油田工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決方案研究

王 曄，靳方略，呂銘心

(中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京100083)

0 引言

工業(yè)控制系統(tǒng)，如分散控制系統(tǒng)(Distributed Control System，DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(Supervisory Control And Data Acquisition，SCADA)、可編程邏輯控制器(Programmable Logic Controller，PLC)以及各種遠(yuǎn)程終端單元(Remote Terminal Unit，RTU)等，廣泛應(yīng)用于石油化工、電力、水利、冶金、航空航天等諸多現(xiàn)代工業(yè)。 我國(guó)油田行業(yè)，普遍采用 RTU、PLC、SCADA 等控制系統(tǒng)完成對(duì)原油的采集、存儲(chǔ)、輸送、銷售等環(huán)節(jié)。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，兩化深度融合以及“智慧油田”的快速發(fā)展[1]，物聯(lián)網(wǎng)技術(shù)、系統(tǒng)級(jí)聯(lián)技術(shù)、嵌入式技術(shù)、無線技術(shù)等廣泛使用，使原本相對(duì)分散、獨(dú)立的油田工控系統(tǒng)集成度越來越高，其與上層管理信息網(wǎng)絡(luò)的互聯(lián)程度也隨之提高，這些技術(shù)融合在拓展了油田工業(yè)發(fā)展空間的同時(shí)也帶來了網(wǎng)絡(luò)安全問題。 例如：2015 年 1 月，安全研究人員發(fā)現(xiàn)一款專門竊取全球能源企業(yè)機(jī)密的木馬Laziok，它們的目標(biāo)主要是中東地區(qū)，多數(shù)被攻擊的目標(biāo)與石油、天然氣有關(guān)；2017 年5 月，WannaCry(及其變種) 致部分中石油加油站無法正常工作；2017年8 月，沙特阿拉伯的一家石油工廠使用的Triconex安全控制器系統(tǒng)中存在漏洞，惡意軟件試圖利用漏洞破壞設(shè)備并企圖以此引發(fā)爆炸摧毀整個(gè)工廠。

上述這些安全事件標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”升級(jí)為直接攻擊關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)的“硬摧毀”，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所帶來的，不再僅僅是信息泄露、信息系統(tǒng)無法使用等“小”問題，而是會(huì)對(duì)國(guó)家和社會(huì)造成直接的、實(shí)質(zhì)性影響的大問題。 由此可見，如果不對(duì)油田工控系統(tǒng)加強(qiáng)匹配信息化建設(shè)的網(wǎng)絡(luò)安全防護(hù)措施，將會(huì)在系統(tǒng)中留下大量的安全盲點(diǎn)與灰色地帶，留給網(wǎng)絡(luò)威脅可乘之機(jī)，特定條件下可能導(dǎo)致停產(chǎn)，甚至造成人員傷亡等嚴(yán)重社會(huì)事件。

綜上所述，新形勢(shì)下立足油田工控的安全現(xiàn)狀，設(shè)計(jì)有效的油田工控系統(tǒng)網(wǎng)絡(luò)安全解決方案，提高油田工控系統(tǒng)整體安全防護(hù)能力，保證油田工控系統(tǒng)的穩(wěn)定有序運(yùn)行刻不容緩。

1 油田工控系統(tǒng)典型架構(gòu)及風(fēng)險(xiǎn)分析

油田工業(yè)控制系統(tǒng)主要完成油井、場(chǎng)站的數(shù)據(jù)采集和實(shí)時(shí)監(jiān)控，并將數(shù)據(jù)上傳到上層的管理信息系統(tǒng)。 由于油井和場(chǎng)站的地域跨度大，環(huán)境比較惡劣，常使用RTU 設(shè)備采集數(shù)據(jù)并通過無線技術(shù)實(shí)現(xiàn)通信。計(jì)量站、聯(lián)合站等實(shí)時(shí)性要求高、邏輯聯(lián)鎖控制較多的場(chǎng)站，常使用PLC 系統(tǒng)實(shí)現(xiàn)控制和監(jiān)控。管理層級(jí)往往要求多系統(tǒng)集成，常使用SCADA 用于數(shù)據(jù)的監(jiān)視與管理[2]。

