当前位置:首页 > 工业控制 > 工业控制技术文库
[导读] 海上石油气开采相对于陆地开采其技术难度相对较大,由于环境的限制,不同于陆地的单井、计量间、联合站、处理厂等,其主要通过海上石油平台进行开采作业,这些平台往往兼具了钻井、采油、处理、存储、输送、办

海上石油气开采相对于陆地开采其技术难度相对较大,由于环境的限制,不同于陆地的单井、计量间、联合站、处理厂等,其主要通过海上石油平台进行开采作业,这些平台往往兼具了钻井、采油、处理、存储、输送、办公、生活等功能,因此也被称为移动城堡。其主要包括井口平台、中心平台、FPSO等,通过海底管道、光缆与陆地生产中心相连,网络通讯主要以光纤、微波为主。

1 海上平台系统组成

海上石油平台主要由工艺控制系统(PROCESS CONTROL SYSTEM,简称PCS)、紧急关断系统(EMERGENCY SHUTDOWN SYSTEM,简称ESD)和火气探测及消防系统(FIRE&GAS SYSTEM,简称F&G)组成。工艺控制系统一般设有多个远程I/O柜, ESD和F&G为两套相对独立的系统,可达到SIL3的级别。

PCS及ESD和F&G通过各自网络独立的光电转换器和海底光纤芯线传输至CEP中控系统相应的PCS及ESD和F&G系统。陆上终端中控室内设有一套独立于陆地终端控制系统的海上生产监控系统PCS,用于台风状态、海上操作人员撤离平台的情况下、对平台实施监测和遥控关断。设有冗余的I/O卡件,通过卫星与海上通讯,通过陆上光纤与地区中心控制站通讯。

工艺控制系统多采用EMERSON公司的Delta V系统,霍尼韦尔系统,ABB系统、西门子系统等。ESD系统以康吉森、ABB、HIMA等为主。

2 关键业务挑战

随着信息化与工业化深度融合,数字海油、互联海油、智慧海油的不断建设,海上油田工控系统引入了信息、网络、物联网等技术,打破了孤立的状态,和工控网络内外的系统进行信息交互日益频繁,而工控系统由于防护手段的缺失,必然面临极大的风险。

3 网络安全防护建议

1) 基本原则:

工业控制系统安全建设要以事实为依据,依据实地评估结果开展针对性建设。

2) 技术策略:

以 “安全分区、纵深防护、统一监控”的原则进行建设。

“安全分区”:根据生产过程,将生产相关配套工业控制系统进行纵向分区、横向分域,规范网络架构,杜绝私搭乱建行为。

“纵深防护”:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部关键网络节点、关键设备部署异常行为、恶意代码的检测和防护措施,真正做到纵向到底、横向到边的全域防护。

“统一监控”:针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统,统一监控控制系统的的安全状况。将安全风险进行集中的展示,以风险等级的方式给出不同工业控制系统的安全风险级别,全面了解并掌握系统安全动态。识全局、统筹管理、真正做到工控安全全域感知。

3) 核心技术:

海上平台工业控制系统网络安全防护,要结合工控系统运行环境相对稳定、固化,系统更新频率较低的特点。采用基于“白名单”机制的工业控制系统安全“白环境”解决方案,通过对工控网络边界、关键网络节点流量、操作终端行为等进行全方位监控和防护,收集并分析工控网络、数据及软件运行状态,建立工控系统正常工作环境下的安全状态基线和模型,依据等级保护 “一个中心、三重防护”指导方针,融合白名单技术解决方案,确保:

◇ 只有可信任的设备,才能接入工控网络

◇ 只有可信任的消息,才能在工控网络上传输

◇ 只有可信任的软件,才能允许被执行

◇ 只有一个中心平台,才能进行管控

“白环境”解决方案能够保障工业控制系统安全稳定运行,安全建设内容符合相关标准的要求,可以顺利通过等级保保护测评机构测评和相关部门的信息安全检查。

3.1、安全通讯网络解决方案

1) 网络架构

在网络架构设计上建议做如下设计:

