前言：本站為你精心整理了海油工程制造企業(yè)信息安全建設(shè)分析范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：針對(duì)海洋油氣生產(chǎn)平臺(tái)上部模塊智能化建造需求，構(gòu)建科學(xué)有效的信息安全防護(hù)體系，促進(jìn)海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)的可持續(xù)發(fā)展，確保生產(chǎn)運(yùn)營(yíng)數(shù)據(jù)的安全，提升企業(yè)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力，開(kāi)展對(duì)海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全的研究，建立適用于海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)發(fā)展的信息安全防護(hù)體系，通過(guò)完善的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)和科學(xué)的監(jiān)管設(shè)計(jì)，確保企業(yè)生產(chǎn)運(yùn)營(yíng)時(shí)的網(wǎng)絡(luò)安全。

關(guān)鍵詞：智能化；海洋油氣生產(chǎn)平臺(tái)；上部模塊；信息安全防護(hù)；網(wǎng)絡(luò)安全架構(gòu)

0引言

近些年來(lái)工業(yè)與信息化的深度融合為產(chǎn)業(yè)升級(jí)帶來(lái)前所未有的機(jī)遇和挑戰(zhàn)，例如在海油工程企業(yè)信息安全方面，面臨著企業(yè)數(shù)據(jù)、設(shè)備控制、工業(yè)軟件應(yīng)用和網(wǎng)絡(luò)維護(hù)等安全挑戰(zhàn)，同時(shí)對(duì)企業(yè)信息安全防護(hù)策略提出更高的要求。據(jù)統(tǒng)計(jì)，自2017年以來(lái)，勒索病毒襲擊全球150多個(gè)國(guó)家和地區(qū)，波及國(guó)家安全、公共衛(wèi)生、郵政、交通、通信和制造等眾多領(lǐng)域。在海油工程的海洋油氣生產(chǎn)平臺(tái)上部模塊制造車間里做好信息安全的防護(hù)，不僅是對(duì)企業(yè)負(fù)責(zé)，更是對(duì)國(guó)家戰(zhàn)略安全負(fù)責(zé)。對(duì)海洋油氣生產(chǎn)平臺(tái)上部模塊制造車間應(yīng)用場(chǎng)景進(jìn)行調(diào)查，分析車間網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)，提出車間層直接信息安全防護(hù)策略和間接信息安全防護(hù)策略的體系架構(gòu)，并制定安全系統(tǒng)防護(hù)方案，實(shí)現(xiàn)海洋油氣生產(chǎn)平臺(tái)上部模塊制造車間整體信息安全[1-2]。

1海洋油氣生產(chǎn)平臺(tái)上部模塊設(shè)備層網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

設(shè)備應(yīng)用層包括海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的多臺(tái)上位機(jī)、服務(wù)器以及各種高精密度數(shù)控設(shè)備等，這些設(shè)備在沒(méi)有安全防護(hù)的情況下很容易被惡意攻擊，比如鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間發(fā)生過(guò)，有設(shè)備關(guān)聯(lián)境外的IP地址，一些鋼板切割設(shè)備或焊接人需要使用U盤或串口連接的方式實(shí)現(xiàn)數(shù)據(jù)傳輸，在數(shù)據(jù)傳送過(guò)程中很容易被各種病毒、惡意代碼等攻擊，造成設(shè)備相關(guān)信息數(shù)據(jù)泄露，或直接影響設(shè)備的使用，大大降低車間的生產(chǎn)效率和產(chǎn)品質(zhì)量。此外，沒(méi)有對(duì)設(shè)備及其日志進(jìn)行統(tǒng)一集中管理，就很難關(guān)聯(lián)分析設(shè)備之間故障存在的關(guān)系，也就不能及時(shí)處理復(fù)雜的問(wèn)題[3]。

2海洋油氣生產(chǎn)平臺(tái)上部模塊制造車間信息安全防護(hù)體系架構(gòu)

