一种用于海上平台的网络安全防护系统的制作方法

本发明涉及一种网络安全防护系统架构，特别是关于一种用于海上平台的网络安全防护系统。

背景技术：

1、互联网和工业的深度融合，打破了传统工业领域相对封闭可信的环境，工控网络由封闭的系统逐步转变为开放的系统，开放的工控系统容易遭受黑客的攻击，安全生产的风险也逐步变大。互联网的安全威胁可以渗透进工业领域，这也造成了网络攻击可以直达生产一线。工业环境最大的威胁是专有的靶向类恶意代码，它们的攻击对象是工业控制系统中的工程师站、操作员站、服务器等主机以及dcs、plc等控制器，工控网络的特点也决定了基于it设计的信息安全防护手段（如防火墙、杀毒软件等）无法有效的保护工控网络的安全。

技术实现思路

1、针对上述问题，本发明的目的是提供一种用于海上平台的网络安全防护系统，其提供了海上平台的网络安全防护的解决方案，保证了海上平台的工控系统安全。

2、为实现上述目的，本发明采取以下技术方案：一种用于海上平台的网络安全防护系统，其包括：将海上平台的网络划分为三张网，分别是工控网、生产网和办公网；工控网，为海上油气平台独立的计算机网络，用于传输过程控制系统、应急关断系统和火气系统产生的生产数据；生产网，为海上油平台独立的计算机网络，用于传输关键设备监测以及视频监控等在线监测数据；办公网，为海上平台独立的计算机网络，用于传输日常办公、oa及邮件数据；各网之间都部署有隔离网闸，对网络之间的数据交互进行安全管控。

3、进一步，工控网中连接有中控系统，以及与中控系统连接的现场仪表阀门设备、现场plc、操作员站、工程师站、数据服务器、opc服务器、安全审计系统和安全管理系统；工控网与生产网之间通过隔离网闸进行通信，对工控网与生产网之间的数据交互进行安全管控。

4、进一步，工控网的生产数据通过海陆之间的光纤/卫星/微波系统传输上岸；

5、工控网的生产数据经过一道工业级防火墙后，传输至光纤/卫星/微波系统。

6、进一步，中控系统包括过程控制系统、紧急关断系统和火气系统，将整体的中控系统划分为一个安全区域，以保护工控网的整体。

7、进一步，现场仪表阀门设备通过硬线接入中控系统；现场plc通过modubus485或者modubus tcp/ip通信协议，与中控系统进行数据传输；

8、现场plc过工业防火墙接入中控系统，实现区域边界防护。

9、进一步，工控网上的工程师站、操作员站、数据服务器、opc服务器均内置有工控主机防护软件，实现终端安全防护、进程白名单管控和usb移动介质管控。

10、进一步，安全审计系统用于对工控网中的数据进行监控，安全审计系统与安全管理系统进行数据交互；

11、审计数据由安全管理系统统一管理，统一收集网络日志，通过建模分析当前网络安全状态，为管理员提供可视化的操作行为、异常波动、告警信息，可做到事前监控，事后可追溯原因；

12、安全管理系统用于统一管理工业防火墙、隔离网闸、工控主机防护软件和安全审计系统的安全数据和日志数据。

13、进一步，生产网16中连接有边缘数据中心和集成监测显示终端，以及与边缘数据中心连接的各智能化监测系统数据采集设备和视频服务器；

14、海上平台的各智能化监测系统数据采集设备和视频服务器将监测数据和视频数据流统一传输至边缘数据中心，在该边缘数据中心进行运算处理、存储，并由集成监测显示终端进行集中显示。

