乔龙巴特

[摘 要] 随着物联网的快速发展，采油厂信息化与工业化的深度融合，工控系统能够极大地提高生产效率，但是工控网络受到攻击或感染病毒后将有可能导致控制系统发生故障，压力、温度、流量、液位、计量等指示失效，检测系统连锁报警失效，或各类仪表电磁阀及电源无供给。一旦重大危险源处于失控状态，后果不堪设想，将危急现场操作人员和生态环境。

[关键词] 工控系统；安全防护；防护策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 052

[中图分类号] TP311 [文献标识码] A [文章编号] 1673 - 0194（2018）11- 0118- 02

1 前 言

2014年采油厂的物联网建成，采油厂工业控制网络安全是信息化推进中出现的新问题，现场工控主机为保证过程控制系统相对的独立性仍在使用WindowsXP操作系统，在工控系统投运后升级操作系统或者打补丁会存在工控系统崩溃或失效的安全运行风险，不打补丁不升级操作系统就会存在被攻击的漏洞，传统信息安全的防护方法起不到保护的作用，工控主机感染病毒现象严重，运维过程中重做系统等重复性维护工作量大，给安全生产带来极大隐患。

工控系统自动化设备数目众多，设备发生故障时维护人员是通过自己携带的U盘进行维护，然而工控系统内部无安全存储传输介质、缺乏科学管理和技术防护手段，容易被非法入侵者通过传输介质破坏、篡改或删除数据，同时存在着泄密的风险。

采油厂自动化服务器前端无任何安全访问控制功能的设备，如防火墙、网闸等；没有网络管理平台，无法对异常报文、异常流量进行检测，网络故障检测依靠人工排查，效率低、耗时长，影响中控室集中监控。

2 采油厂工控系统简述

采油厂工控系统结构可以分成三层：现场设备层、生产监控层、生产管理层。

（1）现场设备层：采油厂现场设备以网络节点的形式挂接在现场总线网络上，依照现场总线的协议标准，设备采用功能模块的结构，通过组态设计，完成数据撷取、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。

（2）生产监控层：主要由OPC Server 服务器、工程师站和操作员站组成，相对于PLC 下位机设备，它们都属于上位机系统，通过SCADA、DCS系统各种运行参数和状态，仿真显示现场工况，实现现场无人值守和远程监控。监控参数的图形动画表达和实时报警处理，传达现场操作人员有效处理设备的报警状态。

（3）生产管理层：包括实时数据库、关系数据库和生产管理平台。同时提供生产过程监测、生产分析与工况诊断、物联网设备管理、视频监控、报表管理、数据管理、辅助分析与决策支持等功能。

工控网病毒防护承载着信息自动化业务的稳定性与时效性，工控网病毒防护是集中监控、远程管理的保障基础，可以为安全生产提供可靠的信息自动化平台。采油厂在工控系统安全防护方面还存在着隐患。

3 工控系统防护策略建设

3.1 防护策略整体架构设计

采油厂工业控制系统防护策略分为生产管理层安全防护、生产监控层安全防护、现场设备层安全防护；按照边界控制、主机监测、内部审计设计思路进行建设，使整个工业控制系统在信息安全防护建设过程中做到多层防御，从点到面防御。同时将各层面的日志统一收集、分析评价自动化网络的信息安全态势，以便管理人员实时监控物联网运行状况，对异常情况进行有效处理。

将网络按“垂直分层、水平分区”进行分区域管理，纵向按逻辑结构分为：生产管理层（数据库服务器、核心交换机）、生产监控层（工程师站、操作员站）、现场设备层（RTU、PLC等）；横向按属地单位划分。对不同层级的区域配置不同的安全访问控制策略和安全防护策略，防止非法攻击行为发生，实现采油厂自动化网络安全。

3.2 生产管理层安全防护

在3座处理站DCS控制柜与上位机之间部署3套工控防火墙，同时在3套处理站DCS系统与作业区自动化核心交换机之间部署3套工控防火墙；在生产监控中心SCADA系统与自动化核心交换机部署1套工控防火墙。

