久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★賈志鵬（北京貝諾電子科技發(fā)展有限公司，甘肅慶陽745100）

★崔強(qiáng)（中國石油長慶油田分公司第一采油廠，甘肅慶陽716000）

★余杰，周婷，宋創(chuàng)（北京貝諾電子科技發(fā)展有限公司，甘肅慶陽745100）

關(guān)鍵詞：油氣田生產(chǎn)監(jiān)控系統(tǒng)；安全分區(qū)；邊界防護(hù)；網(wǎng)絡(luò)安全監(jiān)控；終端安全加固；安全管理中心；安全運(yùn)維

1 引言

油氣行業(yè)的生產(chǎn)調(diào)度通過生產(chǎn)監(jiān)控系統(tǒng)進(jìn)行有效管理與控制，生產(chǎn)監(jiān)控系統(tǒng)的安全穩(wěn)定是采油采氣工作順利開展的前提，關(guān)系到國家經(jīng)濟(jì)發(fā)展，是國家重要的基礎(chǔ)設(shè)施。隨著兩化融合技術(shù)的發(fā)展，油氣田企業(yè)不斷提升生產(chǎn)技術(shù)裝備的自動(dòng)化水平和運(yùn)營管理手段的信息化能力，快速提升了生產(chǎn)效率，但信息互聯(lián)互通的同時(shí)也給油氣田生產(chǎn)監(jiān)控系統(tǒng)帶來了更多的網(wǎng)絡(luò)安全隱患。

油氣田企業(yè)所在的能源行業(yè)是關(guān)乎國計(jì)民生的特殊行業(yè)，而近年來針對能源行業(yè)網(wǎng)絡(luò)安全的攻擊事件頻發(fā)，對油氣田安全防護(hù)問題的重視程度也必須隨之提升。隨著相應(yīng)法律法規(guī)的發(fā)布，對油氣田安全防護(hù)提出了更高的要求，因此，如何提升油氣田生產(chǎn)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，成為亟需研究解決的問題。

2 油氣田生產(chǎn)監(jiān)控系統(tǒng)存在的安全問題

通過對多個(gè)油氣田生產(chǎn)監(jiān)控系統(tǒng)調(diào)研，發(fā)現(xiàn)當(dāng)前油氣田普遍缺乏邊界防護(hù)、安全審計(jì)、入侵檢測、主機(jī)防護(hù)等安全防護(hù)措施，其安全形勢十分嚴(yán)峻，結(jié)合等級保護(hù)基本要求，典型問題總結(jié)如下：

2.1 安全技術(shù)方面的典型問題^[1]

（1）安全通信網(wǎng)絡(luò)方面

生產(chǎn)監(jiān)控系統(tǒng)與其他網(wǎng)絡(luò)區(qū)域之間未采取可靠的技術(shù)隔離手段。

（2）安全區(qū)域邊界方面

· 系統(tǒng)邊界或區(qū)域未設(shè)置嚴(yán)格的訪問控制策略及訪問控制規(guī)則；

· 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處未部署入侵檢測設(shè)備，未根據(jù)最小權(quán)限原則配置訪問控制策略，不能檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

· 未在安全區(qū)域配置安全審計(jì)系統(tǒng)，無法對網(wǎng)絡(luò)行為進(jìn)行安全審計(jì)、記錄。

（3）安全計(jì)算環(huán)境方面

· 部分設(shè)備在遠(yuǎn)程管理時(shí)采用http方式，未采用加密措施；

· 網(wǎng)絡(luò)設(shè)備、服務(wù)器賬戶未采用三權(quán)分立，存在賬戶共用的情況；

· 系統(tǒng)未重命名默認(rèn)賬戶，未修改默認(rèn)賬戶口令；

· 系統(tǒng)無登錄失敗處理功能；

· 未授予不同賬戶所需的最小權(quán)限；

· 默認(rèn)共享和高危端口管理不到位；

· 主機(jī)未采取安全防護(hù)措施；

· 操作系統(tǒng)未最小化安裝，存在多余的組件或服務(wù)；

· 系統(tǒng)審計(jì)日志功能未開啟等。

（4）安全管理中心方面

缺乏安全管理中心的建設(shè)，無法對設(shè)備狀態(tài)、惡意代碼、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。