海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的網(wǎng)絡(luò)安全防護(hù)體系主要包括直接防護(hù)和間接防護(hù)2個(gè)部分。其中，直接防護(hù)是根據(jù)信息安全防護(hù)的要求、智能制造全生命周期覆蓋、風(fēng)險(xiǎn)防護(hù)經(jīng)驗(yàn)等構(gòu)建體系化防護(hù)框架，在該框架下用來(lái)解決鋼結(jié)構(gòu)制管切割、鋼管焊接機(jī)器人和甲板片體鋼板切割、片體焊接機(jī)器人等設(shè)備的控制、網(wǎng)絡(luò)通信和數(shù)據(jù)管理等問(wèn)題。海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的組網(wǎng)比較靈活，加上工控層不斷產(chǎn)生大量時(shí)序性數(shù)據(jù)，需要構(gòu)建間接防護(hù)措施，通過(guò)動(dòng)態(tài)化防護(hù)策略，實(shí)現(xiàn)多元化的防護(hù)。間接安全防護(hù)策略通過(guò)構(gòu)建工業(yè)安全標(biāo)準(zhǔn)防護(hù)管控平臺(tái)，通過(guò)大數(shù)據(jù)分析實(shí)現(xiàn)潛在安全威脅的監(jiān)測(cè)，實(shí)現(xiàn)及時(shí)預(yù)警和協(xié)同防護(hù)，提升整體海洋油氣生產(chǎn)平臺(tái)上部模塊制造的網(wǎng)絡(luò)安全水平[4]。

2.1直接安全防護(hù)策略

2.1.1設(shè)備層安全防護(hù)

直接安全防護(hù)策略主要是為保護(hù)設(shè)備應(yīng)用安全、通信網(wǎng)絡(luò)安全和計(jì)算機(jī)軟件與數(shù)據(jù)信息安全而采取的保護(hù)措施，其工業(yè)安全標(biāo)準(zhǔn)防護(hù)體系架構(gòu)包括設(shè)備層的安全防護(hù)、控制層的安全防護(hù)和管理應(yīng)用層的安全防護(hù)。其中，設(shè)備層的安全防護(hù)可通過(guò)安全級(jí)別評(píng)估、加/解密、安全防火墻、網(wǎng)絡(luò)入侵檢測(cè)等系統(tǒng)實(shí)現(xiàn)海洋油氣生產(chǎn)平臺(tái)上部模塊智能制造基礎(chǔ)設(shè)施設(shè)備層、控制層和監(jiān)控層的保護(hù)。通過(guò)構(gòu)建設(shè)備層工業(yè)安全標(biāo)準(zhǔn)防護(hù)體系實(shí)現(xiàn)數(shù)據(jù)審查，確保數(shù)據(jù)的完整性并將其貫穿在現(xiàn)場(chǎng)控制層和操作層的控制中，保證數(shù)據(jù)在傳輸和執(zhí)行過(guò)程中的安全可靠。針對(duì)鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間工控終端的安全，部署基于IP地址白名單管理的服務(wù)器、生產(chǎn)線的上位機(jī)等，整個(gè)工控終端安全防護(hù)全面覆蓋控制層的對(duì)象連接和嵌入過(guò)程控制（OLEforProcessControl，OPC）服務(wù)和可編程邏輯控制器（ProgrammableLogicController，PLC）模塊，實(shí)現(xiàn)對(duì)鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間數(shù)據(jù)安全的智能管控。其次，根據(jù)安全檢測(cè)評(píng)估的理論基礎(chǔ)和經(jīng)驗(yàn)，結(jié)合成熟的技術(shù)實(shí)現(xiàn)對(duì)鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間設(shè)備的定期檢查，同時(shí)結(jié)合智能化安全防護(hù)終端進(jìn)行智能化串口、網(wǎng)口數(shù)據(jù)的檢查，避免出現(xiàn)非法數(shù)據(jù)的傳輸。對(duì)于用戶終端通過(guò)完善的終端安全防護(hù)體系，即包含身份驗(yàn)證、標(biāo)準(zhǔn)化管理、日志審計(jì)等來(lái)確保設(shè)備層操作系統(tǒng)的安全，避免出現(xiàn)安全控制系統(tǒng)中的非法操作，確保設(shè)備層網(wǎng)絡(luò)安全，實(shí)現(xiàn)主動(dòng)精準(zhǔn)防御，提升海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間工控網(wǎng)絡(luò)設(shè)備的安全性。

2.1.2通信網(wǎng)絡(luò)層安全防護(hù)

