安全隔离网闸在油气生产物联网信息网络安全中的应用

安全隔离网闸在油气生产物联网信息网络

安全中的应用探索

桑圣洁

（大庆石油管理局 通信公司 信息技术北京分公司 黑龙江 大庆 163000）

摘 要： 针对油气生产物联网系统面临的网络信息安全风险，分析工业生产网与普通信息网络的差异，研究传统安全防护手段防火墙的缺陷，探讨安全隔离网闸技术在解决边界安全方面的应用，最终针对油气生产物联网不同数据传输需求设计两种安全隔离网闸解决方案。

关键词： 油气生产物联网；边界安全；安全隔离网闸

中图分类号：TP311 文献标识码：A 文章编号：1671－7597（2012）1120165-02

2.2 工业控制生产网与商用网络对安全性的差别

0 引言

工业控制生产网因为应用领域及应用的设备所存储传输的物联网，云计算，移动应用技术为当今信息领域重点发展

数据与普通商用网络有很大不同，要采取适用的安全防护技术的三大信息技术。作为国家的核心支柱产业，中国石油也积极

就要了解其差异性，见下表：

利用物联网技术实现油田工业化，信息化融化，构建具有物联

网特点的数字油田，智能油田。完善的油气生产物联网系统网

络面临包括数据，物理，网络在内的多方面信息安全问题，要

维持整体系统的稳定运行，保证油气生产过程不受到影响，就

需要充分分析系统面临的安全风险，制定行使有效的安全解决

方案。本文将在说明油气生产物联网的概念及其网络架构基础

上，分析存在的网络安全隐患，探索安全隔离网闸在解决边界

安全问题方面的应用。

1 油气生产物联网系统概念

作为实现油田数字化，智能化的有效手段，在物联网的概

念之上结合实际的油气生产情况引申出油气生产物联网的概

2.3 传统网络安全防护手段防火墙存在的局限性

念。油气生产物联网就是指通过传感、射频、通讯等技术，对

对于有如上特殊要求和应用环境的工业控制生产网络，传油气水井、计量间、通讯等技术，对油气水井、计量间、油气

统的网络安全防护手段，防火墙存在如下不足，无法从根本上站库等生产对象进行全面的感知，实现生产数据、设备状态信

解决工业控制生产网络的安全问题：

息在生产智慧中心及生产中心集中管理和控制。

防火墙用于工业控制生产网络防护的不足[3]：

2 油气生产物联网面临的网络边界安全问题及传统解决

1）基于包过滤原理，不能阻止病毒、蠕虫以及各种新型方案的不足攻击；

2.1 信息办公网和工业控制生产网融合造成的安全冲击2）对用户不完全透明，非专业用户难于管理和配置，易

油气生产物联网是工业化，信息化融合的典型应用。随着造成安全漏洞，甚至形同虚设；

两网融合的加速和生产控制系统带来的安全问题，尤其是来自3）大多数产品不支持OPC、MODBUS等工业通信；

Internet和生产管理信息办公网络的黑客攻击，信息阻塞、病4）被黑客攻破的几率已达50％；

毒，从而导致工业控制网络或生产网的工作异常或者瘫痪，使5）安全性不足以用于防护控制网络。

控制系统运行速度下降或者控制器，传感器处于失控状态，严鉴于防火墙技术对于防护油气生产物联网生产网络防护的重威胁生产安全[2]。局限性，考虑引入安全隔离网闸技术。

分析国内外，水电讯，石油化工各个行业出现的工业控制 3 安全隔离网闸的技术特性及在油气生产物联网中的应

系统的安全危机可发现有如下共同点。

用

1）作为控制系统操作站、上位机的电脑，很少或没有机会安装全天候病毒防护或更新版本。

2）目前常见的各种DCS、PLC等控制器的设计都以优化过程控制功能为主，基本没有提供网络安全防护功能。

3）不同的控制系统之间的网络都没有有效的分隔开，尤其是基于OPC、MODBUS等通讯的工业控制网络。问题因此通过网络迅速蔓延[2]。

4）事件中所涉及的信息网络中，除了一小部分没有采取网络安全防护措施，大部分都已经采用了商用防火墙、VPN、防病毒、IPS等，但因为工业控制生产网络有一定特殊性和普通的商用网络有一定的差别，是普通的防火墙无法从根本上解决生产控制网络的安全问题。

3.1 安全隔离网闸的原理及特性

安全隔离网闸的基本通信指导就是以非网方式实现数据交换并且只能交换特定的应用数据。其基本指导思想即在保证安全的前提下尽可能支持数据交换，相对在保障互联互通的前提进行可能安全防护的防火墙来说，有更高的安全防护等级。其主要特性如下：

