海上油田工控安全防護體系設計與應用

摘要：隨著海上智能油田的建設，新模式相比傳統模式由獨立單體向云端服務進行轉變，這就對工控網絡防護提出了更高的要求，現有管理模式及技術措施難以適應未來智能油田工業互聯、云邊協同等需要。鑒于此，介紹了目前對海上油田工控安全防護技術的探索和實踐，可為國內海上油氣生產企業提供參考和借鑒。

關鍵詞：工控安全；防護策略；安全保障體系；安全運維；海上智能油氣

中圖分類號：TP393.08 " "文獻標志碼：A " "文章編號：1671-0797（2023）02-0038-04

DOI：10.19514/j.cnki.cn32-1628/tm.2023.02.011

1 " "背景與必要性

1.1 " "背景

（1）建成海上智能油氣田示范區。為加快智能油氣田試點提升與推廣應用，推進智能油田建設步伐，中國石化2020年明確提出，在勝利油田海上油田開展智能油氣田1.0版推廣實施，2021年智能油田建設開始啟動，預計2025年全面完成海上油田智能化升級轉型。由獨立單體向云端服務轉變，對工控網絡防護提出了更高的要求。

（2）提出網絡安全管理要求。勝利油田分公司信息安全管理辦法的發布，指導了工控安全建設如何落地，其中3.3主要是針對工控系統的安全管理，提到工控系統安全防護應從網絡配置、網絡設備、軟件補丁、病毒防護、訪問控制、身份認證、數據備份和時鐘同步等方面開展相關工作。

1.2 " "必要性

（1）現有工控業務專網區域劃分存在問題。現有網絡實現了工控網、辦公網的分離，但由于工控網絡內部建設較早，現有工控網絡為二層網絡，沖突域較大，網絡區域邊界沒有較好的手段進行防護，難以適應未來智能油田工業互聯、云邊協同等需要。

（2）滿足等保2.0要求。2017年6月1日，《中華人民共和國網絡安全法》的正式實施進一步界定了關鍵信息基礎設施范圍，80%以上關鍵基礎設施屬于工業控制系統[1]。國務院、網信辦、工信部明確要求保障工業控制系統安全，石油石化作為工業控制系統的重要領域，是可能遭到攻擊的重點目標，這就要求企業認清風險、找出漏洞，并督促整改。

（3）由靜態防御向主動防御轉變。隨著5G、云計算、工業互聯網等新技術與工業系統的深入融合，與傳統工控系統安全相比，工業互聯網面臨的安全挑戰更為艱巨，通過部署安全管控平臺廠級分析節點，利用大數據、AI等信息化手段，可以實現工控安全由靜態防御向主動防御轉變。

（4）中國石化總部對工控安全建設有明確規定。集團公司在《中國石化工業控制系統管理辦法（試行）》《中國石化工業儀表控制系統安全防護實施規定》等管理制度中對工控系統的安全防護建設有明確規定。

2 " "現狀及需求分析

2.1 " "工控網絡現狀

（1）信息化建設現狀。1）基礎保障：建立了海上網絡通信通道，完成了自動化初步建設，實現了自動化數據采集、監控等功能。2）前端感知：開展了視頻、管線、船舶、溢油、人員動態等應用建設，豐富了前端現場的動態感知手段。3）應用集成：開展了油藏、VR、生產指揮等應用的集成建設，提升了油藏開發、生產運行的管理水平。

（2）工控網絡現狀。工控設備及終端體量基數大、覆蓋面積廣、更新迭代快，全廠工控網絡采用二層網絡規劃模式，缺少標準化、規范化、體系化的頂層設計。海上平臺和聯合站工控網絡就近接入辦公網，通過單向光閘實現邊界隔離防護。

（3）視頻網絡現狀。流媒體平臺采用雙網卡跨辦公網、視頻網部署，存在較大安全隱患。

（4）工控系統等保對標現狀如表1所示。

（5）海上工控網絡日常運維現狀。海上采油平臺多、范圍廣，生產數據從產生、回傳直到相關應用要經過10余個環節，受限于氣象海況，故障排查不及時，傳統模式下被動應急、人工診斷分析、信息孤立分散的運維模式已不能適應新的故障診斷需求。

2.2 " "需求分析

（1）滿足工控專網兩級貫通，支撐智能油田建設的需求。建設油田級敏捷、高效、安全的工控專網，實現采油廠至管理區兩級工控網絡貫通，滿足智能油田相關應用部署條件，為未來打造工業互聯、云邊協同、云網融合的智能油田運行新形態創造良好的網絡基礎。