2.2 安全管理方面的典型問題

· 安全管理制度缺失；

· 安全管理機(jī)構(gòu)、人員等不完善；

· 對介質(zhì)（USB、光驅(qū)等）等運(yùn)維管理不全面。

3 油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全整體解決方案

從生產(chǎn)監(jiān)控系統(tǒng)安全角度出發(fā)，以等級保護(hù)2.0為設(shè)計(jì)依據(jù)，按照“一個(gè)中心，三重防護(hù)”的原則，構(gòu)建安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境^[2]等多重防護(hù)機(jī)制，在整體上保證各種安全措施的組合從外到內(nèi)構(gòu)成一個(gè)縱深的安全防御體系。

3.1 整體方案設(shè)計(jì)思路

（1）從網(wǎng)絡(luò)邊界劃分和防護(hù)技術(shù)著手，改造網(wǎng)絡(luò)拓?fù)洹澐志W(wǎng)絡(luò)區(qū)域、清晰網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)范網(wǎng)絡(luò)邊界，在各個(gè)邊界有層次地實(shí)施邊界防護(hù)措施，包括使用網(wǎng)閘、工業(yè)防火墻等各種隔離技術(shù)。

（2）對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控分析，及時(shí)檢測和發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)風(fēng)險(xiǎn)和攻擊行為，并分析和記錄生產(chǎn)監(jiān)控系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，便于事后進(jìn)行事件取證和定責(zé)。

（3）所有操作站、工程師站、服務(wù)器上通過部署工業(yè)主機(jī)安全防護(hù)軟件（白名單）對應(yīng)用程序、移動(dòng)存儲介質(zhì)、特定對象完整性等進(jìn)行防護(hù)，阻止非法程序的運(yùn)行。同時(shí)對主機(jī)、服務(wù)器、SCADA軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等終端的賬戶、權(quán)限、口令、審計(jì)、漏洞等進(jìn)行安全加固。

（4）建立安全管理中心，對安全設(shè)備進(jìn)行集中管控，通過單點(diǎn)登錄、雙因素認(rèn)證、過程審計(jì)記錄等實(shí)現(xiàn)運(yùn)維過程的安全可控，此外，通過態(tài)勢感知平臺構(gòu)建工控企業(yè)級安全大數(shù)據(jù)中心，為用戶呈現(xiàn)企業(yè)內(nèi)全面的工控網(wǎng)絡(luò)態(tài)勢環(huán)境，并對網(wǎng)絡(luò)整體威脅概況提供可視化展示等。

（5）進(jìn)行安全運(yùn)維能力建設(shè)，指導(dǎo)油氣田公司及時(shí)、有效、有序處置網(wǎng)絡(luò)安全事件，提高應(yīng)對網(wǎng)絡(luò)安全事件能力，建立健全網(wǎng)絡(luò)安全事件應(yīng)急工作機(jī)制，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失。

3.2 安全分區(qū)與邊界防護(hù)

油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全域是指根據(jù)生產(chǎn)監(jiān)控系統(tǒng)的業(yè)務(wù)劃分、應(yīng)用的不同流程和系統(tǒng)等而劃分的不同的安全區(qū)域。根據(jù)每個(gè)安全區(qū)域業(yè)務(wù)的重要程度使用不同的安全防護(hù)手段。因此可以將整個(gè)生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)劃分為比較小的安全區(qū)域，建設(shè)基于安全區(qū)域的安全防護(hù)體系。

（1）安全分區(qū)

安全分區(qū)是工控安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)。油氣田生產(chǎn)監(jiān)控系統(tǒng)可以劃分為井場、管理區(qū)、采油廠級和公司級。

（2）邊界防護(hù)

· 在公司級與采油廠級之間部署工業(yè)網(wǎng)閘實(shí)現(xiàn)單向隔離^[3]，保證應(yīng)用數(shù)據(jù)的單向傳輸，即從采油廠向公司級的生產(chǎn)數(shù)據(jù)單向上報(bào)；

