油田工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀與發(fā)展趨勢
發(fā)布時間:所屬分類:工程師職稱論文瀏覽:1次
摘 要: 【摘 要】隨著近年來油田企業(yè)四化建設(shè)的推廣應(yīng)用、數(shù)字化和智能化改造的不斷發(fā)展,工業(yè)控制系統(tǒng)對提高企業(yè)的工作效率,實現(xiàn)降本增效,有效監(jiān)控企業(yè)安全生產(chǎn)都起到了至關(guān)重要的作用。伴隨著油田企業(yè)自動化、智能化程度的不斷加深,工控系統(tǒng)網(wǎng)絡(luò)在實際生產(chǎn)中的
【摘 要】�隨著近年來油田企業(yè)“四化”建設(shè)的推廣應(yīng)用、數(shù)字化和智能化改造的不斷發(fā)展,工業(yè)控制系統(tǒng)對提高企業(yè)的工作效率,實現(xiàn)降本增效,有效監(jiān)控企業(yè)安全生產(chǎn)都起到了至關(guān)重要的作用。伴隨著油田企業(yè)自動化、智能化程度的不斷加深,工控系統(tǒng)網(wǎng)絡(luò)在實際生產(chǎn)中的應(yīng)用也越來越多,工業(yè)數(shù)據(jù)泄露、控制失效、病毒侵入等網(wǎng)絡(luò)安全事件也頻有發(fā)生。因此,工控系統(tǒng)網(wǎng)絡(luò)安全隱患已成為油田企業(yè)亟待解決的問題。本文通過列舉目前油田企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險隱患以及采取的常用防護(hù)措施,分析闡明了未來我國工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的發(fā)展趨勢,以供交流分享。
【關(guān)鍵詞】“四化”建設(shè) 工業(yè)控制系統(tǒng) 網(wǎng)絡(luò)安全 發(fā)展趨勢
引言
2020年是我國“十三五”規(guī)劃的收官之年,油田企業(yè)不僅要牢牢把握住“科學(xué)技術(shù)是第一生產(chǎn)力” 這一發(fā)展原則,同時要統(tǒng)籌信息技術(shù)應(yīng)用與網(wǎng)絡(luò)安全防護(hù)的協(xié)調(diào)發(fā)展,始終堅持以習(xí)近平新時代網(wǎng)絡(luò)安全觀為指引,深入貫徹落實習(xí)近平同志關(guān)于國家能源安全發(fā)展的“四個革命、一個合作”倡議思想。在保證企業(yè)經(jīng)濟(jì)效益的同時,建立起一套完備的工控網(wǎng)絡(luò)安全防護(hù)體系,提高網(wǎng)絡(luò)安全防護(hù)等級,確保企業(yè)正常生產(chǎn)運行。
1 油田企業(yè)工控系統(tǒng)網(wǎng)絡(luò)的風(fēng)險隱患
目前我國工控系統(tǒng)網(wǎng)絡(luò)仍處于初級階段,存在許多漏洞有待解決,其中最核心的問題就是網(wǎng)絡(luò)安全無法得到保障。國內(nèi)外就曾多次發(fā)生工控網(wǎng)絡(luò)安全事故,給國家和人民都造成了極大的危害,并且發(fā)生的次數(shù)在不斷上漲,因此工控網(wǎng)絡(luò)安全問題必須引起我們的重視,例如美國在2015年發(fā)生的工控網(wǎng)絡(luò)安全時間較2014年增加了20%以上。我國在當(dāng)前的工控發(fā)展形勢下面臨的網(wǎng)絡(luò)風(fēng)險隱患主要有以下幾個方面:
1.1 工控網(wǎng)絡(luò)邊界防護(hù)薄弱
