海上平台中控系统的安全防护研究

杨雪松

（中海油信息科技有限公司天津分公司，天津 300452）

2010年“震网”病毒大规模爆发，是世界上首个针对工业控制系统编写的破坏性蠕虫病毒[1]，为世人敲响了工业控制系统网络安全的警钟。2014年春，Havex 病毒在能源行业大规模爆发，2019年，美国的ICS-CERT（工业控制系统应急响应小组）就响应了全球范围内共329件工控安全事件。随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统（ICS），带来了ICS 的安全问题，如系统终端平台安全防护弱点、系统配置和软件安全漏洞、工控协议安全问题、TCP/IP 自身的安全问题、用户权限控制的接入、网络安全边界防护以及内部非法人员等各种信息安全的风险和漏洞。

2017年6月1日起《中华人民共和国网络安全法》正式施行[2]，第二十一条规定，国家实行网络安全等级保护制度。GB/T22239—2019《信息安全技术网络安全等级保护基本要求》于2019年5月10日发布，2019年12月1日正式实施[3]。海上油田依照等保要求打造工业控制系统的立体安全防御体系，既是国家的政策要求，也是公司内在发展的需要。

1 海上平台中控系统的安全防护现状

目前海上平台的中控系统都有专有的工控网，与办公网和生产网独立运行，具有一定的封闭性，部分中控系统只是配备了杀毒软件，缺少有效的安全防护措施。工控网与外网一旦建立通讯联系，将面临许多风险和安全隐患。

1.1 区域边界风险

在网络边界处未采取专业的边界访问控制措施，未对进入中控系统的数据进行深层次的过滤，存在非授权访问、恶意攻击等安全风险。边界缺少必要的入侵防范措施，无法对外部发起的已知攻击进行实时检测，无法对入侵行为进行响应。

1.2 通信网络风险

中控系统区域内的关键网络节点处缺少审计手段，不能对网络中的用户行为和安全事件进行审计，无法及时发现网络中的异常行为，尤其是缺乏对中控系统的工程师站组态变更、操控指令变更、程序下装、所有写操作、负载变更等关键事件异常检测等能力。

1.3 计算环境风险

因中控系统通过光纤和工控网连通，而边界无有效的边界隔离措施，一旦某个区域感染病毒，将感染整个中控系统，中控主机缺少有效的安全防护措施，不能抵御病毒、木马和恶意程序的感染及执行。

2 海上平台中控系统安全防护整体方案研究

2.1 建设思路

以“分区分域、整体保护、积极预防、动态管理”为总体策略，围绕“纵深防御+白环境”，打造工业控制系统安全技术体系，主要包括内容：以风险为核心，先了解风险，再分步规划实施；网络区域划分，纵向分区，横向分域；技术、管理双管齐下；纵深防御，适度防护；白环境；集中管控、监测预警。以工业网络安全“白环境”为核心，建立自主可控、安全可靠的工控安全整体防护体系。实现功能：只有可信任的设备，才允许接入；只有可信任的消息，才允许传输；只有可信任的程序，才允许执行。

2.1.1 建立工控边界隔离“白环境”

建立生产网络的合法流量模型，梳理边界流量白名单，只放行业务相关流量，阻断所有异常流量，避免传统防病毒网关或IPS 需频繁升级特征库的窘境。

2.1.2 建立工控网络通信检测“白环境”

建立网络访问通信模型，梳理网络访问关系，对网络异常流量进行告警，通过可视化手段发现木马、蠕虫等恶意网络扫描、探测行为。如：WannaCry 频繁主动探测445端口。

2.1.3 建立工控主机防护免疫“白环境”

白名单库部署后仅需根据业务系统变化进行少量变更，不需联网获取数据，解决了传统安全解决方案难以及时更新、打补丁的问题。白名单可以抵御高级内存注入攻击，识别内存违规、可疑进程并发出警报，解决了传统杀毒软件在缓冲区溢出、0day 漏洞利用等攻击方式的短板。业务、进程均位于白名单内，不会被隔离删除，并可保持系统以最佳性能运行，解决了杀毒软件或将业务软件误识为病毒而删除的问题。

2.1.4 建立安全管理中心

建立安全管理中心，实现对工控安全设备的统一安全管控、策略分发、日志审计、系统升级等，通过集中化的安全数据分析，了解整体网络的安全态势，协助制定合理的安全策略。

2.2 总体建设目标

依据《信息安全技术-网络安全等级保护基本要求》（简称“等保2.0”）的要求，对海上油田平台群的工控网、生产网内中控系统进行安全防护，通过安装工业防火墙、工控安全监测与审计系统、工控主机卫士、日志审计与分析系统、入侵检测系统和统一安全管理平台，满足等保二级要求，以保证工控系统安全、可靠运行。中控系统信息安全防护建设符合技术先进性、易扩充性、安全性、可靠性及稳定性。