· 在采油廠級與管理區(qū)之間部署工業(yè)防火墻，滿足內(nèi)部安全區(qū)域之間的網(wǎng)絡(luò)隔離防護(hù)；

· 在各井場與管理區(qū)之間部署工業(yè)防火墻實(shí)現(xiàn)對井場生產(chǎn)監(jiān)控系統(tǒng)的安全防護(hù)；

· 無線接入應(yīng)采用自建的專用無線基站或采用邊界隔離技術(shù)和加密技術(shù)，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)^[2]。

油氣田生產(chǎn)監(jiān)控系統(tǒng)安全分區(qū)及邊界防護(hù)部署如圖1所示。

圖1 油氣田生產(chǎn)監(jiān)控系統(tǒng)安全分區(qū)及邊界防護(hù)部署圖

3.3 網(wǎng)絡(luò)安全監(jiān)控

當(dāng)生產(chǎn)監(jiān)控系統(tǒng)出現(xiàn)安全事故后很難確定是誤操作、惡意操作還是系統(tǒng)自身故障所導(dǎo)致，因此需要通過對通信流量進(jìn)行檢測、對操作行為進(jìn)行審計(jì)，才能從全局分析安全事件所產(chǎn)生的原因。

（1）在采油廠以及管理區(qū)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，便于及時(shí)檢測和發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)風(fēng)險(xiǎn)和攻擊行為。

（2）在采油廠以及管理區(qū)旁路部署工業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，檢測和記錄工控系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，便于事后進(jìn)行事件取證和定責(zé)。工業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量（管理區(qū)系統(tǒng)與各井場之間的通信、廠級系統(tǒng)與管理區(qū)之間的通信）進(jìn)行采集、監(jiān)測和分析，對流經(jīng)的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)解析并分析安全風(fēng)險(xiǎn)。

油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控部署如圖2所示。

圖2 油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控部署圖

3.4 終端安全加固

（1）主機(jī)防護(hù)

生產(chǎn)監(jiān)控系統(tǒng)中會部署工程師站、操作員站等主機(jī)設(shè)備。大部分網(wǎng)絡(luò)安全威脅比如病毒以及操作人員誤操作等主要都是通過主機(jī)設(shè)備進(jìn)入生產(chǎn)監(jiān)控系統(tǒng)，使之成為系統(tǒng)中潛在的風(fēng)險(xiǎn)點(diǎn)。因此，必須對主機(jī)設(shè)備進(jìn)行安全防護(hù)，可以通過部署主機(jī)白名單防護(hù)軟件，對應(yīng)用程序、移動(dòng)存儲介質(zhì)、特定對象完整性等進(jìn)行防護(hù)，阻止非法程序的運(yùn)行。

（2）終端安全加固

針對終端除了部署白名單防護(hù)軟件之外，還需要進(jìn)行安全加固才能滿足等級保護(hù)的要求，具體的措施主要體現(xiàn)在以下幾個(gè)方面：

· 身份鑒別：對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，配置登錄失敗處理功能，采用加密方式進(jìn)行遠(yuǎn)程管理等；

· 訪問控制：對登錄的用戶分配賬戶和權(quán)限，重命名或刪除默認(rèn)賬戶，及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在等^[2]；

· 安全審計(jì)：啟用安全審計(jì)功能，并進(jìn)行定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等，對審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷^[2]，審計(jì)記錄保留在本地或者上傳到日志中心，且日志留存6個(gè)月以上；

· 入侵防范：遵循最小安裝的原則，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口，對通過網(wǎng)絡(luò)進(jìn)行管理的^[2]管理終端進(jìn)行限制、定期進(jìn)行漏洞修補(bǔ)等；

· 數(shù)據(jù)備份恢復(fù)：定期對重要業(yè)務(wù)數(shù)據(jù)和審計(jì)數(shù)據(jù)進(jìn)行備份，重要業(yè)務(wù)數(shù)據(jù)要進(jìn)行異地備份；

