一種海洋油氣田中控系統(tǒng)的網(wǎng)絡(luò)安全解決方案

李志剛，王 偉，武 岳，李墨林，劉文藝

（海洋石油工程股份有限公司，天津 300452）

0 引言

海洋石油平臺(tái)由于設(shè)備繁復(fù)、工藝復(fù)雜且造價(jià)昂貴，要求其中央控制系統(tǒng)不允許存在任何安全薄弱環(huán)節(jié)。過(guò)去，海洋石油平臺(tái)中央控制系統(tǒng)是單獨(dú)的、相對(duì)封閉的控制系統(tǒng)，隨著工業(yè)控制網(wǎng)絡(luò)的飛速發(fā)展，以及陸地終端對(duì)海洋油氣田各平臺(tái)數(shù)據(jù)互通的需求，增加了很多網(wǎng)絡(luò)，使得陸地終端與各平臺(tái)之間可以進(jìn)行網(wǎng)絡(luò)通信，但通信數(shù)量和方式的增多，也增加了網(wǎng)絡(luò)安全方面的隱患。

本文主要針對(duì)目前海洋石油平臺(tái)中控系統(tǒng)主流的C/S網(wǎng)絡(luò)架構(gòu)（即客戶(hù)端/服務(wù)器架構(gòu)），提出了一種網(wǎng)絡(luò)安全加固的方案。該方案在原PCS、ESD、FGS 系統(tǒng)控制器與服務(wù)器、工作站之間增加工業(yè)級(jí)防火墻，通過(guò)工業(yè)防火墻隔離來(lái)自工作站對(duì)于系統(tǒng)控制器的潛在病毒威脅。

1 基本概念及防護(hù)原理

1.1 C/S網(wǎng)絡(luò)架構(gòu)

Client/Server 架構(gòu)，即客戶(hù)端/服務(wù)器架構(gòu)。它把客戶(hù)端（Client，通常是一個(gè)采用圖形用戶(hù)界面的程序）與服務(wù)器（Server）區(qū)分開(kāi)來(lái)，每一個(gè)客戶(hù)端都可以向一個(gè)服務(wù)器或應(yīng)用程序服務(wù)器發(fā)出請(qǐng)求?？蛻?hù)端通常包含一個(gè)或多個(gè)在用戶(hù)電腦上運(yùn)行的程序，其通過(guò)數(shù)據(jù)庫(kù)連接訪問(wèn)服務(wù)器端的數(shù)據(jù)[1]。這種架構(gòu)可以把客戶(hù)機(jī)和服務(wù)器兩端硬件環(huán)境充分利用，將要處理的任務(wù)合理地分配到客戶(hù)機(jī)端和服務(wù)器端來(lái)實(shí)現(xiàn)，降低了系統(tǒng)的通訊開(kāi)銷(xiāo)。

1.2 工業(yè)級(jí)防火墻

工業(yè)級(jí)防火墻包含兩部分：①自適應(yīng)安全設(shè)備（ASA）；②FirePOWER 模塊。

ASA 提供防火墻功能，該防火墻功能可以基于配置的規(guī)則來(lái)允許或拒絕流量。FirePOWER 模塊能夠執(zhí)行針對(duì)深度包檢測(cè)（DPI）的特定于應(yīng)用的協(xié)議分析；IFW 可以通過(guò)本地自適應(yīng)安全設(shè)備管理器（ASDM）或通過(guò)集中式管理服務(wù)器來(lái)管理。

工業(yè)級(jí)防火墻可通過(guò)配置的安全規(guī)則實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的控制[3]。其所提供的入侵防護(hù)系統(tǒng)，可用于在通過(guò)網(wǎng)絡(luò)進(jìn)行通信時(shí)，檢測(cè)和控制應(yīng)用級(jí)網(wǎng)絡(luò)通信和潛在惡意通信。此外，DPI 技術(shù)有助于實(shí)現(xiàn)對(duì)容許的網(wǎng)絡(luò)流量進(jìn)行精細(xì)控制，并幫助識(shí)別和抵御潛在的系統(tǒng)風(fēng)險(xiǎn)；可檢查數(shù)據(jù)包以進(jìn)行分類(lèi)，并阻止應(yīng)用層可能存在的CIP 寫(xiě)入或CIP 讀取等操作，從而有助于維護(hù)工廠運(yùn)營(yíng)的完整性。

1.3 服務(wù)器與工作站防護(hù)

