★李兆崇寧波和利時(shí)信息安全研究院有限公司

★郝堅(jiān)勇杭州和利時(shí)自動(dòng)化有限公司

★付海州寧波和利時(shí)信息安全研究院有限公司

★楊康杭州和利時(shí)自動(dòng)化有限公司

★胡永鐘寧波和利時(shí)信息安全研究院有限公司

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；私有協(xié)議；深度融合

1　項(xiàng)目概況

1.1　項(xiàng)目背景

某油田輕烴回收廠將油田生產(chǎn)的天然氣中含有的乙烷組分進(jìn)行回收，使該廠石油液體年產(chǎn)量從45萬噸級(jí)躍升至120萬噸級(jí)，成為該油田經(jīng)濟(jì)增長的新“引擎”。其中乙烷回收裝置設(shè)計(jì)處理規(guī)模為每年100億立方米天然氣，是國內(nèi)單列規(guī)模最大的乙烷回收裝置之一。

1.2　項(xiàng)目簡介

該油田輕烴回收廠廠內(nèi)網(wǎng)絡(luò)分為生產(chǎn)網(wǎng)與辦公網(wǎng)，生產(chǎn)網(wǎng)主要承載與生產(chǎn)相關(guān)的控制系統(tǒng)的正常運(yùn)行與流轉(zhuǎn)，辦公網(wǎng)主要承載信息化系統(tǒng)與日常辦公的正常流轉(zhuǎn)。生產(chǎn)網(wǎng)的乙烷回收工程控制系統(tǒng)均采用國產(chǎn)化系統(tǒng)，其分別采用和利時(shí)DCS/SIS系統(tǒng)實(shí)現(xiàn)乙烷回收工程自動(dòng)化控制和采用和利時(shí)HiaPlantSCADA作為油氣生產(chǎn)網(wǎng)/辦公網(wǎng)數(shù)據(jù)庫，并且為辦公網(wǎng)信息化系統(tǒng)提供流程圖的Web發(fā)布。

隨著業(yè)務(wù)的不斷發(fā)展，不僅需要對(duì)傳統(tǒng)的辦公網(wǎng)實(shí)現(xiàn)安全防護(hù)，還需要依據(jù)等保要求和現(xiàn)場(chǎng)業(yè)務(wù)實(shí)際需求對(duì)生產(chǎn)網(wǎng)的工控系統(tǒng)進(jìn)行安全防護(hù)，并且隨著智慧油田的逐步發(fā)展，生產(chǎn)網(wǎng)與辦公網(wǎng)之間的交互逐步從單純的數(shù)據(jù)交互轉(zhuǎn)變到業(yè)務(wù)交互，也對(duì)跨網(wǎng)交互中的邊界安全性提出了更高的防護(hù)要求。

1.3　項(xiàng)目目標(biāo)

本項(xiàng)目為了實(shí)現(xiàn)對(duì)乙烷回收工程控制系統(tǒng)的安全保護(hù)，采用和利時(shí)全系列工控安全設(shè)備實(shí)現(xiàn)安全防護(hù)，按照等保三級(jí)要求進(jìn)行建設(shè)，具體完成對(duì)乙烷回收控制系統(tǒng)的主機(jī)終端防護(hù)、邊界隔離、流量審計(jì)、日志審計(jì)以及安全管理等方面的設(shè)計(jì)、安裝、調(diào)試和投運(yùn)工作，并且針對(duì)現(xiàn)場(chǎng)實(shí)際需求，與和利時(shí)HiaPlantSCADA數(shù)據(jù)庫系統(tǒng)采取定制化協(xié)同開發(fā)實(shí)現(xiàn)了生產(chǎn)網(wǎng)辦公網(wǎng)數(shù)據(jù)庫同步的私有協(xié)議解析，將該功能模塊嵌入到現(xiàn)場(chǎng)網(wǎng)閘中，實(shí)現(xiàn)了安全防護(hù)的同時(shí)，又解決了業(yè)務(wù)同步的問題。

