前言：本站為你精心整理了海油工程制造企業(yè)信息安全建設(shè)分析范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：針對海洋油氣生產(chǎn)平臺上部模塊智能化建造需求，構(gòu)建科學(xué)有效的信息安全防護體系，促進海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)的可持續(xù)發(fā)展，確保生產(chǎn)運營數(shù)據(jù)的安全，提升企業(yè)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護能力，開展對海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全的研究，建立適用于海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)發(fā)展的信息安全防護體系，通過完善的網(wǎng)絡(luò)架構(gòu)設(shè)計和科學(xué)的監(jiān)管設(shè)計，確保企業(yè)生產(chǎn)運營時的網(wǎng)絡(luò)安全。

關(guān)鍵詞：智能化；海洋油氣生產(chǎn)平臺；上部模塊；信息安全防護；網(wǎng)絡(luò)安全架構(gòu)

0引言

近些年來工業(yè)與信息化的深度融合為產(chǎn)業(yè)升級帶來前所未有的機遇和挑戰(zhàn)，例如在海油工程企業(yè)信息安全方面，面臨著企業(yè)數(shù)據(jù)、設(shè)備控制、工業(yè)軟件應(yīng)用和網(wǎng)絡(luò)維護等安全挑戰(zhàn)，同時對企業(yè)信息安全防護策略提出更高的要求。據(jù)統(tǒng)計，自2017年以來，勒索病毒襲擊全球150多個國家和地區(qū)，波及國家安全、公共衛(wèi)生、郵政、交通、通信和制造等眾多領(lǐng)域。在海油工程的海洋油氣生產(chǎn)平臺上部模塊制造車間里做好信息安全的防護，不僅是對企業(yè)負責(zé)，更是對國家戰(zhàn)略安全負責(zé)。對海洋油氣生產(chǎn)平臺上部模塊制造車間應(yīng)用場景進行調(diào)查，分析車間網(wǎng)絡(luò)存在的風(fēng)險，提出車間層直接信息安全防護策略和間接信息安全防護策略的體系架構(gòu)，并制定安全系統(tǒng)防護方案，實現(xiàn)海洋油氣生產(chǎn)平臺上部模塊制造車間整體信息安全[1-2]。

1海洋油氣生產(chǎn)平臺上部模塊設(shè)備層網(wǎng)絡(luò)風(fēng)險分析

設(shè)備應(yīng)用層包括海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的多臺上位機、服務(wù)器以及各種高精密度數(shù)控設(shè)備等，這些設(shè)備在沒有安全防護的情況下很容易被惡意攻擊，比如鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間發(fā)生過，有設(shè)備關(guān)聯(lián)境外的IP地址，一些鋼板切割設(shè)備或焊接人需要使用U盤或串口連接的方式實現(xiàn)數(shù)據(jù)傳輸，在數(shù)據(jù)傳送過程中很容易被各種病毒、惡意代碼等攻擊，造成設(shè)備相關(guān)信息數(shù)據(jù)泄露，或直接影響設(shè)備的使用，大大降低車間的生產(chǎn)效率和產(chǎn)品質(zhì)量。此外，沒有對設(shè)備及其日志進行統(tǒng)一集中管理，就很難關(guān)聯(lián)分析設(shè)備之間故障存在的關(guān)系，也就不能及時處理復(fù)雜的問題[3]。

2海洋油氣生產(chǎn)平臺上部模塊制造車間信息安全防護體系架構(gòu)

海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的網(wǎng)絡(luò)安全防護體系主要包括直接防護和間接防護2個部分。其中，直接防護是根據(jù)信息安全防護的要求、智能制造全生命周期覆蓋、風(fēng)險防護經(jīng)驗等構(gòu)建體系化防護框架，在該框架下用來解決鋼結(jié)構(gòu)制管切割、鋼管焊接機器人和甲板片體鋼板切割、片體焊接機器人等設(shè)備的控制、網(wǎng)絡(luò)通信和數(shù)據(jù)管理等問題。海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的組網(wǎng)比較靈活，加上工控層不斷產(chǎn)生大量時序性數(shù)據(jù)，需要構(gòu)建間接防護措施，通過動態(tài)化防護策略，實現(xiàn)多元化的防護。間接安全防護策略通過構(gòu)建工業(yè)安全標準防護管控平臺，通過大數(shù)據(jù)分析實現(xiàn)潛在安全威脅的監(jiān)測，實現(xiàn)及時預(yù)警和協(xié)同防護，提升整體海洋油氣生產(chǎn)平臺上部模塊制造的網(wǎng)絡(luò)安全水平[4]。

