海上油田工控安全防护体系设计与应用

1背景与必要性

1.2背景

(1)建成海上智能油气田示范区。为加快智能油气

田试点提升与推广应用,推进智能油田建设步伐,中国石化2020年明确提出,在胜利油田海上油田开展智能油气田1.0版推广实施,2021年智能油田建设开始启动,预计2025年全面完成海上油田智能化升级转型。由独立单体向云端服务转变,对工控网络防护提出了更高的要求。

(2)提出网络安全管理要求。胜利油田分公司信息安全管理办法的发布,指导了工控安全建设如何落地,其中3.3主要是针对工控系统的安全管理,提到工控系统安全防护应从网络配置、网络设备、软件补丁、病毒防护、访问控制、身份认证、数据备份和时钟同步等方面开展相关工作。

2.2必要性

(1)现有工控业务专网区域划分存在问题。现有网络实现了工控网、办公网的分离,但由于工控网络内部建设较早,现有工控网络为二层网络,冲突域较大,网络区域边界没有较好的手段进行防护,难以适应未来智能油田工业互联、云边协同等需要。

(2)满足等保2.0要求。2017年6月1日,《中华人民共和国网络安全法》的正式实施进一步界定了关键信息基础设施范围,80%以上关键基础设施属于工业控制系统[1]。国务院、网信办、工信部明确要求保障工业控制系统安全,石油石化作为工业控制系统的重要领域,是可能遭到攻击的重点目标,这就要求企业认清风险、找出漏洞,并督促整改。

(3)由静态防御向主动防御转变。随着5G、云计算、工业互联网等新技术与工业系统的深入融合,与传统工控系统安全相比,工业互联网面临的安全挑战更为艰巨,通过部署安全管控平台厂级分析节点,利用大数据、AI等信息化手段,可以实现工控安全由静态防御向主动防御转变。

(4)中国石化总部对工控安全建设有明确规定。集团公司在《中国石化工业控制系统管理办法(试行)》《中国石化工业仪表控制系统安全防护实施规定》等管理制度中对工控系统的安全防护建设有明确规定。

2现状及需求分析

2.2工控网络现状

(1)信息化建设现状。1)基础保障:建立了海上网络通信通道,完成了自动化初步建设,实现了自动化数据采集、监控等功能。2)前端感知:开展了视频、管线、船舶、溢油、人员动态等应用建设,丰富了前端现场的动态感知手段。3)应用集成:开展了油藏、VR、生产指挥等应用的集成建设,提升了油藏开发、生产运行的管理水平。

(2)工控网络现状。工控设备及终端体量基数大、覆盖面积广、更新迭代快,全厂工控网络采用二层网络规划模式,缺少标准化、规范化、体系化的顶层设计。海上平台和联合站工控网络就近接入办公网,通过单向光闸实现边界隔离防护。

(3)视频网络现状。流媒体平台采用双网卡跨办公网、视频网部署,存在较大安全隐患。

(4)工控系统等保对标现状如表1所示。

(5)海上工控网络日常运维现状。海上采油平台多、范围广,生产数据从产生、回传直到相关应用要经过10余个环节,受限于气象海况,故障排查不及时,传统模式下被动应急、人工诊断分析、信息孤立分散的运维模式已不能适应新的故障诊断需求。

2.2需求分析

(1)满足工控专网两级贯通,支撑智能油田建设的需求。建设油田级敏捷、高效、安全的工控专网,实现采油厂至管理区两级工控网络贯通,满足智能油田相关应用部署条件,为未来打造工业互联、云边协同、云网融合的智能油田运行新形态创造良好的网络基础。

(2)满足智能油田建设中工控业务专网分区分域的需要。依据"横向分区、纵向分层、安全隔离、适度防护"的安全防护总体原则,通过工业防火墙的部署满足工控业务分区分域的需要。