2　項(xiàng)目實(shí)施

該項(xiàng)目整體按照等保三級(jí)建設(shè)，滿足一個(gè)中心、三重防護(hù)的合規(guī)要求，首先對(duì)乙烷回收工程的相關(guān)控制系統(tǒng)實(shí)現(xiàn)了安全防護(hù)。為了給控制系統(tǒng)穿上“安全鎧甲”，另外針對(duì)生產(chǎn)網(wǎng)與辦公網(wǎng)之間的業(yè)務(wù)交互，本項(xiàng)目創(chuàng)新性地提出了“業(yè)務(wù)+安全”的防護(hù)理念，針對(duì)生產(chǎn)網(wǎng)與辦公網(wǎng)之間的業(yè)務(wù)交互，定制開發(fā)了相關(guān)私有協(xié)議的深度解析，并將其嵌入到工業(yè)安全隔離網(wǎng)閘中，與國產(chǎn)化控制系統(tǒng)和國產(chǎn)化數(shù)據(jù)庫實(shí)現(xiàn)協(xié)同防護(hù)，使得生產(chǎn)網(wǎng)與辦公網(wǎng)真正實(shí)現(xiàn)了“業(yè)務(wù)安全交互”，推動(dòng)了以往國外數(shù)據(jù)庫的國產(chǎn)化替代，節(jié)省了大量的投資成本，項(xiàng)目建成后減少了部分維護(hù)人員，并且組織多次相關(guān)安全培訓(xùn)，幫助企業(yè)提升了維護(hù)人員的安全運(yùn)維能力。

其中生產(chǎn)網(wǎng)與辦公網(wǎng)安全交互部分功能示意圖如圖1所示。

圖1 生產(chǎn)網(wǎng)與辦公網(wǎng)安全交互部分功能示意圖

整個(gè)項(xiàng)目中硬件平臺(tái)部分包括：

（1）工業(yè)防火墻；

（2）工業(yè)安全網(wǎng)閘（內(nèi)嵌私有協(xié)議解析模塊）；

（3）工業(yè)網(wǎng)絡(luò)審計(jì)系統(tǒng)（含入侵檢測(cè)功能）；

（4）工業(yè)日志審計(jì)系統(tǒng)；

（5）工業(yè)安全管理平臺(tái)。

軟件平臺(tái)部分包括：

（1）工業(yè)終端安全防護(hù)軟件；

（2）主機(jī)加固軟件。

具體實(shí)現(xiàn)方式如下：

（1）工業(yè)防火墻接入

通過工業(yè)防火墻產(chǎn)品的部署，建立DMZ區(qū)，在DMZ區(qū)部署防火墻，對(duì)生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡(luò)邊界進(jìn)行邏輯隔離防護(hù)，實(shí)現(xiàn)web發(fā)布的同步。

（2）工業(yè)隔離網(wǎng)閘系統(tǒng)接入

通過工業(yè)隔離網(wǎng)閘的部署，在生產(chǎn)網(wǎng)數(shù)據(jù)庫服務(wù)器與辦公網(wǎng)數(shù)據(jù)庫服務(wù)器之間部署工業(yè)安全網(wǎng)閘，采取定制化的私有協(xié)議深度解析，實(shí)現(xiàn)生產(chǎn)網(wǎng)與辦公網(wǎng)的數(shù)據(jù)自動(dòng)同步，解決了石油化工企業(yè)的一個(gè)難點(diǎn)，真正做到業(yè)務(wù)與安全的深度融合。

（3）工業(yè)網(wǎng)絡(luò)審計(jì)系統(tǒng)接入

通過網(wǎng)絡(luò)審計(jì)產(chǎn)品的部署，實(shí)現(xiàn)對(duì)工業(yè)網(wǎng)絡(luò)流量狀態(tài)的集中監(jiān)測(cè)，實(shí)現(xiàn)了對(duì)各種工業(yè)協(xié)議的DPI，同時(shí)可以對(duì)安全事件進(jìn)行追溯與查證，提供了強(qiáng)有力的事后分析，并且配備入侵檢測(cè)模塊，系統(tǒng)內(nèi)置豐富的規(guī)則庫，可通過對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的分析，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為或攻擊行為。

