康思伟，邓 静，薛海林，易 飞

(中海油上海分公司，上海 200335)

基于GB/T30976的海上油气田工业控制系统安全研究

康思伟，邓 静，薛海林，易 飞

(中海油上海分公司，上海 200335)

本文从国家评估标准出发，针对企业工业控制系统应用的主要风险，从网络安全、主机安全、审计三方面提出海上油气田工业控制系统安全整体防护设计。

工业控制系统安全；白名单

1 引言

海上油气田生产过程控制系统是一套DCS工业控制系统，其原有的使用环境较为封闭，网络独立于其他网络。随着工业信息化的快速发展及工业4.0时代的到来，工业化与信息化的融合趋势越来越明显，工业控制系统也开始利用最新的计算机网络技术来提高系统间的集成、互联及信息化管理水平。为了提高生产效率和效益，工控网络会越来越开放，不可能进行完全的隔离，如工控系统需要实时给MES/PIMS等系统提供数据等，这就给工控系统网络安全防护带来了挑战。

2 GB/T30976阐述

推荐性国家标准GB/T30976-2014《工业控制系统信息安全》于2014年12月2日正式发布，该系列国家标准是我国工控领域首次发布的正式标准，标准的主要内容包括安全分级、安全管理基本要求、技术要求、安全检查测试方法等，适合于对工业控制系统的信息安全评估和验收，对工业控制系统应用安全予以很好的启迪。

针对海上油气田领域，该标准较为宽泛，只提出了通用工控信息安全的评估规范，未对工控系统的信息安全建设方案提供指引，基于标准要求的海上油气田工控系统信息安全防护方案成为研究的新课题和新方向。

3 海上工控系统现状分析

海上油气田生产平台主要以油气采集、预处理、输油、辅助控制系统及现场数据采集和第三方系统（如透平、海水淡化等系统）为代表，以海上某平台为例，其工控系统框图如图1所示。

通过对照GB/T 30976标准的主要系统要求（FR），我们来分析海上工控系统安全目前存在的主要问题：

（1）FR1：标识和认证控制，要求所有用户在被允许访问控制系统之前，对他们进行标识和认证。目前海上工控系统已有具有该能力，但口令有效期、口令复杂度各平台不完全一致。

（2）FR2：使用控制，要求为已认证用户分配特权，以执行所请求的操作，并对这些特权的使用进行监视。目前各品牌的DCS系统均具有权限管理及工控系统事件审计功能，但对工程师站的审计较弱。

（3）FR3：系统完整性，要求确保工业控制系统完整性，以防止未经授权的操纵。其中SR3.2恶意代码的防护，需要在工程师站上部署相应的防护软件。目前由于杀毒软件的误杀、工控厂家认证等问题，部分海上工控系统未安装终端防护软件。

（4）FR4：数据保密性，要求确保通信信道和数据库的保密性，防止信息散布。其中SR4.2 RE (2)区域边界的机密性保护，要求控制系统应有能力保护穿越所有区域边界的信息的机密性。与之相对照，目前海上工控系统均部署了边界防护设备，如防火墙/网闸等，对数据保密及边界防护做到了较好的技术保障。

（5）FR5：限制的数据流，要求利用区域和管道对控制系统分区，来限制不必要的数据流。其中SR5.3区域边界防护，要求控制系统应提供监控区域边界通信的能力，以实现基于风险的区域和管道模型定义的划分。目前海上平台由于工控系统较为简单，尚未进行分区防护。

（6）FR6：对事件的及时响应，要求当事故发生时，通过以下方式对安全违背进行响应：通知适当的权威、报告所需证据、采取及时的纠正行动。目前海上工控系统提供了部分审计日志的能力。

