油田工控系統網絡安全現狀與發展趨勢
發布時間:2021-07-29所屬分類:工程師職稱論文瀏覽:1次
摘 要: 【摘 要】隨著近年來油田企業四化建設的推廣應用、數字化和智能化改造的不斷發展,工業控制系統對提高企業的工作效率,實現降本增效,有效監控企業安全生產都起到了至關重要的作用。伴隨著油田企業自動化、智能化程度的不斷加深,工控系統網絡在實際生產中的
【摘 要】�隨著近年來油田企業“四化”建設的推廣應用、數字化和智能化改造的不斷發展,工業控制系統對提高企業的工作效率,實現降本增效,有效監控企業安全生產都起到了至關重要的作用。伴隨著油田企業自動化、智能化程度的不斷加深,工控系統網絡在實際生產中的應用也越來越多,工業數據泄露、控制失效、病毒侵入等網絡安全事件也頻有發生。因此,工控系統網絡安全隱患已成為油田企業亟待解決的問題。本文通過列舉目前油田企業工控系統網絡安全的風險隱患以及采取的常用防護措施,分析闡明了未來我國工控系統網絡安全防護的發展趨勢,以供交流分享。
【關鍵詞】“四化”建設 工業控制系統 網絡安全 發展趨勢
引言
2020年是我國“十三五”規劃的收官之年,油田企業不僅要牢牢把握住“科學技術是第一生產力” 這一發展原則,同時要統籌信息技術應用與網絡安全防護的協調發展,始終堅持以習近平新時代網絡安全觀為指引,深入貫徹落實習近平同志關于國家能源安全發展的“四個革命、一個合作”戰略思想。在保證企業經濟效益的同時,建立起一套完備的工控網絡安全防護體系,提高網絡安全防護等級,確保企業正常生產運行。
1 油田企業工控系統網絡的風險隱患
目前我國工控系統網絡仍處于初級階段,存在許多漏洞有待解決,其中最核心的問題就是網絡安全無法得到保障。國內外就曾多次發生工控網絡安全事故,給國家和人民都造成了極大的危害,并且發生的次數在不斷上漲,因此工控網絡安全問題必須引起我們的重視,例如美國在2015年發生的工控網絡安全時間較2014年增加了20%以上。我國在當前的工控發展形勢下面臨的網絡風險隱患主要有以下幾個方面:
1.1 工控網絡邊界防護薄弱
隨著工業信息化的深入發展,工業互聯網的應用越來越頻繁,企業工控網絡與內部網絡、外部網絡的交互性越來越強,數據交叉的頻率明顯增加,這使得工控網絡受病毒攻擊的可能性大大增加。有些油田企業為了降低成本,縮減開支,直接將工控網絡與外部網絡直接連接到一起,沒有進行任何的物理隔離或技術隔離,這給工控系統甚至是企業安全生產帶來了巨大的隱患[1]。
1.2 工控系統內部網絡安全監測手段缺失
目前大多數油田企業工控系統在運行過程中,缺乏有效的網絡安全監控工具,這導致工控系統終端服務器故障或重要設備損壞后才發現工控網絡受到了惡意攻擊和侵害,但為時已晚,有可能已造成不可逆的工控癱瘓,甚至是經濟財產損失[2]。因此,企業必須建立一套完備而又全面的工控網絡安全監控平臺來對工控網絡進行實時在線監測,避免出現工控系統失效后才進行網絡修復補漏的被動局面。
1.3 服務器終端缺乏有效的防護措施
對工控系統服務器來說,配置終端安全防護系統是十分必要的,這可以最大程度的避免工控系統服務器受到網絡攻擊或病毒襲擊。但目前仍有部分油田企業沒有對工控系統服務器采取任何的終端防護措施,即使配備了防護系統也未進行及時更新升級,大大增加了工控系統遭受破壞的概率,對企業經濟效益造成了巨大的損失。
1.4 應用程序和系統的安全漏洞
一般在工控系統操作站或工程師站中的應用程序或系統都有存在漏洞的可能性,因此在對程序進行編寫或系統安裝過程中會出現電腦“中毒”的情況,因此安裝專業的殺毒軟件或防病毒服務器就變得至關重要,通過采取防病毒或殺病毒的方式可最大化的提高工控系統的安全性和穩定性。但在當前階段,很多企業未對應用程序和系統中的安全性問題提高警惕,甚至使用了帶有惡意代碼的程序軟件,這將導致工控系統的崩潰癱瘓,這對國家能源安全發展產生極大的阻礙。
2 工控網絡安全防護的常用措施
2.1 工控網絡邊界安全隔離技術
對工控網絡邊界進行安全隔離是工控網絡安全防護中最常使用的方法,通常包括防火墻技術隔離和網閘技術隔離兩種。
防火墻技術實質上就是通過控制其系統內的防護功能對外部訪問者進行識別,防火墻既可以通過對端口執行某種網絡協議來限制一些程序或應用的訪問,也可以根據IP的訪問策略對進入工控內網的終端進行放行或阻攔。而在工控系統中多采用工業防火墻,因為工業防火墻與普通防火墻相比更加安全可靠,因為工業防火墻內部本身就帶有工控網絡協議的解析和過濾特性,能對傳輸數據進行深度檢測和跟蹤,實現對惡意代碼和指令的攔截[3]。