15、进一步，生产网通过隔离网闸与办公网进行通信，对生产网与办公网之间的数据交互进行安全管控；

16、生产网的智能化监测数据通过海陆之间的光纤/卫星/微波系统传输上岸；生产网的智能化监测数据经过一道工业级防火墙后传输至光纤/卫星/微波系统。

17、进一步，办公网中连接有办公网服务器，用于日常办公、oa、邮件数据存储；

18、办公网的办公数据通过海陆之间的光纤/卫星/微波系统传输上岸，且办公网的办公数据经过一道信息级防火墙后传输至光纤/卫星/微波系统。

19、本发明由于采取以上技术方案，其具有以下优点：

20、1、本发明在海上平台建设“一个中心” 、“三重防护”安全体系，围绕着安全管理中心、安全通信网络、安全区域边界及安全计算环境，提供全生命周期的安全保障。

21、2、本发明建立纵深防御体系，多级部署边界防护设备，构建多道安全防线。使用工业网闸进行单向隔离，使用工业防火墙进行业务风险识别。

22、3、本发明设置安全管理中心、流量审计、日志审计、主机防护、边界防护等措施实现海上平台的工控网络安全。

23、4、本发明将海上平台的网络划分为三张网，工控网，生产网，办公网，各个网络之间设置隔离网闸。

24、5、本发明将海上平台的平台的中控系统（包括过程控制系统（pcs）、紧急关断系统（esd）、火气系统（fgs））划分为同一安全区域，安全区之间采取严格的通信隔离、过滤等措施，实现工控系统安全防护的区域隔离、通信控制和实时报警。

25、6、本发明在工控网布置数据服务器，集中管理工控系统所有数据，同时布置一台opc服务器，用于将工控网的数据传给生产网。

26、7、本发明在生产网部署智能数据中心，集中管理所有智能监测系统数据。各自在线监测系统部署前端数据采集单元，所有数据在海上平台智能数据中心集中处理和显示。

27、8、本发明为了保障工控网络的安全性，所有数据均需通过生产网传输至陆上。

28、9、本发明将需要进入云端的数据，需要从生产网传输至办公网，通过办公网传入云端服务器。

29、综上，本发明可以广泛应用于海上平台的网络安全防护中。

技术特征：

1.一种用于海上平台的网络安全防护系统，其特征在于，包括：

2.如权利要求1所述用于海上平台的网络安全防护系统，其特征在于，工控网中连接有中控系统，以及与中控系统连接的现场仪表阀门设备、现场plc、操作员站、工程师站、数据服务器、opc服务器、安全审计系统和安全管理系统；工控网与生产网之间通过隔离网闸进行通信，对工控网与生产网之间的数据交互进行安全管控。

3.如权利要求2所述用于海上平台的网络安全防护系统，其特征在于，工控网的生产数据通过海陆之间的光纤/卫星/微波系统传输上岸；

4.如权利要求2所述用于海上平台的网络安全防护系统，其特征在于，中控系统包括过程控制系统、紧急关断系统和火气系统，将整体的中控系统划分为一个安全区域，以保护工控网的整体。

5.如权利要求2所述用于海上平台的网络安全防护系统，其特征在于，现场仪表阀门设备通过硬线接入中控系统；现场plc通过modubus485或者modubus tcp/ip通信协议，与中控系统进行数据传输；

6.如权利要求2所述用于海上平台的网络安全防护系统，其特征在于，工控网上的工程师站、操作员站、数据服务器、opc服务器均内置有工控主机防护软件，实现终端安全防护、进程白名单管控和usb移动介质管控。

7.如权利要求2所述用于海上平台的网络安全防护系统，其特征在于，安全审计系统用于对工控网中的数据进行监控，安全审计系统与安全管理系统进行数据交互；

8.如权利要求1所述用于海上平台的网络安全防护系统，其特征在于，生产网16中连接有边缘数据中心和集成监测显示终端，以及与边缘数据中心连接的各智能化监测系统数据采集设备和视频服务器；

9.如权利要求8所述用于海上平台的网络安全防护系统，其特征在于，生产网通过隔离网闸与办公网进行通信，对生产网与办公网之间的数据交互进行安全管控；

10.如权利要求1所述用于海上平台的网络安全防护系统，其特征在于，办公网中连接有办公网服务器，用于日常办公、oa、邮件数据存储；

技术总结本发明涉及一种用于海上平台的网络安全防护系统，其包括：将海上平台的网络划分为三张网，分别是工控网、生产网和办公网；工控网，为海上油气平台独立的计算机网络，用于传输过程控制系统、应急关断系统和火气系统产生的生产数据；生产网，为海上油平台独立的计算机网络，用于传输关键设备监测以及视频监控等在线监测数据；办公网，为海上平台独立的计算机网络，用于传输日常办公、OA及邮件数据；各网之间都部署有隔离网闸，对网络之间的数据交互进行安全管控。本发明提供了海上平台的网络安全防护的解决方案，保证了海上平台的工控系统安全；可以广泛应用于海上平台的网络安全防护中。技术研发人员：朱春丽,杨金丽,何骁勇,周学军,徐正海,陈迪,钟雨桐,张倩,张艺,王婷婷,贾创受保护的技术使用者：中国海洋石油集团有限公司技术研发日：技术公布日：2024/7/29