2.1直接安全防護策略

2.1.1設(shè)備層安全防護

直接安全防護策略主要是為保護設(shè)備應(yīng)用安全、通信網(wǎng)絡(luò)安全和計算機軟件與數(shù)據(jù)信息安全而采取的保護措施，其工業(yè)安全標準防護體系架構(gòu)包括設(shè)備層的安全防護、控制層的安全防護和管理應(yīng)用層的安全防護。其中，設(shè)備層的安全防護可通過安全級別評估、加/解密、安全防火墻、網(wǎng)絡(luò)入侵檢測等系統(tǒng)實現(xiàn)海洋油氣生產(chǎn)平臺上部模塊智能制造基礎(chǔ)設(shè)施設(shè)備層、控制層和監(jiān)控層的保護。通過構(gòu)建設(shè)備層工業(yè)安全標準防護體系實現(xiàn)數(shù)據(jù)審查，確保數(shù)據(jù)的完整性并將其貫穿在現(xiàn)場控制層和操作層的控制中，保證數(shù)據(jù)在傳輸和執(zhí)行過程中的安全可靠。針對鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間工控終端的安全，部署基于IP地址白名單管理的服務(wù)器、生產(chǎn)線的上位機等，整個工控終端安全防護全面覆蓋控制層的對象連接和嵌入過程控制（OLEforProcessControl，OPC）服務(wù)和可編程邏輯控制器（ProgrammableLogicController，PLC）模塊，實現(xiàn)對鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間數(shù)據(jù)安全的智能管控。其次，根據(jù)安全檢測評估的理論基礎(chǔ)和經(jīng)驗，結(jié)合成熟的技術(shù)實現(xiàn)對鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間設(shè)備的定期檢查，同時結(jié)合智能化安全防護終端進行智能化串口、網(wǎng)口數(shù)據(jù)的檢查，避免出現(xiàn)非法數(shù)據(jù)的傳輸。對于用戶終端通過完善的終端安全防護體系，即包含身份驗證、標準化管理、日志審計等來確保設(shè)備層操作系統(tǒng)的安全，避免出現(xiàn)安全控制系統(tǒng)中的非法操作，確保設(shè)備層網(wǎng)絡(luò)安全，實現(xiàn)主動精準防御，提升海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間工控網(wǎng)絡(luò)設(shè)備的安全性。

2.1.2通信網(wǎng)絡(luò)層安全防護

海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的通信網(wǎng)絡(luò)層安全防護，應(yīng)結(jié)合不同層次和業(yè)務(wù)的需求劃分安全域，然后根據(jù)安全域部署工控網(wǎng)絡(luò)檢測系統(tǒng)、隔離系統(tǒng)和安全防護系統(tǒng)，具體可使用工業(yè)防火墻實現(xiàn)邏輯隔離，實施監(jiān)控數(shù)據(jù)的產(chǎn)生，從而可有效減少誤操作和病毒攻擊。對網(wǎng)絡(luò)節(jié)點審查，分析潛在的網(wǎng)絡(luò)攻擊行為，及時向主機系統(tǒng)進行報警。在無線網(wǎng)絡(luò)的應(yīng)用上，防護層通過實時監(jiān)測OPC服務(wù)/PLC模塊來實現(xiàn)域名管理、合法連接、IP跟蹤和用戶名密碼管理等，從而降低信息被盜取的風(fēng)險。

2.1.3數(shù)據(jù)應(yīng)用層安全防護

數(shù)據(jù)層集中在應(yīng)用軟件管理上，本身應(yīng)用軟件具有開放的特征，很容易在使用時出現(xiàn)安全隱患，在這種情況下需要采取相應(yīng)的標準化措施，制定相應(yīng)標準、數(shù)據(jù)庫和測試開發(fā)環(huán)境等，對海油工程模型數(shù)據(jù)的安全性進行分析，從而提高對工業(yè)用的建模軟件、生產(chǎn)管理軟件以及APP等漏洞進行實時監(jiān)測，做好漏洞修復(fù)和病毒的隔離工作。為了確保數(shù)據(jù)的安全性，應(yīng)及時做好下車間輕量化模型數(shù)據(jù)、設(shè)備運行數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)的存儲備份，有條件的還需要定時做好異地備份，對于鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間所有控制系統(tǒng)涉及的切割、焊接指令等做好相應(yīng)的加密和認證處理。最后，利用實時數(shù)據(jù)監(jiān)控工具進行數(shù)據(jù)安全分析和運行維護，可確保車間整體工控系統(tǒng)的網(wǎng)絡(luò)安全。

