工业防火墙在油田网络安全中的应用

　　1.项目背景

　　石油行业作为高科技密集型行业，涉及勘探、炼制、储运、销售等众多紧密相连的业务，不仅需要持续投入巨大的人力、物力，还要确保生产供应链上的各个环节平稳有序、协同发展。因此，建设智能油田、实现信息化将在很大程度上影响油气企业的运作以及竞争力。而智能油田众多的实际应用都需要背后有高效可靠的网络来支持，让网络覆盖到油田的每个角落是实现智能油田的基础。

　　然而，网络的接入，势必会导致工业网络安全问题的出现，让黑客有机会进入到油田的生产网络，从而可能会影响整个油田生产的安全性。所以在这种情况下必须要重视对网关数据传输的安全性做好安全隔离和防护。

　　2.项目建设目标

　　油田分为井场、站外系统等，不仅每个系统之间要做网络安全隔离，而且在系统中每个控制器之间也要做安全隔离，使整个油田系统的网络安全级别达到较高的水平。油田的安全生产至关重要，而随着“两化”融合的加速，给控制网络带来了安全问题，尤其是来自Internet和工厂管理信息网络的黑客攻击、信息阻塞、病毒，从而导致控制网络的工作异常或瘫痪，使控制系统运行速度下降或控制器处于失控状态，严重威胁装置的生产安全。所以必须要重视而且要尽最大可能的保护好生产装置和生产数据。

　　3.需求分析

　　3.1 目前现状

　　油田中油井的分布比较广而且数量也非常多，多个油井组成井场，井场与站外系统和井场无人站都需要上传数据和一些数据查询等应用，所以根据这些应用需求对油田行业来说，网络接入是非常普遍的，而且这些应用都是基于标准的网络协议(TCP/IP、HTTP、等协议)的应用，网络应用非常广泛。

系统拓扑图1

　　系统中每个井场采用标准化设计，使用功能计量，油井及井口的参数分别上传到调度监控中心，站库系统中的集输、注汽、电力和道路分别由站库DCS系统把数据分别上传到区域运行监控中心。

　　3.2 存在的问题

　　随着工业网络建设的发展，迫切需要实现DCS、PLC、测控设备、SCADA构成的过程控制系统之间互通、互联，完成对数据的监控，保证企业对生产情况做出实时反应，消除“信息孤岛”与断层现象。

　　为了获取现场的生产信息，许多企业采用拷盘或人力传递的方式传送信息，包括人工抄表，定期上报的方式。人工采集不仅极不方便也无法实时地采集到现场的数据，很难满足当今工业控制行业对生产控制和信息管理方面的要求，因此实现各个系统之间的互通、互联已经是大势所趋。但如何保证每个系统网络实现互联时过程控制的网络安全性，这已然变成了一个严峻的问题。

　　目前油田网络中的RTU直接暴露在网络里，让黑客有机可乘，如果一台RTU出现问题(例如感染病毒)可能也会蔓延到其他的RTU上，所以整个网络的安全性特别脆弱，不能抗击网络风暴和DDOS攻击等非安全的威胁。

　　4.系统设计

　　4.1 整体规划

　　通过对油田现场的了解，结合其行业的特点以及网络安全标准对某油田的网络安全做了如下设计：

系统拓扑图2

　　在本次设计中井场在上传数据到调度监控中心时都要通过工业防火墙HC-ISG的深度过滤，以保证每个井场的设备的安全，每个增压泵站也分别通过工业防火墙HC-ISG把数据上传到调度监控中心。在站外系统中每个系统中的PLC和RTU等设备在把数据传至站控DCS系统时都要经过工业防火墙HC-ISG，然后站控DCS系统再通过工业防火墙HC-ISG把数据安全的上传到调度监控中心，这样不仅能对传输的工业协议进行深度过滤，也能有效阻断木马等病毒的攻击和黑客入侵等行为，保证了整个系统的安全运行。

　　4.2 专业工控安全防护设备

　　工业防火墙HC-ISG是一款面向工业控制领域的安全网关产品，主要解决工业基础设施在网络环境中，受到病毒、黑害、敌对势力的恶意攻击问题。由于传统防火墙不能充分解决工业控制系统的网络安全防护问题，因此工业防火墙HC-ISG不但是国内首款既具备传统防火墙的各项标准功能，同时又能满足工业控制系统对可靠性、稳定性和工业协议分析过滤的特殊安全需求的工业网络安全防护产品，可过滤几乎所有的工业通信协议，依靠其深度防御功能，对Modbus TCP、OPC通信协议、Siemens S7协议和Siemens OP/PG协议进行深度过滤，还可以有效防御“震网”等病毒攻击，从而保护工业以太网的信息安全。

　　5.效果分析

　　5.1 数据可靠性

　　工业防火墙HC-ISG的深度防御功能可以有效的对工业通信协议深度过滤，防止黑客和病毒对油田上传数据和生产设备的破坏和攻击，工业防火墙HC-ISG的深度防御功能能够针对某个RTU设备的具体参数是否允许通过惊醒防护，此种防护的功能可以彻底的阻止一些保密数据的外漏。

　　5.2 运行稳定性

　　工业防火墙HC-ISG系列网关产品按照高性能工业通信网关标准设计，硬件平台采用高性能嵌入式计算平台，系统选用linux内核系统，内嵌高速实时数据平台组件，使整个系统达到较高的性能，可以满足各种工业应用场合。

　　工业防火墙HC-ISG具有以下稳定运行指标：

　　·最大并发连接数：>1000;

　　·最大数据吞吐量：700Mbps;

　　·最小延迟时间：<100us;

　　·日志存储条数：大于20000条。

　　5.3 系统免维护性

　　工业防火墙HC-ISG内嵌的高性能工业通信软件提供完善的系统在线自诊断、故障自动恢复、看门狗管理等系统功能。

　　系统诊断子系统实时检测系统内各进程、线程的运行状态，同时对关键的硬件模块进行诊断，当发现异常时自动产生报警信息，并在符合条件的情况下启动自动恢复逻辑。

　　工业防火墙HC-ISG内置软件看门狗和硬件看门狗，时刻监视系统状态，保证装置的稳定、可靠运行，确保万无一失并且反应迅速，避免了用户对HC-ISG的实时和定期维护。

　　本次方案的设计解决了油田网络安全如下问题：

　　(1)有效地防止了网络中的不法分子和病毒等不安全的因素可能对整个油田的生产数据及设备造成的破坏;

　　(2)实现了各个RTU设备之间的横向隔离，有效地防止了各个设备中的非安全网络威胁的蔓延，使整个系统的网络安全级别更高。

　　(3)实现了油田的现场数据安全的接入到调度监控中心中，对整个工厂的信息化管理起到了很好的保障，有利于决策层及时的发现生产过程中的问题并及时改进。

　　(4)用户可以远程维护和管理工业防火墙HC-ISG，方便用户对工业防火墙HC-ISG的远程维护。

　　(5)工业防火墙HC-ISG产品具有集中管理功能，方便了用户使用一台电脑同时管理多台工业防火墙HC-ISG产品。

（转载）