董家琛,侯 星,胡晓轩,张怡敏
(1.上海船舶工艺研究所,上海 200032;2.上海申博信息系统工程有限公司,上海 200032)
近些年来工业与信息化的深度融合为产业升级带来前所未有的机遇和挑战,例如在海油工程企业信息安全方面,面临着企业数据、设备控制、工业软件应用和网络维护等安全挑战,同时对企业信息安全防护策略提出更高的要求。据统计,自 2017年以来,勒索病毒袭击全球150多个国家和地区,波及国家安全、公共卫生、邮政、交通、通信和制造等众多领域。在海油工程的海洋油气生产平台上部模块制造车间里做好信息安全的防护,不仅是对企业负责,更是对国家战略安全负责。对海洋油气生产平台上部模块制造车间应用场景进行调查,分析车间网络存在的风险,提出车间层直接信息安全防护策略和间接信息安全防护策略的体系架构,并制定安全系统防护方案,实现海洋油气生产平台上部模块制造车间整体信息安全[1-2]。
设备应用层包括海洋油气生产平台上部模块钢结构制管和甲板片体生产车间的多台上位机、服务器以及各种高精密度数控设备等,这些设备在没有安全防护的情况下很容易被恶意攻击,比如钢结构制管、甲板片体生产车间发生过,有设备关联境外的IP地址,一些钢板切割设备或焊接人需要使用U盘或串口连接的方式实现数据传输,在数据传送过程中很容易被各种病毒、恶意代码等攻击,造成设备相关信息数据泄露,或直接影响设备的使用,大大降低车间的生产效率和产品质量。此外,没有对设备及其日志进行统一集中管理,就很难关联分析设备之间故障存在的关系,也就不能及时处理复杂的问题[3]。
海洋油气生产平台上部模块钢结构制管和甲板片体生产车间的网络安全防护体系主要包括直接防护和间接防护2个部分。其中,直接防护是根据信息安全防护的要求、智能制造全生命周期覆盖、风险防护经验等构建体系化防护框架,在该框架下用来解决钢结构制管切割、钢管焊接机器人和甲板片体钢板切割、片体焊接机器人等设备的控制、网络通信和数据管理等问题。海洋油气生产平台上部模块钢结构制管和甲板片体生产车间的组网比较灵活,加上工控层不断产生大量时序性数据,需要构建间接防护措施,通过动态化防护策略,实现多元化的防护。间接安全防护策略通过构建工业安全标准防护管控平台,通过大数据分析实现潜在安全威胁的监测,实现及时预警和协同防护,提升整体海洋油气生产平台上部模块制造的网络安全水平[4]。海油工程制造企业车间网络安全框架见图1。
图1 海油工程制造企业车间网络安全框架
2.1.1 设备层安全防护
直接安全防护策略主要是为保护设备应用安全、通信网络安全和计算机软件与数据信息安全而采取的保护措施,其工业安全标准防护体系架构包括设备层的安全防护、控制层的安全防护和管理应用层的安全防护。其中,设备层的安全防护可通过安全级别评估、加/解密、安全防火墙、网络入侵检测等系统实现海洋油气生产平台上部模块智能制造基础设施设备层、控制层和监控层的保护。通过构建设备层工业安全标准防护体系实现数据审查,确保数据的完整性并将其贯穿在现场控制层和操作层的控制中,保证数据在传输和执行过程中的安全可靠。针对钢结构制管、甲板片体生产车间工控终端的安全,部署基于IP地址白名单管理的服务器、生产线的上位机等,整个工控终端安全防护全面覆盖控制层的对象连接和嵌入过程控制(OLE for Process Control,OPC)服务和可编程逻辑控制器(Programmable Logic Controller,PLC)模块,实现对钢结构制管、甲板片体生产车间数据安全的智能管控。其次,根据安全检测评估的理论基础和经验,结合成熟的技术实现对钢结构制管、甲板片体生产车间设备的定期检查,同时结合智能化安全防护终端进行智能化串口、网口数据的检查,避免出现非法数据的传输。对于用户终端通过完善的终端安全防护体系,即包含身份验证、标准化管理、日志审计等来确保设备层操作系统的安全,避免出现安全控制系统中的非法操作,确保设备层网络安全,实现主动精准防御,提升海洋油气生产平台上部模块钢结构制管和甲板片体生产车间工控网络设备的安全性。
2.1.2 通信网络层安全防护