2.2間接安全防護策略

間接安全防護策略是一種作為輔助鋼結(jié)構(gòu)制管和甲板片體制造全生命周期安全防護的系統(tǒng)。在已經(jīng)部署了對智能化設(shè)備不同層的工控安全防護系統(tǒng)后，打破傳統(tǒng)物理防護模式，采用統(tǒng)一的安全綜合管控系統(tǒng)提前預(yù)警和及時防護，可全面提高海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間控制網(wǎng)絡(luò)的安全。構(gòu)建該系統(tǒng)平臺的主要作用是提前感知可能出現(xiàn)的網(wǎng)絡(luò)信息安全問題并及早采取解決策略。同時實現(xiàn)和工控安全設(shè)備的聯(lián)動，構(gòu)建動態(tài)化調(diào)整機制，從而確保鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間能穩(wěn)定運行。具體來說，利用該間接安全防護平臺實現(xiàn)對設(shè)備、工控系統(tǒng)、傳感器等的數(shù)據(jù)采集和監(jiān)控，然后采用大數(shù)據(jù)分析技術(shù)實現(xiàn)對數(shù)據(jù)安全隱患的排除，及早主動防御，將安全隱患源頭及早滅除。在大數(shù)據(jù)應(yīng)用攻擊路徑分析時，根據(jù)黑客入侵規(guī)律和特征，采用卷積神經(jīng)網(wǎng)絡(luò)算法訓(xùn)練預(yù)測黑客攻擊路線和目標的數(shù)學(xué)模型，針對黑客的路徑和目標，制定相應(yīng)的防護措施和策略。并對每一條潛在的路徑攻擊進行監(jiān)控，提供基于優(yōu)化算法的監(jiān)測數(shù)據(jù)用來實現(xiàn)攻擊路線防護評估，同時測試網(wǎng)絡(luò)系統(tǒng)的安全性并進行自優(yōu)化。在大數(shù)據(jù)應(yīng)用上，通過建設(shè)網(wǎng)絡(luò)安全評估系統(tǒng)確定數(shù)據(jù)采集中存在的風(fēng)險問題，并利用大數(shù)據(jù)分析技術(shù)實現(xiàn)對工控網(wǎng)絡(luò)安全態(tài)勢的分析和預(yù)警，完善安全風(fēng)險預(yù)估系統(tǒng)，可實現(xiàn)控制源檢測加強的目的，從源頭上減少病毒入侵事故，并通過模擬攻擊提高安全評估系統(tǒng)的準確性，以實現(xiàn)海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)工控系統(tǒng)自我感知、自我分析和自我干預(yù)、決策的目的。

2.3綜合化、全方位網(wǎng)絡(luò)安全防護

將直接安全防護和間接安全防護綜合起來構(gòu)建全方位的網(wǎng)絡(luò)安全防護體系，不僅完善了海洋油氣生產(chǎn)平臺上部模塊智能制造基礎(chǔ)設(shè)施的安全防護，而且也采用間接防護的形式實現(xiàn)整體態(tài)勢的感知和響應(yīng)，實現(xiàn)了及時預(yù)警和主動防御的功能，使得鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的運行更加安全可靠，推動海洋油氣生產(chǎn)平臺上部模塊建造的可持續(xù)穩(wěn)定發(fā)展，對于提升生產(chǎn)制造的效率、促進行業(yè)的可持續(xù)發(fā)展具有十分重要的意義。