2.3 执行标准/规范

GB/T22239—2019《信息安全技术-网络安全等级保护基本要求》，GB/T25070—2019《信息安全技术-网络安全等级保护安全设计技术要求》，GB/T28448—2019《信息安全技术-网络安全等级保护测评要求》，Q/HS5054—2019《工业控制系统信息安全管理指南》。

2.4 中控系统安全防护体系

中控系统安全防护建设应从实际安全风险需求出发，以符合等保2.0相关标准为依据，从计算环境、区域边界、通讯网络、管理中心、管理制度5个方面，建设智能油田的网络安全防护体系（图1）。

图1 海上平台中控系统安全防护体系

2.5 区域边界安全防护

根据石油石化生产控制系统的特点，在中控系统与工控网的接入点和通信网络的边界处部署工业防火墙，进行逻辑隔离及访问控制，如图1所示。工业防火墙能够检测出ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider 等 主 流厂商工控协议报文中的有效内容特征、负载和可用匹配信息，如恶意软件、具体指令和应用程序类型，对工控协议特征做到实时解析和精准识别。

工业防火墙可通过统一安全管理平台进行统一配置管理和告警日志收集，所有配置都可以针对具体的某个防火墙，如防火墙的安全策略规则都要下发到具体的某个工业防火墙才能发挥作用。工业防火墙可以解决白名单管理、路由管理、访问控制策略、拓扑管理、安全与管理、IP/MAC 绑定、未知设备检、会话管理、日志管理等问题。海上某平台群区域边界防护示意图如图2所示。

图2 海上某平台群区域边界防护示意

2.6 通信网络安全防护

2.6.1 网络入侵、异常流量检测

在管理中心平台的工控网汇聚网络节点部署入侵检测系统，可以实时分析网络全流量，结合威胁情报数据及网络行为分析技术，深度检测所有可疑活动。网络检测与文件检测同步进行，采用情报共享机制，构筑检测生态圈，准确、快速地掌握攻击链条，以便进一步采取相关措施，将APT（高级持续性威胁）攻击阻止在萌芽状态。

2.6.2 工控网络异常行为检测

在中控系统的关键网络节点部署工控安全监测与审计系统，对工程师站、操作员站的行为进行审计，以保证触发审计系统的事件存储在审计系统内，并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作，通过收集并分析系统日志等数据，从而发现违反安全策略的行为，可解决攻击异常检测、无流量的异常检测、工控协议规约检测、重要操作行为审计、网络会话审计、原始告警报文记录等问题。海上某平台群通信网络安全防护示意图如图3所示。

图3 海上某平台群通信网络安全防护示意

2.7 计算环境安全防护

通过在中控系统的服务器、工作站上部署主机安全防护软件，实现中控主机防护免疫“白环境”。

2.7.1 阻止恶意代码的执行和扩散

无干扰高速扫描引擎从启动时扫描到访问时扫描，实现高性能扫描，最大限度地缩短扫描时间并延长电池寿命。

2.7.2 漏洞扫描程序

查找并修复Windows 及常用浏览器和应用程序中的漏洞。

2.7.3 防恶意软件功能

通过云计算的即时风险评估技术阻止文件、电邮和Web下载的病毒、木马程序和间谍软件等各种威胁，进而有效避免系统感染震网病毒、Flame、Havex、Black Energy 等工控恶意代码。

2.8 安全管理中心

在陆地操控中心建立安全管理中心，部署集中安全管理平台和日志审计系统，如图4所示，实现安全设备集中管理、日志集中审计、策略统一下发、策略传输加密、局部拓扑展现和快速威胁定位等功能。通过公网链路对各海上作业平台上的工控安全设备进行对接，并将其生成的安全数据整理汇总，主要针对海上作业平台网络攻击态势进行展示，提高对工控系统的全方位网络安全监测能力。当某个海上作业平台出现安全事件时，可下发安全防护策略，及时处置，避免安全事件进一步扩散。

图4 安全管理中心

3 结束语

“一个中心、三重防护”的中控系统安全防护体系日趋完善，中控系统的安全防护建设从实际安全风险需求出发，以符合等保2.0二级相关标准为依据，聚焦主机安全防护、网络安全监测、边界安全防护三个方面，目前已经在海上油田的秦皇岛32-6、曹妃甸、辽东等油田群进行了落地实施。海上平台的中控系统以Emerson、Honeywell、ABB 等国外品牌为主，而与之匹配的主机安全防护软件大多是国外品牌（如McAfee），未来技术发展将聚焦主机安全防护软件国产化，以实现安全防护的自主可控。相信海上智能油田的信息安全建设会越来越好，将全面提升关键信息基础设施的网络安全防护能力，有效地保障国家能源安全。