油田工業(yè)控制系統(tǒng)信息安全縱深防御初探

摘要：本文通過對數字油田專用的油氣工業(yè)控制系統(tǒng)（OICS）進行風險分析，提出了分層分域、確定性行為預測的縱深防御方法，可有效解決油田OICS面臨的網絡安全問題。關鍵詞：工業(yè)控制系統(tǒng)；工業(yè)控制系統(tǒng)安全；數據采集與監(jiān)視控制系統(tǒng)；縱深防御1引言隨著中國經濟的快速發(fā)展，石油、天然氣等能源產業(yè)在國家經濟中的地位愈加顯著。近年來國家大力倡導國家能源安全與能源儲備，客觀上向中國的能源產業(yè)提出了更高的要求，同時也提供了更多的發(fā)展空間。因此通過數字化遠程管理，有效控制生產過程中的關鍵技術環(huán)節(jié)，實現(xiàn)遠程調度指揮、監(jiān)管、控制的大規(guī)模生產是目前眾多大型企業(yè)所企盼的。

技術在飛速發(fā)展的同時，不可避免的帶來了系統(tǒng)安全的各類風險和威脅，在數字油田的構建中，存在著如系統(tǒng)終端平臺安全防護弱點、系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題、隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權限控制的接入、網絡安全邊界防護、內部人員非法操作以及密鑰管理等各種信息安全風險和漏洞。

數字油田系統(tǒng)一旦遭到破壞或入侵，會直接危害到原油的開采和運輸，繼而影響到國家能源安全問題，造成直接或間接的巨大經濟損失，更會影響社會的安定團結。油田自動化利用自動化手段對油水井站、計量間、閥組、聯(lián)合站（集氣站）、原油外輸系統(tǒng)、油罐及油田其他分散設施進行自動檢測、自動控制，從而實現(xiàn)生產自動化和管理自動化。但是采油現(xiàn)場常常分布在人煙稀少的偏僻地區(qū)，交通通訊不便，分布地域廣泛，現(xiàn)場人員較少，大部分地區(qū)處于無人或少人職守狀態(tài)。一旦現(xiàn)場控制系統(tǒng)發(fā)生異常，可能導致發(fā)現(xiàn)晚、排查難、影響大等一系列問題。2數字油田OICS風險分析2.1網絡結構分析

油田網絡結構龐大，采油廠以下按照管理區(qū)劃分為多個管理區(qū)，管理區(qū)與采油廠通過專用光纖進行通訊。

現(xiàn)場基本控制單元包括油井、配注站、注水站等不同的單元，包含的主要網絡設備和控制設備為RTU、PLC系統(tǒng)及攝像頭，現(xiàn)場基本控制單元通過無線傳輸的模式，將數據與匯聚點進行通信，無線匯聚點通過專用光纖將數據上送到管理區(qū)生產指揮中心。注水站PLC系統(tǒng)通過專用光纖將數據上傳到管理區(qū)生產指揮中心，管理區(qū)生產指揮中心通過光纖將生產數據發(fā)送至辦公網絡。

管理區(qū)的網絡可以以三層兩網的模型進行分析。兩網是指現(xiàn)場無線網絡和光纖網絡，三層分別是下層現(xiàn)場控制設備層、中間匯聚層、上層管理層，本文依據網絡和層次結構對威脅與脆弱性進行分析。油田管理區(qū)網絡拓撲圖如圖1所示。圖1油田OICS網絡拓撲圖

2.2整體風險分析依據網絡拓撲圖以及網絡結構并結合目前已有的技術安全措施，現(xiàn)有的安全隱患包括以下幾個方面。

（1）網絡設備準入控制隱患整個油田的網絡終端設備部署在野外現(xiàn)場，難以有效地采用門禁等措施來管控整個網絡，生產網較容易被外來人員接入其他網絡設備，難以對第三方非法接入進行報警和阻斷，存在較大安全隱患。

（2）無線通信缺乏認證現(xiàn)場設備如油井、配注站等以無線方式與匯聚塔通訊，工控數據也通過無線方式與OICS服務器通訊，缺乏有效的身份認證。

（3）生產網和辦公網接口生產網包含了工控網絡與視頻網絡，數據量龐大，目前未做任何的防護措施，給生產安全帶來巨大的風險。

（4）工控網與視頻網合用威脅生產網包含了工控網絡與視頻網絡，工控網與視頻網合用，數據量龐大，數據的格式、協(xié)議、保密性要求與傳輸延時要求等均存在巨大差異，業(yè)務差別大、安全需求差別也很大。兩網使用同一根光纖傳輸存在較大安全隱患。

