久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★李兆崇寧波和利時信息安全研究院有限公司

★郝堅勇杭州和利時自動化有限公司

★付海州寧波和利時信息安全研究院有限公司

★楊康杭州和利時自動化有限公司

★胡永鐘寧波和利時信息安全研究院有限公司

關鍵詞：信息安全；等級保護；私有協(xié)議；深度融合

1　項目概況

1.1　項目背景

某油田輕烴回收廠將油田生產(chǎn)的天然氣中含有的乙烷組分進行回收，使該廠石油液體年產(chǎn)量從45萬噸級躍升至120萬噸級，成為該油田經(jīng)濟增長的新“引擎”。其中乙烷回收裝置設計處理規(guī)模為每年100億立方米天然氣，是國內(nèi)單列規(guī)模最大的乙烷回收裝置之一。

1.2　項目簡介

該油田輕烴回收廠廠內(nèi)網(wǎng)絡分為生產(chǎn)網(wǎng)與辦公網(wǎng)，生產(chǎn)網(wǎng)主要承載與生產(chǎn)相關的控制系統(tǒng)的正常運行與流轉(zhuǎn)，辦公網(wǎng)主要承載信息化系統(tǒng)與日常辦公的正常流轉(zhuǎn)。生產(chǎn)網(wǎng)的乙烷回收工程控制系統(tǒng)均采用國產(chǎn)化系統(tǒng)，其分別采用和利時DCS/SIS系統(tǒng)實現(xiàn)乙烷回收工程自動化控制和采用和利時HiaPlantSCADA作為油氣生產(chǎn)網(wǎng)/辦公網(wǎng)數(shù)據(jù)庫，并且為辦公網(wǎng)信息化系統(tǒng)提供流程圖的Web發(fā)布。

隨著業(yè)務的不斷發(fā)展，不僅需要對傳統(tǒng)的辦公網(wǎng)實現(xiàn)安全防護，還需要依據(jù)等保要求和現(xiàn)場業(yè)務實際需求對生產(chǎn)網(wǎng)的工控系統(tǒng)進行安全防護，并且隨著智慧油田的逐步發(fā)展，生產(chǎn)網(wǎng)與辦公網(wǎng)之間的交互逐步從單純的數(shù)據(jù)交互轉(zhuǎn)變到業(yè)務交互，也對跨網(wǎng)交互中的邊界安全性提出了更高的防護要求。

1.3　項目目標

本項目為了實現(xiàn)對乙烷回收工程控制系統(tǒng)的安全保護，采用和利時全系列工控安全設備實現(xiàn)安全防護，按照等保三級要求進行建設，具體完成對乙烷回收控制系統(tǒng)的主機終端防護、邊界隔離、流量審計、日志審計以及安全管理等方面的設計、安裝、調(diào)試和投運工作，并且針對現(xiàn)場實際需求，與和利時HiaPlantSCADA數(shù)據(jù)庫系統(tǒng)采取定制化協(xié)同開發(fā)實現(xiàn)了生產(chǎn)網(wǎng)辦公網(wǎng)數(shù)據(jù)庫同步的私有協(xié)議解析，將該功能模塊嵌入到現(xiàn)場網(wǎng)閘中，實現(xiàn)了安全防護的同時，又解決了業(yè)務同步的問題。

2　項目實施

該項目整體按照等保三級建設，滿足一個中心、三重防護的合規(guī)要求，首先對乙烷回收工程的相關控制系統(tǒng)實現(xiàn)了安全防護。為了給控制系統(tǒng)穿上“安全鎧甲”，另外針對生產(chǎn)網(wǎng)與辦公網(wǎng)之間的業(yè)務交互，本項目創(chuàng)新性地提出了“業(yè)務+安全”的防護理念，針對生產(chǎn)網(wǎng)與辦公網(wǎng)之間的業(yè)務交互，定制開發(fā)了相關私有協(xié)議的深度解析，并將其嵌入到工業(yè)安全隔離網(wǎng)閘中，與國產(chǎn)化控制系統(tǒng)和國產(chǎn)化數(shù)據(jù)庫實現(xiàn)協(xié)同防護，使得生產(chǎn)網(wǎng)與辦公網(wǎng)真正實現(xiàn)了“業(yè)務安全交互”，推動了以往國外數(shù)據(jù)庫的國產(chǎn)化替代，節(jié)省了大量的投資成本，項目建成后減少了部分維護人員，并且組織多次相關安全培訓，幫助企業(yè)提升了維護人員的安全運維能力。

