国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★南京訊石數(shù)據(jù)科技有限公司 牛毅

1　背景

在油田開采過程中，采油數(shù)據(jù)一般通過運(yùn)營(yíng)商無線網(wǎng)絡(luò)進(jìn)行傳輸和交互，數(shù)據(jù)采集終端缺少安全防護(hù)，生產(chǎn)數(shù)據(jù)明文傳輸，實(shí)時(shí)數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Scada）也缺少安全防護(hù)，系統(tǒng)發(fā)送遠(yuǎn)程終端的操控指令、調(diào)整參數(shù)等關(guān)鍵數(shù)據(jù)也全部明文下發(fā)，使得油田生產(chǎn)數(shù)據(jù)面臨很大安全風(fēng)險(xiǎn)。

采油過程的數(shù)據(jù)全面反映了油田開發(fā)的細(xì)節(jié)和總體趨勢(shì)，一旦遭遇黑客攻擊發(fā)生泄露，黑客可全面分析油田的采油情況，對(duì)油井儲(chǔ)量、品質(zhì)及相關(guān)技術(shù)做出統(tǒng)計(jì)分析，甚至可以通過對(duì)監(jiān)控系統(tǒng)數(shù)據(jù)的分析，對(duì)相關(guān)操作指令或調(diào)整參數(shù)進(jìn)行修改，從而產(chǎn)生不可估量的嚴(yán)重后果。因此，必須對(duì)采油數(shù)據(jù)從實(shí)時(shí)傳輸開始到數(shù)據(jù)庫存儲(chǔ)實(shí)現(xiàn)安全防護(hù)，保證生產(chǎn)數(shù)據(jù)的安全可靠。另外，數(shù)據(jù)回傳信息中心后，由于要對(duì)生產(chǎn)數(shù)據(jù)進(jìn)行進(jìn)一步挖掘、分析和應(yīng)用，回傳數(shù)據(jù)庫的生產(chǎn)數(shù)據(jù)也往往是明文存儲(chǔ)，同樣埋下了極大的安全隱患。

隨著我國(guó)《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等的出臺(tái)，能源數(shù)據(jù)的安全防護(hù)已上升至國(guó)家戰(zhàn)略的高度。油田生產(chǎn)數(shù)據(jù)是能源企業(yè)重要的數(shù)字資產(chǎn)，也是保持核心競(jìng)爭(zhēng)力的基礎(chǔ)。實(shí)現(xiàn)能源自主安全，首先要基于國(guó)有自主產(chǎn)品與技術(shù)來實(shí)現(xiàn)，但更重要的是須加強(qiáng)企業(yè)對(duì)安全產(chǎn)品本身的可控，產(chǎn)品的核心密鑰不再依靠設(shè)備廠商提供，而是掌握在企業(yè)自己手中，將數(shù)據(jù)安全掌握在企業(yè)自己手中，真正實(shí)現(xiàn)對(duì)生產(chǎn)數(shù)據(jù)安全的自主可控。

2　案例實(shí)施與應(yīng)用

案例實(shí)現(xiàn)整體框架如圖1所示。在油井端為RTU采油終端加裝加密終端，加密終端采用即插即用的方式，并通過標(biāo)識(shí)使得加密終端與對(duì)應(yīng)RTU終端一一對(duì)應(yīng)，實(shí)現(xiàn)RTU終端與加密終端的物理綁定。在生產(chǎn)指揮中心，將邊緣安全網(wǎng)關(guān)部署于SCADA前端，對(duì)實(shí)時(shí)加密傳輸上傳的采油數(shù)據(jù)完成實(shí)時(shí)解密后發(fā)送業(yè)務(wù)系統(tǒng)，同時(shí)，邊緣安全網(wǎng)關(guān)也負(fù)責(zé)將SCADA工控系統(tǒng)發(fā)送油井端的指令、參數(shù)等數(shù)據(jù)實(shí)時(shí)加密后發(fā)送。在運(yùn)維中心，部署密鑰系統(tǒng)以及數(shù)據(jù)庫加密系統(tǒng)，保證生產(chǎn)數(shù)據(jù)庫的加密存儲(chǔ)。