1.1 系統(tǒng)業(yè)務(wù)架構(gòu)

按照油田典型的業(yè)務(wù)架構(gòu)，可將油田網(wǎng)絡(luò)分成4 個(gè)網(wǎng)絡(luò)層次，從上往下依次為：公司級(jí)網(wǎng)絡(luò)、采油廠級(jí)網(wǎng)絡(luò)(一般包含多個(gè)作業(yè)區(qū))、作業(yè)區(qū)級(jí)網(wǎng)絡(luò)(一個(gè)管理單位，一般包含幾百口油井和相關(guān)的各類站)、場(chǎng)站級(jí)設(shè)備及網(wǎng)路(為生產(chǎn)現(xiàn)場(chǎng)，主要包含兩部分：油井和各類場(chǎng)站，如注水站、聯(lián)合站、計(jì)量站等)。 整體網(wǎng)絡(luò)架構(gòu)如圖1 所示。

(1)總公司網(wǎng)絡(luò)架構(gòu)

以各采油廠數(shù)據(jù)、網(wǎng)絡(luò)作為數(shù)據(jù)源對(duì)象，將總公司需要的數(shù)據(jù)同步至總公司數(shù)據(jù)庫(kù)中，建立總公司管理子系統(tǒng)模塊。

(2)采油廠網(wǎng)絡(luò)架構(gòu)

按照采油廠生產(chǎn)管理平臺(tái)的需求，將各個(gè)管理區(qū)數(shù)據(jù)匯總，進(jìn)行統(tǒng)一平臺(tái)集成，提供有效的數(shù)據(jù)分析結(jié)果，實(shí)現(xiàn)數(shù)據(jù)監(jiān)控、工況分析、安全管理、報(bào)表管理等功能，同時(shí)給油田總公司提供數(shù)據(jù)通信接口。

(3)作業(yè)區(qū)網(wǎng)絡(luò)架構(gòu)

作業(yè)區(qū)將其管轄范圍內(nèi)站點(diǎn)、井場(chǎng)生產(chǎn)數(shù)據(jù)通過無線或有線的網(wǎng)絡(luò)通信方式整合，并對(duì)所有設(shè)備信息、區(qū)域位置及狀態(tài)進(jìn)行統(tǒng)一標(biāo)識(shí)，建立標(biāo)準(zhǔn)的生產(chǎn)數(shù)據(jù)點(diǎn)表、數(shù)據(jù)庫(kù)結(jié)構(gòu)，向采油廠級(jí)數(shù)據(jù)平臺(tái)提供數(shù)據(jù)通信接口。

由于作業(yè)區(qū)與場(chǎng)站等工控系統(tǒng)可進(jìn)行實(shí)時(shí)數(shù)據(jù)交互，為了提高生產(chǎn)的安全性，一般通過網(wǎng)絡(luò)隔離設(shè)備將作業(yè)區(qū)分為管理網(wǎng)和生產(chǎn)網(wǎng)兩部分， 以減少信息網(wǎng)絡(luò)對(duì)生產(chǎn)網(wǎng)絡(luò)的影響，保證工控系統(tǒng)的安全性。

(4)場(chǎng)站級(jí)設(shè)備及網(wǎng)絡(luò)架構(gòu)

油田現(xiàn)場(chǎng)分為油井和場(chǎng)站兩類：油井采用無人值守站的方式，RTU 作為無人值守站的數(shù)據(jù)通信中心，與油井進(jìn)行數(shù)據(jù)采集和通信。 作業(yè)區(qū)的采集通信服務(wù)器則通過RTU 采集油井的數(shù)據(jù)；場(chǎng)站包括聯(lián)合站、計(jì)量站、增壓站、注水站等各類站控系統(tǒng)，是集數(shù)據(jù)采集、自動(dòng)控制和智能分析于一體的綜合自動(dòng)化系統(tǒng)。