相關期刊推薦:《儀器儀表標準化與計量》(雙月刊)創刊于1985年,由機械工業儀器儀表綜合技術經濟研究所主辦,全國工業過程測量和控制標準化技術委員會大力支持,面向國內外公開發行。發布國內外工業自動化及儀器儀表行業最新信息及動態;引領我國工業自動化及儀器儀表行業前沿技術;推動我國工業自動化及儀器儀表行業標準化發展;促進我國工業自動化及儀器儀表行業與國際標準化合作。
網閘技術是采用無協議擺渡的方式對數據進行傳輸,數據在進入擺渡區之前被協議抽離,從擺渡區離開后再進行數據的重封裝,從而避免了工控網與外網的直接連接。網閘技術與防火墻相比安全系數更高,通常用在大型油氣集輸處理站的DCS系統或其他高安全等級的工控系統中。
2.2 入侵預警監測系統
入侵預警監測系統也被稱作入侵檢測系統,它可以用來監測工控系統是否被網絡攻擊。但由于其不具備攔截功能,所以需要與防火墻配合聯動,入侵預警監測系統對網絡攻擊進行監控,然后將消息發送至防火墻,防火墻再對攻擊目標進行阻截[4]。入侵預警監測系統的使用工控網絡安全防護提供了及時的安全預警,使管理人員能夠第一時間發現網絡攻擊并采取應對措施。
2.3 建立集成高效的網絡終端安全防護平臺
對于規模較大的工控網絡來說,系統內部終端和服務器數量較多,如果每臺服務器或終端都配備各自的防護軟件,就會造成資源浪費和運維成本的增加,費時費力。為解決這一問題,目前新型網絡安全防護終端都采用防護軟件集成化管理模式,也就是在一個安全管理平臺上對多個防護軟件進行統一管理和操作,這樣不及能夠讓人清晰全面的了解各個終端的健康情況,還可以實現對工控網絡服務器的科學高效管理。
3 工控系統網絡安全防護技術的發展趨勢
3.1 開發具有獨立自主知識產權的安全防護設備
我國各大重工企業所使用的工業控制系統基本全部來自國外,包括PLC、DCS、RTU系統等,應用軟件也幾乎被國外所壟斷,可見我國工控系統對國外的依賴性如此之強。而這些工控系統的核心部件及通訊設施機理我們無法獲取,再加上可能存在設計漏洞或惡意程序等問題,都能夠造成工控系統被網絡遠程操控或破壞,給企業甚至國家帶來不可估量的損失。因此,我們要自食其力,刻苦鉆研,積極突破工控系統中的核心技術難題,研制出屬于我們獨立自主的產品,不再對外依賴。只有把核心技術牢牢掌握在自己手中,才能真正保障我們工控系統的安全與穩定,保證國家能源安全。
3.2 信息技術與運營技術的融合
工業控制系統的安全防護包括信息技術安全、運營安全以及物理安全三部分。隨著工業數字化的發展,信息技術的數字網絡和運營技術的物理網絡的融合已成為必然趨勢。
工控網絡安全技術和運營技術安全構架不僅可以對已有網絡威脅提供防御幫助,而且可通過防火墻、工控網絡、殺毒軟件等多種方案聯動查殺病毒,阻止異常行為,在儀表總線網絡、局域網、控制系統、應用操作和生產指揮中心等不同層級筑造起一道堅實的安全防線。
3.3 態勢感知將成為重要技術手段
隨著企業對工業互聯網安全性要求越來越高,傳統的被動式安全防護和被入侵后的報警技術已無法滿足企業對工控系統 “零風險”安全性的高要求,因此,引入一種能夠提前進行分析預警的新型網絡安全監測系統勢在必行,在這種形勢下,態勢感知應運而生。
態勢感知是通過分析判斷網絡流量來監測工控網絡中存在的安全隱患和風險漏洞的。態勢感知采用一個分析平臺與多個安全探針相結合的方式,將探針安裝在網絡交換機上,在不影響網絡通信的前提下通過交換機的網絡鏡像口接收需要監測的鏡像流量,然后將接收到的流量數據發送到分析平臺進行分析比對,分析平臺通過自帶的數據庫與接收到的流量數據進行比對后,篩選出可疑的歷史數據,進而找到系統內存在的漏洞、安全隱患、風險源等發布預警信息,讓工控網絡管理人員細致全面的掌握整個工控網絡的安全狀況。
4 結語
我國油田企業目前仍處于信息化發展的初級階段,工控網絡在信息化發展中起到著至關重要的作用。工控系統的網絡安全關系到整個油田企業的發展前景,沒有工控網絡安全就沒有企業的未來。因此,高度重視起工控系統的網絡安全防護工作,對促進我國油氣事業的發展以及國家能源安全發展戰略的實施都具有重要意義[5]。——論文作者:常季成 賈政 姜路