海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的通信網(wǎng)絡(luò)層安全防護(hù)，應(yīng)結(jié)合不同層次和業(yè)務(wù)的需求劃分安全域，然后根據(jù)安全域部署工控網(wǎng)絡(luò)檢測(cè)系統(tǒng)、隔離系統(tǒng)和安全防護(hù)系統(tǒng)，具體可使用工業(yè)防火墻實(shí)現(xiàn)邏輯隔離，實(shí)施監(jiān)控?cái)?shù)據(jù)的產(chǎn)生，從而可有效減少誤操作和病毒攻擊。對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)審查，分析潛在的網(wǎng)絡(luò)攻擊行為，及時(shí)向主機(jī)系統(tǒng)進(jìn)行報(bào)警。在無(wú)線網(wǎng)絡(luò)的應(yīng)用上，防護(hù)層通過(guò)實(shí)時(shí)監(jiān)測(cè)OPC服務(wù)/PLC模塊來(lái)實(shí)現(xiàn)域名管理、合法連接、IP跟蹤和用戶名密碼管理等，從而降低信息被盜取的風(fēng)險(xiǎn)。

2.1.3數(shù)據(jù)應(yīng)用層安全防護(hù)

數(shù)據(jù)層集中在應(yīng)用軟件管理上，本身應(yīng)用軟件具有開(kāi)放的特征，很容易在使用時(shí)出現(xiàn)安全隱患，在這種情況下需要采取相應(yīng)的標(biāo)準(zhǔn)化措施，制定相應(yīng)標(biāo)準(zhǔn)、數(shù)據(jù)庫(kù)和測(cè)試開(kāi)發(fā)環(huán)境等，對(duì)海油工程模型數(shù)據(jù)的安全性進(jìn)行分析，從而提高對(duì)工業(yè)用的建模軟件、生產(chǎn)管理軟件以及APP等漏洞進(jìn)行實(shí)時(shí)監(jiān)測(cè)，做好漏洞修復(fù)和病毒的隔離工作。為了確保數(shù)據(jù)的安全性，應(yīng)及時(shí)做好下車間輕量化模型數(shù)據(jù)、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)的存儲(chǔ)備份，有條件的還需要定時(shí)做好異地備份，對(duì)于鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間所有控制系統(tǒng)涉及的切割、焊接指令等做好相應(yīng)的加密和認(rèn)證處理。最后，利用實(shí)時(shí)數(shù)據(jù)監(jiān)控工具進(jìn)行數(shù)據(jù)安全分析和運(yùn)行維護(hù)，可確保車間整體工控系統(tǒng)的網(wǎng)絡(luò)安全。

2.2間接安全防護(hù)策略

間接安全防護(hù)策略是一種作為輔助鋼結(jié)構(gòu)制管和甲板片體制造全生命周期安全防護(hù)的系統(tǒng)。在已經(jīng)部署了對(duì)智能化設(shè)備不同層的工控安全防護(hù)系統(tǒng)后，打破傳統(tǒng)物理防護(hù)模式，采用統(tǒng)一的安全綜合管控系統(tǒng)提前預(yù)警和及時(shí)防護(hù)，可全面提高海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間控制網(wǎng)絡(luò)的安全。構(gòu)建該系統(tǒng)平臺(tái)的主要作用是提前感知可能出現(xiàn)的網(wǎng)絡(luò)信息安全問(wèn)題并及早采取解決策略。同時(shí)實(shí)現(xiàn)和工控安全設(shè)備的聯(lián)動(dòng)，構(gòu)建動(dòng)態(tài)化調(diào)整機(jī)制，從而確保鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間能穩(wěn)定運(yùn)行。具體來(lái)說(shuō)，利用該間接安全防護(hù)平臺(tái)實(shí)現(xiàn)對(duì)設(shè)備、工控系統(tǒng)、傳感器等的數(shù)據(jù)采集和監(jiān)控，然后采用大數(shù)據(jù)分析技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)安全隱患的排除，及早主動(dòng)防御，將安全隱患源頭及早滅除。在大數(shù)據(jù)應(yīng)用攻擊路徑分析時(shí)，根據(jù)黑客入侵規(guī)律和特征，采用卷積神經(jīng)網(wǎng)絡(luò)算法訓(xùn)練預(yù)測(cè)黑客攻擊路線和目標(biāo)的數(shù)學(xué)模型，針對(duì)黑客的路徑和目標(biāo)，制定相應(yīng)的防護(hù)措施和策略。并對(duì)每一條潛在的路徑攻擊進(jìn)行監(jiān)控，提供基于優(yōu)化算法的監(jiān)測(cè)數(shù)據(jù)用來(lái)實(shí)現(xiàn)攻擊路線防護(hù)評(píng)估，同時(shí)測(cè)試網(wǎng)絡(luò)系統(tǒng)的安全性并進(jìn)行自優(yōu)化。在大數(shù)據(jù)應(yīng)用上，通過(guò)建設(shè)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)確定數(shù)據(jù)采集中存在的風(fēng)險(xiǎn)問(wèn)題，并利用大數(shù)據(jù)分析技術(shù)實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)安全態(tài)勢(shì)的分析和預(yù)警，完善安全風(fēng)險(xiǎn)預(yù)估系統(tǒng)，可實(shí)現(xiàn)控制源檢測(cè)加強(qiáng)的目的，從源頭上減少病毒入侵事故，并通過(guò)模擬攻擊提高安全評(píng)估系統(tǒng)的準(zhǔn)確性，以實(shí)現(xiàn)海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)工控系統(tǒng)自我感知、自我分析和自我干預(yù)、決策的目的。

