海油工程制造企業信息安全防護方案

董家琛，侯 星，胡曉軒，張怡敏

（1.上海船舶工藝研究所，上海 200032；2.上海申博信息系統工程有限公司，上海 200032）

0 引言

近些年來工業與信息化的深度融合為產業升級帶來前所未有的機遇和挑戰，例如在海油工程企業信息安全方面，面臨著企業數據、設備控制、工業軟件應用和網絡維護等安全挑戰，同時對企業信息安全防護策略提出更高的要求。據統計，自 2017年以來，勒索病毒襲擊全球150多個國家和地區，波及國家安全、公共衛生、郵政、交通、通信和制造等眾多領域。在海油工程的海洋油氣生產平臺上部模塊制造車間里做好信息安全的防護，不僅是對企業負責，更是對國家戰略安全負責。對海洋油氣生產平臺上部模塊制造車間應用場景進行調查，分析車間網絡存在的風險，提出車間層直接信息安全防護策略和間接信息安全防護策略的體系架構，并制定安全系統防護方案，實現海洋油氣生產平臺上部模塊制造車間整體信息安全[1-2]。

1 海洋油氣生產平臺上部模塊設備層網絡風險分析

設備應用層包括海洋油氣生產平臺上部模塊鋼結構制管和甲板片體生產車間的多臺上位機、服務器以及各種高精密度數控設備等，這些設備在沒有安全防護的情況下很容易被惡意攻擊，比如鋼結構制管、甲板片體生產車間發生過，有設備關聯境外的IP地址，一些鋼板切割設備或焊接人需要使用U盤或串口連接的方式實現數據傳輸，在數據傳送過程中很容易被各種病毒、惡意代碼等攻擊，造成設備相關信息數據泄露，或直接影響設備的使用，大大降低車間的生產效率和產品質量。此外，沒有對設備及其日志進行統一集中管理，就很難關聯分析設備之間故障存在的關系，也就不能及時處理復雜的問題[3]。

2 海洋油氣生產平臺上部模塊制造車間信息安全防護體系架構

海洋油氣生產平臺上部模塊鋼結構制管和甲板片體生產車間的網絡安全防護體系主要包括直接防護和間接防護2個部分。其中，直接防護是根據信息安全防護的要求、智能制造全生命周期覆蓋、風險防護經驗等構建體系化防護框架，在該框架下用來解決鋼結構制管切割、鋼管焊接機器人和甲板片體鋼板切割、片體焊接機器人等設備的控制、網絡通信和數據管理等問題。海洋油氣生產平臺上部模塊鋼結構制管和甲板片體生產車間的組網比較靈活，加上工控層不斷產生大量時序性數據，需要構建間接防護措施，通過動態化防護策略，實現多元化的防護。間接安全防護策略通過構建工業安全標準防護管控平臺，通過大數據分析實現潛在安全威脅的監測，實現及時預警和協同防護，提升整體海洋油氣生產平臺上部模塊制造的網絡安全水平[4]。海油工程制造企業車間網絡安全框架見圖1。

圖1 海油工程制造企業車間網絡安全框架

2.1 直接安全防護策略

2.1.1 設備層安全防護

直接安全防護策略主要是為保護設備應用安全、通信網絡安全和計算機軟件與數據信息安全而采取的保護措施，其工業安全標準防護體系架構包括設備層的安全防護、控制層的安全防護和管理應用層的安全防護。其中，設備層的安全防護可通過安全級別評估、加/解密、安全防火墻、網絡入侵檢測等系統實現海洋油氣生產平臺上部模塊智能制造基礎設施設備層、控制層和監控層的保護。通過構建設備層工業安全標準防護體系實現數據審查，確保數據的完整性并將其貫穿在現場控制層和操作層的控制中，保證數據在傳輸和執行過程中的安全可靠。針對鋼結構制管、甲板片體生產車間工控終端的安全，部署基于IP地址白名單管理的服務器、生產線的上位機等，整個工控終端安全防護全面覆蓋控制層的對象連接和嵌入過程控制（OLE for Process Control，OPC）服務和可編程邏輯控制器（Programmable Logic Controller，PLC）模塊，實現對鋼結構制管、甲板片體生產車間數據安全的智能管控。其次，根據安全檢測評估的理論基礎和經驗，結合成熟的技術實現對鋼結構制管、甲板片體生產車間設備的定期檢查，同時結合智能化安全防護終端進行智能化串口、網口數據的檢查，避免出現非法數據的傳輸。對于用戶終端通過完善的終端安全防護體系，即包含身份驗證、標準化管理、日志審計等來確保設備層操作系統的安全，避免出現安全控制系統中的非法操作，確保設備層網絡安全，實現主動精準防御，提升海洋油氣生產平臺上部模塊鋼結構制管和甲板片體生產車間工控網絡設備的安全性。

2.1.2 通信網絡層安全防護

海洋油氣生產平臺上部模塊鋼結構制管和甲板片體生產車間的通信網絡層安全防護，應結合不同層次和業務的需求劃分安全域，然后根據安全域部署工控網絡檢測系統、隔離系統和安全防護系統，具體可使用工業防火墻實現邏輯隔離，實施監控數據的產生，從而可有效減少誤操作和病毒攻擊。對網絡節點審查，分析潛在的網絡攻擊行為，及時向主機系統進行報警。在無線網絡的應用上，防護層通過實時監測OPC服務/PLC模塊來實現域名管理、合法連接、IP跟蹤和用戶名密碼管理等，從而降低信息被盜取的風險。

2.1.3 數據應用層安全防護

數據層集中在應用軟件管理上，本身應用軟件具有開放的特征，很容易在使用時出現安全隱患，在這種情況下需要采取相應的標準化措施，制定相應標準、數據庫和測試開發環境等，對海油工程模型數據的安全性進行分析，從而提高對工業用的建模軟件、生產管理軟件以及APP等漏洞進行實時監測，做好漏洞修復和病毒的隔離工作。為了確保數據的安全性，應及時做好下車間輕量化模型數據、設備運行數據、生產管理數據的存儲備份，有條件的還需要定時做好異地備份，對于鋼結構制管和甲板片體生產車間所有控制系統涉及的切割、焊接指令等做好相應的加密和認證處理。最后，利用實時數據監控工具進行數據安全分析和運行維護，可確保車間整體工控系統的網絡安全。

2.2 間接安全防護策略

間接安全防護策略是一種作為輔助鋼結構制管和甲板片體制造全生命周期安全防護的系統。在已經部署了對智能化設備不同層的工控安全防護系統后，打破傳統物理防護模式，采用統一的安全綜合管控系統提前預警和及時防護，可全面提高海洋油氣生產平臺上部模塊鋼結構制管和甲板片體生產車間控制網絡的安全。

構建該系統平臺的主要作用是提前感知可能出現的網絡信息安全問題并及早采取解決策略。同時實現和工控安全設備的聯動，構建動態化調整機制，從而確保鋼結構制管和甲板片體生產車間能穩定運行。具體來說，利用該間接安全防護平臺實現對設備、工控系統、傳感器等的數據采集和監控，然后采用大數據分析技術實現對數據安全隱患的排除，及早主動防御，將安全隱患源頭及早滅除。

在大數據應用攻擊路徑分析時，根據黑客入侵規律和特征，采用卷積神經網絡算法訓練預測黑客攻擊路線和目標的數學模型，針對黑客的路徑和目標，制定相應的防護措施和策略。并對每一條潛在的路徑攻擊進行監控，提供基于優化算法的監測數據用來實現攻擊路線防護評估，同時測試網絡系統的安全性并進行自優化。

在大數據應用上，通過建設網絡安全評估系統確定數據采集中存在的風險問題，并利用大數據分析技術實現對工控網絡安全態勢的分析和預警，完善安全風險預估系統，可實現控制源檢測加強的目的，從源頭上減少病毒入侵事故，并通過模擬攻擊提高安全評估系統的準確性，以實現海洋油氣生產平臺上部模塊制造企業工控系統自我感知、自我分析和自我干預、決策的目的。

2.3 綜合化、全方位網絡安全防護

將直接安全防護和間接安全防護綜合起來構建全方位的網絡安全防護體系，不僅完善了海洋油氣生產平臺上部模塊智能制造基礎設施的安全防護，而且也采用間接防護的形式實現整體態勢的感知和響應，實現了及時預警和主動防御的功能，使得鋼結構制管和甲板片體生產車間的運行更加安全可靠，推動海洋油氣生產平臺上部模塊建造的可持續穩定發展，對于提升生產制造的效率、促進行業的可持續發展具有十分重要的意義。

3 安全系統防護部署策略

總體部署策略是：首先，在海洋油氣生產平臺上部模塊制造企業的辦公核心區域部署防火墻、防御病毒入侵的設備，避免互聯網的安全威脅問題滲透到企業內部；其次，改造重點數據/文件服務器，對重要數據/文件服務器的數據庫操作行為進行審計管理，在鋼結構制管和甲板片體生產車間部署工控安全防護系統以實現對車間生產網絡中各種鋼管切割機、焊接機器人、數據/文件服務器和工控操作系統的檢查，阻止因系統漏洞對現場生產造成的安全隱患問題。然后對鋼管切割機、焊接機器人等先進生產線等接入帶網管的匯聚層交換機，在匯聚層加上一道網管IP控制，切斷病毒向其他網段擴散，保證工控層的安全[5]。此外，在鋼結構制管和甲板片體生產車間部署無線安全管理系統，實現對無線設備的安全防護，避免因無線接入網絡問題而導致病毒侵入制管和甲板片體生產區，網絡安全防護部署方案網絡架構見圖2。

圖2 網絡安全防護部署方案網絡架構示意圖

3.1 進出口防火墻和區域策略防火墻部署

為確保海洋油氣生產平臺上部模塊鋼結構制管、甲板片體生產車間工控網絡進出口安全和企業內部網絡間隔離的要求，必須部署區域策略防火墻來實現安全防護，避免出現非法訪問、網絡攻擊和病毒入侵的問題。利用進出口控制和基于策略的安全防護設備，實現企業車間網絡安全防護。進出口控制和基于策略的安全網關使用高度集成化軟件設計，集傳統防火墻、虛擬專用網絡（Virtual Private Network，VPN）設備、入侵防御、防病毒、數據防泄漏、帶寬管理、分布式拒絕服務攻擊防護（Anti-Distributed Denial of Service，Anti-DDoS）、URL過濾、反垃圾郵件、應用識別等基礎性安全性能和綜合應用。防火墻架構部署具有體積小、耗能少、容易操作和維護的優點，同時基于云計算技術提供了智能防護的服務，使得用戶端能更靈活主動地抵御更為復雜的安全問題。

3.2 車間層光閘設備部署

企業辦公/OA網絡和生產區域工控網絡在沒有安全訪問控制措施的情況下，不同IP地址的網絡，尤其是工控層的網絡IP地址能訪問企業辦公/OA的網絡信息，所以安全性很低。采用光閘設備，單向傳輸的特性，將辦公區域和生產區域進行隔離，通過訪問限制來提升網絡的安全系數，確保海洋油氣生產平臺上部模塊制造企業內部網絡只能在授權的條件下才能進入。通過光閘對兩端的系統服務器進行安全隔離，被隔離的服務器網絡之間無法隨意實現數據信息的傳輸。

網絡安全隔離以后，信息交換系統在自身具有較高安全性的基礎上可組織來自網絡任何協議層的攻擊，企業辦公/OA網絡和生產區域工控網絡之間所有傳輸的數據信息都需要先進行協議還原，然后對制造執行系統（Manufacturing Execution System，MES）、物流執行系統（Logistics Execution System，LES）以及數據采集與監視控制（Supervisory Control And Data Acquisition，SCADA）系統等數據采集、作業執行數據信息進行檢查，采用格式化數據塊，基于光的單向性的單向隔離對數據信息進行單向交換，完成來自主機系統對用戶身份的確認，確保數據的安全，完成數據通信。這樣一方面進行了物理隔離，阻斷攻擊連接，另一方面通過強制性信息內容檢測進一步強化了通信安全。

3.3 工業防火墻設備部署

根據海洋油氣生產平臺上部模塊制造企業生產網安全防護優先級規定，針對企業辦公/OA網絡和生產區域工控網絡邊界進行安全隔離防護。工業防火墻可以把信息管理網與工控網絡隔離開，同時也可以通過防火墻將控制網與生產網、工控網絡中不同車間、不同區域的服務器進行邏輯分離，進行分區分域重點防護。

在工控系統信息網絡安全建設中，工業防火墻是必不可少的安全訪問控制的措施。在海洋油氣生產平臺上部模塊鋼結構制管、甲板片體生產車間工控系統信息安全建設中工業防火墻體系部署在工控網絡系統的邊界、生產管理域和現場控制域網絡邊界和內部需要做防護的區域、工業控制系統的邊界和每個車間區域之間。工業防火墻的部署，阻止了任何不可信數據包進入控制網，通過防火墻的白名單功能可以將病毒木馬拒之門外，阻止任何其他指令進入安全域，包括來自未知主機的“合法”指令，能夠對工控網絡的異常報文，如land、ping of death等進行檢測，并且可以對ping flood、用戶數據報協議（User Datagram Protocol，UDP）等攻擊進行防范，對所有通信過程進行記錄和審計，對深度包檢測（Deep Packet Inspection，DPI）進行讀寫操作的細粒度控制。

3.4 車間工控網異常監測系統

車間工控網異常監測指的是采集鋼結構制管和甲板片體生產車間工控網絡中的數據包，確保工控層切割、焊接等數據采集的完整性，對數據包內容進行分析擴展處理，有效檢測工控網絡中的通信異常和協議異常并加以阻止，進而避免工控系統的意外癱瘓。同時，基于“白環境”理念的解決方案無需對工控網絡結構進行改造，避免頻繁升級工控系統，減少系統維護時間。

4 結論

綜上所述，以海洋油氣生產平臺上部模塊的鋼結構制管和甲板片體生產車間為例，分析了如何通過智能車間工控網絡安全系統的構建來實現車間智能化建設的目標，并結合海洋油氣生產平臺上部模塊制造企業未來發展需求提出綜合化全方位的工控網絡安全防護系統。在該系統體系下，不僅可實現對各種設備的運行安全防護，更重要的是可實現對數據信息的安全保護，大大減少了黑客攻擊、病毒入侵給海洋油氣生產平臺上部模塊制造企業生產運行帶來的影響。在未來，通過對安全防護體系的進一步健全完善，可提升海洋油氣生產平臺上部模塊制造企業工控網絡系統整體安全防護的水平。