海洋石油平台由于设备繁复、工艺复杂且造价昂贵，要求其中央控制系统不允许存在任何安全薄弱环节。过去海洋石油平台中央控制系统是单独的、相对封闭的控制系统，随着信息化与工业化深度融合，数字海油、互联海油、智慧海油的不断建设，海上油田工控系统引入了信息、网络、物联网等技术，打破了孤立的状态，和工控网络内外的系统进行信息交互日益频繁，而工控系统由于防护手段的缺失，必然面临极大的风险。

需求分析

目前海上油田正逐步向智能化、智慧化发展，海上油田工控系统面临着来自各个层面的挑战：如外部攻击的加剧、内部威胁的发展、应用系统的漏洞、各种病毒的攻击等威胁，且海上油田工控安全建设往往滞后于智能化、智慧化建设，无法应对日益增长的网络威胁，可能导致其遭受网络攻击而使生产停滞。因此需加快海上油田工控安全建设，保障海上油田工控安全稳定运行。

解决方案

海上油田工控安全防护体系的建设工作，主要依据《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)《工业控制系统信息安全防护指南》等工控安全相关政策、标准及监管要求。针对海上油田企业的网络架构特点及相关标准规范要求，进行分层、分区、划域，各层次、区域之间采用合理的安全防护措施。
海上油田企业的井口平台层及中心平台/FPSO层工控系统种类较多，包括：ESD系统、FGS系统、PCS系统等。通过本解决方案建设可解决数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，以及各跨网交换非授权访问、系统间病毒横向传播的风险。

在各工控系统的上位机、服务器部署工控主机卫士软件，解决系统及工控应用漏洞、管理员不打补丁、身份鉴别过于单一的问题；同时为主机针对已知、未知病毒提供防护措施；针对容易发生误操作、非法攻击、勒索病毒感染等安全事件提供即时告警，进而提升工控主机安全防御能力。

在各工控系统内部部署工业网络审计系统加强对工业流量的监测审计，针对工控系统协议层面存在的恶意攻击、异常流量进行深度解析，对工控指令攻击和控制参数篡改进行实时监测和告警。

海上油田企业中心平台/FPSO层中运行着安全监控、生产综合调度、三维采矿平台等重要业务系统。企业资源层运行ERP、OA等系统，同时连接云平台、互联网。通过本解决方案在边界安全、入侵检测、日志审计、运维审计、安全管理平台、态势分析等层面构建了主动防御体系。

建设海上油田行业公司及有限公司生产管理中心层，对工业生产全景进行安全态势感知、分析、预警及准入控制，并对异常报警行为形成工单分配给人工进行干预处理，同时与相应防护设备进行协同防御。

方案价值

• 满足标准合规性要求

符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》等海上油田企业工控安全相关政策、标准及监管要求。

• 构建海上油田企业体系化安全

通过强化海上油田企业区域内网络、主机及数据的安全防护，极大增强了海上油田企业的整体安全防护能力，确保强化海上油田企业生产可持续运营，构建边界安全、物联设备安全的纵深防护体系。

• 提升海上油田企业生产安全性

此方案深度融合有海上油田企业工控设施，降低海上油田企业的安全运营风险，提高安全运维效率，为海上油田企业智能化、智慧化建设提供可靠的安全保障。

• 促进海上油田企业智能化发展

通过建设海上油田企业工控安全防护体系，可解决海上油田企业智能化建设过程中带来的信息安全风险，保障海上油田企业工控设施、智能化系统安全及设备可靠运转的目标。