· 控制設(shè)備安全：PLC、RTU等控制設(shè)備開啟身份鑒別、訪問控制和安全審計(jì)功能，封閉控制設(shè)備的USB接口、串行口或多余網(wǎng)口等。

3.5 建立安全管理中心

盡管有了邊界防護(hù)、網(wǎng)絡(luò)安全監(jiān)控、終端安全加固等安全措施，但是安全設(shè)備獨(dú)立運(yùn)維、無法從全局了解整體網(wǎng)絡(luò)安全狀態(tài)，會導(dǎo)致當(dāng)出現(xiàn)安全問題時(shí)需要逐一排查安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等日志和事件，極大地影響效率，因此需要建設(shè)安全管理中心來解決上述問題，具體如下：

（1）在采油廠級部署工業(yè)安全管理平臺，實(shí)現(xiàn)對工業(yè)防火墻、安全審計(jì)、主機(jī)白名單防護(hù)等分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控。

（2）采用安全運(yùn)維審計(jì)技術(shù)對重要設(shè)備集中運(yùn)維，實(shí)現(xiàn)集中賬號管理、認(rèn)證、授權(quán)、審計(jì)，并滿足雙因素認(rèn)證的要求。

（3）在公司級部署態(tài)勢感知平臺，實(shí)時(shí)匯聚生產(chǎn)網(wǎng)絡(luò)各種設(shè)備產(chǎn)生的日志告警數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)，構(gòu)建工控企業(yè)級安全大數(shù)據(jù)中心。通過對安全大數(shù)據(jù)的深度挖掘和機(jī)器學(xué)習(xí)智能的分析，為用戶呈現(xiàn)企業(yè)內(nèi)全面的工控網(wǎng)絡(luò)態(tài)勢環(huán)境，并對網(wǎng)絡(luò)整體威脅概況提供可視化展示等功能。

油氣田生產(chǎn)監(jiān)控系統(tǒng)安全管理中心建設(shè)如圖3所示。

圖3 油氣田生產(chǎn)監(jiān)控系統(tǒng)安全管理中心建設(shè)圖

3.6 安全運(yùn)維能力建設(shè)

油氣田生產(chǎn)監(jiān)控系統(tǒng)的安全防護(hù)離不開日常的使用和運(yùn)維，如何最大化地發(fā)揮安全設(shè)備的安全防護(hù)能力，如何面對突發(fā)的安全事件，為生產(chǎn)系統(tǒng)長期安全穩(wěn)定的運(yùn)行提供持續(xù)支持，都依賴于安全運(yùn)維的建設(shè)。

（1）安全規(guī)劃

從業(yè)務(wù)需求出發(fā)，結(jié)合合規(guī)性要求，提取安全需求，從策略、組織、管理、技術(shù)、資源等多方面綜合考慮，對生產(chǎn)系統(tǒng)的安全目標(biāo)、任務(wù)、措施和步驟進(jìn)行整體規(guī)劃。

（2）安全設(shè)備運(yùn)維

根據(jù)業(yè)務(wù)需求及變動(dòng)，對安全設(shè)備策略進(jìn)行更新、配置進(jìn)行優(yōu)化等。

（3）安全事件管理

對安全事件提供分析及處理能力，并且依據(jù)各類各級安全事件，編制應(yīng)急預(yù)案和指導(dǎo)應(yīng)急演練。

（4）日常安全運(yùn)維

依據(jù)國家和行業(yè)相關(guān)標(biāo)準(zhǔn)，評估生產(chǎn)監(jiān)控系統(tǒng)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并進(jìn)行相應(yīng)的日常安全運(yùn)維，包括日志信息的備份、安全培訓(xùn)、資產(chǎn)安全分析、主機(jī)安全加固、網(wǎng)絡(luò)設(shè)備整改等。

