油田企業網絡信息安全與技術防范措施分析

胡浩瀾

（新疆油田重油開發公司，新疆 克拉瑪依 834000）

0 引言

石油在國民經濟發展中占據重要作用，各類石油產品也深入人們生活的各個領域。隨著資源開發工作不斷深入，數字化油田的建設成為油田企業的重要發展方向。自動化、智能化技術的應用有效提升了油田企業的工作效率，在勘探開發技術研發、資源整合、生產運行增效等方面發揮重要作用。然而，智慧油田的建設使網絡安全的重要性日益凸顯，原本“孤島”式的油田企業網絡變得更加開放，在業務效能提升的同時，油田企業也面臨眾多外來威脅，急需采取技術手段提升網絡信息安全水平。

1 油田企業網絡現狀

數字化建設工作持續推進油田企業的現場生產和運營管理工作模式朝著信息化方向發展。油田企業借助各種監控平臺和信息采集站可以實現對輸油管道泄漏、油井開發等各項工作的有效控制，實現對現有資源的高效應用。在數字化系統的支持下，油田企業能夠實時掌握現場設備生產運作情況，系統數據庫的存在實現了企業內信息資源的共享，各層級人員能夠通過開放的數據掌握各方面工作開展情況。油田企業中的重點網絡信息主要集中在場站、油井相關的監測和數據采集工作中，網絡系統通常借助遠程終端單元（Remote Terminal Unit，RTU）等實現數據實時采集，借助可編程邏輯控制器（Programmable Logic Controller，PLC）系統進行邏輯控制，借助分布式控制系統（Distributed Control System，DCS）實現多站點控制，借助數據采集與監視控制系統（Supervisory control and data acquisition system，SCADA）中心進行多系統指揮調度。

2 油田企業工控網絡存在的風險

油田企業在數字化系統建設過程中通常非常重視數據采集和監控功能的合理配置，對于更加重要的網絡安全問題通常存在忽略的情況。這也導致智慧油田等項目的建設推進為油田生產經營效率、質量的提升提供了極大助力，但也給企業內部信息安全帶來了嚴重風險，存在信息泄露、丟失，設備運行失衡的威脅。

2.1 風險的來源

油田企業網絡面臨多樣化的風險來源，主要涉及自然災害、員工惡意行為、恐怖組織、敵對政府、緊急情況、員工無意識違規操作、惡意入侵等多種情況。同時，系統網絡自身存在的缺陷漏洞也成為引發安全問題的重要原因。相對而言，油田企業網絡系統安全計劃的基礎是程序與政策，在安全策略存在缺陷漏洞的情況下，如國際標準分類法（International Classification for Standards，ICS）安全策略存在缺陷、相關培訓不到位等更容易引發系統網絡安全問題。平臺漏洞來源于操作系統、硬件及ICS 程序，如維護不合理、配置錯誤等問題導致軟件防護漏洞、軟硬件及配置漏洞問題出現。網絡的脆弱性與管理不足、配置有誤、ICS 缺陷等存在關聯，主要涉及無線通信連接漏洞、邊界漏洞、硬件漏洞、網絡配置漏洞及監控記錄漏洞等多方面的因素。

2.2 存在的風險及可能面臨的后果

網絡通信技術的發展使油田企業生產與信息之間的聯系更加緊密，物聯網成為企業發展的重要支撐，原本封閉的油田網絡在新的管理體系中變得更加開放，各類木馬病毒及黑客入侵等問題也更容易對開放式的網絡造成威脅，數字油田的工控網絡也因此存在較大的安全隱患。現階段，大多數油田企業所應用的安全措施通常缺乏先進性，眾多通用平臺的軟硬件設施雖然滿足了工控、辦公相關網絡的運行需求，但也更容易導致工控系統等關鍵網絡遭受來自辦公網絡病毒、黑客的攻擊。一旦出現此類情況，ICS 操作將可能因黑客、病毒對信息流的攻擊而出現中斷情況；在未經許可的情況下對設備操作指令和相關報警配置進行隨意修改，導致設備故障無法及時上報、設備異常運作等情況出現，甚至可能對人員生命安全造成威脅；將錯誤訊息發送給營辦商，使得非法操作得到屏蔽，導致各類負面影響發送；惡意軟件等修改或干擾ICS 軟件配置參數，導致異常情況發送。此外，在后續發展中，黑客、木馬病毒的攻擊可能會繼續存在，油田網絡被入侵的風險也仍然存在，導致企業生產運作、經營管理等工作面臨極大威脅。