3安全系統(tǒng)防護部署策略

總體部署策略是：首先，在海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)的辦公核心區(qū)域部署防火墻、防御病毒入侵的設(shè)備，避免互聯(lián)網(wǎng)的安全威脅問題滲透到企業(yè)內(nèi)部；其次，改造重點數(shù)據(jù)/文件服務(wù)器，對重要數(shù)據(jù)/文件服務(wù)器的數(shù)據(jù)庫操作行為進行審計管理，在鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間部署工控安全防護系統(tǒng)以實現(xiàn)對車間生產(chǎn)網(wǎng)絡(luò)中各種鋼管切割機、焊接機器人、數(shù)據(jù)/文件服務(wù)器和工控操作系統(tǒng)的檢查，阻止因系統(tǒng)漏洞對現(xiàn)場生產(chǎn)造成的安全隱患問題。然后對鋼管切割機、焊接機器人等先進生產(chǎn)線等接入帶網(wǎng)管的匯聚層交換機，在匯聚層加上一道網(wǎng)管IP控制，切斷病毒向其他網(wǎng)段擴散，保證工控層的安全[5]。此外，在鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間部署無線安全管理系統(tǒng)，實現(xiàn)對無線設(shè)備的安全防護，避免因無線接入網(wǎng)絡(luò)問題而導(dǎo)致病毒侵入制管和甲板片體生產(chǎn)區(qū)。

3.1進出口防火墻和區(qū)域策略防火墻部署

為確保海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間工控網(wǎng)絡(luò)進出口安全和企業(yè)內(nèi)部網(wǎng)絡(luò)間隔離的要求，必須部署區(qū)域策略防火墻來實現(xiàn)安全防護，避免出現(xiàn)非法訪問、網(wǎng)絡(luò)攻擊和病毒入侵的問題。利用進出口控制和基于策略的安全防護設(shè)備，實現(xiàn)企業(yè)車間網(wǎng)絡(luò)安全防護。進出口控制和基于策略的安全網(wǎng)關(guān)使用高度集成化軟件設(shè)計，集傳統(tǒng)防火墻、虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）設(shè)備、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、分布式拒絕服務(wù)攻擊防護（Anti-DistributedDenialofService，Anti-DDoS）、URL過濾、反垃圾郵件、應(yīng)用識別等基礎(chǔ)性安全性能和綜合應(yīng)用。防火墻架構(gòu)部署具有體積小、耗能少、容易操作和維護的優(yōu)點，同時基于云計算技術(shù)提供了智能防護的服務(wù)，使得用戶端能更靈活主動地抵御更為復(fù)雜的安全問題。

3.2車間層光閘設(shè)備部署

企業(yè)辦公/OA網(wǎng)絡(luò)和生產(chǎn)區(qū)域工控網(wǎng)絡(luò)在沒有安全訪問控制措施的情況下，不同IP地址的網(wǎng)絡(luò)，尤其是工控層的網(wǎng)絡(luò)IP地址能訪問企業(yè)辦公/OA的網(wǎng)絡(luò)信息，所以安全性很低。采用光閘設(shè)備，單向傳輸?shù)奶匦?，將辦公區(qū)域和生產(chǎn)區(qū)域進行隔離，通過訪問限制來提升網(wǎng)絡(luò)的安全系數(shù)，確保海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)內(nèi)部網(wǎng)絡(luò)只能在授權(quán)的條件下才能進入。通過光閘對兩端的系統(tǒng)服務(wù)器進行安全隔離，被隔離的服務(wù)器網(wǎng)絡(luò)之間無法隨意實現(xiàn)數(shù)據(jù)信息的傳輸。網(wǎng)絡(luò)安全隔離以后，信息交換系統(tǒng)在自身具有較高安全性的基礎(chǔ)上可組織來自網(wǎng)絡(luò)任何協(xié)議層的攻擊，企業(yè)辦公/OA網(wǎng)絡(luò)和生產(chǎn)區(qū)域工控網(wǎng)絡(luò)之間所有傳輸?shù)臄?shù)據(jù)信息都需要先進行協(xié)議還原，然后對制造執(zhí)行系統(tǒng)（ManufacturingExecutionSystem，MES）、物流執(zhí)行系統(tǒng)（LogisticsExecutionSystem，LES）以及數(shù)據(jù)采集與監(jiān)視控制（SupervisoryControlAndDataAcquisition，SCADA）系統(tǒng)等數(shù)據(jù)采集、作業(yè)執(zhí)行數(shù)據(jù)信息進行檢查，采用格式化數(shù)據(jù)塊，基于光的單向性的單向隔離對數(shù)據(jù)信息進行單向交換，完成來自主機系統(tǒng)對用戶身份的確認，確保數(shù)據(jù)的安全，完成數(shù)據(jù)通信。這樣一方面進行了物理隔離，阻斷攻擊連接，另一方面通過強制性信息內(nèi)容檢測進一步強化了通信安全。