2.3綜合化、全方位網(wǎng)絡(luò)安全防護(hù)

將直接安全防護(hù)和間接安全防護(hù)綜合起來(lái)構(gòu)建全方位的網(wǎng)絡(luò)安全防護(hù)體系，不僅完善了海洋油氣生產(chǎn)平臺(tái)上部模塊智能制造基礎(chǔ)設(shè)施的安全防護(hù)，而且也采用間接防護(hù)的形式實(shí)現(xiàn)整體態(tài)勢(shì)的感知和響應(yīng)，實(shí)現(xiàn)了及時(shí)預(yù)警和主動(dòng)防御的功能，使得鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間的運(yùn)行更加安全可靠，推動(dòng)海洋油氣生產(chǎn)平臺(tái)上部模塊建造的可持續(xù)穩(wěn)定發(fā)展，對(duì)于提升生產(chǎn)制造的效率、促進(jìn)行業(yè)的可持續(xù)發(fā)展具有十分重要的意義。

3安全系統(tǒng)防護(hù)部署策略

總體部署策略是：首先，在海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)的辦公核心區(qū)域部署防火墻、防御病毒入侵的設(shè)備，避免互聯(lián)網(wǎng)的安全威脅問(wèn)題滲透到企業(yè)內(nèi)部；其次，改造重點(diǎn)數(shù)據(jù)/文件服務(wù)器，對(duì)重要數(shù)據(jù)/文件服務(wù)器的數(shù)據(jù)庫(kù)操作行為進(jìn)行審計(jì)管理，在鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間部署工控安全防護(hù)系統(tǒng)以實(shí)現(xiàn)對(duì)車間生產(chǎn)網(wǎng)絡(luò)中各種鋼管切割機(jī)、焊接機(jī)器人、數(shù)據(jù)/文件服務(wù)器和工控操作系統(tǒng)的檢查，阻止因系統(tǒng)漏洞對(duì)現(xiàn)場(chǎng)生產(chǎn)造成的安全隱患問(wèn)題。然后對(duì)鋼管切割機(jī)、焊接機(jī)器人等先進(jìn)生產(chǎn)線等接入帶網(wǎng)管的匯聚層交換機(jī)，在匯聚層加上一道網(wǎng)管IP控制，切斷病毒向其他網(wǎng)段擴(kuò)散，保證工控層的安全[5]。此外，在鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間部署無(wú)線安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)無(wú)線設(shè)備的安全防護(hù)，避免因無(wú)線接入網(wǎng)絡(luò)問(wèn)題而導(dǎo)致病毒侵入制管和甲板片體生產(chǎn)區(qū)。

