1.行業(yè)概述
新中國(guó)成立后,油氣行業(yè)創(chuàng)造了舉世矚目的輝煌業(yè)績(jī),截止2011年,全國(guó)25個(gè)省市自治區(qū)和近海海域發(fā)現(xiàn)上千個(gè)油氣田,建立了東北、新疆、鄂爾多斯、四川、渤海灣、南海等多個(gè)大油氣區(qū),30個(gè)油氣生產(chǎn)基地。2015年全國(guó)年產(chǎn)原油2.15億噸,居世界第四位,然而,2015年我國(guó)原油消耗量約5.4億噸,石油對(duì)外依存度高達(dá)60%以上,且供需缺口仍在擴(kuò)大。
2.安全隱患
信息化在油田企業(yè)中的應(yīng)用使得工業(yè)控制網(wǎng)絡(luò)大量采用通用TCP/IP 技術(shù),ICS 網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系更緊密。傳統(tǒng)工業(yè)控制系統(tǒng)設(shè)計(jì)上沒(méi)有考慮互聯(lián)互通帶來(lái)的安全問(wèn)題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)絡(luò)幾乎沒(méi)有隔離防護(hù)功能,數(shù)字油田系統(tǒng)的安全隱患問(wèn)題日益嚴(yán)峻。無(wú)線網(wǎng)絡(luò)的接入、邊界的脆弱性、區(qū)域劃分不明確、終端操作系統(tǒng)的安全風(fēng)險(xiǎn)以及工控協(xié)議本身傳的安全風(fēng)險(xiǎn),這些問(wèn)題很容易被病毒和黑客利用,系統(tǒng)中任何一點(diǎn)受到攻擊都有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓。
3.安全事件
2011年“7·12”綏中36-1油田少量原油落海
7月12日13時(shí)30分左右,位于渤海遼寧灣的中海油綏中36—1油田中心平臺(tái)中控發(fā)生故障,全油田生產(chǎn)中斷,原油落海。據(jù)初步估算,溢油量大約0.1至0.15立方米,在事發(fā)海域發(fā)現(xiàn)1平方公里油膜分布。
2011年“6·4”中海油蓬萊19-3油田溢油事故
2012年,位于美國(guó)加州的Chevron石油公司對(duì)外承認(rèn),他們的計(jì)算機(jī)系統(tǒng)曾受到專用于攻擊伊朗核設(shè)施的震網(wǎng)病毒的襲擊。不僅如此,美國(guó)Baker Hughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計(jì)算機(jī)系統(tǒng)也感染了震網(wǎng)病毒。他們警告說(shuō)一旦病毒侵害了真空閥,就會(huì)造成離岸鉆探設(shè)備失火、人員傷亡和生產(chǎn)停頓等重大事故。
4.常見(jiàn)攻擊方式
利用設(shè)備后門(mén)和本身漏洞攻擊、利用協(xié)議漏洞攻擊、電子郵件欺騙攻擊、木馬攻擊
5.解決方案
圖-原油開(kāi)采工控網(wǎng)絡(luò)安全解決方案拓?fù)鋱D
5.1、匡恩網(wǎng)絡(luò)安全產(chǎn)品可實(shí)現(xiàn)分布式部署、集中防護(hù)、區(qū)域隔離以及終端保護(hù)。
1)分布式部署:提高了整個(gè)系統(tǒng)的可靠性、容錯(cuò)性,有利于對(duì)每個(gè)目標(biāo)的安全防護(hù)。
2)集中防護(hù):在生產(chǎn)網(wǎng)的出口對(duì)整個(gè)生產(chǎn)網(wǎng)的數(shù)據(jù)做集中防護(hù),防止外網(wǎng)的病毒或者黑客的攻擊
3)區(qū)域隔離:根據(jù)工業(yè)網(wǎng)絡(luò)的區(qū)域劃分,對(duì)每個(gè)區(qū)域進(jìn)行數(shù)據(jù)保護(hù),做到橫向隔離,縱向保護(hù)的安全數(shù)據(jù)采集隔離。
4)終端保護(hù):為工業(yè)控制網(wǎng)絡(luò)提供了全方位的綜合防御與保護(hù),智能保護(hù)平臺(tái)能夠識(shí)別出勝利數(shù)字油田網(wǎng)絡(luò)(或者無(wú)線接入)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,及時(shí)對(duì)其進(jìn)行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù)。
5)監(jiān)測(cè)審計(jì):對(duì)工控網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)告警,幫助用戶實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況,并對(duì)網(wǎng)絡(luò)中存在的所有河?xùn)|提取行為審計(jì)、內(nèi)容審計(jì)、協(xié)議審計(jì),生成完整的記錄便于時(shí)間追溯,還可以對(duì)網(wǎng)絡(luò)中未知設(shè)備的接入進(jìn)行實(shí)時(shí)監(jiān)測(cè)、告警、記錄,迅速發(fā)現(xiàn)工控網(wǎng)絡(luò)中存在的非法接入。
6)主機(jī)防護(hù):在生產(chǎn)網(wǎng)中的上位機(jī)和服務(wù)器安裝工控衛(wèi)士,監(jiān)控進(jìn)程運(yùn)行狀態(tài),阻止不明進(jìn)程啟動(dòng),監(jiān)控網(wǎng)絡(luò)端口、網(wǎng)絡(luò)流量,監(jiān)控USB口使用,防止U盤(pán)攻擊,提供從工控上位機(jī)到服務(wù)器的全面防護(hù)。
5.2、數(shù)據(jù)分流與分析
通過(guò)獨(dú)特的內(nèi)核技術(shù)對(duì)來(lái)自工業(yè)網(wǎng)絡(luò)中的生產(chǎn)數(shù)據(jù)和視頻數(shù)據(jù)進(jìn)行分流,其中對(duì)生產(chǎn)數(shù)據(jù)使用白名單的方式做深度的協(xié)議分析,保證生產(chǎn)數(shù)據(jù)的可靠性;對(duì)視頻數(shù)據(jù)(數(shù)據(jù)量比較大)采用直接轉(zhuǎn)發(fā)的方式讓其通過(guò),保證了視頻數(shù)據(jù)的流暢性。
6.業(yè)務(wù)價(jià)值
本方案為原油開(kāi)采企業(yè)設(shè)計(jì)了網(wǎng)絡(luò)邊界防護(hù)、區(qū)域隔離、無(wú)線網(wǎng)絡(luò)防護(hù)等措施,解決了原油開(kāi)采企業(yè)存在的重要系統(tǒng)安全保護(hù)不足、未授權(quán)人員對(duì)設(shè)備的物理訪問(wèn)、沒(méi)有及時(shí)安裝操作系統(tǒng)和應(yīng)用安全補(bǔ)丁、平臺(tái)病毒防護(hù)脆弱性 、應(yīng)用軟件的漏洞、網(wǎng)絡(luò)邊界的脆弱性、無(wú)線連接的脆弱性等安全威脅