其中生產(chǎn)網(wǎng)與辦公網(wǎng)安全交互部分功能示意圖如圖1所示。

圖1 生產(chǎn)網(wǎng)與辦公網(wǎng)安全交互部分功能示意圖

整個項目中硬件平臺部分包括：

（1）工業(yè)防火墻；

（2）工業(yè)安全網(wǎng)閘（內(nèi)嵌私有協(xié)議解析模塊）；

（3）工業(yè)網(wǎng)絡審計系統(tǒng)（含入侵檢測功能）；

（4）工業(yè)日志審計系統(tǒng)；

（5）工業(yè)安全管理平臺。

軟件平臺部分包括：

（1）工業(yè)終端安全防護軟件；

（2）主機加固軟件。

具體實現(xiàn)方式如下：

（1）工業(yè)防火墻接入

通過工業(yè)防火墻產(chǎn)品的部署，建立DMZ區(qū)，在DMZ區(qū)部署防火墻，對生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡邊界進行邏輯隔離防護，實現(xiàn)web發(fā)布的同步。

（2）工業(yè)隔離網(wǎng)閘系統(tǒng)接入

通過工業(yè)隔離網(wǎng)閘的部署，在生產(chǎn)網(wǎng)數(shù)據(jù)庫服務器與辦公網(wǎng)數(shù)據(jù)庫服務器之間部署工業(yè)安全網(wǎng)閘，采取定制化的私有協(xié)議深度解析，實現(xiàn)生產(chǎn)網(wǎng)與辦公網(wǎng)的數(shù)據(jù)自動同步，解決了石油化工企業(yè)的一個難點，真正做到業(yè)務與安全的深度融合。

（3）工業(yè)網(wǎng)絡審計系統(tǒng)接入

通過網(wǎng)絡審計產(chǎn)品的部署，實現(xiàn)對工業(yè)網(wǎng)絡流量狀態(tài)的集中監(jiān)測，實現(xiàn)了對各種工業(yè)協(xié)議的DPI，同時可以對安全事件進行追溯與查證，提供了強有力的事后分析，并且配備入侵檢測模塊，系統(tǒng)內(nèi)置豐富的規(guī)則庫，可通過對網(wǎng)絡流量數(shù)據(jù)的分析，發(fā)現(xiàn)網(wǎng)絡異常行為或攻擊行為。

（4）主機加固軟件

通過部署主機加固軟件以及加固服務，實現(xiàn)對主機終端系統(tǒng)的進一步安全加固。

（5）工業(yè)主機安全衛(wèi)士

通過終端防護軟件產(chǎn)品的部署，實現(xiàn)了基本的主機終端防護，防止了惡意代碼的入侵，保護了計算環(huán)境的安全。

（6）工業(yè)日志審計系統(tǒng)接入

通過工業(yè)日志審計系統(tǒng)產(chǎn)品的部署，實現(xiàn)對安全設備、網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫等進行日志數(shù)據(jù)采集、分類和分析。

（7）工業(yè)安全管理平臺接入

通過工業(yè)安全管理平臺的部署，實現(xiàn)工控安全設備和集中管理系統(tǒng)的統(tǒng)一管控，實現(xiàn)對終端設備進行集中化的性能狀態(tài)監(jiān)控和安全策略管理，實現(xiàn)對工業(yè)網(wǎng)絡安全態(tài)勢的全面掌控，連通了安全防護孤島，為安全管理者提供了決策依據(jù)，實現(xiàn)了工業(yè)信息安全處置閉環(huán)。

3　案例亮點及創(chuàng)新性

3.1應用效果

該項目針對油氣生產(chǎn)網(wǎng)與辦公網(wǎng)業(yè)務的特殊性，實現(xiàn)了工業(yè)隔離網(wǎng)閘定制研發(fā)數(shù)據(jù)庫私有協(xié)議的解析，實現(xiàn)了國外數(shù)據(jù)庫的國產(chǎn)化替代以及安全防護雙重應用效果，其中使該廠的原有國外數(shù)據(jù)庫替換為國產(chǎn)自主可控數(shù)據(jù)庫，投入成本下降百分之30以上。另外該項目輔助客戶實現(xiàn)了生產(chǎn)網(wǎng)與辦公網(wǎng)系統(tǒng)流程圖的同步，節(jié)約了維護成本，人力投入減小百分之40以上。