（2）滿足智能油田建設中工控業務專網分區分域的需要。依據“橫向分區、縱向分層、安全隔離、適度防護”的安全防護總體原則，通過工業防火墻的部署滿足工控業務分區分域的需要。

（3）滿足工控業務系統等保2.0要求，支撐智能油田業務上線的需要。滿足等保2.0二級系統建設安全需求，協助智能油田業務上線。

（4）建立安全管理中心，滿足油田統一納管需求，提升安全事件響應及應急處置能力。建設安全管控平臺廠級分析節點，建立標準接口，滿足工控設備信息采集及數據分析存儲的需求，提升海上油田安全事件應急響應能力，安全策略由靜態部署向安全設備聯動處置轉變。

（5）建立海上生產信息化智能運維體系。滿足海上工業互聯運維需求，協助運維人員定位故障點，掌握故障的影響范圍，提高故障處置效率，保障各信息系統穩定可靠運行。

3 " "總體防護策略

（1）按照局級建設思路，實現廠區至管區兩級貫通。建設海上油田物理隔離工控專網，在“一張網”的控制下，使生產更加安全、高效，縮短關停后恢復生產的時間，為后續數字孿生等技術的應用提供有力的網絡基礎保障。

（2）優化現有工控網絡架構，按照總部318號文要求進行分區分域。在不影響工控業務的前提下，優化部分網絡結構，通過新增安全設備、安全策略劃分區域，縮小業務影響域范圍。

（3）提升計算環境安全性，打造安全可靠的工控業務系統網絡。基于海上油田油氣生產信息化業務流程自身特點，建立“可信、可控、可管”的安全防護體系，使得自動化系統能夠按照預期運行，免受信息安全攻擊和破壞，打造安全可靠的工控業務系統網絡。

（4）建立局級工控安全管控平臺廠級分析節點，實現工控安全設備集中管控。建設工控安全管控平臺廠級分析節點，管理平臺上移，避免重復投資，實現降本增效。

（5）建設工控網絡態勢感知，滿足海上生產信息化運維的安全運維體系需要。利用網絡自動感知、多維數據集成、故障智能診斷等技術建設工控網絡態勢感知，實現信息資產管理、拓撲關系可視、運行狀態監測、故障精確定位等，協助運維人員定位故障點，掌握故障的影響范圍，提高故障處置效率，保障各信息系統穩定可靠運行。

4 " "技術路線和技術方案

4.1 " "技術路線

“十四五”期間，面向油田數字化轉型和智能油田的深入推進，對標等保2.0中“一個中心、三重防護”的要求，完善油田工業互聯網安全防護體系建設，強化網絡邊界防護、增加防御縱深、提高架構安全性、提升安全運營管理效率。安全保障體系設計框架如圖1所示。

按照“一個中心、三重防護”建設思想[2]，加強通信防護、區域防護、邊端防護能力，部署工控安全管控中心平臺廠級分析節點，打造風險隱患管控體系。

（1）通過波分復用技術，建立聯合站、站庫工控專線，通過在廠級部署一臺工業防火墻實現聯合站、站庫、信息中心、管理區工控網絡橫向分離，分區分域。

（2）通過在平臺部署工業防火墻實現海上平臺工控業務分區分域。

（3）通過在陸地流媒體一級節點部署視頻網關，實現視頻業務防護。

（4）通過部署入侵檢測、堡壘機等滿足二級等保需求。

4.2 " "技術方案

4.2.1 " "通信防護

（1）工控專網改造：通過波分技術實現海二站、海三聯、海五聯、海四聯、海六站到采油廠核心工控專網建設，推動“智能油田”相關業務應用上線。

（2）視頻網絡改造：對原有視頻網絡添加安全視頻網關，通過對視頻流量進行協議級解析，結合多形態的探測方式對視頻資產實現有效檢測分析。

4.2.2 " "區域防護

根據現場網絡系統的特點，將采油廠各海上平臺與陸地科技處、各管理區劃分為不同的邏輯區域，在各安全區域的邊界部署工業防火墻進行邏輯隔離及訪問控制。

4.2.3 " "邊端防護

（1）計算環境安全。1）身份鑒別防護：部署運維堡壘機，實現登錄用戶鑒別、權限管理、雙因素認證；部署物聯網安全網關，實現在線資產識別和基線管控。2）主機安全加固：部署主機衛士，實現主機系統加固、主客體訪問控制及安全標記設置。3）入侵檢測防護：部署入侵檢測系統，實現計算環境入侵行為檢測與報警；部署視頻安全網關，實現視頻網入侵防御。4）安全準入防護：對設備安全準入、合規性、網絡訪問、安全規范實現控制、驗證、授權、落實4個方面的實際需求。5）安全審計管理：部署日志審計系統、入侵檢測系統、堡壘機，實現用戶行為安全審計。

