1.行業(yè)概述
新中國成立后,油氣行業(yè)創(chuàng)造了舉世矚目的輝煌業(yè)績,截止2011年,全國25個省市自治區(qū)和近海海域發(fā)現(xiàn)上千個油氣田,建立了東北、新疆、鄂爾多斯、四川、渤海灣、南海等多個大油氣區(qū),30個油氣生產(chǎn)基地。2015年全國年產(chǎn)原油2.15億噸,居世界第四位,然而,2015年我國原油消耗量約5.4億噸,石油對外依存度高達60%以上,且供需缺口仍在擴大。
2.安全隱患
信息化在油田企業(yè)中的應(yīng)用使得工業(yè)控制網(wǎng)絡(luò)大量采用通用TCP/IP 技術(shù),ICS 網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系更緊密。傳統(tǒng)工業(yè)控制系統(tǒng)設(shè)計上沒有考慮互聯(lián)互通帶來的安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)絡(luò)幾乎沒有隔離防護功能,數(shù)字油田系統(tǒng)的安全隱患問題日益嚴(yán)峻。無線網(wǎng)絡(luò)的接入、邊界的脆弱性、區(qū)域劃分不明確、終端操作系統(tǒng)的安全風(fēng)險以及工控協(xié)議本身傳的安全風(fēng)險,這些問題很容易被病毒和黑客利用,系統(tǒng)中任何一點受到攻擊都有可能導(dǎo)致整個系統(tǒng)的癱瘓。
3.安全事件
2011年“7·12”綏中36-1油田少量原油落海
7月12日13時30分左右,位于渤海遼寧灣的中海油綏中36—1油田中心平臺中控發(fā)生故障,全油田生產(chǎn)中斷,原油落海。據(jù)初步估算,溢油量大約0.1至0.15立方米,在事發(fā)海域發(fā)現(xiàn)1平方公里油膜分布。
2011年“6·4”中海油蓬萊19-3油田溢油事故
2012年,位于美國加州的Chevron石油公司對外承認(rèn),他們的計算機系統(tǒng)曾受到專用于攻擊伊朗核設(shè)施的震網(wǎng)病毒的襲擊。不僅如此,美國Baker Hughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計算機系統(tǒng)也感染了震網(wǎng)病毒。他們警告說一旦病毒侵害了真空閥,就會造成離岸鉆探設(shè)備失火、人員傷亡和生產(chǎn)停頓等重大事故。
4.常見攻擊方式
利用設(shè)備后門和本身漏洞攻擊、利用協(xié)議漏洞攻擊、電子郵件欺騙攻擊、木馬攻擊
5.解決方案
圖-原油開采工控網(wǎng)絡(luò)安全解決方案拓撲圖
5.1、匡恩網(wǎng)絡(luò)安全產(chǎn)品可實現(xiàn)分布式部署、集中防護、區(qū)域隔離以及終端保護。
1)分布式部署:提高了整個系統(tǒng)的可靠性、容錯性,有利于對每個目標(biāo)的安全防護。
2)集中防護:在生產(chǎn)網(wǎng)的出口對整個生產(chǎn)網(wǎng)的數(shù)據(jù)做集中防護,防止外網(wǎng)的病毒或者黑客的攻擊
3)區(qū)域隔離:根據(jù)工業(yè)網(wǎng)絡(luò)的區(qū)域劃分,對每個區(qū)域進行數(shù)據(jù)保護,做到橫向隔離,縱向保護的安全數(shù)據(jù)采集隔離。
4)終端保護:為工業(yè)控制網(wǎng)絡(luò)提供了全方位的綜合防御與保護,智能保護平臺能夠識別出勝利數(shù)字油田網(wǎng)絡(luò)(或者無線接入)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,及時對其進行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù)。
5)監(jiān)測審計:對工控網(wǎng)絡(luò)中的數(shù)據(jù)進行實時監(jiān)測、實時告警,幫助用戶實時掌握工控網(wǎng)絡(luò)運行狀況,并對網(wǎng)絡(luò)中存在的所有河?xùn)|提取行為審計、內(nèi)容審計、協(xié)議審計,生成完整的記錄便于時間追溯,還可以對網(wǎng)絡(luò)中未知設(shè)備的接入進行實時監(jiān)測、告警、記錄,迅速發(fā)現(xiàn)工控網(wǎng)絡(luò)中存在的非法接入。
6)主機防護:在生產(chǎn)網(wǎng)中的上位機和服務(wù)器安裝工控衛(wèi)士,監(jiān)控進程運行狀態(tài),阻止不明進程啟動,監(jiān)控網(wǎng)絡(luò)端口、網(wǎng)絡(luò)流量,監(jiān)控USB口使用,防止U盤攻擊,提供從工控上位機到服務(wù)器的全面防護。
5.2、數(shù)據(jù)分流與分析
通過獨特的內(nèi)核技術(shù)對來自工業(yè)網(wǎng)絡(luò)中的生產(chǎn)數(shù)據(jù)和視頻數(shù)據(jù)進行分流,其中對生產(chǎn)數(shù)據(jù)使用白名單的方式做深度的協(xié)議分析,保證生產(chǎn)數(shù)據(jù)的可靠性;對視頻數(shù)據(jù)(數(shù)據(jù)量比較大)采用直接轉(zhuǎn)發(fā)的方式讓其通過,保證了視頻數(shù)據(jù)的流暢性。
6.業(yè)務(wù)價值
本方案為原油開采企業(yè)設(shè)計了網(wǎng)絡(luò)邊界防護、區(qū)域隔離、無線網(wǎng)絡(luò)防護等措施,解決了原油開采企業(yè)存在的重要系統(tǒng)安全保護不足、未授權(quán)人員對設(shè)備的物理訪問、沒有及時安裝操作系統(tǒng)和應(yīng)用安全補丁、平臺病毒防護脆弱性 、應(yīng)用軟件的漏洞、網(wǎng)絡(luò)邊界的脆弱性、無線連接的脆弱性等安全威脅