在服務(wù)器和工作站端，工業(yè)級(jí)防火墻為主機(jī)/設(shè)備提供基于策略的行為控制和檢測(cè)。因?yàn)椴僮飨到y(tǒng)修補(bǔ)并不總是可能的，AV 簽名不能定期更新，并且其他過(guò)程也不能總是及時(shí)有效地執(zhí)行。防火墻控制應(yīng)用程序行為，阻塞標(biāo)識(shí)的進(jìn)出通信量，并且通常提供基于主機(jī)的入侵預(yù)防和檢測(cè)[7]，其通過(guò)允許和阻止應(yīng)用程序或用戶(hù)可能采取的特定動(dòng)作來(lái)控制應(yīng)用程序行為。例如，預(yù)防策略可以指定某個(gè)應(yīng)用程序不能生成其他進(jìn)程，包括病毒、蠕蟲(chóng)和特洛伊木馬等危險(xiǎn)進(jìn)程。應(yīng)用程序仍然可以讀取和寫(xiě)入需要訪問(wèn)的文件和目錄。

2 海洋石油平臺(tái)中控系統(tǒng)網(wǎng)絡(luò)加固方案

2.1 海洋石油平臺(tái)中控系統(tǒng)簡(jiǎn)介

中控系統(tǒng)是海洋石油平臺(tái)的控制中樞，其采用集中監(jiān)視管理、分散控制的方式，連續(xù)監(jiān)測(cè)和控制海上油氣田生產(chǎn)設(shè)施及公用設(shè)施的正常運(yùn)行，并對(duì)可燃、有害氣體泄漏、火災(zāi)等意外情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，觸發(fā)報(bào)警并根據(jù)預(yù)定的因果邏輯去執(zhí)行相應(yīng)的關(guān)斷或消防等措施?？梢哉f(shuō)，中控系統(tǒng)一方面保證了海上石油平臺(tái)的生產(chǎn)、生活可以正常有序地進(jìn)行，另一方面又對(duì)各種意外事故進(jìn)行實(shí)時(shí)監(jiān)測(cè)與控制，在整個(gè)海上石油平臺(tái)運(yùn)行中起到了尤為關(guān)鍵的作用。

圖1 海洋石油平臺(tái)中控系統(tǒng)常用網(wǎng)絡(luò)架構(gòu)Fig.1 Common network architecture of central control system of offshore oil platform

2.2 中控系統(tǒng)常用網(wǎng)絡(luò)架構(gòu)

海洋石油平臺(tái)中控系統(tǒng)通常采用一對(duì)互為冗余的服務(wù)器作為數(shù)據(jù)、歷史、報(bào)警及OPC 服務(wù)器，通過(guò)冗余的控制網(wǎng)接收來(lái)自PCS、ESD、FGS 控制層的數(shù)據(jù)，再對(duì)數(shù)據(jù)進(jìn)行處理、存儲(chǔ)等工作。工作站主要用于讀取服務(wù)器的數(shù)據(jù)，并將數(shù)據(jù)呈現(xiàn)到操作界面上，以供用戶(hù)監(jiān)視與操作[5]。冗余交換機(jī)用于連接監(jiān)控層與下位機(jī)控制層，控制層PCS、ESD、FGS 的數(shù)據(jù)將通過(guò)這對(duì)交換機(jī)將數(shù)據(jù)傳輸?shù)缴衔槐O(jiān)控層?？刂茖佑滞ㄟ^(guò)硬線及485 通信等方式與現(xiàn)場(chǎng)設(shè)備相連接，接收來(lái)自現(xiàn)場(chǎng)設(shè)備的電信號(hào)。圖1 為海洋石油平臺(tái)中控系統(tǒng)常用網(wǎng)絡(luò)架構(gòu)。

2.3 加固后網(wǎng)絡(luò)架構(gòu)圖

為了實(shí)現(xiàn)陸地終端與平臺(tái)中控系統(tǒng)間的數(shù)據(jù)互通，同時(shí)又要有效地保護(hù)平臺(tái)中控系統(tǒng)內(nèi)部網(wǎng)絡(luò)的安全，本文提出了以下網(wǎng)絡(luò)加固的方案，如圖2 所示。