隨著工業(yè)信息化的深入發(fā)展,工業(yè)互聯(lián)網(wǎng)的應(yīng)用越來越頻繁,企業(yè)工控網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的交互性越來越強,數(shù)據(jù)交叉的頻率明顯增加,這使得工控網(wǎng)絡(luò)受病毒攻擊的可能性大大增加。有些油田企業(yè)為了降低成本,縮減開支,直接將工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)直接連接到一起,沒有進(jìn)行任何的物理隔離或技術(shù)隔離,這給工控系統(tǒng)甚至是企業(yè)安全生產(chǎn)帶來了巨大的隱患[1]。
1.2 工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全監(jiān)測手段缺失
目前大多數(shù)油田企業(yè)工控系統(tǒng)在運行過程中,缺乏有效的網(wǎng)絡(luò)安全監(jiān)控工具,這導(dǎo)致工控系統(tǒng)終端服務(wù)器故障或重要設(shè)備損壞后才發(fā)現(xiàn)工控網(wǎng)絡(luò)受到了惡意攻擊和侵害,但為時已晚,有可能已造成不可逆的工控癱瘓,甚至是經(jīng)濟(jì)財產(chǎn)損失[2]。因此,企業(yè)必須建立一套完備而又全面的工控網(wǎng)絡(luò)安全監(jiān)控平臺來對工控網(wǎng)絡(luò)進(jìn)行實時在線監(jiān)測,避免出現(xiàn)工控系統(tǒng)失效后才進(jìn)行網(wǎng)絡(luò)修復(fù)補漏的被動局面。
1.3 服務(wù)器終端缺乏有效的防護(hù)措施
對工控系統(tǒng)服務(wù)器來說,配置終端安全防護(hù)系統(tǒng)是十分必要的,這可以最大程度的避免工控系統(tǒng)服務(wù)器受到網(wǎng)絡(luò)攻擊或病毒襲擊。但目前仍有部分油田企業(yè)沒有對工控系統(tǒng)服務(wù)器采取任何的終端防護(hù)措施,即使配備了防護(hù)系統(tǒng)也未進(jìn)行及時更新升級,大大增加了工控系統(tǒng)遭受破壞的概率,對企業(yè)經(jīng)濟(jì)效益造成了巨大的損失。
1.4 應(yīng)用程序和系統(tǒng)的安全漏洞
一般在工控系統(tǒng)操作站或工程師站中的應(yīng)用程序或系統(tǒng)都有存在漏洞的可能性,因此在對程序進(jìn)行編寫或系統(tǒng)安裝過程中會出現(xiàn)電腦“中毒”的情況,因此安裝專業(yè)的殺毒軟件或防病毒服務(wù)器就變得至關(guān)重要,通過采取防病毒或殺病毒的方式可最大化的提高工控系統(tǒng)的安全性和穩(wěn)定性。但在當(dāng)前階段,很多企業(yè)未對應(yīng)用程序和系統(tǒng)中的安全性問題提高警惕,甚至使用了帶有惡意代碼的程序軟件,這將導(dǎo)致工控系統(tǒng)的崩潰癱瘓,這對國家能源安全發(fā)展產(chǎn)生極大的阻礙。
2 工控網(wǎng)絡(luò)安全防護(hù)的常用措施
2.1 工控網(wǎng)絡(luò)邊界安全隔離技術(shù)
對工控網(wǎng)絡(luò)邊界進(jìn)行安全隔離是工控網(wǎng)絡(luò)安全防護(hù)中最常使用的方法,通常包括防火墻技術(shù)隔離和網(wǎng)閘技術(shù)隔離兩種。
防火墻技術(shù)實質(zhì)上就是通過控制其系統(tǒng)內(nèi)的防護(hù)功能對外部訪問者進(jìn)行識別,防火墻既可以通過對端口執(zhí)行某種網(wǎng)絡(luò)協(xié)議來限制一些程序或應(yīng)用的訪問,也可以根據(jù)IP的訪問策略對進(jìn)入工控內(nèi)網(wǎng)的終端進(jìn)行放行或阻攔。而在工控系統(tǒng)中多采用工業(yè)防火墻,因為工業(yè)防火墻與普通防火墻相比更加安全可靠,因為工業(yè)防火墻內(nèi)部本身就帶有工控網(wǎng)絡(luò)協(xié)議的解析和過濾特性,能對傳輸數(shù)據(jù)進(jìn)行深度檢測和跟蹤,實現(xiàn)對惡意代碼和指令的攔截[3]。
