海洋石油开采平台工业控制系统安全解决方案
扫描二维码
随时随地手机看文章
海上石油气开采相对于陆地开采其技术难度相对较大,由于环境的限制,不同于陆地的单井、计量间、联合站、处理厂等,其主要通过海上石油平台进行开采作业,这些平台往往兼具了钻井、采油、处理、存储、输送、办公、生活等功能,因此也被称为移动城堡。其主要包括井口平台、中心平台、FPSO等,通过海底管道、光缆与陆地生产中心相连,网络通讯主要以光纤、微波为主。
1 海上平台系统组成
海上石油平台主要由工艺控制系统(PROCESS CONTROL SYSTEM,简称PCS)、紧急关断系统(EMERGENCY SHUTDOWN SYSTEM,简称ESD)和火气探测及消防系统(FIRE&GAS SYSTEM,简称F&G)组成。工艺控制系统一般设有多个远程I/O柜, ESD和F&G为两套相对独立的系统,可达到SIL3的级别。
PCS及ESD和F&G通过各自网络独立的光电转换器和海底光纤芯线传输至CEP中控系统相应的PCS及ESD和F&G系统。陆上终端中控室内设有一套独立于陆地终端控制系统的海上生产监控系统PCS,用于台风状态、海上操作人员撤离平台的情况下、对平台实施监测和遥控关断。设有冗余的I/O卡件,通过卫星与海上通讯,通过陆上光纤与地区中心控制站通讯。
工艺控制系统多采用EMERSON公司的Delta V系统,霍尼韦尔系统,ABB系统、西门子系统等。ESD系统以康吉森、ABB、HIMA等为主。
2 关键业务挑战
随着信息化与工业化深度融合,数字海油、互联海油、智慧海油的不断建设,海上油田工控系统引入了信息、网络、物联网等技术,打破了孤立的状态,和工控网络内外的系统进行信息交互日益频繁,而工控系统由于防护手段的缺失,必然面临极大的风险。
3 网络安全防护建议
1) 基本原则:
工业控制系统安全建设要以事实为依据,依据实地评估结果开展针对性建设。
2) 技术策略:
以 “安全分区、纵深防护、统一监控”的原则进行建设。
“安全分区”:根据生产过程,将生产相关配套工业控制系统进行纵向分区、横向分域,规范网络架构,杜绝私搭乱建行为。
“纵深防护”:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部关键网络节点、关键设备部署异常行为、恶意代码的检测和防护措施,真正做到纵向到底、横向到边的全域防护。
“统一监控”:针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统,统一监控控制系统的的安全状况。将安全风险进行集中的展示,以风险等级的方式给出不同工业控制系统的安全风险级别,全面了解并掌握系统安全动态。识全局、统筹管理、真正做到工控安全全域感知。
3) 核心技术:
海上平台工业控制系统网络安全防护,要结合工控系统运行环境相对稳定、固化,系统更新频率较低的特点。采用基于“白名单”机制的工业控制系统安全“白环境”解决方案,通过对工控网络边界、关键网络节点流量、操作终端行为等进行全方位监控和防护,收集并分析工控网络、数据及软件运行状态,建立工控系统正常工作环境下的安全状态基线和模型,依据等级保护 “一个中心、三重防护”指导方针,融合白名单技术解决方案,确保:
◇ 只有可信任的设备,才能接入工控网络
◇ 只有可信任的消息,才能在工控网络上传输
◇ 只有可信任的软件,才能允许被执行
◇ 只有一个中心平台,才能进行管控
“白环境”解决方案能够保障工业控制系统安全稳定运行,安全建设内容符合相关标准的要求,可以顺利通过等级保保护测评机构测评和相关部门的信息安全检查。
3.1、安全通讯网络解决方案
1) 网络架构
在网络架构设计上建议做如下设计:
① 为了保障网络通讯能力,带宽应满足业务高峰期需要并留有一定余量;