3.1進(jìn)出口防火墻和區(qū)域策略防火墻部署

為確保海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間工控網(wǎng)絡(luò)進(jìn)出口安全和企業(yè)內(nèi)部網(wǎng)絡(luò)間隔離的要求，必須部署區(qū)域策略防火墻來(lái)實(shí)現(xiàn)安全防護(hù)，避免出現(xiàn)非法訪問(wèn)、網(wǎng)絡(luò)攻擊和病毒入侵的問(wèn)題。利用進(jìn)出口控制和基于策略的安全防護(hù)設(shè)備，實(shí)現(xiàn)企業(yè)車間網(wǎng)絡(luò)安全防護(hù)。進(jìn)出口控制和基于策略的安全網(wǎng)關(guān)使用高度集成化軟件設(shè)計(jì)，集傳統(tǒng)防火墻、虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）設(shè)備、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、分布式拒絕服務(wù)攻擊防護(hù)（Anti-DistributedDenialofService，Anti-DDoS）、URL過(guò)濾、反垃圾郵件、應(yīng)用識(shí)別等基礎(chǔ)性安全性能和綜合應(yīng)用。防火墻架構(gòu)部署具有體積小、耗能少、容易操作和維護(hù)的優(yōu)點(diǎn)，同時(shí)基于云計(jì)算技術(shù)提供了智能防護(hù)的服務(wù)，使得用戶端能更靈活主動(dòng)地抵御更為復(fù)雜的安全問(wèn)題。

3.2車間層光閘設(shè)備部署

企業(yè)辦公/OA網(wǎng)絡(luò)和生產(chǎn)區(qū)域工控網(wǎng)絡(luò)在沒(méi)有安全訪問(wèn)控制措施的情況下，不同IP地址的網(wǎng)絡(luò)，尤其是工控層的網(wǎng)絡(luò)IP地址能訪問(wèn)企業(yè)辦公/OA的網(wǎng)絡(luò)信息，所以安全性很低。采用光閘設(shè)備，單向傳輸?shù)奶匦裕瑢⑥k公區(qū)域和生產(chǎn)區(qū)域進(jìn)行隔離，通過(guò)訪問(wèn)限制來(lái)提升網(wǎng)絡(luò)的安全系數(shù)，確保海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)內(nèi)部網(wǎng)絡(luò)只能在授權(quán)的條件下才能進(jìn)入。通過(guò)光閘對(duì)兩端的系統(tǒng)服務(wù)器進(jìn)行安全隔離，被隔離的服務(wù)器網(wǎng)絡(luò)之間無(wú)法隨意實(shí)現(xiàn)數(shù)據(jù)信息的傳輸。網(wǎng)絡(luò)安全隔離以后，信息交換系統(tǒng)在自身具有較高安全性的基礎(chǔ)上可組織來(lái)自網(wǎng)絡(luò)任何協(xié)議層的攻擊，企業(yè)辦公/OA網(wǎng)絡(luò)和生產(chǎn)區(qū)域工控網(wǎng)絡(luò)之間所有傳輸?shù)臄?shù)據(jù)信息都需要先進(jìn)行協(xié)議還原，然后對(duì)制造執(zhí)行系統(tǒng)（ManufacturingExecutionSystem，MES）、物流執(zhí)行系統(tǒng)（LogisticsExecutionSystem，LES）以及數(shù)據(jù)采集與監(jiān)視控制（SupervisoryControlAndDataAcquisition，SCADA）系統(tǒng)等數(shù)據(jù)采集、作業(yè)執(zhí)行數(shù)據(jù)信息進(jìn)行檢查，采用格式化數(shù)據(jù)塊，基于光的單向性的單向隔離對(duì)數(shù)據(jù)信息進(jìn)行單向交換，完成來(lái)自主機(jī)系統(tǒng)對(duì)用戶身份的確認(rèn)，確保數(shù)據(jù)的安全，完成數(shù)據(jù)通信。這樣一方面進(jìn)行了物理隔離，阻斷攻擊連接，另一方面通過(guò)強(qiáng)制性信息內(nèi)容檢測(cè)進(jìn)一步強(qiáng)化了通信安全。

