刘德生

摘要：油田自开展油气生产信息化建设以来，通过前端的采集仪表、调节器、RTU、PLC和后端的数据采集与监控系统（SCADA）、应用服务器等按照传统的工业控制系统架构构建起油田的油气生产物联网。目前的油气生产信息化建设未针对工控网络安全进行建设，本文针对油田站场工控系统特点，分析了目前工控系统现状及网络安全防护的问题，建立一种基于工控网络安全风险关系的物元分析方法及模型等，提出一种适用于油田工控系统网络安全评价技术。该技术科用于指导油田工控系统的网络安全防护管理，提高油田工控系统网络安全防护管理水平。

关键词：工业控制系统;等保2.0;物元分析;网络安全评价

引言

工业控制系统（ICS）主要包括数据监控与采集系统、分布式控制系统及可编程逻辑控制器等[1]，被广泛应用在化工化学、水电能源、石油天然气、航空航天等，属于国家基础设施范畴，是关乎国计民生的重要资源，工控系统安全关系国家战略安全[2]。

近年来，《网络安全法》和等保2.0《网络安全等级保护基本要求》（GB/T 22239-2019）的实施，对国家重要基础设施和工业设施的网络信息安全提出了相关政策要求，同时也将工控网络安全建设上升到国家层面，凸显了当前工控系统信息安全的重要性。

工控系统内部存在系统漏洞、病毒防护、基线配置管理等防护薄弱环节，缺少纵深防御能力，在面对高级别、持续性的网络攻击时，会导致网络拥堵、工控设备停机、工控系统瘫痪，造成生产事故和经济损失，在防护技术方面亟待进一步提升完善。

自2016年国家开展“护网行动”以来，通过红蓝双方的网络攻防演练验证企业关键信息基础设施的安全防护能力，涉及范围不断扩大，能源企业是国家护网行动的重点行业之一，目前油田的工控系统漏洞正成为油田网络安全防护的短板，需要提升工控安全防护水平和应急处置能力。

目前的工控信息安全评估主要延续传统信息安全资产评估方法，采用的方法主要有定性评估及定量评估，文[3]采用基于安全评估的标准和方法构建信息安全评估模型，按设计的评估标准对工业控制系统完成安全评估。现有的工控安全信息评价方法无法完全适用于油田站场的工控系统安全防护。

本文针对油田工业控制系统建设方式，分析了目前油田工控系统及网络安全防护的存在问题，建立一种基于工控网络安全风险关系的物元分析方法及模型等，提出油田工业控制系统网络安全评价方法。

1、油田工业控制系统概述

油田企业网络通常由办公网、工控网组成。办公网一般使用通用以太网，可以从工控网提取实时的生产数据，实现基于生产过程数据的综合应用。工控网负责控制器、操作站及工程师站之间过程控制数据实时通讯。

油田站场生产工业控制系统具有如下的特点：

（1）工业控制系统涉及业务面广，工艺过程复杂。

（2）工业控制系统涵盖多种类型，如DCS系统、SCADA系统、PCS系统和PLC等。

（3）工业控制系统国外产品使用率较高。

（4）不同工艺流程对工业控制系统网络架构存在多样性。

2、油田站场工控系统网络安全评估技术

2.1工控系统信息安全检测方法

检测方法主要包括：

1.调研访谈

物理安全、人员安全、网络安全、系统安全调研访谈表;

2.工具扫描

网络安全扫描、应用安全扫描、系统安全扫描等;

3.人工检查

操作系統checklist、数据库checklist、网络设备checklist等;

4.渗透测试

模拟黑客攻击方式对网络与信息系统进行非破坏性漏泀验证性测试;

5.文档查阅

管理制度查阅、管理策略查阅、安全指导方针查阅等。

2.2 基于物元分析方法的风险关系模型

风险关系模型从安全风险的所有要素：资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响。

资产指要保护的资产，是构成整个系统各基本元素的组合。

弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害。

威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击，威胁也可能源于偶发的、或蓄意的事件。

安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面：事故发生的可能性及事故造成影响的大小。

安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。

因风险关系模型主要在定性分析的基础上建立的，应用物元分析方法实现工控系统信息安全评价。物元[4]是可拓学的逻辑细胞，用有序三元数组M=（N，C，V）表示，其中N指代工控信息安全评分，C为所有要素，V为C的量值。采用多维特征对事物N工控信息安全评价进行描述，形成n维物元Mn。

结合油田地面系统工艺流程将风险模型的安全要素进行量化及特征化，则工控系统网络安全评价物元Mn可表示为：

Mn=[油井，站场，数据中心]。

2.3风险分析方法模型

在基于物元分析方法的风险关系模型中可得到风险计算的方法，再通过威胁级别及威胁发生的概率这两个变量，建立风险评估矩阵，从而评价出安全风险。

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。根据数据中心、站场及油井进行风险分析评价并结合专家经验定量赋值，建立以威胁识别，脆弱性识别，资产识别的物元向量作为输入，风险值为输出的风险评价模型。

3、结论

本文提出基于物元分析方法的工控系统网络安全风险评价方法，该方法适用于油田工业控制系统网络安全评价，主要优点有：（1）可提高油田工业控制系统信息安全管理水平;（2）可从技术、管理和运维提出对风险控制的需求，指导一下步工控系统信息安全提升方案的编制。

参考文献：

[1]陶耀东，李宁，曾广圣，工业控制系统安全综述[J].计算机工程与应用，2016，52（13）：8-18.

[2]陈纯，工业控制系统信息安全评估的研究与设计[J]，现代信息科技，2020，4（12）：131-133.