3.3工業(yè)防火墻設(shè)備部署

根據(jù)海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)生產(chǎn)網(wǎng)安全防護優(yōu)先級規(guī)定，針對企業(yè)辦公/OA網(wǎng)絡(luò)和生產(chǎn)區(qū)域工控網(wǎng)絡(luò)邊界進行安全隔離防護。工業(yè)防火墻可以把信息管理網(wǎng)與工控網(wǎng)絡(luò)隔離開，同時也可以通過防火墻將控制網(wǎng)與生產(chǎn)網(wǎng)、工控網(wǎng)絡(luò)中不同車間、不同區(qū)域的服務(wù)器進行邏輯分離，進行分區(qū)分域重點防護。在工控系統(tǒng)信息網(wǎng)絡(luò)安全建設(shè)中，工業(yè)防火墻是必不可少的安全訪問控制的措施。在海洋油氣生產(chǎn)平臺上部模塊鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間工控系統(tǒng)信息安全建設(shè)中工業(yè)防火墻體系部署在工控網(wǎng)絡(luò)系統(tǒng)的邊界、生產(chǎn)管理域和現(xiàn)場控制域網(wǎng)絡(luò)邊界和內(nèi)部需要做防護的區(qū)域、工業(yè)控制系統(tǒng)的邊界和每個車間區(qū)域之間。工業(yè)防火墻的部署，阻止了任何不可信數(shù)據(jù)包進入控制網(wǎng)，通過防火墻的白名單功能可以將病毒木馬拒之門外，阻止任何其他指令進入安全域，包括來自未知主機的“合法”指令，能夠?qū)た鼐W(wǎng)絡(luò)的異常報文，如land、pingofdeath等進行檢測，并且可以對pingflood、用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol，UDP）等攻擊進行防范，對所有通信過程進行記錄和審計，對深度包檢測（DeepPacketInspection，DPI）進行讀寫操作的細粒度控制。

3.4車間工控網(wǎng)異常監(jiān)測系統(tǒng)

車間工控網(wǎng)異常監(jiān)測指的是采集鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間工控網(wǎng)絡(luò)中的數(shù)據(jù)包，確保工控層切割、焊接等數(shù)據(jù)采集的完整性，對數(shù)據(jù)包內(nèi)容進行分析擴展處理，有效檢測工控網(wǎng)絡(luò)中的通信異常和協(xié)議異常并加以阻止，進而避免工控系統(tǒng)的意外癱瘓。同時，基于“白環(huán)境”理念的解決方案無需對工控網(wǎng)絡(luò)結(jié)構(gòu)進行改造，避免頻繁升級工控系統(tǒng)，減少系統(tǒng)維護時間。

4結(jié)論

綜上所述，以海洋油氣生產(chǎn)平臺上部模塊的鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間為例，分析了如何通過智能車間工控網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建來實現(xiàn)車間智能化建設(shè)的目標，并結(jié)合海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)未來發(fā)展需求提出綜合化全方位的工控網(wǎng)絡(luò)安全防護系統(tǒng)。在該系統(tǒng)體系下，不僅可實現(xiàn)對各種設(shè)備的運行安全防護，更重要的是可實現(xiàn)對數(shù)據(jù)信息的安全保護，大大減少了黑客攻擊、病毒入侵給海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)生產(chǎn)運行帶來的影響。在未來，通過對安全防護體系的進一步健全完善，可提升海洋油氣生產(chǎn)平臺上部模塊制造企業(yè)工控網(wǎng)絡(luò)系統(tǒng)整體安全防護的水平。

參考文獻：

[1]李剛,鄭美紅.智能制造工控網(wǎng)絡(luò)安全防護體系發(fā)展概述[J].信息技術(shù)與網(wǎng)絡(luò)安全,2019,38(6):6-10.

[2]吳吉慶,韋有雙.智能制造帶來的工業(yè)信息安全思考[J].工業(yè)控制系統(tǒng)及信息安全,2018,37(3):24-27.

[3]周峰,邵枝華,陳淥萍.智能制造系統(tǒng)安全風(fēng)險分析[J].電子科學(xué)技術(shù),2017,4(2):45-51.

[4]郭肖旺,閔曉霜,韓慶敏.基于自適應(yīng)深度檢測的工控安全防護系統(tǒng)設(shè)計[J].電子技術(shù)應(yīng)用,2019(1):85-87.

[5]豐大軍,張曉莉,杜文玉,等.安全可信工業(yè)控制系統(tǒng)構(gòu)建方案[J].電子技術(shù)應(yīng)用,2017(10):74-77.

作者：董家琛 單位：上海船舶工藝研究所