地操控中心即可完成对所有海上平台网络安全运维的统一管理。

通过安全管理中心实现对工业防火墙、工控安全监测与审计系统、工控主机卫士等安全设备的集中管理，有效解放人力，提高网络安全运维效率；同时，实现安全日志审计、安全策略审计、攻击威胁检测、业务统计分析等功能，帮助网络安全管理人员快速分析网络异常情况，全面保障系统安全，满足合规要求。

图9 统一安全管理中心-统一策略管理

图10 统一安全管理中心-统一告警管理

图11 日志审计与分析系统-日志可视化

方案亮点

1、提升工业协议在防护、监测、审计等方面的防护能力，阻止勒索、蠕虫、挖矿等病毒、木马、恶意程序在海上平台之间的传播和扩散，防范上位机、APP站和远程终端服务器对生产控制系统恶意操作、违规指令下发，保护海上智能油田工业协议能够高效、稳定运行，减少因为系统停机带来的生产损失；

2、间接弥补工业控制系统存在的栈缓冲区溢出漏洞、权限管理不当、缓冲区溢出等高危漏洞，及时发现工控网络中的未知威胁并进行主动防御，监管操作人员、运维人员对工控设备的各类行为，避免越权操作和误操作造成生产事故；

3、在陆地操控中心建立安全管理中心，对下辖海上平台工控网络中的安全设备进行集中管控，通过集中管控安全策略，监测网络运行态势，切实解决海上平台之间运维难的难题，降低了运维人工成本，并提高了安全事件的响应时效。

结语