在中控系統(tǒng)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)之間加入工業(yè)級(jí)防火墻，將內(nèi)網(wǎng)與外網(wǎng)隔離開(kāi)來(lái)，根據(jù)需要，有針對(duì)性地采取相應(yīng)的隔離措施，這樣便能在對(duì)外提供友好的服務(wù)的同時(shí)，最大限度地保護(hù)了內(nèi)部網(wǎng)絡(luò)。針對(duì)不同資源提供不同安全級(jí)別的保護(hù)，構(gòu)建一個(gè)DMZ 區(qū)域，DMZ 可以為主機(jī)環(huán)境提供網(wǎng)絡(luò)級(jí)的保護(hù)，能減少為不信任客戶(hù)提供服務(wù)而引發(fā)的危險(xiǎn)，是放置公共信息的最佳位置。在一個(gè)非DMZ 系統(tǒng)中，內(nèi)部網(wǎng)絡(luò)和主機(jī)的安全通常并不如人們想象的那樣堅(jiān)固，提供給Internet 的服務(wù)產(chǎn)生了許多漏洞，使其他主機(jī)極易受到攻擊。但是，通過(guò)配置DMZ，可以將需要保護(hù)的應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在內(nèi)網(wǎng)中，把沒(méi)有包含敏感數(shù)據(jù)及需要傳送到外網(wǎng)的數(shù)據(jù)放置于DMZ 中，這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ 使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ 設(shè)置的新的障礙。

圖2 加固后網(wǎng)絡(luò)架構(gòu)Fig.2 Hardened network architecture

2.4 訪問(wèn)控制策略

加固后的網(wǎng)絡(luò)架構(gòu)確定后，需要確定以下6 條訪問(wèn)控制策略：

1）內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)

內(nèi)網(wǎng)的用戶(hù)顯然需要自由地訪問(wèn)外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉(zhuǎn)換。

2）內(nèi)網(wǎng)可以訪問(wèn)DMZ

此策略是為了方便內(nèi)網(wǎng)用戶(hù)使用和管理DMZ 中的服務(wù)器。

3）外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)

很顯然，內(nèi)網(wǎng)中存放的是全部?jī)?nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶(hù)直接進(jìn)行訪問(wèn)。

4）外網(wǎng)可以訪問(wèn)DMZ

DMZ 中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問(wèn)DMZ。同時(shí)，外網(wǎng)訪問(wèn)DMZ 需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換[2]。

5）DMZ 訪問(wèn)內(nèi)網(wǎng)有限制

很明顯，如果違背此策略，則當(dāng)入侵者攻陷DMZ 時(shí)，就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。

6）DMZ 不能訪問(wèn)外網(wǎng)

在網(wǎng)絡(luò)中，非軍事區(qū)（DMZ）是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問(wèn)服務(wù)的網(wǎng)絡(luò)分開(kāi)，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全。

3 應(yīng)用成果與展望

目前，南海某石油平臺(tái)的中控系統(tǒng)擬引入該套網(wǎng)絡(luò)安全系統(tǒng)，用于實(shí)現(xiàn)平臺(tái)與陸地終端的實(shí)時(shí)通信，即在陸地終端可以隨時(shí)監(jiān)視來(lái)自平臺(tái)的生產(chǎn)數(shù)據(jù)。屆時(shí)，該套安全系統(tǒng)將24h 為平臺(tái)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)互通保駕護(hù)航。

隨著網(wǎng)絡(luò)信息安全的發(fā)展，越來(lái)越多的海洋石油平臺(tái)將趨向于建立平臺(tái)間乃至海上平臺(tái)與陸地終端間的數(shù)據(jù)通信。網(wǎng)絡(luò)鏈路的大量增加，尤其是當(dāng)平臺(tái)內(nèi)網(wǎng)需要與互聯(lián)網(wǎng)連接時(shí)，勢(shì)必會(huì)導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的加大，這樣的風(fēng)險(xiǎn)對(duì)造價(jià)昂貴的海上石油平臺(tái)來(lái)講是不可接受的。因此，引入網(wǎng)絡(luò)安全系統(tǒng)將會(huì)成為越來(lái)越多平臺(tái)保護(hù)其控制系統(tǒng)內(nèi)網(wǎng)不受侵害的最佳選擇。

4 結(jié)語(yǔ)

經(jīng)過(guò)幾十年的發(fā)展，海洋石油平臺(tái)中控系統(tǒng)的自動(dòng)化程度逐漸提高，隨之而來(lái)的對(duì)于平臺(tái)間以及平臺(tái)與陸地間的數(shù)據(jù)互通的需求也在快速增長(zhǎng)。在未來(lái)的海洋石油平臺(tái)中控系統(tǒng)發(fā)展進(jìn)程中，網(wǎng)絡(luò)安全加固將會(huì)是保證系統(tǒng)正常使用，保證平臺(tái)與外界數(shù)據(jù)互通可以安全進(jìn)行的必要手段。相信隨著網(wǎng)絡(luò)信息安全技術(shù)的不斷發(fā)展，越來(lái)越多、越來(lái)越先進(jìn)的安全加固解決方案將會(huì)應(yīng)用于海洋石油平臺(tái)中控系統(tǒng)中，為海洋油氣田的安全生產(chǎn)及環(huán)境保護(hù)做出重大貢獻(xiàn)。