工業(yè)防火墻在油田網(wǎng)絡(luò)安全中的應(yīng)用

　　1.項(xiàng)目背景

　　石油行業(yè)作為高科技密集型行業(yè)，涉及勘探、煉制、儲(chǔ)運(yùn)、銷(xiāo)售等眾多緊密相連的業(yè)務(wù)，不僅需要持續(xù)投入巨大的人力、物力，還要確保生產(chǎn)供應(yīng)鏈上的各個(gè)環(huán)節(jié)平穩(wěn)有序、協(xié)同發(fā)展。因此，建設(shè)智能油田、實(shí)現(xiàn)信息化將在很大程度上影響油氣企業(yè)的運(yùn)作以及競(jìng)爭(zhēng)力。而智能油田眾多的實(shí)際應(yīng)用都需要背后有高效可靠的網(wǎng)絡(luò)來(lái)支持，讓網(wǎng)絡(luò)覆蓋到油田的每個(gè)角落是實(shí)現(xiàn)智能油田的基礎(chǔ)。

　　然而，網(wǎng)絡(luò)的接入，勢(shì)必會(huì)導(dǎo)致工業(yè)網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)，讓黑客有機(jī)會(huì)進(jìn)入到油田的生產(chǎn)網(wǎng)絡(luò)，從而可能會(huì)影響整個(gè)油田生產(chǎn)的安全性。所以在這種情況下必須要重視對(duì)網(wǎng)關(guān)數(shù)據(jù)傳輸?shù)陌踩宰龊冒踩綦x和防護(hù)。

　　2.項(xiàng)目建設(shè)目標(biāo)

　　油田分為井場(chǎng)、站外系統(tǒng)等，不僅每個(gè)系統(tǒng)之間要做網(wǎng)絡(luò)安全隔離，而且在系統(tǒng)中每個(gè)控制器之間也要做安全隔離，使整個(gè)油田系統(tǒng)的網(wǎng)絡(luò)安全級(jí)別達(dá)到較高的水平。油田的安全生產(chǎn)至關(guān)重要，而隨著“兩化”融合的加速，給控制網(wǎng)絡(luò)帶來(lái)了安全問(wèn)題，尤其是來(lái)自Internet和工廠(chǎng)管理信息網(wǎng)絡(luò)的黑客攻擊、信息阻塞、病毒，從而導(dǎo)致控制網(wǎng)絡(luò)的工作異?；虬c瘓，使控制系統(tǒng)運(yùn)行速度下降或控制器處于失控狀態(tài)，嚴(yán)重威脅裝置的生產(chǎn)安全。所以必須要重視而且要盡最大可能的保護(hù)好生產(chǎn)裝置和生產(chǎn)數(shù)據(jù)。

　　3.需求分析

　　3.1 目前現(xiàn)狀

　　油田中油井的分布比較廣而且數(shù)量也非常多，多個(gè)油井組成井場(chǎng)，井場(chǎng)與站外系統(tǒng)和井場(chǎng)無(wú)人站都需要上傳數(shù)據(jù)和一些數(shù)據(jù)查詢(xún)等應(yīng)用，所以根據(jù)這些應(yīng)用需求對(duì)油田行業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)接入是非常普遍的，而且這些應(yīng)用都是基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議(TCP/IP、HTTP、等協(xié)議)的應(yīng)用，網(wǎng)絡(luò)應(yīng)用非常廣泛。

系統(tǒng)拓?fù)鋱D1

　　系統(tǒng)中每個(gè)井場(chǎng)采用標(biāo)準(zhǔn)化設(shè)計(jì)，使用功能計(jì)量，油井及井口的參數(shù)分別上傳到調(diào)度監(jiān)控中心，站庫(kù)系統(tǒng)中的集輸、注汽、電力和道路分別由站庫(kù)DCS系統(tǒng)把數(shù)據(jù)分別上傳到區(qū)域運(yùn)行監(jiān)控中心。

　　3.2 存在的問(wèn)題

　　隨著工業(yè)網(wǎng)絡(luò)建設(shè)的發(fā)展，迫切需要實(shí)現(xiàn)DCS、PLC、測(cè)控設(shè)備、SCADA構(gòu)成的過(guò)程控制系統(tǒng)之間互通、互聯(lián)，完成對(duì)數(shù)據(jù)的監(jiān)控，保證企業(yè)對(duì)生產(chǎn)情況做出實(shí)時(shí)反應(yīng)，消除“信息孤島”與斷層現(xiàn)象。