（5）缺乏有效的防病毒措施工程師站、操作站、視頻監(jiān)控站、數據庫服務器、數采及視頻服務器等都在同一網絡中，與上層辦公網絡等無隔離防護，雖然安裝了360防病毒軟件，但360防病毒軟件本身只能針對常規(guī)的病毒并不適用工控網絡，對工控系統(tǒng)的病毒防護存在誤殺風險。

（6）針對特定工控系統(tǒng)的攻擊黑客可能利用木馬、病毒（如最近的勒索病毒以及針對工控系統(tǒng)的震網病毒）、文件擺渡或其他手段進入工控網絡，對工控系統(tǒng)控制器發(fā)出惡意指令（如控制器啟停指令、修改系統(tǒng)時間、修改工藝參數、對動設備進行啟停操作等），導致工控系統(tǒng)宕機停產或出現(xiàn)嚴重的安全事故。

（7）對網絡流量缺乏有效的監(jiān)控措施現(xiàn)場生產網絡分布位置廣泛，設備多（如一個匯聚點連接了幾十口油井，每個油井上包含了眾多的儀表及設備），網絡結構復雜，缺少有效的網絡流量監(jiān)控措施，在危險發(fā)生時難以有效發(fā)現(xiàn)威脅來源及可能造成的影響，難以有效地對威脅進行快速響應來降低對生產的影響。

（8）未進行分區(qū)域隔離匯聚點之間、注水站之間以及匯聚點與注水站之間只是通過劃分VLAN來分區(qū)，但是VLAN方式并不能防范病毒的擴散以及黑客的入侵行為。

（9）漏洞利用風險事實證明，99%以上攻擊都是利用已公布并有修補措施、但用戶未修補的漏洞。操作系統(tǒng)和應用漏洞能夠直接威脅數據的完整性和機密性，流行蠕蟲的傳播通常也依賴于嚴重的安全漏洞，黑客的主動攻擊往往離不開對漏洞的利用。

（10）行為抵賴風險如何有效監(jiān)控業(yè)務系統(tǒng)訪問行為和敏感信息傳播，準確掌握網絡系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規(guī)性審計要求，是迫切需要解決的問題。3數字油田OICS縱深防御建設3.1安全建設基本原則對于工控安全建設，應當以適度安全為核心，以重點保護為原則，從業(yè)務的角度出發(fā)，重點保護重要的業(yè)務系統(tǒng)，在方案設計中應當遵循以下幾項原則。

（1）適度安全任何系統(tǒng)都不能做到絕對的安全，在進行工控安全等級保護規(guī)劃中，要在安全需求、安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷，因此在進行等級保護設計的過程中，一方面要嚴格遵循基本要求，從物理、網絡、主機、應用、數據等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性，另外也要綜合成本的角度，針對系統(tǒng)的實際風險，提出對應的保護強度，并按照保護強度進行安全防護系統(tǒng)的設計和建設，從而有效控制成本。

（2）技術管理并重工控安全問題從來就不是單純的技術問題，把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的，僅僅通過部署安全產品很難完全覆蓋所有的工控安全問題，因此必須要把技術措施和管理措施結合起來，更有效地保障信息系統(tǒng)的整體安全性，形成技術和管理兩個部分的建設方案。

（3）分區(qū)分域建設對工控系統(tǒng)進行安全保護的有效方法就是分區(qū)分域，由于工控系統(tǒng)中各個資產的重要性是不同的，并且訪問特點也不盡相同，因此需要把具有相似特點的資產集合起來，進行總體防護，從而可更好地保障安全策略的有效性和一致性；另外分區(qū)分域還有助于對網絡系統(tǒng)進行集中管理，一旦其中某些安全區(qū)域內發(fā)生安全事件，可通過嚴格的邊界安全防護限制事件在整網蔓延。

（4）合規(guī)性安全保護體系應當同時考慮與其他標準的符合性，技術部分參考《GBT25070-2019信息安全技術網絡安全等級保護安全設計技術要求》進行設計，管理方面同時參考《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》以及IEC27001安全管理指南，使建成后的等級保護體系更具有廣泛的實用性。

（5）動態(tài)調整工控安全問題不是靜態(tài)的，它總是隨著管理相關的組織策略、組織架構、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調整安全保護措施。