3 油田工控網絡信息安全技術措施的應用情況及問題

當前，油田企業所采取的安全防護措施主要集中在網絡防護和服務器防護兩個方面，一方面通過展覽網絡或防火墻實現辦公與關鍵生產網絡之間的隔離，另一方面通過殺毒軟件對病毒木馬等情況進行監測管控，下面對各類措施進行詳細論述。

3.1 網絡信息安全技術措施應用情況

3.1.1 井場與SCADA 服務器之間設置數據隔離

油田企業通過數據隔離結構實現井場與SCADA服務器二者的安全防護，使得外部風險無法直接侵入井場。同時，為了避免IEC104 協議出現被攻擊漏洞的情況，需要基于數字各類平臺對協議進行深入分析，平臺能夠針對誤操作、系統故障、非法入侵等情況進行自動識別，及時針對異常行為進行限制和通知，同時也可以為后續的調查分析提供記錄。此外，隔離平臺能夠對音視頻協議、應用層協議、工業協議等進行有效識別，實現各類別協議通信情況與協議數據特征、協議號之間的有效結合。網絡分流器作為關鍵技術能實現音視頻信息與油田生產運作信息的快速分離，能夠通過白名單管理、分析等方式實現對生產數據的快速分析，避免存在異常數據入侵的情況，還可以通過對大量視頻數據的直接轉發使信息傳輸更加流暢。

3.1.2 將監測審計平臺設置于SCADA 旁路入口部位

油田企業針對SCADA 服務器的防護借助安裝于入口部位的監測審計平臺來實現，在應用過程中通過綁定媒體存儲控制（Media Access Control，MAC）地址的方式有效防止中間人攻擊或互聯網協議（Internet Protocol，IP）欺騙等情況發生。該監測平臺能夠實時監控油田網絡數據運行情況，并針對異常問題發出報警信息，確保油田網絡信息安全管理人員能夠對網絡運行情況進行動態管控，實現對協議、內容、行為的提取與審計，為后續的檢查工作提供全面的記錄結果，借助對未知設備接入相關的監控報警記錄，有效解決非法訪問問題。

3.2 技術措施存在的問題

防火墻在油田企業中的作用通常是實現互聯網、辦公網絡與工控網絡之間的隔離，然而現有的防火墻通常在兼容性、安全性方面無法滿足工業網絡程序安全運行需求，大多數防火墻所應用的傳輸控制協議/網際協議(Transmission Control Protocol/Internet Protocol，TCP/IP）存在較多安全漏洞。防火墻主要用于執行安全計劃政策，無法對管理員和政策的具體要求作出準確判斷，對于所執行政策的合法性、安全性無法鑒別，這也就導致防火墻一旦被非法控制，其保護的網絡將面臨更多安全風險。在無法正確識別政策可靠性的情況下，防火墻更容易被流量攻擊。隨著防火墻安全性能不斷提升，研發人員需要配置更多的功能項目，導致防火墻對硬件資源的消耗大幅度增加，在資源大幅度占用的情況下，工作效率將受到影響。

油田企業工控網絡的聯網需求通常需要借助交換機相關設備來實現，這就導致網絡面臨攻擊的點位大幅度增加，信息安全可靠性因此降低。油田企業只是將隔離平臺設置在井場與服務器之間，導致井場控制柜等末端設備在出現網絡數據訪問的情況下，流量攻擊可能出現在SCADA 之中，甚至可能導致其他設備的數據參數遭到惡意修改，嚴重時影響油田工作人員的個人安全。