　　為了獲取現(xiàn)場(chǎng)的生產(chǎn)信息，許多企業(yè)采用拷盤(pán)或人力傳遞的方式傳送信息，包括人工抄表，定期上報(bào)的方式。人工采集不僅極不方便也無(wú)法實(shí)時(shí)地采集到現(xiàn)場(chǎng)的數(shù)據(jù)，很難滿(mǎn)足當(dāng)今工業(yè)控制行業(yè)對(duì)生產(chǎn)控制和信息管理方面的要求，因此實(shí)現(xiàn)各個(gè)系統(tǒng)之間的互通、互聯(lián)已經(jīng)是大勢(shì)所趨。但如何保證每個(gè)系統(tǒng)網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)時(shí)過(guò)程控制的網(wǎng)絡(luò)安全性，這已然變成了一個(gè)嚴(yán)峻的問(wèn)題。

　　目前油田網(wǎng)絡(luò)中的RTU直接暴露在網(wǎng)絡(luò)里，讓黑客有機(jī)可乘，如果一臺(tái)RTU出現(xiàn)問(wèn)題(例如感染病毒)可能也會(huì)蔓延到其他的RTU上，所以整個(gè)網(wǎng)絡(luò)的安全性特別脆弱，不能抗擊網(wǎng)絡(luò)風(fēng)暴和DDOS攻擊等非安全的威脅。

　　4.系統(tǒng)設(shè)計(jì)

　　4.1 整體規(guī)劃

　　通過(guò)對(duì)油田現(xiàn)場(chǎng)的了解，結(jié)合其行業(yè)的特點(diǎn)以及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)某油田的網(wǎng)絡(luò)安全做了如下設(shè)計(jì)：

系統(tǒng)拓?fù)鋱D2

　　在本次設(shè)計(jì)中井場(chǎng)在上傳數(shù)據(jù)到調(diào)度監(jiān)控中心時(shí)都要通過(guò)工業(yè)防火墻HC-ISG的深度過(guò)濾，以保證每個(gè)井場(chǎng)的設(shè)備的安全，每個(gè)增壓泵站也分別通過(guò)工業(yè)防火墻HC-ISG把數(shù)據(jù)上傳到調(diào)度監(jiān)控中心。在站外系統(tǒng)中每個(gè)系統(tǒng)中的PLC和RTU等設(shè)備在把數(shù)據(jù)傳至站控DCS系統(tǒng)時(shí)都要經(jīng)過(guò)工業(yè)防火墻HC-ISG，然后站控DCS系統(tǒng)再通過(guò)工業(yè)防火墻HC-ISG把數(shù)據(jù)安全的上傳到調(diào)度監(jiān)控中心，這樣不僅能對(duì)傳輸?shù)墓I(yè)協(xié)議進(jìn)行深度過(guò)濾，也能有效阻斷木馬等病毒的攻擊和黑客入侵等行為，保證了整個(gè)系統(tǒng)的安全運(yùn)行。

　　4.2 專(zhuān)業(yè)工控安全防護(hù)設(shè)備

　　工業(yè)防火墻HC-ISG是一款面向工業(yè)控制領(lǐng)域的安全網(wǎng)關(guān)產(chǎn)品，主要解決工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境中，受到病毒、黑害、敵對(duì)勢(shì)力的惡意攻擊問(wèn)題。由于傳統(tǒng)防火墻不能充分解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)問(wèn)題，因此工業(yè)防火墻HC-ISG不但是國(guó)內(nèi)首款既具備傳統(tǒng)防火墻的各項(xiàng)標(biāo)準(zhǔn)功能，同時(shí)又能滿(mǎn)足工業(yè)控制系統(tǒng)對(duì)可靠性、穩(wěn)定性和工業(yè)協(xié)議分析過(guò)濾的特殊安全需求的工業(yè)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，可過(guò)濾幾乎所有的工業(yè)通信協(xié)議，依靠其深度防御功能，對(duì)Modbus TCP、OPC通信協(xié)議、Siemens S7協(xié)議和Siemens OP/PG協(xié)議進(jìn)行深度過(guò)濾，還可以有效防御“震網(wǎng)”等病毒攻擊，從而保護(hù)工業(yè)以太網(wǎng)的信息安全。