① 为了保障网络通讯能力,带宽应满足业务高峰期需要并留有一定余量;

② 海上平台在允许条件下尽量采用光纤和无线通讯(如微波)两种冗余形式,为了保障应急通讯,建议增加北斗应急通讯系统;

③ 工业控制系统与陆地终端(井口平台等)或其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;

④ 海上工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间采用技术隔离手段;

2) 通信传输

由于在海上平台人员紧急撤离后,需要进行远程关断法门操作,为了保正无线通讯过程中数据的完整性和保密性,建议在数据发送端和接收端部署工业防火墙,并启用VPN功能,建立专用通讯链路。

3) 可信验证

利用工控安全监测与审计自主学习白名单技术,进行网络通讯行为建模,记录通讯设备关键配置参数;从而对通讯设备的系统引导程序程、系统程序、重要配置参数和通信应用程序等进行可信验证,在检测到可信性受到破坏后进行报警,并将结果送至全安全管理中心(即统一安全管理平台)。

3.2、安全区域边界解决方案

1) 区域边界防护:

针对控制网工业控制系统所面临的安全风险,在海上中心平台与井口平台之间,与地区中心之间,部署工业防火墙实现边界防护,阻止中心和生产平台网络之间的非法访问和攻击。主要部署在区域出口,用于边界隔离(不部署在上位机与控制器之间),因此对于控制系统本身的稳定运行没有任何影响,不存在与系统兼容性问题,主要对区域间工业通讯协议进行重点防护。如果将来控制系统升级或更换,只需对其进行策略调整即可。

2) 入侵检测:

工控入侵检测系统采用旁路部署方式,能够实时检测数千种网络攻击行为,有效的为网络边界提供全景的网络安全攻击感知能力,使其详细的掌握工业网中的安全情况。

3) 安全审计:

在控制网部署工控安全审计产品,实现网络的3大审计检测功能,即网络通讯行为审计、网络操作行为审计和无流量监测,可为网络安全事件提供追溯。部署工控安全监测与审计系统,采用交换机旁路方式收集网络通讯数据,建立网络通讯行为白名单,从而发现违反白名单策略的行为。

在控制网交换机部署工控安全监测与审计系统,镜像控制网流经此交换机的所有数据,审计数据向统一安全管理平台集中汇报,由平台进行集中管理,统一收集网络日志,通过建模分析当前网络安全状态,为管理员提供可视化的操作行为、异常波动、告警信息,做到事前监控,事后可追溯原因。

3.3、安全计算环境解决方案:

1) 主机防护

部署工控主机卫士对系统内主机进行防护,主机卫士采用“白名单”管理技术,通过对数据采集和分析,其内置智能学习模块会自动生成工业控制软件正常行为的白名单,与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,其主机安全防护系统将会对此行为进行阻断或告警,以此避免主机网络受到未知漏洞威胁。

如果将来控制系统升级或更换,只需对其进行策略调整即可。

2) 身份认证及审计

由于海上平台对生产网络主机的管理相对比较严格,但对于整个油田群、作业区公司、地区分公司来说,由于数量庞大且分布分散,更是对于工程师站等关键部位无法做到绝对隔离,平台某些关键设备,如压缩机远程诊断系统等,大多数采取远程运维方式。在陆地终端或者区域中心网部署运维管理平台,实现生产网主机的安全运维及权限管理。

陆地终端运维管理平台部署示意图(红色箭头指示部分)

生产网络的上位机、工程师站、操作员站、数据服务器、安全设备,存在远程管理、监控需求,面对数量如此众多且分散分布的设备,如何高效、安全的进行统一管理就是一个问题,设备资产管理不善也会带来一定的工控安全隐患,尤其是在使用远程维护VPN通道时,没有运维操作审计,将会给生产网络安全带来极大隐患,为确保生产网络的运维管理满足等级保护的身份鉴别、访问控制、安全审计的相关要求,需要在生产网络旁路部署运维管理平台,以满足等级保护相关要求。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