1.2 系統(tǒng)安全風(fēng)險(xiǎn)分析

油田跨度大、覆蓋地域范圍廣、涉及網(wǎng)絡(luò)層級(jí)多，常規(guī)規(guī)模油田即包含多個(gè)作業(yè)區(qū)和采油廠，每個(gè)作業(yè)區(qū)有幾百口油井和站控系統(tǒng)，而每口井配置的I/O 等點(diǎn)數(shù)有上千點(diǎn)，總點(diǎn)數(shù)可達(dá)幾十萬，甚至千萬。此外，油田工控系統(tǒng)由于業(yè)務(wù)、建設(shè)周期先后等原因會(huì)涉及無線技術(shù)、多種品牌工控系統(tǒng)以及信息系統(tǒng)等，系統(tǒng)集成和互聯(lián)更多。

基于油田業(yè)務(wù)特點(diǎn)，目前油田工業(yè)控制系統(tǒng)存在的安全風(fēng)險(xiǎn)主要如下。

1.2.1 政策、管理及運(yùn)維層面

(1)油田行業(yè)在工控網(wǎng)絡(luò)安全方面制度、標(biāo)準(zhǔn)和規(guī)范較少，沒有成熟的管理辦法以及工控系統(tǒng)安全指導(dǎo)準(zhǔn)則。

(2)企業(yè)工控安全管理制度、組織尚不完善。

(3)人員工控安全意識(shí)薄弱。 一方面沒有工控安全意識(shí)可能使重要崗位人員淪為外部威脅入侵的跳板；另一方面，工控安全意識(shí)淡薄可能致使員工某些操作給生產(chǎn)帶來安全隱患。

(1)工控系統(tǒng)本身的脆弱性

一方面工業(yè)通信協(xié)議具有脆弱性：油田工控系統(tǒng)中工業(yè)協(xié)議較多，這些協(xié)議在設(shè)計(jì)時(shí)通常只強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性，對(duì)安全性普遍考慮不足，缺乏有效的用戶安全認(rèn)證，數(shù)據(jù)傳輸加解密等基本信息安全手段。 尤其是工業(yè)控制系統(tǒng)中的無線通信協(xié)議，更容易遭受第三者的竊聽及欺騙性攻擊。

圖1 油田業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)

另一方面應(yīng)用軟件存在安全威脅：首先，油田工控系統(tǒng)涉及自動(dòng)化廠商眾多，工控應(yīng)用軟件也是多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范；其次，由于油田工控系統(tǒng)數(shù)據(jù)交互多，對(duì)軟件開放性設(shè)計(jì)要求更多，也帶來了安全風(fēng)險(xiǎn)。

(2)無線技術(shù)的應(yīng)用風(fēng)險(xiǎn)

無線網(wǎng)絡(luò)技術(shù)組網(wǎng)靈活、移動(dòng)性好，沒有長(zhǎng)距離敷設(shè)線纜的限制，因此油田油井通信多采用無線傳輸。 但無線傳輸易被攻擊者偽裝接入，簡(jiǎn)單加密的數(shù)據(jù)也容易被截獲從而曝露敏感信息。

(3)工控主機(jī)缺乏安全防護(hù)

PC+Windows 的技術(shù)架構(gòu)現(xiàn)已成為油田控制系統(tǒng)工程師站、操作站等上位機(jī)的主流，是實(shí)現(xiàn)人機(jī)交互的節(jié)點(diǎn)。 目前油田工控系統(tǒng)在主機(jī)安全防護(hù)方面做得并不到位，很多都沒有安裝防護(hù)軟件，即便安裝了防病毒軟件，病毒庫(kù)也得不到及時(shí)更新，安全防護(hù)相對(duì)滯后。

(4)網(wǎng)絡(luò)缺乏訪問控制措施

石灰活性對(duì)硬硅鈣石纖維合成的影響規(guī)律可由溶解-吸附理論進(jìn)行闡釋。在初始階段，隨著環(huán)境的升高，石英粉和石灰開始溶解，由于石英粉的溶解度較低，石英粉顆粒表面會(huì)吸附溶液中的Ca2+形成一層CaSiO3水化膜，而后由于擴(kuò)散和遷移作用，水化膜內(nèi)部顆粒的逐漸溶解，同時(shí)硬硅鈣石纖維開始形成。因此，在硅質(zhì)原料活性不變的條件下，硬硅鈣石纖維的合成速率和反應(yīng)程度主要取決于石灰的活性。石灰活性越高，Ca(OH)2的溶解速率越快，溶液中Ca2+濃度越高，硬硅鈣石纖維的合成速率也越快。因此，石灰活性越高，合成的硬硅鈣石纖維晶型越好。

由于油田工控系統(tǒng)項(xiàng)目建設(shè)周期長(zhǎng)、集成商多、技改難度大等客觀原因存在，許多控制網(wǎng)絡(luò)都是“敞開的”，不同的生產(chǎn)區(qū)域之間為了連接的便利性未做有效的區(qū)域劃分，缺少邊界防護(hù)。此外，追求業(yè)務(wù)需求和工作的便捷性，很多防火墻策略基本是全開的或沒有嚴(yán)格的訪問控制，一旦發(fā)生安全事件，例如勒索病毒事件，很容易造成安全威脅在工控網(wǎng)絡(luò)迅速蔓延。

(5)移動(dòng)存儲(chǔ)介質(zhì)濫用風(fēng)險(xiǎn)

一方面，可能由于用戶個(gè)人原因，有意或無意通過移動(dòng)存儲(chǔ)介質(zhì)拷貝數(shù)據(jù)并傳播出去； 另一方面，當(dāng)移動(dòng)存儲(chǔ)介質(zhì)感染病毒后，濫用將導(dǎo)致病毒在工業(yè)網(wǎng)絡(luò)中擴(kuò)散而帶來風(fēng)險(xiǎn)。

2 油田工控系統(tǒng)等保2.0 解決方案研究

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改[3]。

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級(jí)分級(jí)別保護(hù)的一種工作。 安全保護(hù)等級(jí)越高，安全保護(hù)能力就越強(qiáng)。 等保2.0 的施行則把云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制等行業(yè)也納入了監(jiān)管，把監(jiān)管對(duì)象拓展到了全社會(huì)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高網(wǎng)絡(luò)安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度，等保工作的有序開展對(duì)促進(jìn)我國(guó)整體網(wǎng)絡(luò)安全發(fā)展可起到重要的推動(dòng)作用。 本節(jié)將依據(jù)等保相關(guān)標(biāo)準(zhǔn)要求探討油田工控系統(tǒng)的解決方案[4-6]。

2.1 安全策略及管理

安全策略及管理制度是油田工控系統(tǒng)安全的基礎(chǔ)，油田企業(yè)可從管理者的角度，制定安全管理策略和管理流程，確保不會(huì)出現(xiàn)因?yàn)檎`操作和管理制度的漏洞而造成安全隱患：

(1)建立安全管理機(jī)構(gòu)；

(2)主管部門制定工業(yè)控制系統(tǒng)的安全政策；

(3)企業(yè)根據(jù)安全政策制定正規(guī)、可備案的安全流程；

(4)企業(yè)制定工業(yè)控制系統(tǒng)設(shè)備安全部署的實(shí)施指南；

(5)企業(yè)制定針對(duì)工控業(yè)務(wù)連續(xù)性、災(zāi)難性恢復(fù)計(jì)劃以及應(yīng)急處理機(jī)制；

(6)加強(qiáng)工業(yè)控制系統(tǒng)的配置變更管理；

(7)進(jìn)行工控安全培訓(xùn)與安全意識(shí)培養(yǎng)。

2.2 安全通信網(wǎng)絡(luò)

(1)安全目標(biāo)

根據(jù)油田的系統(tǒng)或者業(yè)務(wù)劃分不同的安全域[7]，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與企業(yè)其他系統(tǒng)網(wǎng)絡(luò)進(jìn)行分區(qū)管理；安全域之間部署工業(yè)防火墻、網(wǎng)閘等隔離設(shè)備，配置訪問控制策略并運(yùn)行在防護(hù)模式；對(duì)網(wǎng)絡(luò)內(nèi)的重要網(wǎng)絡(luò)設(shè)備進(jìn)行冗余加固，提升設(shè)備性能與可靠性。

(2)控制措施

在安全區(qū)域劃分的基礎(chǔ)上，針對(duì)不同安全區(qū)域的業(yè)務(wù)重要性以及區(qū)域之間的通信與數(shù)據(jù)交換需求，部署適當(dāng)防護(hù)強(qiáng)度的隔離防護(hù)設(shè)備。比如，以往巡井以人工方式去各個(gè)井場(chǎng)觀測(cè)，現(xiàn)在電子巡井則由計(jì)算機(jī)完成，通過視頻、抽油機(jī)參數(shù)、功圖工況等信息直接在計(jì)算機(jī)上顯示。 為保證業(yè)務(wù)的連續(xù)性和網(wǎng)絡(luò)安全，需要對(duì)傳輸網(wǎng)絡(luò)、交換機(jī)等進(jìn)行冗余加固，在井場(chǎng)數(shù)據(jù)出口處增加工業(yè)防火墻，配置訪問控制策略，保障通信網(wǎng)絡(luò)安全。

2.3 安全區(qū)域邊界

(1)安全目標(biāo)

確認(rèn)工控網(wǎng)絡(luò)邊界，部署訪問控制設(shè)備（工業(yè)防火墻或者工業(yè)網(wǎng)閘等）；通過白名單策略和協(xié)議分析實(shí)現(xiàn)工控網(wǎng)絡(luò)之間、工控網(wǎng)絡(luò)與管理信息網(wǎng)絡(luò)之間的邊界訪問控制；對(duì)違規(guī)連接采取專門的監(jiān)控措施，對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為以及內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；無線網(wǎng)絡(luò)設(shè)備通過網(wǎng)絡(luò)安全邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)；對(duì)區(qū)域網(wǎng)絡(luò)行為和重要的安全事件進(jìn)行審計(jì)；定期備份或采取其他保護(hù)措施對(duì)審計(jì)記錄進(jìn)行保護(hù)。

(2)控制措施

在網(wǎng)絡(luò)邊界，如作業(yè)區(qū)生產(chǎn)網(wǎng)和管理網(wǎng)邊界部署工業(yè)網(wǎng)閘、場(chǎng)站邊界部署工業(yè)防火墻設(shè)備對(duì)違規(guī)連接行為進(jìn)行監(jiān)控，實(shí)現(xiàn)訪問控制、操作行為監(jiān)測(cè)、工控威脅檢測(cè)、工控異常行為檢測(cè)和基本網(wǎng)絡(luò)攻擊防護(hù)。 對(duì)網(wǎng)絡(luò)中的各種設(shè)備實(shí)施嚴(yán)格的日志審計(jì)、有效阻斷、定位報(bào)警等措施降低網(wǎng)絡(luò)中出現(xiàn)違規(guī)連接的風(fēng)險(xiǎn)。

在各網(wǎng)絡(luò)區(qū)域核心交換機(jī)處部署工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)，實(shí)現(xiàn)動(dòng)態(tài)端口監(jiān)測(cè)、流量實(shí)時(shí)監(jiān)測(cè)、操作行為監(jiān)測(cè)、入侵檢測(cè)、網(wǎng)絡(luò)流量跟蹤和取證等功能，加強(qiáng)工控網(wǎng)絡(luò)異常行為和入侵行為發(fā)現(xiàn)能力，有效提升事件發(fā)現(xiàn)、安全處置和事件回溯等安全能力水平。

2.4 安全計(jì)算環(huán)境

(1)安全目標(biāo)