（4）主機(jī)加固軟件

通過部署主機(jī)加固軟件以及加固服務(wù)，實(shí)現(xiàn)對(duì)主機(jī)終端系統(tǒng)的進(jìn)一步安全加固。

（5）工業(yè)主機(jī)安全衛(wèi)士

通過終端防護(hù)軟件產(chǎn)品的部署，實(shí)現(xiàn)了基本的主機(jī)終端防護(hù)，防止了惡意代碼的入侵，保護(hù)了計(jì)算環(huán)境的安全。

（6）工業(yè)日志審計(jì)系統(tǒng)接入

通過工業(yè)日志審計(jì)系統(tǒng)產(chǎn)品的部署，實(shí)現(xiàn)對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫等進(jìn)行日志數(shù)據(jù)采集、分類和分析。

（7）工業(yè)安全管理平臺(tái)接入

通過工業(yè)安全管理平臺(tái)的部署，實(shí)現(xiàn)工控安全設(shè)備和集中管理系統(tǒng)的統(tǒng)一管控，實(shí)現(xiàn)對(duì)終端設(shè)備進(jìn)行集中化的性能狀態(tài)監(jiān)控和安全策略管理，實(shí)現(xiàn)對(duì)工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)的全面掌控，連通了安全防護(hù)孤島，為安全管理者提供了決策依據(jù)，實(shí)現(xiàn)了工業(yè)信息安全處置閉環(huán)。

3　案例亮點(diǎn)及創(chuàng)新性

3.1應(yīng)用效果

該項(xiàng)目針對(duì)油氣生產(chǎn)網(wǎng)與辦公網(wǎng)業(yè)務(wù)的特殊性，實(shí)現(xiàn)了工業(yè)隔離網(wǎng)閘定制研發(fā)數(shù)據(jù)庫私有協(xié)議的解析，實(shí)現(xiàn)了國外數(shù)據(jù)庫的國產(chǎn)化替代以及安全防護(hù)雙重應(yīng)用效果，其中使該廠的原有國外數(shù)據(jù)庫替換為國產(chǎn)自主可控?cái)?shù)據(jù)庫，投入成本下降百分之30以上。另外該項(xiàng)目輔助客戶實(shí)現(xiàn)了生產(chǎn)網(wǎng)與辦公網(wǎng)系統(tǒng)流程圖的同步，節(jié)約了維護(hù)成本，人力投入減小百分之40以上。

項(xiàng)目整體按照等保三級(jí)建設(shè)，滿足一個(gè)中心、三重防護(hù)的合規(guī)要求，從安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界與安全管理中心各個(gè)維度實(shí)現(xiàn)了工控系統(tǒng)的安全防護(hù)，防止了辦公網(wǎng)的未知威脅入侵到工控網(wǎng)。

3.2案例亮點(diǎn)和創(chuàng)新點(diǎn)

該項(xiàng)目的實(shí)施與應(yīng)用解決了油氣行業(yè)一直存在的兩個(gè)難點(diǎn)問題：

（1）生產(chǎn)網(wǎng)工控系統(tǒng)如何做好安全防護(hù)？

通過全系列工控安全防護(hù)設(shè)備的安全服務(wù)實(shí)現(xiàn)了對(duì)工控系統(tǒng)的體系化防護(hù)，滿足等保三級(jí)防護(hù)水平。

（2）生產(chǎn)網(wǎng)與辦公網(wǎng)之間如何實(shí)現(xiàn)業(yè)務(wù)的安全交互？

通過網(wǎng)閘定制功能實(shí)現(xiàn)了現(xiàn)場(chǎng)國產(chǎn)化私有協(xié)議的深度解析，使生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)和畫面可以安全地進(jìn)行交互，真正實(shí)現(xiàn)了“業(yè)務(wù)+安全”的防護(hù)理念，為石油化工行業(yè)類似應(yīng)用場(chǎng)景做了成功示例。