圖1 系統(tǒng)框架圖

項(xiàng)目結(jié)合某油田采油數(shù)據(jù)明文傳輸和明文存儲(chǔ)的現(xiàn)狀，有針對(duì)性地提出了滿足國(guó)家網(wǎng)絡(luò)安全要求和相關(guān)政策的數(shù)據(jù)加密解決方案，在數(shù)字化運(yùn)維中心建立自主密鑰系統(tǒng)，實(shí)現(xiàn)了采油數(shù)據(jù)的加密傳輸和數(shù)據(jù)庫的加密存儲(chǔ)，且整個(gè)方案對(duì)原有網(wǎng)絡(luò)和應(yīng)用不產(chǎn)生影響，提高了油田采油數(shù)據(jù)安全的防御能力，加強(qiáng)了系統(tǒng)應(yīng)用登錄的授權(quán)管理，取得了良好的應(yīng)用效果，最大程度地避免了由于網(wǎng)絡(luò)攻擊或入侵給石油生產(chǎn)帶來的巨大風(fēng)險(xiǎn)和損失，也為采油廠的安全生產(chǎn)奠定堅(jiān)實(shí)基礎(chǔ)，對(duì)油田數(shù)字化建設(shè)起到保駕護(hù)航的作用。

3　應(yīng)用難點(diǎn)問題及解決思路

保障工控安全應(yīng)用的技術(shù)和手段是實(shí)現(xiàn)工控應(yīng)用發(fā)展的基礎(chǔ)，但安全防護(hù)不能成為工控應(yīng)用發(fā)展的攔路虎，安全實(shí)現(xiàn)必須要為工控應(yīng)用服務(wù)，不能用傳統(tǒng)的互聯(lián)網(wǎng)安全思維去考慮工控安全，必須真正地了解工控生產(chǎn)、了解工控應(yīng)用才可以真正實(shí)現(xiàn)工控物聯(lián)網(wǎng)的安全防護(hù)。項(xiàng)目組在油田進(jìn)行多次調(diào)研、深入了解，分析歸納出以下需要解決的問題：

（1）工控應(yīng)用時(shí)效問題

以物為中心的物聯(lián)網(wǎng)應(yīng)用與傳統(tǒng)的以人為中心的互聯(lián)網(wǎng)應(yīng)用不同，尤其對(duì)于工控應(yīng)用場(chǎng)景來講，應(yīng)用時(shí)效要求較高，需滿足工控應(yīng)用的低時(shí)延、高并發(fā)場(chǎng)景，傳統(tǒng)的安全認(rèn)證方式需要第三方參與才可以完成，需進(jìn)行在線認(rèn)證，而工控場(chǎng)景中窄帶通信方式很難實(shí)現(xiàn)對(duì)在線認(rèn)證的支撐。采用數(shù)據(jù)實(shí)時(shí)上傳SCADA系統(tǒng)后，SCADA系統(tǒng)將會(huì)對(duì)相關(guān)數(shù)據(jù)進(jìn)行調(diào)配，并實(shí)時(shí)下發(fā)采油端，安全防護(hù)的實(shí)現(xiàn)必須滿足應(yīng)用的時(shí)延要求，在關(guān)鍵點(diǎn)時(shí)延需要毫秒級(jí)實(shí)現(xiàn)。

（2）免改造安全防護(hù)實(shí)現(xiàn)的問題

采油業(yè)務(wù)應(yīng)用復(fù)雜，存在各種設(shè)備和系統(tǒng)，且廠家不統(tǒng)一，安全改造要涉及不同廠家的系統(tǒng)、終端設(shè)備，如要求這些廠家全部配合，將會(huì)大大增加改造成本，同時(shí)，也會(huì)大大提高安全改造的難度。所以，必須采用免改造的方式來實(shí)現(xiàn)油田物聯(lián)網(wǎng)的安全防護(hù)。

（3）密鑰生成、簽發(fā)管理的自主性問題

傳統(tǒng)的安全實(shí)現(xiàn)基于第三方證書或設(shè)備廠家提供的密鑰協(xié)議，這使得真正的安全核心并不能掌握在油田企業(yè)自己手中。采油生產(chǎn)數(shù)據(jù)是企業(yè)重要的數(shù)字資產(chǎn)，也是保持企業(yè)核心競(jìng)爭(zhēng)力的基礎(chǔ)，安全核心密鑰必須掌握在企業(yè)自己手中，不能依靠第三方，也不能依靠產(chǎn)品設(shè)備廠家，這樣才可以真正實(shí)現(xiàn)應(yīng)用的安全自主可控。