（7）FR7：资源可用性确保控制系统的可用性，防止拒绝基本服务。该部分主要有DSC系统本身功能保障。

图1 海上平台工控网络示意图

通过分析，可以将以上七个系统要求划分成工控系统网络信息安全、主机信息安全、安全审计、工控系统自身安全四部分，本文重点关注前三部分的研究。

4 海上平台工控系统网络信息安全

4.1 不同信息层之间的安全防护

在工控网络中，各信息层定义着每层所包含的设备和功能，L1为控制器层，L2为操作层，L3为工程管理层，L3.5为隔离层，L4为企业层，通过在不同层级之间用物理防火墙进行隔离，以达到不同信息层之间的安全防护。如图2所示，传统控制系统中没有L1与L2之间的物理隔离，而新型的控制系统已对其进行了完善。对于过程数据的网络发布，最新的架构是将其放置在隔离层，而不放置在企业层，通过两层防火墙的隔离，最大限度的避免外网数据对过程数据产生影响。

图2 工控网络分层结构

4.2 访问控制

根据海上工控系统信息、网络结构、安全设备、服务器及主机设备的现状，结合工控系统运行环境相对稳定固化、系统更新频率较低的特点，目前，各工控安全厂商提出了基于“白名单”机制的工控系统信息安全解决方案，通过对工控网络流量、工程师站工作状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工控安全“白环境”，以确保只有可信任的设备才能接入工控网络，只有可信任的消息才能在工控网络上传输，只有可信任的软件才允许被安装并执行，只有可信任的控制指令才能进入控制器。边界防护设备可以进行正常通信行为建模，通过对正常通信行为学习后，对工控指令攻击、控制参数修改、病毒和蠕虫等恶意代码等攻击行为进行有效防护，减少恶意攻击行为给工业控制系统带来的安全风险。

4.3 数据保密防护

海上工控系统对数据保密性有较高的要求。随着数据泄露情况的愈演愈烈，传统的防火墙、反病毒软件、入侵检测等信息安全防护措施已难以独立应对。数据泄露防护系统DLP以数据为焦点、风险为驱动，依据数据特点与应用场景，在DLP平台上按需灵活采用敏感内容识别、加密、隔离等不同技术手段，防止敏感数据泄露和扩散。

国际自控标准“ISA99”、“IEC 62443-2-1 Ed.1.0”在针对工控网络安全所提出的标准中，均提出了“纵深防御”的多层网络结构设计，工控系统网络可通过定义多层网络结构以及相应的访问权限管理对外部访问进行有效控制。例如，海上工控系统具有多平台分布式特点，平台间数据交换应保持在过程控制网络层面上（L1～L3层网络），同时通过在L3.5上指定惟一数据通信出口与陆地数据中心或外部网络进行数据交换，来提高数据保密性。

针对工控系统末端节点的数据保密，可以通过身份认证、加密控制以及使用日志的统计对内部文件经行控制。在办公网与生产网之间加防泄密墙，实现对现场生产管理数据的安全防护。通过工控系统白名单的方式，在末端电脑上安装管理软件，可同时在软件以及硬件层面上限制数据的传播扩散。

4.4 边界防护

为满足海上工控系统对网络区域边界防护的要求，在每套工控系统接口处均需部署可信网关/工业防火墙/网闸，对进出的访问行为进行有效的控制，防止非授权行为的任意接入，避免发生网络恶意行为对工程师站、操作员等关键系统的破坏和非法操作。目前，工控系统主要包括过程控制、紧急停车、火气报警系统以及集成包设备等，为保证各系统的安全性和可靠性，各系统的网络应相对独立，安全系统应独立成网并具有对应的安全认证。通常撬装设备子系统有独立的网络，撬装设备与控制网络之间也应设置如Modbus之类的边界防护设备，以保证网络安全。

常见的工控防火墙对工控协议做了深度的解析，可以对操作人员和外网非法访问进行基于IP、MAC、工控协议或任意组合方式的访问进行控制。另外，用户可以根据具体需求设置更细粒度的策略，如对某个工控协议的只读、读写或者禁用，防止数据被篡改或信息外泄。工控边界防护设备应支持通用防火墙会话状态检测、包过滤机制及工控协议的深度访问控制，同时也支持专用防火墙（针对控制器级别的专用防火墙）对核心设备的保护，阻止各类非授权访问行为。

