1.行业概述

新中国成立后，油气行业创造了举世瞩目的辉煌业绩，截止2011年，全国25个省市自治区和近海海域发现上千个油气田，建立了东北、新疆、鄂尔多斯、四川、渤海湾、南海等多个大油气区，30个油气生产基地。2015年全国年产原油2.15亿吨，居世界第四位，然而，2015年我国原油消耗量约5.4亿吨，石油对外依存度高达60%以上，且供需缺口仍在扩大。

2.安全隐患

信息化在油田企业中的应用使得工业控制网络大量采用通用TCP/IP 技术，ICS 网络和企业管理网的联系更紧密。传统工业控制系统设计上没有考虑互联互通带来的安全问题。企业管理网与工业控制网络几乎没有隔离防护功能，数字油田系统的安全隐患问题日益严峻。无线网络的接入、边界的脆弱性、区域划分不明确、终端操作系统的安全风险以及工控协议本身传的安全风险，这些问题很容易被病毒和黑客利用，系统中任何一点受到攻击都有可能导致整个系统的瘫痪。

3.安全事件

• 2011年“7·12”绥中36－1油田少量原油落海

7月12日13时30分左右，位于渤海辽宁湾的中海油绥中36—1油田中心平台中控发生故障，全油田生产中断，原油落海。据初步估算，溢油量大约0.1至0.15立方米，在事发海域发现1平方公里油膜分布。

• 2011年“6·4”中海油蓬莱19-3油田溢油事故

2012年，位于美国加州的Chevron石油公司对外承认，他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此，美国Baker Hughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀，就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。

4.常见攻击方式

利用设备后门和本身漏洞攻击、利用协议漏洞攻击、电子邮件欺骗攻击、木马攻击

5.解决方案

图-原油开采工控网络安全解决方案拓扑图

5.1、匡恩网络安全产品可实现分布式部署、集中防护、区域隔离以及终端保护。

1）分布式部署：提高了整个系统的可靠性、容错性，有利于对每个目标的安全防护。

2）集中防护：在生产网的出口对整个生产网的数据做集中防护，防止外网的病毒或者黑客的攻击

3）区域隔离：根据工业网络的区域划分，对每个区域进行数据保护，做到横向隔离，纵向保护的安全数据采集隔离。

4）终端保护：为工业控制网络提供了全方位的综合防御与保护，智能保护平台能够识别出胜利数字油田网络（或者无线接入）中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包，及时对其进行告警和阻断，并能为后续的安全威胁排查提供依据。

5）监测审计：对工控网络中的数据进行实时监测、实时告警，帮助用户实时掌握工控网络运行状况，并对网络中存在的所有河东提取行为审计、内容审计、协议审计，生成完整的记录便于时间追溯，还可以对网络中未知设备的接入进行实时监测、告警、记录，迅速发现工控网络中存在的非法接入。

6）主机防护：在生产网中的上位机和服务器安装工控卫士，监控进程运行状态，阻止不明进程启动，监控网络端口、网络流量，监控USB口使用，防止U盘攻击，提供从工控上位机到服务器的全面防护。

5.2、数据分流与分析

通过独特的内核技术对来自工业网络中的生产数据和视频数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据（数据量比较大）采用直接转发的方式让其通过，保证了视频数据的流畅性。

6.业务价值

本方案为原油开采企业设计了网络边界防护、区域隔离、无线网络防护等措施，解决了原油开采企业存在的重要系统安全保护不足、未授权人员对设备的物理访问、没有及时安装操作系统和应用安全补丁、平台病毒防护脆弱性 、应用软件的漏洞、网络边界的脆弱性、无线连接的脆弱性等安全威胁