1）从硬件架构来说，网闸是双主机+隔离硬件，系统自身具有较高的安全性。

2）隔离网闸工作在应用层，具备数据库、文件同步、定制开发接口等多种功能，实现网络隔离时，从数据层断开，阻

断所有基于TCP/IP的网络通信，有效阻断基于TCP/IP的木马攻

击机病毒入侵。当视频服务器位于生产网内时，生产网就需要根据办公网3）隔离网闸工作在主机模式，所有数据需要落地转换，对油气水井生产监控的视频需求进行响应，并根据视频信号控完全屏蔽内部网络信息。制指令，向办公网传送视频信号，则此时办公网和生产网之间4）隔离网闸上不存在内外网之间的会话，连接终止于内的通信就不仅仅是生产数据的单向推送，还包括对视频信号的外网主机。发送及对指令信号的接收及响应，则此时可以分别对应生产数5）隔离网闸广泛应用于工业生产控制网络、办公信息网据和视频信号分别部署单向安全隔离和双向安全隔离网闸，具络、公用通信网络等不同等级网络域之间应用内容层面的安全体网络结构如下：

防护。

6）安全隔离网闸采用主流的SCSI技术，总线技术，光纤

单向传输技术等，能够实现单向或双向的网络隔离[4]。

综上可见，对于解决油气生产物联网工业控制生产网络安

全问题，安全隔离网闸具有很好的适用性。

3.2 油气生产物联网安全隔离网闸边界安全防护方案

依照对数据的存储和处理的不同，油气生产物联网分为生

产网和办公网。油气生产物联网生产网范围涵盖作业区一级井

间终端数据采集，厂矿核心交换机实现网络汇聚，数据交换到

实时数据库存储，生产网中包含核心数据库，实时数据库等数

据交换和存储设备。办公网主要实现集团公司，油田公司网络

链路的连接，实现生产数据的调用和管理及监控，其中部署有

关系数据库，视频服务器等网络设备。

油气生产物联网的生产网和办公网之间存在数据传输和交

换，当有生产数据或者视频信号向办公网传送时，特别是接收

和应答来自办公网的指令信号时，可能会受到来自外网的病毒

入侵，受到网络攻击，因此考虑在办公网和生产网之间使用安

全隔离网闸技术。

根据安全隔离网闸的单向及双向传输隔离的不同类型，制图2 油气生产物联网单向+双向安全隔离网闸部署方案

定如下两类满足不同数据传输需求的边界安全防护方案。 如拓扑图所示，在办公网和生产网之间对生产数据和是视

3.2.1 单向安全隔离频数据分别部署网闸，对生产数据部署单向隔离网闸，实现其

当视频服务器位于油气生产物联网的办公网网络内，则从单向的安全稳定的数据推送；对视频信号部署双向网闸，对视生产网向办公网传输的数据仅是来自于工业控制网络中的前端频指令进行双向传送同时对视频信号进行单向摆渡。

采集的生产数据，这些数据定时由生产网推送到办公网，无须这样的部署和应用方案一方面可以满足油气生产物联网对接收来自办公网的信号指令，彼此之间的通信是单向的，则在生产数据传送的高稳定和安全性的要求，不会因为要处理视频此位置可以部署单向安全隔离网闸，网络结构图如图1。指令而影响到优先级更高的生产数据的传送，另一方面由专门

的网闸来处理视频信号可以进行相应的软件或硬件模块功能的

开发，对前端不同厂家的视频采集模块有更好的兼容性。

4 总结语

对于安全防护来说，“不治已病治未病”是其最高境界，

对于油气生产物联网的工业控制生产网络来说，要抵御来自

Internet和生产管理信息办公网络的黑客攻击，信息阻塞、病

毒等安全威胁，网闸作为一种有效的带有多种控制功能专用硬

件，部署于办公网和生产网之间针对油气生产物联网实际的数

据和视频传输需求，采取单向或者双向隔离网闸，保证油气生

产网内部控制系统运行正常，维护油气生产物联网系统及油气

生产的稳定运行。

参考文献：

[1]兰昆，工业SCADA系统网络的安全服务框架研究[J].信息安全与

通信保密，2010，3.

[2]孙国庆，计算机网络安全现状及防范[J].科技与生活，2010，18

图1 油气生产物联网单向隔离网闸部署方案

（4）.

如拓扑图所示，针对单向传输的生产数据，在办公网和生[3]宿洁，防火墙技术及其发展[J].计算机工程与应用，2004，9.

产网之间部署单向隔离网闸。实现对底层井间采集的生产数据[4]郑挺，网络安全隔离技术[J].中国新技术新产品，2010，10.

从办公网到生产网单向安全稳定的传送，严格控制了办公网到

生产网的数据交互，阻断任何来自于办公网的数据，真正实现作者简介：

生产网和办公网的单向通信，保护油气生产工业控制生产网络桑圣洁（1983-），女，2009年毕业大庆石油学院电气信息工程学的安全。院，通信与信息系统工学硕士，工程师，研究方向：现从事油气生产物

3.2.2 单向+双向安全隔离网闸联网系统建设及技术研究，信息网络安全研究等方面的工作。