　　5.效果分析

　　5.1 數(shù)據(jù)可靠性

　　工業(yè)防火墻HC-ISG的深度防御功能可以有效的對(duì)工業(yè)通信協(xié)議深度過(guò)濾，防止黑客和病毒對(duì)油田上傳數(shù)據(jù)和生產(chǎn)設(shè)備的破壞和攻擊，工業(yè)防火墻HC-ISG的深度防御功能能夠針對(duì)某個(gè)RTU設(shè)備的具體參數(shù)是否允許通過(guò)驚醒防護(hù)，此種防護(hù)的功能可以徹底的阻止一些保密數(shù)據(jù)的外漏。

　　5.2 運(yùn)行穩(wěn)定性

　　工業(yè)防火墻HC-ISG系列網(wǎng)關(guān)產(chǎn)品按照高性能工業(yè)通信網(wǎng)關(guān)標(biāo)準(zhǔn)設(shè)計(jì)，硬件平臺(tái)采用高性能嵌入式計(jì)算平臺(tái)，系統(tǒng)選用linux內(nèi)核系統(tǒng)，內(nèi)嵌高速實(shí)時(shí)數(shù)據(jù)平臺(tái)組件，使整個(gè)系統(tǒng)達(dá)到較高的性能，可以滿(mǎn)足各種工業(yè)應(yīng)用場(chǎng)合。

　　工業(yè)防火墻HC-ISG具有以下穩(wěn)定運(yùn)行指標(biāo)：

　　·最大并發(fā)連接數(shù)：>1000;

　　·最大數(shù)據(jù)吞吐量：700Mbps;

　　·最小延遲時(shí)間：<100us;

　　·日志存儲(chǔ)條數(shù)：大于20000條。

　　5.3 系統(tǒng)免維護(hù)性

　　工業(yè)防火墻HC-ISG內(nèi)嵌的高性能工業(yè)通信軟件提供完善的系統(tǒng)在線(xiàn)自診斷、故障自動(dòng)恢復(fù)、看門(mén)狗管理等系統(tǒng)功能。

　　系統(tǒng)診斷子系統(tǒng)實(shí)時(shí)檢測(cè)系統(tǒng)內(nèi)各進(jìn)程、線(xiàn)程的運(yùn)行狀態(tài)，同時(shí)對(duì)關(guān)鍵的硬件模塊進(jìn)行診斷，當(dāng)發(fā)現(xiàn)異常時(shí)自動(dòng)產(chǎn)生報(bào)警信息，并在符合條件的情況下啟動(dòng)自動(dòng)恢復(fù)邏輯。

　　工業(yè)防火墻HC-ISG內(nèi)置軟件看門(mén)狗和硬件看門(mén)狗，時(shí)刻監(jiān)視系統(tǒng)狀態(tài)，保證裝置的穩(wěn)定、可靠運(yùn)行，確保萬(wàn)無(wú)一失并且反應(yīng)迅速，避免了用戶(hù)對(duì)HC-ISG的實(shí)時(shí)和定期維護(hù)。

　　本次方案的設(shè)計(jì)解決了油田網(wǎng)絡(luò)安全如下問(wèn)題：

　　(1)有效地防止了網(wǎng)絡(luò)中的不法分子和病毒等不安全的因素可能對(duì)整個(gè)油田的生產(chǎn)數(shù)據(jù)及設(shè)備造成的破壞;

　　(2)實(shí)現(xiàn)了各個(gè)RTU設(shè)備之間的橫向隔離，有效地防止了各個(gè)設(shè)備中的非安全網(wǎng)絡(luò)威脅的蔓延，使整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全級(jí)別更高。

　　(3)實(shí)現(xiàn)了油田的現(xiàn)場(chǎng)數(shù)據(jù)安全的接入到調(diào)度監(jiān)控中心中，對(duì)整個(gè)工廠(chǎng)的信息化管理起到了很好的保障，有利于決策層及時(shí)的發(fā)現(xiàn)生產(chǎn)過(guò)程中的問(wèn)題并及時(shí)改進(jìn)。

　　(4)用戶(hù)可以遠(yuǎn)程維護(hù)和管理工業(yè)防火墻HC-ISG，方便用戶(hù)對(duì)工業(yè)防火墻HC-ISG的遠(yuǎn)程維護(hù)。

　　(5)工業(yè)防火墻HC-ISG產(chǎn)品具有集中管理功能，方便了用戶(hù)使用一臺(tái)電腦同時(shí)管理多臺(tái)工業(yè)防火墻HC-ISG產(chǎn)品。

（轉(zhuǎn)載）