海洋石油开采平台工业控制系统安全解决方案
489
海上石油气开采相对于陆地开采其技术难度相对较大,由于环境的限制,不同于陆地的单井、计量间、联合站、处理厂等,其主要通过海上石油平台进行开采作业,这些平台往往兼具了钻井、采油、处理、 存储 、输送、办公、生活等功能,因此也被称为移动城堡。其主要包括井口平台、中心平台、FPSO等,通过海底管道、光缆与陆地生产中心相连,网络通讯主要以 光纤 、微波为主。
1 海上平台系统组成
海上石油平台主要由工艺控制系统(PROCESS CONTROL SYS TE M,简称PCS)、紧急关断系统(EMERGENCY SHUTDOWN SYSTEM,简称ESD)和火气探测及消防系统(FIRE&GAS SYSTEM,简称F&G)组成。工艺控制系统一般设有多个远程 I/O 柜, ESD和F&G为两套相对独立的系统,可达到SIL3的级别。
PCS及ESD和F&G通过各自网络独立的光电转换器和海底光纤芯线传输至CEP中控系统相应的PCS及ESD和F&G系统。陆上终端中控室内设有一套独立于陆地终端控制系统的海上生产 监控 系统PCS,用于台风状态、海上操作人员撤离平台的情况下、对平台实施监测和遥控关断。设有冗余的I/O卡件,通过卫星与海上通讯,通过陆上光纤与地区中心控制站通讯。
工艺控制系统多采用EME RS ON公司的Delta V系统,霍尼韦尔系统,ABB系统、 西门子 系统等。ESD系统以康吉森、ABB、HIMA等为主。
2 关键业务挑战
随着信息化与工业化深度融合,数字海油、互联海油、智慧海油的不断建设,海上油田工控系统引入了信息、网络、物联网等技术,打破了孤立的状态,和工控网络内外的系统进行信息交互日益频繁,而工控系统由于防护手段的缺失,必然面临极大的风险。
3 网络安全防护建议
1) 基本原则:
工业控制系统安全建设要以事实为依据,依据实地评估结果开展针对性建设。
2) 技术策略:
以 “安全分区、纵深防护、统一监控”的原则进行建设。
“安全分区”:根据生产过程,将生产相关配套工业控制系统进行纵向分区、横向分域,规范网络架构,杜绝私搭乱建行为。
“纵深防护”:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部关键网络节点、关键设备部署异常行为、恶意代码的检测和防护措施,真正做到纵向到底、横向到边的全域防护。
“统一监控”:针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统,统一监控控制系统的的安全状况。将安全风险进行集中的展示,以风险等级的方式给出不同工业控制系统的安全风险级别,全面了解并掌握系统安全动态。识全局、统筹管理、真正做到工控安全全域感知。
3) 核心技术:
海上平台工业控制系统网络安全防护,要结合工控系统运行环境相对稳定、固化,系统更新频率较低的特点。采用基于“白名单”机制的工业控制系统安全“白环境”解决方案,通过对工控网络边界、关键网络节点流量、操作终端行为等进行全方位监控和防护,收集并分析工控网络、数据及软件运行状态,建立工控系统正常工作环境下的安全状态基线和模型,依据等级保护 “一个中心、三重防护”指导方针,融合白名单技术解决方案,确保:
◇ 只有可信任的设备,才能接入工控网络
◇ 只有可信任的消息,才能在工控网络上传输
◇ 只有可信任的软件,才能允许被执行
◇ 只有一个中心平台,才能进行管控
“白环境”解决方案能够保障工业控制系统安全稳定运行,安全建设内容符合相关标准的要求,可以顺利通过等级保保护测评机构测评和相关部门的信息安全检查。
3.1、安全通讯网络解决方案
1) 网络架构
在网络架构设计上建议做如下设计:
① 为了保障网络通讯能力,带宽应满足业务高峰期需要并留有一定余量;