4 油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全方案應(yīng)用

在某油氣田生產(chǎn)監(jiān)控系統(tǒng)中，由于地域范圍太廣，大部分底層井場以及站場（處理站、集輸站、計(jì)量站、中轉(zhuǎn)油庫等）的生產(chǎn)數(shù)據(jù)通過分布在生產(chǎn)區(qū)域的無線通訊裝置（如通訊鐵塔）進(jìn)行匯聚（到匯聚通訊塔、中心通訊塔等），再通過光纖接入主干網(wǎng)核心交換機(jī)；部分近距離大型站場（聯(lián)合站）的生產(chǎn)數(shù)據(jù)則通過光纖直接接入主干網(wǎng)核心交換機(jī)，生產(chǎn)管理中心的生產(chǎn)監(jiān)控系統(tǒng)實(shí)時(shí)數(shù)據(jù)服務(wù)器通過核心交換機(jī)獲取相應(yīng)的生產(chǎn)數(shù)據(jù)。

根據(jù)油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全整體解決方案的思路，我們進(jìn)行了網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)安全系統(tǒng)部署如圖4所示。

圖4 網(wǎng)絡(luò)安全系統(tǒng)部署圖

（1）安全分區(qū)

將生產(chǎn)監(jiān)控系統(tǒng)劃分為井場、站場、生產(chǎn)管理中心和生產(chǎn)指揮中心四個(gè)安全區(qū)域。

（2）邊界防護(hù)

在井場與生產(chǎn)管理中心之間、站場與生產(chǎn)管理中心之間，部署工業(yè)防火墻，通過白名單功能對正常通信行為學(xué)習(xí)后，生成指令級防護(hù)策略，對井場、站場與生產(chǎn)管理中心間的工控指令攻擊、控制參數(shù)修改等進(jìn)行有效防護(hù)；同時(shí)在生產(chǎn)管理中心和生產(chǎn)指揮中心之間部署了工業(yè)網(wǎng)閘，僅允許實(shí)時(shí)數(shù)據(jù)庫的生產(chǎn)數(shù)據(jù)和流媒體服務(wù)器的視頻數(shù)據(jù)單向傳輸，具體到雙方的IP地址、MAC地址、端口、協(xié)議等。

（3）網(wǎng)絡(luò)安全監(jiān)控

在生產(chǎn)管理中心部署工業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和入侵檢測系統(tǒng)以及部分重要大型站場（處理站、集輸站、計(jì)量站、中轉(zhuǎn)油庫等）部署工業(yè)安全審計(jì)系統(tǒng)，實(shí)現(xiàn)生產(chǎn)監(jiān)控系統(tǒng)的運(yùn)行期行為模型分析，包括已知行為模型分析（工業(yè)安全審計(jì)系統(tǒng)）和未知行為模型分析（入侵檢測系統(tǒng)）。

通過對油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)特征、設(shè)備和協(xié)議類型信息采集（如網(wǎng)絡(luò)拓?fù)洹⒃O(shè)備清冊、協(xié)議清冊、業(yè)務(wù)數(shù)據(jù)流等），并將其導(dǎo)入工業(yè)安全審計(jì)系統(tǒng)以及入侵檢測系統(tǒng)，可進(jìn)行生產(chǎn)監(jiān)控系統(tǒng)中設(shè)備和協(xié)議脆弱性關(guān)聯(lián)分析和行為模型分析，進(jìn)而實(shí)現(xiàn)系統(tǒng)的威脅影響度量分析。

（4）終端安全加固

對生產(chǎn)監(jiān)控系統(tǒng)內(nèi)工程師站、操作員站和服務(wù)器采用主機(jī)衛(wèi)士（主機(jī)白名單防護(hù)軟件）進(jìn)行安全防護(hù)，僅允許上位機(jī)監(jiān)控軟件、數(shù)據(jù)庫等必要的進(jìn)程運(yùn)行，禁止一切未知程序和腳本的執(zhí)行，從根本上保障主機(jī)運(yùn)行環(huán)境的安全。

（5）安全運(yùn)維審計(jì)

在生產(chǎn)管理中心運(yùn)維區(qū)域部署堡壘機(jī)，采用安全運(yùn)維審計(jì)技術(shù)對服務(wù)器、網(wǎng)絡(luò)交換、網(wǎng)絡(luò)安全等設(shè)備集中運(yùn)維，可以實(shí)現(xiàn)單點(diǎn)登錄、集中賬號管理、身份認(rèn)證、資源授權(quán)、訪問控制以及操作審計(jì)等功能。