4.5 Dos攻击防护

按照FR7资源可用性系统要求，工控系统需满足标准，以保证控制系统的可用性。工控系统对网络的实时性和响应速度有很高的要求，为了保证其可用性和高效性，可在边界防护设备上开启异常报文检测与异常流量检测功能，以防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击所导致的网络或工控系统的瘫痪。同时，为保证海上平台间的关断信号在网络通道中的安全传输，工控系统需要满足相应的安全等级认证来确保紧急停车系统的安全关断，确保紧急关断信号传输的安全性、可用性。

5 主机信息安全

目前，海上平台的工程师站均为Windows操作系统，工作站、DCS系统实时服务器等主机存在未使用的USB端口及光驱。为防止现场工程师使用未经安全检查的移动介质，在工控网设备上进行上传或下载数据信息操作，从而将病毒木马带入终端并通过终端扩散到工控网络的各个区域，最终致使整个工控网络瘫痪，甚至造成人身安全，需要在主机上部署相应的防护系统，避免工作站受到未知漏洞威胁，同时阻止操作人员的异常操作所带来的危害。主机信息安全的防护主要体现在以下三个方面：

（1）主机操作系统防护。需支持操作系统完整性检查，包括注册表保护、配置文件保护、防止操作系统被恶意软件破环等。

（2）阻止恶意代码的执行和扩散。需满足FR3中SR3.2恶意代码的防护要求，采用防护机制来防止、检测、报告和消减恶意代码或非授权软件的影响。通过白名单机制，可以有效阻止白名单外的程序、木马、蠕虫等恶意代码的执行，进而有效避免系统感染Flame、震网病毒、Havex、BlackEnergy等工控恶意代码。同时，控制系统还应提供更新防护机制的能力。

（3）移动存储管理。根据需要灵活控制安全U盘和普通U盘的“禁用、只读、可读写”权限。在信息安全源头解决病毒、木马、蠕虫、等恶意代码的入侵及传播。

6 安全审计

为满足FR6对事件的及时响应要求，可在海上工控网络中部署网络安全审计系统，对工控网络中的控制系统、主站系统和信息安全产品的操作行为进行审计，以保证触发审计系统的事件存储在审计系统内，并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作，并且能够在必要时从记录中抽取所需要的资料。

安全审计通过收集并分析系统日志等数据，从而发现违反安全策略的行为。与防火墙相比，安全审计主要侧重于事后分析，即当发生安全事故或者发生违反安全策略的行为之后，通过检查、分析、比较审计系统收集的数据，从中发现违反安全策略（入侵检测、恶意接入、流量监控等）的行为。

采用具有报警分析能力的高级报警管理技术，通过报警分级等手段将最重要的信息展现在操作员面前，从而可对报警的产生进行多方面分析，并在生产工艺层面进行优化，消除不必要报警，进一步提高响应效率。

7 结束语

本文从GB/T30976标准出发，针对海上油气田工业控制系统应用的主要风险，提出海上油气田工控系统安全整体防护设计理念，通过与标准对照，提出防护方案及设计要点要求，对企业工控系统信息安全的防御具有一定的现实意义。■

Research on the Safety of Offshore Oil & Gas Field Industrial Control System Based on GB / T 30976

Kang Siwei，Deng Jing，Xue Hailin, Yi Fei
(CNOOC China Limited Shanghai Branch, Shanghai, 200335)

Based on the national evaluation standards, this paper puts forward the design of the overall safety protection of the industrial control system for offshore oil and gas felds, from the aspects of network security, host security and audit, aiming at the main risks of the industrial control system.

industrial control system security; white list

10.3969/J.ISSN.1672-7274.2017.02.006

TN915.08，TP393

A

1672-7274（2017）02-0025-04