項目整體按照等保三級建設，滿足一個中心、三重防護的合規(guī)要求，從安全計算環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界與安全管理中心各個維度實現(xiàn)了工控系統(tǒng)的安全防護，防止了辦公網(wǎng)的未知威脅入侵到工控網(wǎng)。

3.2案例亮點和創(chuàng)新點

該項目的實施與應用解決了油氣行業(yè)一直存在的兩個難點問題：

（1）生產(chǎn)網(wǎng)工控系統(tǒng)如何做好安全防護？

通過全系列工控安全防護設備的安全服務實現(xiàn)了對工控系統(tǒng)的體系化防護，滿足等保三級防護水平。

（2）生產(chǎn)網(wǎng)與辦公網(wǎng)之間如何實現(xiàn)業(yè)務的安全交互？

通過網(wǎng)閘定制功能實現(xiàn)了現(xiàn)場國產(chǎn)化私有協(xié)議的深度解析，使生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)和畫面可以安全地進行交互，真正實現(xiàn)了“業(yè)務+安全”的防護理念，為石油化工行業(yè)類似應用場景做了成功示例。

3.3可復制推廣價值分析

（1）石油化工行業(yè)類似場景的探索

解決生產(chǎn)網(wǎng)與辦公網(wǎng)業(yè)務安全交互的問題，通過網(wǎng)閘定制功能實現(xiàn)現(xiàn)場國產(chǎn)化私有協(xié)議的深度解析，使生產(chǎn)網(wǎng)與辦公網(wǎng)數(shù)據(jù)和畫面可以安全地進行交互，真正實現(xiàn)了“業(yè)務+安全”的防護理念，為石油化工行業(yè)類似應用場景做了成功示例；

（2）經(jīng)濟效益

該項目從商業(yè)價值來看，可以從兩個角度來說，首先依據(jù)合規(guī)，按照等保三級對現(xiàn)場工控系統(tǒng)進行了安全防護建設，輔助企業(yè)實現(xiàn)了安全生產(chǎn)，大大降低了被感染的風險和由此帶來的經(jīng)濟損失。其次，該項目工控安全體系建設與現(xiàn)場工控系統(tǒng)實際情況進行了緊密結(jié)合，實現(xiàn)協(xié)同防護，網(wǎng)閘實現(xiàn)了現(xiàn)場國產(chǎn)實時數(shù)據(jù)庫的定制化私有協(xié)議的深度解析，幫助客戶實現(xiàn)了對以往PHD的國產(chǎn)化取代，大大節(jié)約了TCO成本。

（3）社會效益

乙烷回收工程是地方貫徹落實資源轉(zhuǎn)化戰(zhàn)略、增加石油液體產(chǎn)量、實現(xiàn)提質(zhì)增效的一項重點工程，也是“十四五”轉(zhuǎn)方式、調(diào)結(jié)構(gòu)的重點項目，將為下游乙烯項目提供優(yōu)質(zhì)的乙烷原料，實現(xiàn)天然氣資源的深度利用。

乙烷回收裝置采取和利時國產(chǎn)化DCS/SIS系統(tǒng)以及國產(chǎn)化數(shù)據(jù)庫HiaPlantSCADA數(shù)據(jù)庫系統(tǒng)，本次工控安全項目實現(xiàn)對相關控制系統(tǒng)的安全防護，保證了乙烷回收裝置控制系統(tǒng)的正常流轉(zhuǎn)，為該重點工程提供了安全保障。

作者簡介

李兆崇（1981-），男，河南平頂山人，高級工程師，學士，現(xiàn)就職于寧波和利時信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

郝堅勇（1990-），男，山西晉中人，中級工程師，學士，現(xiàn)就職于杭州和利時自動化有限公司，主要從事工業(yè)信息安全方面的研究。

付海州（1986-），男，陜西西安人，中級工程師，學士，現(xiàn)就職于寧波和利時信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

楊　康（1986-），男，陜西咸陽人，副高級工程師，學士，現(xiàn)就職于杭州和利時自動化有限公司，主要從事工業(yè)信息安全方面的研究。

胡永鐘（1987-），男，福建三明人，中級工程師，碩士，現(xiàn)就職于寧波和利時信息安全研究院有限公司，主要從事工業(yè)信息安全方面的研究。

摘自《自動化博覽》2024年1月刊