当前位置:首页 >> 电力/水利 >>

油田工业生产网安全防护的设计与实现

龙源期刊网 http://www.qikan.com.cn 油田工业生产网安全防护的设计与实现 作者:李雪飞 来源:《硅谷》2013 年第 08 期 摘 要 随着 RTU 设备、工业以太网技术、物联网技术的不断发展和应用,各油田纷纷构建 自己的生产信息网络,来推进信息化带动工业化的进程。这使得原本分散、遥远的生产单元连 成一片,然而,安全隐患问题也因此产生,有必要对其安全防护进行专业设计规划。本文对现 有的油田信息化、网络结构现状进行分析,根据其生产网络安全需求进行合理设计,达到对油 田生产网络进行安全防护、杜绝非法攻击和入侵。 关键词 油田工业生产网;数据库安全防护;安全防护网关 中图分类号:TP393 文献标识码:A 文章编号:1671—7597(2013)042-063-02 1 油田信息化现状 现阶段国内油田数字化建设应用了多项先进的信息技术、自动化技术。数字采集与控制技 术、数据传输网络已相对成熟,建设数字化油田的技术储备已经具备,数据采集传感器监控设 备从有线向无线发展,数据传输网络从单一的有线光缆向有线与无线相结合的方向发展,从无 线公网向无线专网发展。应用系统从简单的数据处理向生产运行管理和调度指挥方向发展,系 统功能不再局限于数据自动采集和报表自动生成,强大的应用系统软件已经能够对采集数据进 行自动分析和处理。国内高新技术企业现已经从模仿国外先进技术发展到了能够自主研发新产 品新系统,基本可以满足国内油田数字化建设的要求,建设所需投资大幅降低,油气生产业务 大面积联网已经具备规模化发展的基础。 2 油田工业生网络结构 国内油田信息化经过近些年的不断发展,尤其在打造“数字油田”、“智慧油田”不断推动 下,各油气田都纷纷的建设了自己的油田生产信息化网络。其典型的网络拓扑结构如下图所 示。 图 1 油田生产网络拓扑结构图 3 油田工业生产网安全需求分析 油田工业生产网是以数据库为核心,数据库存储了油气水井、站库最详细的生产业务数据 信息,生产网络还将承担生产设备的控制指令信息传递的责任,其指令数据的安全、完整和精 准传递将对整个系统的正常运转起到关键性作用,因此必须确保生产网络的安全。根据其网络 拓扑结构及业务类型,生产网安全防护应从以下技术着重考虑: 龙源期刊网 http://www.qikan.com.cn 1)安全防护设备需求。在实时库与关系库之间部署单向隔离网闸设备,防止来生产管理 方面的非法攻击及病毒入侵;在关系数据库和管理区域之间部署安全防护网关,实现对信息内 容尽心过滤审计并防止 SQL 等攻击;生产网络边界,管理服务器前端部署防火墙设备,网络 边界进行防护,实现访问控制。 2)技术手段需求。通过设置多级用户口令、采用双因素认证、访问控制、设置特征码对 比策略、协议分析过滤等等多种技术手段,形成立体纵深防护技术体系。 3)原始数据需要进行加密。运用密码学原理对原始数据进行加密,这样即便非法截取者 得到了数据信息,如果解密不了对于非法截获者来说是毫无用处的。 4 油田工业生产网安全防护设计实现 根据油田生产网网络结构情况及其安全需求,结合国家信息安全等级保护基本要求,油田 工业生产网络的安全应从网络边界安全防护、接入层安全防护、数据库安全防护三个方面重点 进行安全防护设计。具体的安全防护设计网络拓扑图如下。 图 2 油田生产网络安全防护拓扑图 4.1 接入层防护设计 设备部署:在井间站库生产前端部署专用硬件加密模块(也可与 RTU 设备集成),RTU 终端将采集到的数据通过加密模块进行加密处理、经有线或无线传输链路至实时数据库,在 VPN 网关侧进行数据解密处理然后传给油气水井实时数据库系统。 硬件加密模块支持国密以及定制的专用密码算法,为无线传输模块提供基础的证书存储、 数据加密和数字签名服务。硬件加密模块与 VPN 网关形成端到端的数据加密,VPN 网关支持 SM2、RSA1024、SHA-1、MD5 和 SCB2 等密码算法,并提供密钥安全存储和密码运算服务, 并集成 CA&LDAP 服务器,对数字证书的有效性进行验证。 实现功能: 1)提供无线传输模块对 RTU 的身份识别功能,无线传输模块和无线接入网关之间的相互 身份识别功能。 2)为从 RTU 到生产实时数据库服务器提供的数据保密传输功能。 3)可检测和发现数据在公网路段传输过程中是否被修改。 龙源期刊网 http://www.qikan.com.cn 4)IPSec VPN、SSL VPN、安全加密短消息协议本身可抵抗来自公网路段的重放攻击, IPSec VPN 和包过滤防火墙配合可抵抗来自公网的 IP 层以上(包括应用层)的各种攻击,SSL VPN 和包过滤防火墙配合可抵抗来自公网的应用层的各种攻击。 4.2 网络边界防护设计 设备部署:油田工业生产网防护设计首先要考虑的是生产网络与办公网络边界的安全,防 护应该按照等级保护的原则严格执行,生产监控区域与生产管理区域边界间采用严格的安全隔 离,在实时数据库与关系数据库之间设置单向隔离网闸;生产管理区域与关系数据库边界部署 防火墙设备,监控网络用户行为,只有通过认证与授权的合规用户才能接入生产网络。 实现功能: 1)隔离网闸以“摆渡”的方式实现数据交换,确保数据传输的单向性,避免管理区域数据 传向生产监控区域。 2)防火墙可以通过对 IP 地址、端口号、协议进行过滤实现对用户访问控制,拒绝非授权 用户使用;防火墙可以集成防病毒模块对存在的网络病毒进行处理,同时也可以集成入侵检测 模块,通过分析检测网络流量中的数据包内容,寻找可能的攻击行为。 4.3 数据库安全防护设计 数据库是油田工业生产网的核心,数据库的防护包括对数据库的防护设计分为关系数据和 实时数据库的安全防护。 1)关系数据库安全防护。 数据库安全防护网关部署在管理服务器群与关系数据库之间。数据库安全防护网关工作在 数据层,能有效的对数据库进行监控和防护,降低数据库可能面临的如越权滥用,权限盗用,

