國內(nèi)上游油田工業(yè)控制系統(tǒng)網(wǎng)絡安全評價技術(shù)研究

劉德生

摘要：油田自開展油氣生產(chǎn)信息化建設(shè)以來，通過前端的采集儀表、調(diào)節(jié)器、RTU、PLC和后端的數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、應用服務器等按照傳統(tǒng)的工業(yè)控制系統(tǒng)架構(gòu)構(gòu)建起油田的油氣生產(chǎn)物聯(lián)網(wǎng)。目前的油氣生產(chǎn)信息化建設(shè)未針對工控網(wǎng)絡安全進行建設(shè)，本文針對油田站場工控系統(tǒng)特點，分析了目前工控系統(tǒng)現(xiàn)狀及網(wǎng)絡安全防護的問題，建立一種基于工控網(wǎng)絡安全風險關(guān)系的物元分析方法及模型等，提出一種適用于油田工控系統(tǒng)網(wǎng)絡安全評價技術(shù)。該技術(shù)科用于指導油田工控系統(tǒng)的網(wǎng)絡安全防護管理，提高油田工控系統(tǒng)網(wǎng)絡安全防護管理水平。

關(guān)鍵詞：工業(yè)控制系統(tǒng);等保2.0;物元分析;網(wǎng)絡安全評價

引言

工業(yè)控制系統(tǒng)（ICS）主要包括數(shù)據(jù)監(jiān)控與采集系統(tǒng)、分布式控制系統(tǒng)及可編程邏輯控制器等[1]，被廣泛應用在化工化學、水電能源、石油天然氣、航空航天等，屬于國家基礎(chǔ)設(shè)施范疇，是關(guān)乎國計民生的重要資源，工控系統(tǒng)安全關(guān)系國家戰(zhàn)略安全[2]。

近年來，《網(wǎng)絡安全法》和等保2.0《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）的實施，對國家重要基礎(chǔ)設(shè)施和工業(yè)設(shè)施的網(wǎng)絡信息安全提出了相關(guān)政策要求，同時也將工控網(wǎng)絡安全建設(shè)上升到國家層面，凸顯了當前工控系統(tǒng)信息安全的重要性。

工控系統(tǒng)內(nèi)部存在系統(tǒng)漏洞、病毒防護、基線配置管理等防護薄弱環(huán)節(jié)，缺少縱深防御能力，在面對高級別、持續(xù)性的網(wǎng)絡攻擊時，會導致網(wǎng)絡擁堵、工控設(shè)備停機、工控系統(tǒng)癱瘓，造成生產(chǎn)事故和經(jīng)濟損失，在防護技術(shù)方面亟待進一步提升完善。

自2016年國家開展“護網(wǎng)行動”以來，通過紅藍雙方的網(wǎng)絡攻防演練驗證企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護能力，涉及范圍不斷擴大，能源企業(yè)是國家護網(wǎng)行動的重點行業(yè)之一，目前油田的工控系統(tǒng)漏洞正成為油田網(wǎng)絡安全防護的短板，需要提升工控安全防護水平和應急處置能力。

目前的工控信息安全評估主要延續(xù)傳統(tǒng)信息安全資產(chǎn)評估方法，采用的方法主要有定性評估及定量評估，文[3]采用基于安全評估的標準和方法構(gòu)建信息安全評估模型，按設(shè)計的評估標準對工業(yè)控制系統(tǒng)完成安全評估?，F(xiàn)有的工控安全信息評價方法無法完全適用于油田站場的工控系統(tǒng)安全防護。

本文針對油田工業(yè)控制系統(tǒng)建設(shè)方式，分析了目前油田工控系統(tǒng)及網(wǎng)絡安全防護的存在問題，建立一種基于工控網(wǎng)絡安全風險關(guān)系的物元分析方法及模型等，提出油田工業(yè)控制系統(tǒng)網(wǎng)絡安全評價方法。

1、油田工業(yè)控制系統(tǒng)概述

油田企業(yè)網(wǎng)絡通常由辦公網(wǎng)、工控網(wǎng)組成。辦公網(wǎng)一般使用通用以太網(wǎng)，可以從工控網(wǎng)提取實時的生產(chǎn)數(shù)據(jù)，實現(xiàn)基于生產(chǎn)過程數(shù)據(jù)的綜合應用。工控網(wǎng)負責控制器、操作站及工程師站之間過程控制數(shù)據(jù)實時通訊。