上位机与下位机、DCS与SCADA系统之间都实现区域防护，防止数据被破坏或信息外泄。在工控防火墙上启用白名单功能实现主动防御，将工控网络中可信的软件或程序放入白名单，只有白名单中的软件或程序才能被安装和运行，可以有效阻止恶意病毒和木马的入侵或非法程序的运行。防火墙开启异常报文检测和异常流量检测功能实现被动防御，防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击的发生。

3.3 生产监控层安全防护

将采油厂工程师站、操作员站部署工控主机防护软件。主机防护客户端可独立运行在工作站上，能够监控分析应用程序和人工操作的行为特征、有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。

主机防护客户端能够检查操作系统开机时所加载的系统文件是否被修改，当发现工作站操作系统完整性被破坏时进行告警，防止操作系统被篡改和植入后门；保护运行进程的内存空间的完整性，防止缓冲区溢出等攻击；管理员可定制添加需要监控的配置文件和关键注册表键值，通过监控关键配置文件和注册表的变更情况并形成报告，防止关键配置文件和注册表被恶意篡改或破坏，从而为管理员的安全防护工作提供参考；对厂商已停止维护的老旧Windows主機设备的全面维护，具备良好的系统兼容性，不会出现传统杀毒软件对工控软件的误杀现象。

统一管理采油厂内部所有工控主机防护软件客户端，进行状态监控及策略配置和下发，并收集、汇总、更新、同步单独客户端的白名单数据信息，统一收集单独客户端的审计信息，并进行数据分析。

通过对工控主机部署主机防护客户端并进行统一管理防护主机，在管理上建立完善的工控系统安全运维方案、策略和计划，加强日常安全培训，严控处理流程，防止内部攻击，实现终端安全防护，针对现阶段难以解决的技术问题应通过管理手段进行弥补，切实提高工控系统的安全防护能力。工控系统信息安全是一个动态过程，需要在整个生命周期中持续进行，不断完善改进。

3.4 现场设备层安全防护

增设自动化系统内部安全存储传输介质——安全U盘，安全U盘分为普通区和安全区，不同使用环境配置不同的分区。普通区在未安装工控主机卫士产品的计算机上可读取；安全分区仅在安装有工控主机加固的主机上，同时开放相应策略后才可看到和正常使用，实现“专区专用”。对安全分区进行加密，采用高强度商密算法，有效防止暴力破解导致的数据泄露。安全U盘结合工控主机加固移动存储介质管理功能以及自身安全特性，可有效防御木马、病毒等进入工控主机，保证工控主机安全。

加强管理存储介质的管理，在工控设备拷贝传输数据时，禁止私自使用U盘进行拷贝数据，只能通过安全U盘拷贝数据，杜绝数据交换过程中因U盘滥用导致的病毒进入工控网络环境并传播的问题，提高工控主机安全性。

4 结论及认识

工控系统的安全防护应该说三分在技术，七分在管理，完善的安全控制制度、安全操作计划、安全设备保控、人员安全意识培养和管理都是工控系统安全防护效果的重要保障基础。同时，在安全防护技术方面，三分在产品，七分在应用，一个安全防护产品直接部署到相应位置，无法发挥其应有的防护作用，要通过对工控系统的安全风险评估合理匹配并不断调整相应的安全防护策略，因此工控系统的安全防护是一个动态的工作，要随着安全风险类型和内容的变化，不断优化、升级、调整工控系统安全防护之“盾”。

主要参考文献

[1]程云龙.井下温压动态监测技术在SAGD生产中的应用[J].国外测井技术，2015（4）：45-46.

[2]韩菲，蒋能记. 两化融合推进稠油SAGD高效开发[J].油气田地面工程，2016，35（10）：80-82

[3]桑林翔，姜丹.重32井区SAGD开发阶段生产参数优化[J].特种油气藏，2016，23（1）：96-99.