相关文章:
智慧油田组织运维管理平台的设计与实现
智慧油田组织运维管理平台的设计与实现 - 智慧油田组织运维管理平台的设计与实现 摘要:科学有效的组织运维是智慧油田系统长寿的关键,更是智慧油田工程的核心之一。 ...
毕桂芳--基于PLC的油田污水处理系统的设计与实现改
如何合理的设计安全可靠和便于操作维护的自动监测...污水时,全部的生产过程利用计算机控制和多层次的网络...油田工业污水处理站监控... 暂无评价 13页 免费 ...
电力生产管理系统的设计与实现_图文
电力生产管理系统的设计与实现 - 电力生产管理系统的设计与实现 摘要 随着油田信息化建设的全面推进,信息技术已经成为提升电力管理总公司整 体发展水平的重要支撑。...
节能动态管理论文:胜利油田节能动态管理系统设计与...
节能动态管理论文:胜利油田节能动态管理系统设计与实现...重要的石油工业基地,是全国 第二大油田,地处渤海之...年被评为山东省安全生产先进企业和中石化安全生产单位...
基于ArcGIS的油田事故应急指挥系统的设计与实现_图...
基于ArcGIS的油田事故应急指挥系统的设计与实现_信息...勘探开发辅助决策,对油田的生产和经营管理考虑的较少...面向对象开发实践之路[M].北京:电子工业出版社,2005...
西南油气田管道与场站管理系统的设计和实现
结合油田管道与场站生产管理的实际需 求,实现数据共享...权限的定义维护,以保证系统的安全灵活 性。 ...管线网、支承类设 施等) 、其他附属设备信息(设计...
全面推广标准化设计工作 实现又好又快建设大油气田
(四)油气田管理难度大,安全环保压力大 油气产量实现...长庆油田标准化设计是将“统一、简化、协调、最 ...站为重点的生产系统进行数字化管理是工业化、 信息化...
油田企业教育培训管理系统设计与实现
油田企业教育培训管理系统设计与实现 [摘要]为了提高油田教育培训管理水平,降低管理成 本,增强油田企业市场竞争力,并且考虑到大部分油田企业 具有员工分布广、业务复杂...
安全岗位练兵题库
3 月 2 日: 油田数字化管理重点针对(生产前端),...流量是开采初期衡量气井产能大小、有无工业开采价值...2)采用合理的设计和加工 3 月 31:含硫气田的防腐...
更多相关标签: