引言

　　2019年12月1日，《網絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代，等級保護對象范圍從傳統的網絡和信息系統，向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變為通用安全要求+新技術安全擴展要求，且技術要求和管理要求都做了調整。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在“關鍵信息基礎設施的等保2.0之路”系列文章中，天地和興將從關鍵信息基礎設施保護的實踐出發，梳理并提供2.0時代等保安全建設的整體解決方案，旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升，應對各類網絡風險和挑戰。

　　一、安全現狀

　　工信部在其發布的《信息化和工業化深度融合專項行動計劃(2013-2018 年)》中明確要求石油化工行業要加快兩化深度融合，油田數字化進程得以逐步加快， RTU、PLC、SCADA等設備或系統的大規模運用，也進一步提高了石油開采的效率和石油油品質量。

　　隨著油氣鉆探技術的不斷升級，我國鉆井技術從人工機械化鉆井發展到自動化鉆井，自動化水平越來越高，集成度、可操作性、安全性也越來越高。石油開采環節由于井場數量龐大、分布廣泛，都需要接入調度中心，這對工業控制系統網絡提出新的挑戰，在網絡建設過程當中必須要考慮互聯所帶來的網絡安全、管理歸屬、運維保障等安全問題。

　　與此同時，油田企業的生產信息化建設要求油水井和站庫的生產數據實時接入各種應用平臺, DCS、SCADA等生產控制系統逐漸與企業辦公網相連，這也間接地與互聯網互聯互通，而開放的DCS、SCADA等生產控制系統正是成為黑客攻擊的目標和主要切入點;包括客戶、訪客、合作商、合作伙伴等在不經過部門信息中心允許情況下與油田公司內部網絡斷開、連接，這些電腦很多時候是游離于企業安全體系的有效管理之外;內部員工對網絡了解甚少，沒有良好的安全防范意識，造成病毒、惡意軟件在生產控制網絡泛濫傳播;生產現場第三方員工使用撥號、雙網卡、翻墻軟件等問題狀況屢見不鮮。

　　油氣行業的基礎設施受到網絡攻擊現象已相當嚴重，與其他行業攻擊不同的是，油氣行業的網絡攻擊有56%都集中在控制系統上，對油氣開采設施網絡襲擊一旦成功，不僅可能是環境大災難，而且會嚴重影響國家安全。

　　二、解決方案

　　1.風險評估方案

　　風險評估是全面了解與驗證在實際應用中存在各種風險的一種必要手段，也是安全防護體系建設的前提，天地和興將依據《工業控制系統信息安全防護指南》(工信部信軟〔2016〕338號)、《工業控制系統信息安全防護能力評估方法》(工信部信軟[2017]188號)采用專業的工控系統安全評估工具全面深入分析石油開采生產控制網絡面臨安全風險，并給出相應的安全評估報告，為用戶全面了解系統網絡安全風險提供依據。

　　圖1：海南某油田公司風險評估結果

　　2.安全防護方案

　　油田企業的生產信息化建設要求油水井和站庫的生產數據實時接入各種應用平臺，DCS、SCADA等生產控制系統逐漸與企業辦公網相連，這也間接地與互聯網互聯互通，而開放的DCS、SCADA等生產控制系統正是成為黑客攻擊的目標和主要切入點。如何保證該系統安全、穩定運行及調度控制系統安全接入?參照國家網絡安全等級保護基本要求“一個中心、三重防護”的安全理念，構建油田開采工控系統網絡安全縱深安全防御技術體系，部署示意圖如下：

　　圖2：解決方案拓撲圖

　　? 安全通信網絡：在調度控制中心邊界處、各場站邊界處串行部署工控防火墻系統，實現各安全域邊界隔離與訪問控制;在信息安全專網跨越不同級別安全域-“生產區與安全管理區”之間部署工業防火墻類產品，實現區域隔離控制。

　　? 安全區域邊界：優化網絡結構，劃分安全域?！翱v深防護”：結合安全區、安全域劃分結果，在制定區、域邊界防護措施的同時，也要在安全區、安全域內部關鍵網絡節點、關鍵設備部署異常行為、惡意代碼的檢測和防護措施，真正做到縱向到底、橫向到邊的全域防護;在調度控制中心核心交換機上、各廠站的匯聚交換機上旁路部署工控安全審計系統，對整個油田開采工控系統的應用服務器、主機管理系統等進行全面的檢測，對通信數據進行合規性檢查，對異常行為、違規操作行為進行識別、審計告警，告警日志送日志審計系統、安全管理平臺系統進行集中存儲、分析與風險關聯展示，輔助運維人員進行處置。

　　? 安全計算環境：在工程師站、歷史站、操作員站等上位機中部署主機防護系統，確保主機身份鑒別、訪問控制、惡意代碼防范、入侵防范得到有效控制。在各站庫系統和調控中心管理主機操作域內部署USB安全隔離系統，通過網絡連接，集中提供USB存儲設備的連接與數據安全拷貝，實現對外界USB設備進行認證管理、防USB攻擊、防病毒、防篡改與操作行為審計等功能，保護系統USB拷貝數據的安全。

　　? 安全管理中心：在油田開采工控網絡中新建安全管理域，部署工控安全監管平臺、運維審計系統、日志審計與分析系統以及工控安全檢查工具，實現全網安全設備運行監控、安全日志收集與分析、安全事件集中處置，全網系統賬戶的統一管理與操作審計，對重要操作行為進行記錄、分析，及時發現各種違規行為以及病毒、黑客的攻擊行為，全網資產無損掃描識別與管理，資產漏洞匹配與統計報告等安全集中管理能力。通過系統加固，更多是通過縱深防御技術體系邊界防護設備的策略調優進行補償式修復，提升整個系統網絡安全整體的防護能力。

　　3.安全檢查方案

　　為進一步加強網絡與信息安全管理工作，提供網絡與信息安全保護水平，天地和興將根據《網絡安全等級保護》評測要求采用專業的技術人員、專業的檢查工具對石油開采生產控制系統進行網絡與信息安全專項檢查。通過專項檢查，認證查找生產控制網絡存在的安全隱患和漏洞，增強各級單位的安全意識，全面落實安全組織、安全制度和技術防范措施。

　　4.應急演練方案

　　在《網絡安全法》中有明確要求必須開展應急演練工作。因此，通過組織開展應急演練工作，國家監管部門和關鍵信息基礎設施單位能夠檢驗應急響應工作機制與應急預案是否完善，進一步加強網絡安全應急響應能力建設，提高應急響應工作水平。天地和興依托多行業的應急防護經驗可對現場網絡安全監測、管理情況，安全管理制度以及防入侵、防攻擊、防篡改等技術防護措施進行細致化的梳理，結合企業實際生產情況，配合支撐企業落實國家政策開展工控系統應急演練，提供應急演練保障。

　　5.安全服務方案

　　針對主管、運維等部門的“專業壁壘”等問題，天地和興為相關人員提供專業的培訓、咨詢、運維等服務，涉及網絡安全培訓、安全防護標準培訓、當前攻防技術培訓與應用、安全管理與規范操作日常運維等內容。協助企業全員提高專業知識與安防范，幫助企業全員提高專業知識與安防范意識。同時，天地和興還提供7*24小時的專家級安全咨詢服務與運維、應急保障。

　　6.安全運營方案

　　在石油企業的內部，各部門的工作人員數量龐大，其業務內容和范疇也各有差異，在進行信息化工作時，想要僅僅依靠技術人員實現整個企業的信息化建設顯然是不可能的。天地和興可提供包括安全運營中心建立、安全意識培訓、安全運營管理、安全體系管理、安全運維管理等多維度內容。此外，天地和興還可以通過講座、技術展示等形式培養員工的信息安全意識。

　　三、總結

　　石油行業素來注重生產安全與網絡安全建設，石油行業屬于高科技密集型行業，信息化實施的效果在很大程度上影響著整個行業的競爭能力。石油行業上中下游各個業務領域投資巨大，涉及人員眾多，各產業價值鏈的關聯度較高，某一業務領域的發展會直接對其他業務領域產生影響，石油企業對于利用信息化手段實現上中下游產業的一體化協同發展具有很大需求。

　　天地和興結合油田開采行業真實現場需求，提供以上針對油田開采工業網絡安全全生命周期的網絡安全解決方案，在實現國家基礎設施防護目標的同時，為石油石化的智能化升級保駕護航。