（6）集中安全管理

在生產(chǎn)管理中心部署工業(yè)安全管理平臺，對工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及主機(jī)衛(wèi)士等進(jìn)行統(tǒng)一策略管理和實(shí)時(shí)監(jiān)控，提升對整個(gè)生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)的安全監(jiān)控和管理效率。

（7）態(tài)勢感知

在生產(chǎn)指揮中心部署態(tài)勢感知平臺，收集生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)的日志及告警信息，對多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)和識別，發(fā)現(xiàn)潛在漏洞、預(yù)測未知攻擊，對當(dāng)前工業(yè)系統(tǒng)全局網(wǎng)絡(luò)安全狀況進(jìn)行綜合分析與評估；并對惡意代碼、漏洞、攻擊方法等進(jìn)行搜集、整理和分析后，與權(quán)威漏洞庫進(jìn)行關(guān)聯(lián)評測，進(jìn)行預(yù)警與展示，提高全局網(wǎng)絡(luò)安全防御能力。

5 方案意義

油氣田生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全整體解決方案在油氣行業(yè)領(lǐng)域具有很高的應(yīng)用價(jià)值和指導(dǎo)意義。

（1）依據(jù)國家信息安全等級保護(hù)制度結(jié)合業(yè)務(wù)情況實(shí)現(xiàn)了生產(chǎn)監(jiān)控系統(tǒng)的安全防護(hù)，滿足國家合規(guī)性要求。

（2）滿足集團(tuán)公司網(wǎng)絡(luò)安全管理辦法對所屬企事業(yè)單位工控安全防護(hù)要求。

（3）提高了生產(chǎn)監(jiān)控系統(tǒng)運(yùn)行穩(wěn)定性，加強(qiáng)了系統(tǒng)的安全管理和技術(shù)防護(hù)能力，防范黑客及惡意代碼等對生產(chǎn)監(jiān)控系統(tǒng)的攻擊及侵害，保障企業(yè)生產(chǎn)系統(tǒng)的安全穩(wěn)定運(yùn)行，提高維護(hù)工作速度，提升工作效率。

6 結(jié)論

隨著工業(yè)化與信息化的深度融合，油氣田原有的生產(chǎn)監(jiān)控系統(tǒng)的封閉環(huán)境逐步被打破，網(wǎng)絡(luò)安全問題日益突出，安全威脅不斷升級。實(shí)際應(yīng)用證明，通過安全分區(qū)、邊界防護(hù)、網(wǎng)絡(luò)安全監(jiān)控、終端安全加固、安全管理中心建立等方面形成的整體解決方案，可以切實(shí)提高油氣田生產(chǎn)監(jiān)控系統(tǒng)的安全防護(hù)能力，同時(shí)通過安全運(yùn)維能力的建設(shè)，可以逐步提升應(yīng)對安全威脅的能力。

然而在當(dāng)前工業(yè)互聯(lián)網(wǎng)新形勢下，隨著攻擊手段的多樣化，對安全防護(hù)技術(shù)、安全防護(hù)方案及安全運(yùn)維能力提出了更高要求，需要更多的應(yīng)用來促進(jìn)方案的不斷成熟。

作者簡介：

賈志鵬 （1984-），男，甘肅慶陽人，信息工程工程師，學(xué)士，現(xiàn)就職于北京貝諾電子科技發(fā)展有限公司，主要從事智能化、數(shù)字化、信息化方面的建設(shè)管理工作。

參考文獻(xiàn)：

[1]常季成,賈政,姜路.油田工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀與發(fā)展趨勢[J].儀器儀表標(biāo)準(zhǔn)化與計(jì)量,2021,(2):21-25.

[2]GB/T22239-2019,信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].

[3]楊斌.淺談?dòng)蜌馓镄袠I(yè)工控安全防御體系建設(shè)[J].通信管理與技術(shù),2021,(8):53-67.

摘自《自動(dòng)化博覽》2022年7月刊