海油平台工控系统安全解决方案产品介绍，海油平台工控系统安全解决方案。

海油平台安全解决方案

背景介绍

海洋石油平台由于设备繁复、工艺复杂且造价昂贵，要求其中央控制系统不允许存在任何安全薄弱环节。过去，海洋石油平台中央控制系统是单独的、相对封闭的控制系统，随着信息化与工业化深度融合，数字海油、互联海油、智慧海油的不断建设，海上油田工控系统引入了信息、网络、物联网等技术，打破了孤立的状态，和工控网络内外的系统进行信息交互日益频繁，而工控系统由于防护手段的缺失，必然面临极大的风险。

安全挑战

海洋石油平台的中控系统包括过程控制系统PCS（Process Control System）、紧急关断系统ESD（ Emergency Shutdown System）和火气监控/消防系统FGS（ Fire & Gas System）。三个控制系统中的任何一个受到攻击，都会对平台的正常生产造成严重影响。甚至会导致国家财产、人员生命安全的重大损失，造成海洋环境的污染。海洋石油平台面临的工业控制系统安全风险主要有：

大量使用国外工业控制系统，对国外品牌过度依赖；

网络连接不断扩大，网络边界模糊；

PCS、ESD、FGS系统通常总包给一个厂家，风险相对集中，一个系统受到攻击，极易导致整个控制系统的崩溃；

标准化的协议和技术的应用，增加了工业控制系统的脆弱性；

控制设备、网络设备、操作终端等上线时间长，主机操作系统很难进行升级。

典型部署

监测审计

在井口平台、中心平台/FPSO的工控网络中旁路部署工控安全监测审计系统，对网络内传输的流量进行采集、分析和处理，结合特定的安全策略，对异常操作、攻击等行为进行事中告警、事后审计。

入侵检测

在中心平台/FPSO汇聚交换机旁路部署入侵检测系统，对流量进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的异常、攻击行为。

边界防护

在井口平台、中心平台/FPSO的网络边界处部署工控防火墙，实现区域边界防护。

运维管控

在中心平台/FPSO部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。

终端防护

在井口平台、中心平台/FPSO的操作员站、工程师站上部署终端防护系统客户端，实现终端安全加固、进程白名单管控和USB移动介质管控。

安全管理平台

在中心平台/FPSO部署安全管理平台（含日志审计），对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，展现安全态势和预警，全面提升安全防护效率和安全管理能力。同时可在作业公司管理中心、有限公司管理中心分别部署安全管理平台，构建统一的可视化管理模式。

客户价值

满足智能油田发展规划及工控安全防护要求；

全面提高油田生产网络的整体安全性，确保终端、系统、网络的可靠性、稳定性和安全性；

通过可视化的安全管理模式，有效解决油田分布地域广泛、现场排查不及时等安全管理难点。