3.3可復(fù)制推廣價(jià)值分析

（1）石油化工行業(yè)類似場(chǎng)景的探索

解決生產(chǎn)網(wǎng)與辦公網(wǎng)業(yè)務(wù)安全交互的問題，通過網(wǎng)閘定制功能實(shí)現(xiàn)現(xiàn)場(chǎng)國產(chǎn)化私有協(xié)議的深度解析，使生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)和畫面可以安全地進(jìn)行交互，真正實(shí)現(xiàn)了“業(yè)務(wù)+安全”的防護(hù)理念，為石油化工行業(yè)類似應(yīng)用場(chǎng)景做了成功示例；

（2）經(jīng)濟(jì)效益

該項(xiàng)目從商業(yè)價(jià)值來看，可以從兩個(gè)角度來說，首先依據(jù)合規(guī)，按照等保三級(jí)對(duì)現(xiàn)場(chǎng)工控系統(tǒng)進(jìn)行了安全防護(hù)建設(shè)，輔助企業(yè)實(shí)現(xiàn)了安全生產(chǎn)，大大降低了被感染的風(fēng)險(xiǎn)和由此帶來的經(jīng)濟(jì)損失。其次，該項(xiàng)目工控安全體系建設(shè)與現(xiàn)場(chǎng)工控系統(tǒng)實(shí)際情況進(jìn)行了緊密結(jié)合，實(shí)現(xiàn)協(xié)同防護(hù)，網(wǎng)閘實(shí)現(xiàn)了現(xiàn)場(chǎng)國產(chǎn)實(shí)時(shí)數(shù)據(jù)庫的定制化私有協(xié)議的深度解析，幫助客戶實(shí)現(xiàn)了對(duì)以往PHD的國產(chǎn)化取代，大大節(jié)約了TCO成本。

（3）社會(huì)效益

乙烷回收工程是地方貫徹落實(shí)資源轉(zhuǎn)化戰(zhàn)略、增加石油液體產(chǎn)量、實(shí)現(xiàn)提質(zhì)增效的一項(xiàng)重點(diǎn)工程，也是“十四五”轉(zhuǎn)方式、調(diào)結(jié)構(gòu)的重點(diǎn)項(xiàng)目，將為下游乙烯項(xiàng)目提供優(yōu)質(zhì)的乙烷原料，實(shí)現(xiàn)天然氣資源的深度利用。

乙烷回收裝置采取和利時(shí)國產(chǎn)化DCS/SIS系統(tǒng)以及國產(chǎn)化數(shù)據(jù)庫HiaPlantSCADA數(shù)據(jù)庫系統(tǒng)，本次工控安全項(xiàng)目實(shí)現(xiàn)對(duì)相關(guān)控制系統(tǒng)的安全防護(hù)，保證了乙烷回收裝置控制系統(tǒng)的正常流轉(zhuǎn)，為該重點(diǎn)工程提供了安全保障。

作者簡介

李兆崇（1981-），男，河南平頂山人，高級(jí)工程師，學(xué)士，現(xiàn)就職于寧波和利時(shí)信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

郝堅(jiān)勇（1990-），男，山西晉中人，中級(jí)工程師，學(xué)士，現(xiàn)就職于杭州和利時(shí)自動(dòng)化有限公司，主要從事工業(yè)信息安全方面的研究。

付海州（1986-），男，陜西西安人，中級(jí)工程師，學(xué)士，現(xiàn)就職于寧波和利時(shí)信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

楊　康（1986-），男，陜西咸陽人，副高級(jí)工程師，學(xué)士，現(xiàn)就職于杭州和利時(shí)自動(dòng)化有限公司，主要從事工業(yè)信息安全方面的研究。

胡永鐘（1987-），男，福建三明人，中級(jí)工程師，碩士，現(xiàn)就職于寧波和利時(shí)信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