海洋油气生产平台上部模块钢结构制管和甲板片体生产车间的通信网络层安全防护,应结合不同层次和业务的需求划分安全域,然后根据安全域部署工控网络检测系统、隔离系统和安全防护系统,具体可使用工业防火墙实现逻辑隔离,实施监控数据的产生,从而可有效减少误操作和病毒攻击。对网络节点审查,分析潜在的网络攻击行为,及时向主机系统进行报警。在无线网络的应用上,防护层通过实时监测OPC服务/PLC模块来实现域名管理、合法连接、IP跟踪和用户名密码管理等,从而降低信息被盗取的风险。
2.1.3 数据应用层安全防护
数据层集中在应用软件管理上,本身应用软件具有开放的特征,很容易在使用时出现安全隐患,在这种情况下需要采取相应的标准化措施,制定相应标准、数据库和测试开发环境等,对海油工程模型数据的安全性进行分析,从而提高对工业用的建模软件、生产管理软件以及APP等漏洞进行实时监测,做好漏洞修复和病毒的隔离工作。为了确保数据的安全性,应及时做好下车间轻量化模型数据、设备运行数据、生产管理数据的存储备份,有条件的还需要定时做好异地备份,对于钢结构制管和甲板片体生产车间所有控制系统涉及的切割、焊接指令等做好相应的加密和认证处理。最后,利用实时数据监控工具进行数据安全分析和运行维护,可确保车间整体工控系统的网络安全。
间接安全防护策略是一种作为辅助钢结构制管和甲板片体制造全生命周期安全防护的系统。在已经部署了对智能化设备不同层的工控安全防护系统后,打破传统物理防护模式,采用统一的安全综合管控系统提前预警和及时防护,可全面提高海洋油气生产平台上部模块钢结构制管和甲板片体生产车间控制网络的安全。
构建该系统平台的主要作用是提前感知可能出现的网络信息安全问题并及早采取解决策略。同时实现和工控安全设备的联动,构建动态化调整机制,从而确保钢结构制管和甲板片体生产车间能稳定运行。具体来说,利用该间接安全防护平台实现对设备、工控系统、传感器等的数据采集和监控,然后采用大数据分析技术实现对数据安全隐患的排除,及早主动防御,将安全隐患源头及早灭除。
在大数据应用攻击路径分析时,根据黑客入侵规律和特征,采用卷积神经网络算法训练预测黑客攻击路线和目标的数学模型,针对黑客的路径和目标,制定相应的防护措施和策略。并对每一条潜在的路径攻击进行监控,提供基于优化算法的监测数据用来实现攻击路线防护评估,同时测试网络系统的安全性并进行自优化。
在大数据应用上,通过建设网络安全评估系统确定数据采集中存在的风险问题,并利用大数据分析技术实现对工控网络安全态势的分析和预警,完善安全风险预估系统,可实现控制源检测加强的目的,从源头上减少病毒入侵事故,并通过模拟攻击提高安全评估系统的准确性,以实现海洋油气生产平台上部模块制造企业工控系统自我感知、自我分析和自我干预、决策的目的。
将直接安全防护和间接安全防护综合起来构建全方位的网络安全防护体系,不仅完善了海洋油气生产平台上部模块智能制造基础设施的安全防护,而且也采用间接防护的形式实现整体态势的感知和响应,实现了及时预警和主动防御的功能,使得钢结构制管和甲板片体生产车间的运行更加安全可靠,推动海洋油气生产平台上部模块建造的可持续稳定发展,对于提升生产制造的效率、促进行业的可持续发展具有十分重要的意义。
总体部署策略是:首先,在海洋油气生产平台上部模块制造企业的办公核心区域部署防火墙、防御病毒入侵的设备,避免互联网的安全威胁问题渗透到企业内部;其次,改造重点数据/文件服务器,对重要数据/文件服务器的数据库操作行为进行审计管理,在钢结构制管和甲板片体生产车间部署工控安全防护系统以实现对车间生产网络中各种钢管切割机、焊接机器人、数据/文件服务器和工控操作系统的检查,阻止因系统漏洞对现场生产造成的安全隐患问题。然后对钢管切割机、焊接机器人等先进生产线等接入带网管的汇聚层交换机,在汇聚层加上一道网管IP控制,切断病毒向其他网段扩散,保证工控层的安全[5]。此外,在钢结构制管和甲板片体生产车间部署无线安全管理系统,实现对无线设备的安全防护,避免因无线接入网络问题而导致病毒侵入制管和甲板片体生产区,网络安全防护部署方案网络架构见图2。
图2 网络安全防护部署方案网络架构示意图