3.2安全防御方案3.2.1分層分域構建縱深防御體系

分層分域的目的是通過分層劃分不同的系統(tǒng)集合，根據不同系統(tǒng)的特點采取相應的防護手段，例如工控區(qū)域的特點是以高可用性為優(yōu)先原則，而管理區(qū)應以機密性為優(yōu)先原則；分域則是依據最小業(yè)務系統(tǒng)的原則避免安全風險的擴散。對于處于生產管理區(qū)但需要和OICS實時服務器通訊的功能服務器建議設立工控DMZ區(qū)，將這些功能服務器單獨部署在工控DMZ區(qū)內，分層分域部署如圖2所示。圖2油田OICS分層分域圖在生產管理層與工控DMZ層的邊界設置帶有入侵檢測裝置的下一代防火墻，依據訪問控制關系配置訪問控制列表（ACL），同時可以對入侵行為進行監(jiān)測報警。在工控DMZ層與監(jiān)控層的邊界設置工業(yè)單向網閘，防止工控DMZ層感染的病毒滲透到監(jiān)控層，由于單向網閘采用2+1架構，可以阻斷兩個網絡的實時連接，防止黑客的入侵行為。

在監(jiān)控層與設備控制層邊界依據業(yè)務特點劃分最小業(yè)務單元設置工業(yè)防火墻，由于工業(yè)防火墻采用白名單機制，可以阻斷所有非白名單的流量，同時具備BYPASS功能，可以用于要求高可用性的工控網絡中。監(jiān)視站與服務器之間也可設置工業(yè)防火墻，實現(xiàn)確定性的指令級控制，由于每臺監(jiān)視站的監(jiān)視范圍和控制功能的不同，可以依據控制范圍和控制功能設置可監(jiān)視和控制的位號的白名單，實現(xiàn)精準的控制防止誤操作以及人為破壞。

3.2.2確定性的可預測行為監(jiān)視油田OICS是實時的工業(yè)控制系統(tǒng)，按照掃描周期完成數據的采集、數據的模數轉換、應用控制策略的執(zhí)行、數據的數模轉換、控制型號的執(zhí)行，因而網絡中的流量的大小、協(xié)議的類型、控制的點位等均為確定性的。通過分析工控核心交換機的鏡像流量，結合生產業(yè)務關系的關聯(lián)分析，對行為建模預測性判斷，并對風險報警。行為監(jiān)測設備部署如圖3所示。圖3工控安全監(jiān)測審計設備位置圖

主要實現(xiàn)以下功能：（1）資產數量的確定性，對入侵設備的可預測分析；（2）資產訪問關系的確定性，對異常的訪問行為的可預測分析；（3）流量特征的確定性，對惡意文件、入侵的可預測分析；（4）業(yè)務行為（組態(tài)的下載、上傳、對設備的操作）的確定性，對入侵檢測的可預測分析；（5）變更計劃的確定性，對入侵或工控專有病毒（如：火焰、震網）研判的可預測性分析；（6）生產運維計劃的確定性，對入侵等異常行為的可預測分析。

3.2.3確定性的可預測主機加固油田OICS的操作站、服務器、工程師站由于高可用性的要求無法安裝系統(tǒng)補丁及殺毒軟件，存在巨大的安全隱患，成為了病毒的中轉站，同時也是黑客入侵的主要攻擊對象。對于工控的主機防護可以采用基于白名單進程管控的工控主機衛(wèi)士來實現(xiàn)。

主要實現(xiàn)功能如下：（1）主機進程的確定性，惡意進程的可預測性防護，結合業(yè)務流程阻止非預測的額外進程運行；（2）主機服務端口的確定性，異常行為的可預測性防護，結合相關程序的日常端口行為阻止非預期端口開放；（3）主機訪問關系的確定性，異常訪問的可預測性防護，通過流量畫像精準展示異常連接；（4）主機運維的確定性，異常行為的可預測性發(fā)現(xiàn)，結合運維日志發(fā)現(xiàn)非預期的主機行為。

3.2.4可視化的安全運營在數字油田OICS中建設了一些安全設備后，會產生眾多的事件和日志，為統(tǒng)一管理工業(yè)控制的系統(tǒng)設備、安全設備及日志信息，將多個設備日志信息關聯(lián)分析，需要建設一套工控安全運營中心，此平臺與傳統(tǒng)管理網的平臺不同之處有如下幾點：

（1）該平臺應該能夠直接收集工業(yè)交換機及工控應用系統(tǒng)的信息；（2）該平臺能夠分析工控網絡中的設備互聯(lián)狀況，包括流量、時間、工控協(xié)議等元素建立白名單規(guī)則，及時有效發(fā)現(xiàn)異常并報警；（3）該平臺的關聯(lián)分析與傳統(tǒng)事件關聯(lián)分析模型不同；（4）適應工控網絡的特性，工控安全運營中心不再以日志為主要分析手段，而是采用流量行為分析為主、事件分析為輔的技術路線，通過安全監(jiān)控、風險分析、流量秩序監(jiān)控三大方