（4）中心密鑰數(shù)據(jù)泄露的風(fēng)險(xiǎn)問題

傳統(tǒng)的密鑰管理方式，是在密鑰中心存儲(chǔ)所有用戶密鑰，當(dāng)用戶數(shù)量增加時(shí)，不僅會(huì)造成密鑰管理復(fù)雜度的大大增加，更重要的是，一旦中心被入侵發(fā)生數(shù)據(jù)泄露，將導(dǎo)致整個(gè)工控應(yīng)用的安全防護(hù)體系失效。目前，能源數(shù)據(jù)已經(jīng)成為國(guó)際關(guān)注的重點(diǎn)，敵對(duì)勢(shì)力或競(jìng)爭(zhēng)對(duì)手往往不是一次性的攻擊入侵，而是長(zhǎng)期潛伏或進(jìn)行人員策反，從而獲取密鑰中心的相關(guān)數(shù)據(jù)，這對(duì)于從事正常生產(chǎn)的工控應(yīng)用來講，可能是致命的。中心備份密鑰的方式存在極大的安全隱患。

經(jīng)過項(xiàng)目組的調(diào)研，本項(xiàng)目采用了全國(guó)產(chǎn)自主的IPK標(biāo)識(shí)公鑰（Identity Public Key）技術(shù)作為項(xiàng)目的基礎(chǔ)安全技術(shù)進(jìn)行安全實(shí)現(xiàn)，IPK技術(shù)基礎(chǔ)是橢圓曲線密碼體制，應(yīng)用算法協(xié)議是SM2和SM3密碼算法，IPK技術(shù)實(shí)現(xiàn)了對(duì)SM2和SM3算法的應(yīng)用創(chuàng)新，簡(jiǎn)化了密鑰生成的復(fù)雜度和管理難度，同時(shí)降低了密鑰體系建設(shè)成本與運(yùn)維成本，終端最終使用的SM2密鑰在終端自主生成，密鑰中心僅參與終端最終密鑰生成，但中心不備份也無法通過中心推算出終端密鑰，這就使得密鑰中心具備了強(qiáng)容災(zāi)性，杜絕了中心關(guān)鍵數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

采用IPK技術(shù)，基于設(shè)備標(biāo)識(shí)，標(biāo)識(shí)即公鑰，為油田企業(yè)建立自主的密鑰管理中心，實(shí)現(xiàn)安全密鑰的自主簽發(fā)管理；基于IPK技術(shù)，終端設(shè)備基于標(biāo)識(shí)傳遞實(shí)現(xiàn)安全應(yīng)用，無須第三方參與，可實(shí)現(xiàn)本地離線認(rèn)證，不需要進(jìn)行傳統(tǒng)的在線驗(yàn)證國(guó)產(chǎn)，所以IPK認(rèn)證時(shí)延可實(shí)現(xiàn)毫秒級(jí)，同時(shí)，IPK技術(shù)還可支撐海量終端的密鑰管理，這不僅完全滿足了油田生產(chǎn)工控物聯(lián)應(yīng)用的低時(shí)延、高并發(fā)需求，同時(shí)也可以靈活實(shí)現(xiàn)密鑰的自主簽發(fā)管理。

在IPK標(biāo)識(shí)公鑰的基礎(chǔ)上，項(xiàng)目組對(duì)所有終端的接口和協(xié)議進(jìn)行研究，技術(shù)上實(shí)現(xiàn)即插即用的專用終端產(chǎn)品，同時(shí)考慮到即插即用專用終端接入可能會(huì)造成服務(wù)管理端大量IP的占用，項(xiàng)目組采用了一種無IP物聯(lián)技術(shù)，在無須對(duì)油田系統(tǒng)、終端、網(wǎng)絡(luò)進(jìn)行改造，也無須增加或占用IP的方式，快速靈活地實(shí)現(xiàn)了油田物聯(lián)應(yīng)用的整體安全防護(hù)。

4　效益分析

項(xiàng)目結(jié)合某油田采油廠采油數(shù)據(jù)明文傳輸和明文存儲(chǔ)的現(xiàn)狀，有針對(duì)性地提出了滿足國(guó)家網(wǎng)絡(luò)安全要求和相關(guān)政策的數(shù)據(jù)加密解決方案，在油田運(yùn)維中心建立了自主密鑰管理系統(tǒng)，實(shí)現(xiàn)了采油數(shù)據(jù)的實(shí)時(shí)加密傳輸和數(shù)據(jù)庫的加密存儲(chǔ)，而且整個(gè)方案實(shí)施對(duì)原網(wǎng)絡(luò)、終端和應(yīng)用不產(chǎn)生任何影響，大大提升了采油數(shù)據(jù)的安全防護(hù)能力，實(shí)現(xiàn)了生產(chǎn)數(shù)據(jù)的加密存儲(chǔ)，取得了較好的應(yīng)用效果。本項(xiàng)目滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、信息安全等級(jí)保護(hù)2.0要求及相關(guān)安全管理辦法。項(xiàng)目實(shí)施完全滿足油田生產(chǎn)的要求，系統(tǒng)部署簡(jiǎn)單且方便易用，大大降低了油田數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)，進(jìn)一步加強(qiáng)了油田物聯(lián)網(wǎng)的安全防護(hù)和安全管理，實(shí)現(xiàn)了油田自主生產(chǎn)和管理密鑰，達(dá)到了安全自主可控的目的。