为确保海洋油气生产平台上部模块钢结构制管、甲板片体生产车间工控网络进出口安全和企业内部网络间隔离的要求,必须部署区域策略防火墙来实现安全防护,避免出现非法访问、网络攻击和病毒入侵的问题。利用进出口控制和基于策略的安全防护设备,实现企业车间网络安全防护。进出口控制和基于策略的安全网关使用高度集成化软件设计,集传统防火墙、虚拟专用网络(Virtual Private Network,VPN)设备、入侵防御、防病毒、数据防泄漏、带宽管理、分布式拒绝服务攻击防护(Anti-Distributed Denial of Service,Anti-DDoS)、URL过滤、反垃圾邮件、应用识别等基础性安全性能和综合应用。防火墙架构部署具有体积小、耗能少、容易操作和维护的优点,同时基于云计算技术提供了智能防护的服务,使得用户端能更灵活主动地抵御更为复杂的安全问题。
企业办公/OA网络和生产区域工控网络在没有安全访问控制措施的情况下,不同IP地址的网络,尤其是工控层的网络IP地址能访问企业办公/OA的网络信息,所以安全性很低。采用光闸设备,单向传输的特性,将办公区域和生产区域进行隔离,通过访问限制来提升网络的安全系数,确保海洋油气生产平台上部模块制造企业内部网络只能在授权的条件下才能进入。通过光闸对两端的系统服务器进行安全隔离,被隔离的服务器网络之间无法随意实现数据信息的传输。
网络安全隔离以后,信息交换系统在自身具有较高安全性的基础上可组织来自网络任何协议层的攻击,企业办公/OA网络和生产区域工控网络之间所有传输的数据信息都需要先进行协议还原,然后对制造执行系统(Manufacturing Execution System,MES)、物流执行系统(Logistics Execution System,LES)以及数据采集与监视控制(Supervisory Control And Data Acquisition,SCADA)系统等数据采集、作业执行数据信息进行检查,采用格式化数据块,基于光的单向性的单向隔离对数据信息进行单向交换,完成来自主机系统对用户身份的确认,确保数据的安全,完成数据通信。这样一方面进行了物理隔离,阻断攻击连接,另一方面通过强制性信息内容检测进一步强化了通信安全。
根据海洋油气生产平台上部模块制造企业生产网安全防护优先级规定,针对企业办公/OA网络和生产区域工控网络边界进行安全隔离防护。工业防火墙可以把信息管理网与工控网络隔离开,同时也可以通过防火墙将控制网与生产网、工控网络中不同车间、不同区域的服务器进行逻辑分离,进行分区分域重点防护。
在工控系统信息网络安全建设中,工业防火墙是必不可少的安全访问控制的措施。在海洋油气生产平台上部模块钢结构制管、甲板片体生产车间工控系统信息安全建设中工业防火墙体系部署在工控网络系统的边界、生产管理域和现场控制域网络边界和内部需要做防护的区域、工业控制系统的边界和每个车间区域之间。工业防火墙的部署,阻止了任何不可信数据包进入控制网,通过防火墙的白名单功能可以将病毒木马拒之门外,阻止任何其他指令进入安全域,包括来自未知主机的“合法”指令,能够对工控网络的异常报文,如land、ping of death等进行检测,并且可以对ping flood、用户数据报协议(User Datagram Protocol,UDP)等攻击进行防范,对所有通信过程进行记录和审计,对深度包检测(Deep Packet Inspection,DPI)进行读写操作的细粒度控制。
车间工控网异常监测指的是采集钢结构制管和甲板片体生产车间工控网络中的数据包,确保工控层切割、焊接等数据采集的完整性,对数据包内容进行分析扩展处理,有效检测工控网络中的通信异常和协议异常并加以阻止,进而避免工控系统的意外瘫痪。同时,基于“白环境”理念的解决方案无需对工控网络结构进行改造,避免频繁升级工控系统,减少系统维护时间。
综上所述,以海洋油气生产平台上部模块的钢结构制管和甲板片体生产车间为例,分析了如何通过智能车间工控网络安全系统的构建来实现车间智能化建设的目标,并结合海洋油气生产平台上部模块制造企业未来发展需求提出综合化全方位的工控网络安全防护系统。在该系统体系下,不仅可实现对各种设备的运行安全防护,更重要的是可实现对数据信息的安全保护,大大减少了黑客攻击、病毒入侵给海洋油气生产平台上部模块制造企业生产运行带来的影响。在未来,通过对安全防护体系的进一步健全完善,可提升海洋油气生产平台上部模块制造企业工控网络系统整体安全防护的水平。