(3)满足工控业务系统等保2.0要求,支撑智能油田业务上线的需要。满足等保2.0二级系统建设安全需求,协助智能油田业务上线。

(4)建立安全管理中心,满足油田统一纳管需求,提升安全事件响应及应急处置能力。建设安全管控平台厂级分析节点,建立标准接口,满足工控设备信息采集及数据分析存储的需求,提升海上油田安全事件应急响应能力,安全策略由静态部署向安全设备联动处置转变。

(5)建立海上生产信息化智能运维体系。满足海上工业互联运维需求,协助运维人员定位故障点,掌握故障的影响范围,提高故障处置效率,保障各信息系统稳定可靠运行。

3总体防护策略

(1)按照局级建设思路,实现厂区至管区两级贯通。建设海上油田物理隔离工控专网,在"一张网"的控制下,使生产更加安全、高效,缩短关停后恢复生产的时间,为后续数字孪生等技术的应用提供有力的网络基础保障。

(2)优化现有工控网络架构,按照总部318号文要求进行分区分域。在不影响工控业务的前提下,优化部分网络结构,通过新增安全设备、安全策略划分区域,缩小业务影响域范围。

(3)提升计算环境安全性,打造安全可靠的工控业务系统网络。基于海上油田油气生产信息化业务流程自身特点,建立"可信、可控、可管"的安全防护体系,使得自动化系统能够按照预期运行,免受信息安全攻击和破坏,打造安全可靠的工控业务系统网络。

(4)建立局级工控安全管控平台厂级分析节点,实现工控安全设备集中管控。建设工控安全管控平台厂级分析节点,管理平台上移,避免重复投资,实现降本增效。

(5)建设工控网络态势感知,满足海上生产信息化运维的安全运维体系需要。利用网络自动感知、多维数据集成、故障智能诊断等技术建设工控网络态势感知,实现信息资产管理、拓扑关系可视、运行状态监测、故障精确定位等,协助运维人员定位故障点,掌握故障的影响范围,提高故障处置效率,保障各信息系统稳定可靠运行。

4技术路线和技术方案

4.l技术路线

"十四五"期间,面向油田数字化转型和智能油田的深入推进,对标等保2.0中"一个中心、三重防护"的要求,完善油田工业互联网安全防护体系建设,强化网络边界防护、增加防御纵深、提高架构安全性、提升安全运营管理效率。安全保障体系设计框架如图1所示。

按照"一个中心、三重防护"建设思想,加强通信防护、区域防护、边端防护能力,部署工控安全管控中心平台厂级分析节点,打造风险隐患管控体系。

(1)通过波分复用技术,建立联合站、站库工控专线,通过在厂级部署一台工业防火墙实现联合站、站库、信息中心、管理区工控网络横向分离,分区分域。

(2)通过在平台部署工业防火墙实现海上平台工控业务分区分域。

(3)通过在陆地流媒体一级节点部署视频网关,实现视频业务防护。

(4)通过部署入侵检测、堡垒机等满足二级等保需求。

4.2技术方案

4.2.1通信防护

(1)工控专网改造:通过波分技术实现海二站、海三联、海五联、海四联、海六站到采油厂核心工控专网建设,推动"智能油田"相关业务应用上线。

(2)视频网络改造:对原有视频网络添加安全视频网关,通过对视频流量进行协议级解析,结合多形态的探测方式对视频资产实现有效检测分析。

4.2.2区域防护

根据现场网络系统的特点,将采油厂各海上平台与陆地科技处、各管理区划分为不同的逻辑区域,在各安全区域的边界部署工业防火墙进行逻辑隔离及访问控制。

4.2.3边端防护

(1)计算环境安全。1)身份鉴别防护:部署运维堡垒机,实现登录用户鉴别、权限管理、双因素认证:部署物联网安全网关,实现在线资产识别和基线管控。2)主机安全加固:部署主机卫士,实现主机系统加固、主客体访问控制及安全标记设置。3)入侵检测防护:部署入侵检测系统,实现计算环境入侵行为检测与报警:部署视频安全网关,实现视频网入侵防御。4)安全准入防护:对设备安全准入、合规性、网络访问、安全规范实现控制、验证、授权、落实4个方面的实际需求。5)安全审计管理:部署日志审计系统、入侵检测系统、堡垒机,实现用户行为安全审计。