3.3工業(yè)防火墻設(shè)備部署

根據(jù)海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)生產(chǎn)網(wǎng)安全防護(hù)優(yōu)先級(jí)規(guī)定，針對(duì)企業(yè)辦公/OA網(wǎng)絡(luò)和生產(chǎn)區(qū)域工控網(wǎng)絡(luò)邊界進(jìn)行安全隔離防護(hù)。工業(yè)防火墻可以把信息管理網(wǎng)與工控網(wǎng)絡(luò)隔離開(kāi)，同時(shí)也可以通過(guò)防火墻將控制網(wǎng)與生產(chǎn)網(wǎng)、工控網(wǎng)絡(luò)中不同車間、不同區(qū)域的服務(wù)器進(jìn)行邏輯分離，進(jìn)行分區(qū)分域重點(diǎn)防護(hù)。在工控系統(tǒng)信息網(wǎng)絡(luò)安全建設(shè)中，工業(yè)防火墻是必不可少的安全訪問(wèn)控制的措施。在海洋油氣生產(chǎn)平臺(tái)上部模塊鋼結(jié)構(gòu)制管、甲板片體生產(chǎn)車間工控系統(tǒng)信息安全建設(shè)中工業(yè)防火墻體系部署在工控網(wǎng)絡(luò)系統(tǒng)的邊界、生產(chǎn)管理域和現(xiàn)場(chǎng)控制域網(wǎng)絡(luò)邊界和內(nèi)部需要做防護(hù)的區(qū)域、工業(yè)控制系統(tǒng)的邊界和每個(gè)車間區(qū)域之間。工業(yè)防火墻的部署，阻止了任何不可信數(shù)據(jù)包進(jìn)入控制網(wǎng)，通過(guò)防火墻的白名單功能可以將病毒木馬拒之門外，阻止任何其他指令進(jìn)入安全域，包括來(lái)自未知主機(jī)的“合法”指令，能夠?qū)た鼐W(wǎng)絡(luò)的異常報(bào)文，如land、pingofdeath等進(jìn)行檢測(cè)，并且可以對(duì)pingflood、用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol，UDP）等攻擊進(jìn)行防范，對(duì)所有通信過(guò)程進(jìn)行記錄和審計(jì)，對(duì)深度包檢測(cè)（DeepPacketInspection，DPI）進(jìn)行讀寫操作的細(xì)粒度控制。

3.4車間工控網(wǎng)異常監(jiān)測(cè)系統(tǒng)

車間工控網(wǎng)異常監(jiān)測(cè)指的是采集鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間工控網(wǎng)絡(luò)中的數(shù)據(jù)包，確保工控層切割、焊接等數(shù)據(jù)采集的完整性，對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行分析擴(kuò)展處理，有效檢測(cè)工控網(wǎng)絡(luò)中的通信異常和協(xié)議異常并加以阻止，進(jìn)而避免工控系統(tǒng)的意外癱瘓。同時(shí)，基于“白環(huán)境”理念的解決方案無(wú)需對(duì)工控網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造，避免頻繁升級(jí)工控系統(tǒng)，減少系統(tǒng)維護(hù)時(shí)間。

4結(jié)論

綜上所述，以海洋油氣生產(chǎn)平臺(tái)上部模塊的鋼結(jié)構(gòu)制管和甲板片體生產(chǎn)車間為例，分析了如何通過(guò)智能車間工控網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建來(lái)實(shí)現(xiàn)車間智能化建設(shè)的目標(biāo)，并結(jié)合海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)未來(lái)發(fā)展需求提出綜合化全方位的工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。在該系統(tǒng)體系下，不僅可實(shí)現(xiàn)對(duì)各種設(shè)備的運(yùn)行安全防護(hù)，更重要的是可實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的安全保護(hù)，大大減少了黑客攻擊、病毒入侵給海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)生產(chǎn)運(yùn)行帶來(lái)的影響。在未來(lái)，通過(guò)對(duì)安全防護(hù)體系的進(jìn)一步健全完善，可提升海洋油氣生產(chǎn)平臺(tái)上部模塊制造企業(yè)工控網(wǎng)絡(luò)系統(tǒng)整體安全防護(hù)的水平。

參考文獻(xiàn)：

[1]李剛,鄭美紅.智能制造工控網(wǎng)絡(luò)安全防護(hù)體系發(fā)展概述[J].信息技術(shù)與網(wǎng)絡(luò)安全,2019,38(6):6-10.

[2]吳吉慶,韋有雙.智能制造帶來(lái)的工業(yè)信息安全思考[J].工業(yè)控制系統(tǒng)及信息安全,2018,37(3):24-27.

[3]周峰,邵枝華,陳淥萍.智能制造系統(tǒng)安全風(fēng)險(xiǎn)分析[J].電子科學(xué)技術(shù),2017,4(2):45-51.

[4]郭肖旺,閔曉霜,韓慶敏.基于自適應(yīng)深度檢測(cè)的工控安全防護(hù)系統(tǒng)設(shè)計(jì)[J].電子技術(shù)應(yīng)用,2019(1):85-87.

[5]豐大軍,張曉莉,杜文玉,等.安全可信工業(yè)控制系統(tǒng)構(gòu)建方案[J].電子技術(shù)應(yīng)用,2017(10):74-77.

作者：董家琛 單位：上海船舶工藝研究所