4 改善油田企業網絡信息安全防護問題的技術措施

針對油田企業現階段所采用的數據隔離平臺、服務器監測審計平臺存在的安全風險點，對網絡安全防護技術手段進行優化改進，使用安全接入單元代替原本存在較大隱患漏洞的交換機設備，并將防護監管服務器布設于生產管理中心入口區域，可以有效提高油田企業工控網絡信息數據的安全防護水平。

4.1 網絡安全區域劃分

在劃分區域的過程中，油田企業可以結合主機、應用系統的安全要求進行分類，將具有相同要求的系統歸為一類，并針對性地制定安全策略。結合油田生產運作情況，安全區域可以被劃分為5 類，主要涉及井場、辦公網接入區域、站庫、隊塔及安全管理區，后續將從數據采集服務器、視頻服務器、歷史數據服務器、Web 服務器、特殊分析服務器、石油生產管理、特殊分析服務器等眾多方面存在的具體安全要求進行更精細化的劃分。

4.2 安全管理區安全設計

該區域需要重點從防病毒服務器、系統級芯片（System on Chip，SOC）日志審計系統、系統雙因素認證等方面進行部署，確保漏洞掃描、網絡管理、桌面管理等系統、服務器的安全可靠。該區域需要設置兩臺防火墻，兩設備應為相互熱備狀態，實現對突發情況的有效應對；還需要設置兩臺網絡交換機，兩設備應為相互熱備狀態，避免與其他區域存在通信中斷等安全隱患。針對雙因素認證系統的部署工作，油田企業也應該應用雙機熱備的方式，避免單點故障影響系統整體運維可靠性。安全健康服務器能夠實時對各服務器狀態進行評估確認，雙機熱備的監控解密服務器則能夠與安全接入單元相互協調配合，實現加解密模型的實時調控。此外，安全服務器還需要將審計數據庫與網絡的系統部署于數據中心，并連接相關聯的交換機設備，以有效判斷各數據中心的各出入數據安全狀況。

4.3 辦公網接入區、隊塔、站庫安全設計

采取單項流量控制的方式加大辦公網接入管控力度，具體操作可以借助網閘來實現。為避免設備非法接入、信息泄露問題出現，油田企業需要利用安全接入單元取代隊塔及站庫的交換機，提升該區域設備的運行可靠性。

4.4 井場安全設計

為了做好井場生產數據信息安全防護工作，油田企業需要避免應用交換機開展數據傳輸工作，需要合理引進網絡安全接入單元，確保數據信息不會因非法接入設備而出現泄露問題。在系統運行過程中，安全接入單元能夠實時采集和驗證下級設備的信息數據，借助預配置的策略對運行情況和設備訪問情況進行合法性判定，規避安全風險。在傳輸內容和所接入設備符合要求的情況下，驗證得到通過，相關數據經過安全接入單元的加密處理后傳輸到生產管理中心，并經過中心相關服務器解密處理數據信息，再傳到數據采集服務器中。此外，其他設備在由無線網絡入侵油田網絡的過程中，非法行為將在身份認證、解密處理過程中被阻止，使得危險操作行為無法被執行，還可以借助分布式拒絕服務（Distributed Denial of Service，DDOS）攻擊堵塞網絡，完成問題上報工作。

5 結語

油田企業在油田信息化建設的過程中需要加強對網絡信息安全防護工作的重視，充分認識到現行工控網絡隔離平臺、監察審計平臺中的漏洞和隱患，積極采取更先進可靠的技術手段做好安全防護。在實際操作時，油田企業需要結合安全防護要求做好分區域防護工作，并做好交換機相關設備的替換工作，同時通過數據加解密等方式提升信息數據的安全性，確保油田信息化建設工作有序開展。