（2）數據安全能力覆蓋。通過對數據交換、數據使用、數據維護、數據存儲等多個方面實現對數據安全的能力覆蓋，在工控環境中，由于業務的獨特性，數據安全能力著重體現在數據安全傳遞（既有單向光閘實現）和工控關鍵系統參數備份（本次著重加強）兩個方面[3]。

4.2.4 " "管控中心

集中管控平臺廠級分析節點負責對工控防火墻、工控安全監測審計、工控主機衛士等工控安全產品及第三方設備進行運行監控，主要包含安全設備管理、日志集中管理、安全實時告警、安全策略管理四大模塊，為工控網絡安全運營提供決策支持，加快安全事件響應速度，加強安全運維感知能力，提升整體工控網絡信息安全水平。

4.2.5 " "智能化運維

（1）資產臺賬管理：基于IP掃描、臺賬導入、視頻、儀器儀表等感知設備，實現工控物聯感知資產的收集及管理，實現IP規劃管理、在線情況統計等功能。

（2）網絡拓撲關系：梳理海上工控網絡設備的對應關系，實現有線/無線數據鏈路、網絡設備、設備拓撲關系可視化。

（3）運行狀態監測：采用SNMP、ICMP、Web Service接口等協議開發網絡探測采集監控程序，實現網絡節點設備運行狀態的實時監控。

（4）智能診斷定位：建立報警預警診斷模型，基于鏈路、設備故障精準定位，確定故障影響范圍。

5 " "預期效果

5.1 " "安全防護

按照油田工業控制系統安全防護的總體要求，遵循油田工業網絡“橫向分區、縱向分層、安全隔離、適度防護”的安全防護總體原則，建成敏捷、高效、安全的工控專網，實現從采油廠延伸至采油現場的工控專網，打造廠級工控安全防護體系，達到提升安全監管、提供安全預警、完善安全分析、實時動態防御、信息化智能運維、促進工控系統健康發展的目標。

5.2 " "智能運維

應用能夠實現設備故障快速定位，有效保障海上安全生產，提升系統運維效率，減少運維成本，指導構建全域感知信息化體系，為海上油田智能化建設培根筑基。預計故障診斷時間可由原來的4 h縮短為5 min，在快速定位故障、保障生產的同時，提高了運維效率，減少了運維成本。該技術可廣泛應用于海上及陸地油田，具有良好的適用性及推廣前景。

5.3 " "效益分析

（1）經濟效益：本項目可提升油田工控安全防護能力，避免因網絡安全事件導致生產事故發生，有效降低因工業控制系統受到破壞所帶來的經濟損失。

（2）管理效益：掌握關鍵信息基礎設施的安全狀態，通過安全數據采集、安全數據整理、威脅和事件匯聚處理分析，實現數據可視化展現、工控網絡風險整體呈現，提升勝利油田工控網絡安全風險感知能力和評估能力、行業網絡安全風險預警和應急處置能力，建立基本關鍵信息基礎設施監測預警體系。

（3）社會效益：有助于預防和減少各類因工控安全事件引發的系統故障和由此造成的油氣生產事故與經濟損失，從另外一方面說，也是保障油田企業平穩運行、維護國家安全的重要手段。

6 " "結語

本文針對海上油田工控安全背景及必要性進行描述，在此基礎上對標等保2.0的要求對海上工控網絡現狀及安全隱患進行分析，從實際存在的安全隱患中考慮總體的海上工控安全防護管理策略及相應的技術管理手段。本項目按照油田工業控制系統安全防護的總體要求，遵循油田工業網絡“橫向分區、縱向分層、安全隔離、適度防護”的安全防護總體原則，建成敏捷、高效、安全的工控專網，實現從采油廠延伸至采油現場的工控專網，打造廠級工控安全防護體系，達到提升安全監管、提供安全預警、完善安全分析、實時動態防御、信息化智能運維、促進工控系統健康發展的目標。

[參考文獻]

[1] 中華人民共和國進出境動植物檢疫法（2009修正）：主席令〔2009〕第53號[A].

[2] 青島海天煒業過程控制技術股份有限公司.基于等保2.0的石化企業工控網絡安全技術防護應用[J].自動化博覽，2022，39（1）：123-124.

[3] 唐安明，袁曉舒，趙偉.工控網絡安全測評系統的設計與實現[J].技術與市場，2022，29（1）：10-14.

收稿日期：2022-05-07

作者簡介：閔哲（1983—），男，山東人，工程師，研究方向：信息化建設與應用。