(2)数据安全能力覆盖。通过对数据交换、数据使用、数据维护、数据存储等多个方面实现对数据安全的能力覆盖,在工控环境中,由于业务的独特性,数据安全能力着重体现在数据安全传递(既有单向光闸实现)和工控关键系统参数备份(本次着重加强)两个方面。

4.2.4管控中心

集中管控平台厂级分析节点负责对工控防火墙、工控安全监测审计、工控主机卫士等工控安全产品及第三方设备进行运行监控,主要包含安全设备管理、日志集中管理、安全实时告警、安全策略管理四大模块,为工控网络安全运营提供决策支持,加快安全事件响应速度,加强安全运维感知能力,提升整体工控网络信息安全水平。

4.2.5智能化运维

(1)资产台账管理:基于IP扫描、台账导入、视频、仪器仪表等感知设备,实现工控物联感知资产的收集及管理,实现IP规划管理、在线情况统计等功能。

(2)网络拓扑关系:梳理海上工控网络设备的对应关系,实现有线/无线数据链路、网络设备、设备拓扑关系可视化。

(3)运行状态监测:采用sNMP、ICMP、webservice接口等协议开发网络探测采集监控程序,实现网络节点设备运行状态的实时监控。

(4)智能诊断定位:建立报警预警诊断模型,基于链路、设备故障精准定位,确定故障影响范围。

5预期效果

5.1安全防护

按照油田工业控制系统安全防护的总体要求,遵循油田工业网络"横向分区、纵向分层、安全隔离、适度防护"的安全防护总体原则,建成敏捷、高效、安全的工控专网,实现从采油厂延伸至采油现场的工控专网,打造厂级工控安全防护体系,达到提升安全监管、提供安全预警、完善安全分析、实时动态防御、信息化智能运维、促进工控系统健康发展的目标。

5.2智能运维

应用能够实现设备故障快速定位,有效保障海上安全生产,提升系统运维效率,减少运维成本,指导构建全域感知信息化体系,为海上油田智能化建设培根筑基。预计故障诊断时间可由原来的4h缩短为5min,在快速定位故障、保障生产的同时,提高了运维效率,减少了运维成本。该技术可广泛应用于海上及陆地油田,具有良好的适用性及推广前景。

5.3效益分析

(1)经济效益:本项目可提升油田工控安全防护能力,避免因网络安全事件导致生产事故发生,有效降低因工业控制系统受到破坏所带来的经济损失。

(2)管理效益:掌握关键信息基础设施的安全状态,通过安全数据采集、安全数据整理、威胁和事件汇聚处理分析,实现数据可视化展现、工控网络风险整体呈现,提升胜利油田工控网络安全风险感知能力和评估能力、行业网络安全风险预警和应急处置能力,建立基本关键信息基础设施监测预警体系。

(3)社会效益:有助于预防和减少各类因工控安全事件引发的系统故障和由此造成的油气生产事故与经济损失,从另外一方面说,也是保障油田企业平稳运行、维护国家安全的重要手段。

6结语

本文针对海上油田工控安全背景及必要性进行描述,在此基础上对标等保2.0的要求对海上工控网络现状及安全隐患进行分析,从实际存在的安全隐患中考虑总体的海上工控安全防护管理策略及相应的技术管理手段。本项目按照油田工业控制系统安全防护的总体要求,遵循油田工业网络"横向分区、纵向分层、安全隔离、适度防护"的安全防护总体原则,建成敏捷、高效、安全的工控专网,实现从采油厂延伸至采油现场的工控专网,打造厂级工控安全防护体系,达到提升安全监管、提供安全预警、完善安全分析、实时动态防御、信息化智能运维、促进工控系统健康发展的目标。