② 海上平台在允许条件下尽量采用光纤和无线通讯(如微波)两种冗余形式,为了保障应急通讯,建议增加北斗应急通讯系统;
③ 工业控制系统与陆地终端(井口平台等)或其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
④ 海上工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间采用技术隔离手段;
2) 通信传输
由于在海上平台人员紧急撤离后,需要进行远程关断法门操作,为了保正无线通讯过程中数据的完整性和保密性,建议在数据发送端和接收端部署工业防火墙,并启用VPN功能,建立专用通讯链路。
3) 可信验证
利用工控安全监测与审计自主学习白名单技术,进行网络通讯行为建模,记录通讯设备关键配置参数;从而对通讯设备的系统引导程序程、系统程序、重要配置参数和通信应用程序等进行可信验证,在检测到可信性受到破坏后进行报警,并将结果送至全安全管理中心(即统一安全管理平台)。
3.2、安全区域边界解决方案
1) 区域边界防护:
针对控制网工业控制系统所面临的安全风险,在海上中心平台与井口平台之间,与地区中心之间,部署工业防火墙实现边界防护,阻止中心和生产平台网络之间的非法访问和攻击。 主要部署在区域出口,用于边界隔离(不部署在上位机与控制器之间),因此对于控制系统本身的稳定运行没有任何影响,不存在与系统兼容性问题,主要对区域间工业通讯协议进行重点防护。 如果将来控制系统升级或更换,只需对其进行策略调整即可。
2) 入侵检测:
工控入侵检测系统采用旁路部署方式,能够实时检测数千种网络攻击行为,有效的为网络边界提供全景的网络安全攻击感知能力,使其详细的掌握工业网中的安全情况。
3) 安全审计:
在控制网部署工控安全审计产品,实现网络的3大审计检测功能,即网络通讯行为审计、网络操作行为审计和无流量监测,可为网络安全事件提供追溯。 部署工控安全监测与审计系统,采用 交换机 旁路方式收集网络通讯数据,建立网络通讯行为白名单,从而发现违反白名单策略的行为。
在控制网交换机部署工控安全监测与审计系统,镜像控制网流经此交换机的所有数据,审计数据向统一安全管理平台集中汇报,由平台进行集中管理,统一收集网络日志,通过建模分析当前网络安全状态,为管理员提供可视化的操作行为、异常波动、告警信息,做到事前监控,事后可追溯原因。
3.3、安全计算环境解决方案:
1) 主机防护
部署工控主机卫士对系统内主机进行防护,主机卫士采用“白名单”管理技术,通过对 数据采集 和分析,其内置智能学习模块会自动生成工业控制软件正常行为的白名单,与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,其主机安全防护系统将会对此行为进行阻断或告警,以此避免主机网络受到未知漏洞威胁。
如果将来控制系统升级或更换,只需对其进行策略调整即可。
2) 身份认证及审计
由于海上平台对生产网络主机的管理相对比较严格,但对于整个油田群、作业区公司、地区分公司来说,由于数量庞大且分布分散,更是对于工程师站等关键部位无法做到绝对隔离,平台某些关键设备,如 压缩机 远程诊断系统等,大多数采取远程运维方式。在陆地终端或者区域中心网部署运维管理平台,实现生产网主机的安全运维及权限管理。
陆地终端运维管理平台部署示意图(红色箭头指示部分)
生产网络的上位机、工程师站、操作员站、数据服务器、安全设备,存在远程管理、监控需求,面对数量如此众多且分散分布的设备,如何高效、安全的进行统一管理就是一个问题,设备资产管理不善也会带来一定的工控安全隐患,尤其是在使用远程维护VPN通道时,没有运维操作审计,将会给生产网络安全带来极大隐患,为确保生产网络的运维管理满足等级保护的身份鉴别、访问控制、安全审计的相关要求,需要在生产网络旁路部署运维管理平台,以满足等级保护相关要求。