② 海上平台在允许条件下尽量采用光纤和无线通讯(如微波)两种冗余形式,为了保障应急通讯,建议增加北斗应急通讯系统;
③ 工业控制系统与陆地终端(井口平台等)或其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
④ 海上工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间采用技术隔离手段;
2) 通信传输
由于在海上平台人员紧急撤离后,需要进行远程关断法门操作,为了保正无线通讯过程中数据的完整性和保密性,建议在数据发送端和接收端部署工业防火墙,并启用VPN功能,建立专用通讯链路。
3) 可信验证
利用工控安全监测与审计自主学习白名单技术,进行网络通讯行为建模,记录通讯设备关键配置参数;从而对通讯设备的系统引导程序程、系统程序、重要配置参数和通信应用程序等进行可信验证,在检测到可信性受到破坏后进行报警,并将结果送至全安全管理中心(即统一安全管理平台)。
3.2、安全区域边界解决方案
1) 区域边界防护:
针对控制网工业控制系统所面临的安全风险,在海上中心平台与井口平台之间,与地区中心之间,部署工业防火墙实现边界防护,阻止中心和生产平台网络之间的非法访问和攻击。主要部署在区域出口,用于边界隔离(不部署在上位机与控制器之间),因此对于控制系统本身的稳定运行没有任何影响,不存在与系统兼容性问题,主要对区域间工业通讯协议进行重点防护。如果将来控制系统升级或更换,只需对其进行策略调整即可。
2) 入侵检测:
工控入侵检测系统采用旁路部署方式,能够实时检测数千种网络攻击行为,有效的为网络边界提供全景的网络安全攻击感知能力,使其详细的掌握工业网中的安全情况。
3) 安全审计:
在控制网部署工控安全审计产品,实现网络的3大审计检测功能,即网络通讯行为审计、网络操作行为审计和无流量监测,可为网络安全事件提供追溯。部署工控安全监测与审计系统,采用交换机旁路方式收集网络通讯数据,建立网络通讯行为白名单,从而发现违反白名单策略的行为。
在控制网交换机部署工控安全监测与审计系统,镜像控制网流经此交换机的所有数据,审计数据向统一安全管理平台集中汇报,由平台进行集中管理,统一收集网络日志,通过建模分析当前网络安全状态,为管理员提供可视化的操作行为、异常波动、告警信息,做到事前监控,事后可追溯原因。
3.3、安全计算环境解决方案:
1) 主机防护
部署工控主机卫士对系统内主机进行防护,主机卫士采用“白名单”管理技术,通过对数据采集和分析,其内置智能学习模块会自动生成工业控制软件正常行为的白名单,与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,其主机安全防护系统将会对此行为进行阻断或告警,以此避免主机网络受到未知漏洞威胁。
如果将来控制系统升级或更换,只需对其进行策略调整即可。
2) 身份认证及审计
由于海上平台对生产网络主机的管理相对比较严格,但对于整个油田群、作业区公司、地区分公司来说,由于数量庞大且分布分散,更是对于工程师站等关键部位无法做到绝对隔离,平台某些关键设备,如压缩机远程诊断系统等,大多数采取远程运维方式。在陆地终端或者区域中心网部署运维管理平台,实现生产网主机的安全运维及权限管理。
陆地终端运维管理平台部署示意图(红色箭头指示部分)
生产网络的上位机、工程师站、操作员站、数据服务器、安全设备,存在远程管理、监控需求,面对数量如此众多且分散分布的设备,如何高效、安全的进行统一管理就是一个问题,设备资产管理不善也会带来一定的工控安全隐患,尤其是在使用远程维护VPN通道时,没有运维操作审计,将会给生产网络安全带来极大隐患,为确保生产网络的运维管理满足等级保护的身份鉴别、访问控制、安全审计的相关要求,需要在生产网络旁路部署运维管理平台,以满足等级保护相关要求。