相關(guān)期刊推薦:《儀器儀表標(biāo)準(zhǔn)化與計量》(雙月刊)創(chuàng)刊于1985年,由機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所主辦,全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會大力支持,面向國內(nèi)外公開發(fā)行。發(fā)布國內(nèi)外工業(yè)自動化及儀器儀表行業(yè)最新信息及動態(tài);引領(lǐng)我國工業(yè)自動化及儀器儀表行業(yè)前沿技術(shù);推動我國工業(yè)自動化及儀器儀表行業(yè)標(biāo)準(zhǔn)化發(fā)展;促進(jìn)我國工業(yè)自動化及儀器儀表行業(yè)與國際標(biāo)準(zhǔn)化合作。
網(wǎng)閘技術(shù)是采用無協(xié)議擺渡的方式對數(shù)據(jù)進(jìn)行傳輸,數(shù)據(jù)在進(jìn)入擺渡區(qū)之前被協(xié)議抽離,從擺渡區(qū)離開后再進(jìn)行數(shù)據(jù)的重封裝,從而避免了工控網(wǎng)與外網(wǎng)的直接連接。網(wǎng)閘技術(shù)與防火墻相比安全系數(shù)更高,通常用在大型油氣集輸處理站的DCS系統(tǒng)或其他高安全等級的工控系統(tǒng)中。
2.2 入侵預(yù)警監(jiān)測系統(tǒng)
入侵預(yù)警監(jiān)測系統(tǒng)也被稱作入侵檢測系統(tǒng),它可以用來監(jiān)測工控系統(tǒng)是否被網(wǎng)絡(luò)攻擊。但由于其不具備攔截功能,所以需要與防火墻配合聯(lián)動,入侵預(yù)警監(jiān)測系統(tǒng)對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控,然后將消息發(fā)送至防火墻,防火墻再對攻擊目標(biāo)進(jìn)行阻截[4]。入侵預(yù)警監(jiān)測系統(tǒng)的使用工控網(wǎng)絡(luò)安全防護(hù)提供了及時的安全預(yù)警,使管理人員能夠第一時間發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并采取應(yīng)對措施。
2.3 建立集成高效的網(wǎng)絡(luò)終端安全防護(hù)平臺
對于規(guī)模較大的工控網(wǎng)絡(luò)來說,系統(tǒng)內(nèi)部終端和服務(wù)器數(shù)量較多,如果每臺服務(wù)器或終端都配備各自的防護(hù)軟件,就會造成資源浪費和運維成本的增加,費時費力。為解決這一問題,目前新型網(wǎng)絡(luò)安全防護(hù)終端都采用防護(hù)軟件集成化管理模式,也就是在一個安全管理平臺上對多個防護(hù)軟件進(jìn)行統(tǒng)一管理和操作,這樣不及能夠讓人清晰全面的了解各個終端的健康情況,還可以實現(xiàn)對工控網(wǎng)絡(luò)服務(wù)器的科學(xué)高效管理。
3 工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的發(fā)展趨勢
3.1 開發(fā)具有獨立自主知識產(chǎn)權(quán)的安全防護(hù)設(shè)備