對(duì)照主機(jī)最小化安裝清單，只保留系統(tǒng)中必須安裝的組件和應(yīng)用程序，避免安裝過多組件和應(yīng)用，出現(xiàn)暴露的漏洞和風(fēng)險(xiǎn)。 關(guān)閉不需要的系統(tǒng)服務(wù)，檢查并關(guān)閉系統(tǒng)中默認(rèn)共享文件夾，關(guān)閉易出現(xiàn)安全風(fēng)險(xiǎn)的高危端口；在指定位置的指定終端上加強(qiáng)安全管理，如采用 IP 地址限制或 IP+MAC 地址綁定等方式指定終端；采用免受惡意代碼攻擊的技術(shù)措施，或者基準(zhǔn)庫(kù)比對(duì)或其他可信驗(yàn)證機(jī)制對(duì)系統(tǒng)程序、應(yīng)用程序和重要配置文件/參數(shù)進(jìn)行可信執(zhí)行驗(yàn)證；檢查是否有保護(hù)重要系統(tǒng)程序或文件完整性的措施。

(2)控制措施

在服務(wù)器與操作員站、工程師站上部署主機(jī)安全防護(hù)衛(wèi)士，利用軟件的白名單功能，對(duì)設(shè)備和計(jì)算機(jī)的病毒入侵進(jìn)行防范，確保非法進(jìn)程和應(yīng)用程序無法通過安全檢查，確保將病毒、木馬以及惡意軟件阻擋在終端運(yùn)行環(huán)境之外。 同時(shí)對(duì)USB 端口、藍(lán)牙、無線接口進(jìn)行管控，未授權(quán)設(shè)備禁止接入終端計(jì)算機(jī)，防范通過USB 接口發(fā)起的高級(jí)攻擊[8]。

在監(jiān)控層匯聚交換機(jī)旁路部署運(yùn)維堡壘機(jī)，可對(duì)作業(yè)區(qū)生產(chǎn)網(wǎng)絡(luò)進(jìn)行權(quán)重等級(jí)的劃分和訪問控制權(quán)限的劃分，同時(shí)接管服務(wù)器、工程師站等設(shè)備的登錄功能，人員統(tǒng)一在堡壘機(jī)上操作。 實(shí)現(xiàn)權(quán)限分配、操作審計(jì)、身份合規(guī)性管理等功能。

2.5 安全管理中心

(1)安全目標(biāo)

劃分出管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控，消除信息安全孤島[9]；安全管理中心系統(tǒng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份鑒別、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等操作；對(duì)系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，對(duì)主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對(duì)主體進(jìn)行授權(quán)，配置可信驗(yàn)證策略等操作。

(2)控制措施

在作業(yè)區(qū)管理層部署工業(yè)安全設(shè)備統(tǒng)一管理平臺(tái)[10]，將油田系統(tǒng)內(nèi)所有工控安全設(shè)備采集到的網(wǎng)絡(luò)流量信息、人員操作信息、異常告警信息進(jìn)行統(tǒng)一收集和整理分析，結(jié)合管理平臺(tái)自身的安全漏洞庫(kù)和攻擊特征庫(kù)，識(shí)別、跟蹤分析和判斷各項(xiàng)操作行為和動(dòng)作的合規(guī)性與安全性，對(duì)于超出當(dāng)前安全基線的行為提供全程的行為審計(jì)，進(jìn)而掌握整個(gè)油田工控系統(tǒng)中存在的安全隱患和風(fēng)險(xiǎn)，對(duì)于明顯不符合當(dāng)前工控系統(tǒng)操作工藝流程和安全規(guī)定的異常行為和事件加以管控。

2.6 工控安全設(shè)備部署

基于以上安全分析，工控系統(tǒng)安全設(shè)備部署如圖2 所示。

3 結(jié)論

綜上所述，面對(duì)油田工控系統(tǒng)目前存在的安全問題及兩化融合進(jìn)程中出現(xiàn)的安全隱患，需要在發(fā)展的過程中，對(duì)油田工業(yè)控制系統(tǒng)進(jìn)行安全防護(hù)體系設(shè)計(jì)，并采取相應(yīng)的技術(shù)防護(hù)手段，結(jié)合管理等體制機(jī)制手段，動(dòng)態(tài)解決油田行業(yè)工控系統(tǒng)存在的安全問題，保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全。

圖2 工控系統(tǒng)安全設(shè)備部署示意圖