油田站場生產(chǎn)工業(yè)控制系統(tǒng)具有如下的特點：

（1）工業(yè)控制系統(tǒng)涉及業(yè)務面廣，工藝過程復雜。

（2）工業(yè)控制系統(tǒng)涵蓋多種類型，如DCS系統(tǒng)、SCADA系統(tǒng)、PCS系統(tǒng)和PLC等。

（3）工業(yè)控制系統(tǒng)國外產(chǎn)品使用率較高。

（4）不同工藝流程對工業(yè)控制系統(tǒng)網(wǎng)絡架構(gòu)存在多樣性。

2、油田站場工控系統(tǒng)網(wǎng)絡安全評估技術(shù)

2.1工控系統(tǒng)信息安全檢測方法

檢測方法主要包括：

1.調(diào)研訪談

物理安全、人員安全、網(wǎng)絡安全、系統(tǒng)安全調(diào)研訪談表;

2.工具掃描

網(wǎng)絡安全掃描、應用安全掃描、系統(tǒng)安全掃描等;

3.人工檢查

操作系統(tǒng)checklist、數(shù)據(jù)庫checklist、網(wǎng)絡設(shè)備checklist等;

4.滲透測試

模擬黑客攻擊方式對網(wǎng)絡與信息系統(tǒng)進行非破壞性漏泀驗證性測試;

5.文檔查閱

管理制度查閱、管理策略查閱、安全指導方針查閱等。

2.2 基于物元分析方法的風險關(guān)系模型

風險關(guān)系模型從安全風險的所有要素：資產(chǎn)、影響、威脅、弱點、安全控制、安全需求、安全風險等方面形象地描述的他們各自之間的關(guān)系和影響。

資產(chǎn)指要保護的資產(chǎn)，是構(gòu)成整個系統(tǒng)各基本元素的組合。

弱點是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對資產(chǎn)造成危害。

威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對組織信息直接或間接的攻擊，威脅也可能源于偶發(fā)的、或蓄意的事件。

安全風險是環(huán)境中的威脅利用弱點造成資產(chǎn)毀壞或損失的潛在可能性。風險的大小主要表現(xiàn)在兩個方面：事故發(fā)生的可能性及事故造成影響的大小。

安防措施是阻止威脅、降低風險、控制事故影響、檢測事故及實施恢復的一系列實踐、程序或機制。

因風險關(guān)系模型主要在定性分析的基礎(chǔ)上建立的，應用物元分析方法實現(xiàn)工控系統(tǒng)信息安全評價。物元[4]是可拓學的邏輯細胞，用有序三元數(shù)組M=（N，C，V）表示，其中N指代工控信息安全評分，C為所有要素，V為C的量值。采用多維特征對事物N工控信息安全評價進行描述，形成n維物元Mn。

結(jié)合油田地面系統(tǒng)工藝流程將風險模型的安全要素進行量化及特征化，則工控系統(tǒng)網(wǎng)絡安全評價物元Mn可表示為：

Mn=[油井，站場，數(shù)據(jù)中心]。

2.3風險分析方法模型

在基于物元分析方法的風險關(guān)系模型中可得到風險計算的方法，再通過威脅級別及威脅發(fā)生的概率這兩個變量，建立風險評估矩陣，從而評價出安全風險。

風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。根據(jù)數(shù)據(jù)中心、站場及油井進行風險分析評價并結(jié)合專家經(jīng)驗定量賦值，建立以威脅識別，脆弱性識別，資產(chǎn)識別的物元向量作為輸入，風險值為輸出的風險評價模型。

3、結(jié)論

本文提出基于物元分析方法的工控系統(tǒng)網(wǎng)絡安全風險評價方法，該方法適用于油田工業(yè)控制系統(tǒng)網(wǎng)絡安全評價，主要優(yōu)點有：（1）可提高油田工業(yè)控制系統(tǒng)信息安全管理水平;（2）可從技術(shù)、管理和運維提出對風險控制的需求，指導一下步工控系統(tǒng)信息安全提升方案的編制。

參考文獻：

[1]陶耀東，李寧，曾廣圣，工業(yè)控制系統(tǒng)安全綜述[J].計算機工程與應用，2016，52（13）：8-18.

[2]陳純，工業(yè)控制系統(tǒng)信息安全評估的研究與設(shè)計[J]，現(xiàn)代信息科技，2020，4（12）：131-133.