我國各大重工企業(yè)所使用的工業(yè)控制系統(tǒng)基本全部來自國外,包括PLC、DCS、RTU系統(tǒng)等,應(yīng)用軟件也幾乎被國外所壟斷,可見我國工控系統(tǒng)對國外的依賴性如此之強。而這些工控系統(tǒng)的核心部件及通訊設(shè)施機理我們無法獲取,再加上可能存在設(shè)計漏洞或惡意程序等問題,都能夠造成工控系統(tǒng)被網(wǎng)絡(luò)遠(yuǎn)程操控或破壞,給企業(yè)甚至國家?guī)聿豢晒懒康膿p失。因此,我們要自食其力,刻苦鉆研,積極突破工控系統(tǒng)中的核心技術(shù)難題,研制出屬于我們獨立自主的產(chǎn)品,不再對外依賴。只有把核心技術(shù)牢牢掌握在自己手中,才能真正保障我們工控系統(tǒng)的安全與穩(wěn)定,保證國家能源安全。
3.2 信息技術(shù)與運營技術(shù)的融合
工業(yè)控制系統(tǒng)的安全防護(hù)包括信息技術(shù)安全、運營安全以及物理安全三部分。隨著工業(yè)數(shù)字化的發(fā)展,信息技術(shù)的數(shù)字網(wǎng)絡(luò)和運營技術(shù)的物理網(wǎng)絡(luò)的融合已成為必然趨勢。
工控網(wǎng)絡(luò)安全技術(shù)和運營技術(shù)安全構(gòu)架不僅可以對已有網(wǎng)絡(luò)威脅提供防御幫助,而且可通過防火墻、工控網(wǎng)絡(luò)、殺毒軟件等多種方案聯(lián)動查殺病毒,阻止異常行為,在儀表總線網(wǎng)絡(luò)、局域網(wǎng)、控制系統(tǒng)、應(yīng)用操作和生產(chǎn)指揮中心等不同層級筑造起一道堅實的安全防線。
3.3 態(tài)勢感知將成為重要技術(shù)手段
隨著企業(yè)對工業(yè)互聯(lián)網(wǎng)安全性要求越來越高,傳統(tǒng)的被動式安全防護(hù)和被入侵后的報警技術(shù)已無法滿足企業(yè)對工控系統(tǒng) “零風(fēng)險”安全性的高要求,因此,引入一種能夠提前進(jìn)行分析預(yù)警的新型網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)勢在必行,在這種形勢下,態(tài)勢感知應(yīng)運而生。
態(tài)勢感知是通過分析判斷網(wǎng)絡(luò)流量來監(jiān)測工控網(wǎng)絡(luò)中存在的安全隱患和風(fēng)險漏洞的。態(tài)勢感知采用一個分析平臺與多個安全探針相結(jié)合的方式,將探針安裝在網(wǎng)絡(luò)交換機上,在不影響網(wǎng)絡(luò)通信的前提下通過交換機的網(wǎng)絡(luò)鏡像口接收需要監(jiān)測的鏡像流量,然后將接收到的流量數(shù)據(jù)發(fā)送到分析平臺進(jìn)行分析比對,分析平臺通過自帶的數(shù)據(jù)庫與接收到的流量數(shù)據(jù)進(jìn)行比對后,篩選出可疑的歷史數(shù)據(jù),進(jìn)而找到系統(tǒng)內(nèi)存在的漏洞、安全隱患、風(fēng)險源等發(fā)布預(yù)警信息,讓工控網(wǎng)絡(luò)管理人員細(xì)致全面的掌握整個工控網(wǎng)絡(luò)的安全狀況。
4 結(jié)語
我國油田企業(yè)目前仍處于信息化發(fā)展的初級階段,工控網(wǎng)絡(luò)在信息化發(fā)展中起到著至關(guān)重要的作用。工控系統(tǒng)的網(wǎng)絡(luò)安全關(guān)系到整個油田企業(yè)的發(fā)展前景,沒有工控網(wǎng)絡(luò)安全就沒有企業(yè)的未來。因此,高度重視起工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)工作,對促進(jìn)我國油氣事業(yè)的發(fā)展以及國家能源安全發(fā)展倡議的實施都具有重要意義[5]。——論文作者:常季成 賈政 姜路