5　案例意義

目前，工控網(wǎng)絡(luò)安全是國(guó)家的基礎(chǔ)安全，隨著國(guó)家關(guān)鍵數(shù)據(jù)安全要求等相關(guān)政策法規(guī)的出臺(tái)，工控網(wǎng)絡(luò)安全正成為工控安全應(yīng)用的核心。但工控網(wǎng)絡(luò)不同于傳統(tǒng)的互聯(lián)網(wǎng)，不能按照傳統(tǒng)的IT思維進(jìn)行思考，安全防護(hù)首先要建立在保證工控應(yīng)用穩(wěn)定、可靠運(yùn)行的基礎(chǔ)上進(jìn)行，必須考慮工控場(chǎng)景存在的復(fù)雜性需求，保證工控應(yīng)用的低時(shí)延、高并發(fā)的應(yīng)用要求，同時(shí)，要考慮敵對(duì)勢(shì)力或競(jìng)爭(zhēng)對(duì)手通過入侵潛伏或人為因素造成中心泄露帶來的風(fēng)險(xiǎn)；更重要的，要實(shí)現(xiàn)工控企業(yè)對(duì)安全核心密鑰的自主生產(chǎn)管理，安全靠自己，才可以真正實(shí)現(xiàn)企業(yè)對(duì)自身數(shù)字資產(chǎn)的安全自主可控。

工控應(yīng)用可控采油數(shù)據(jù)實(shí)時(shí)加密傳輸與存儲(chǔ)項(xiàng)目案例具有良好的借鑒意義，從工控物聯(lián)的需求上以及工控場(chǎng)景的復(fù)雜性、多樣性上做出了典范，為工控安全行業(yè)應(yīng)用的發(fā)展提供了最佳實(shí)踐。

精彩觀點(diǎn)

南京訊石數(shù)據(jù)科技有限公司副總經(jīng)理 牛毅

記者：訊石科技能夠?yàn)槲锫?lián)網(wǎng)領(lǐng)域提供哪些產(chǎn)品或者解決方案？這些產(chǎn)品和解決方案具有怎樣的特色？核心優(yōu)勢(shì)是什么？

牛毅：訊石科技立足工控物聯(lián)網(wǎng)安全，主要為工控領(lǐng)域提供滿足工控時(shí)效的專用終端、安全網(wǎng)關(guān)、統(tǒng)一接入認(rèn)證平臺(tái)等終端可信、數(shù)據(jù)實(shí)時(shí)防護(hù)類產(chǎn)品和解決方案。公司核心團(tuán)隊(duì)來自于華北電力大學(xué)物聯(lián)網(wǎng)安全團(tuán)隊(duì)，提供的產(chǎn)品和解決方案不同于傳統(tǒng)的互聯(lián)網(wǎng)安全產(chǎn)品，是團(tuán)隊(duì)經(jīng)過多年研究和實(shí)踐開發(fā)的適合工控安全應(yīng)用場(chǎng)景的系列產(chǎn)品，主要的特點(diǎn)就是安全認(rèn)證低時(shí)延（時(shí)延可小于1ms）、高并發(fā)，終端密鑰具備唯一性，中心不備份，杜絕中心泄露。公司團(tuán)隊(duì)擁有多年的學(xué)術(shù)研究和應(yīng)用實(shí)踐經(jīng)驗(yàn)，對(duì)能源、工控、制造等行業(yè)應(yīng)用熟悉，擁有自主的安全技術(shù)，不僅懂安全，也更了解業(yè)務(wù)。

記者：訊石科技近年來在物聯(lián)網(wǎng)市場(chǎng)發(fā)展情況如何？您感受到物聯(lián)網(wǎng)市場(chǎng)正在發(fā)生著哪些變化，呈現(xiàn)出哪些特點(diǎn)？

牛毅：訊石科技是技術(shù)型團(tuán)隊(duì)，在物聯(lián)網(wǎng)市場(chǎng)剛剛開始階段，大多是基于自主技術(shù)的產(chǎn)學(xué)研合作與推廣，近年來，隨著人工智能和物聯(lián)網(wǎng)技術(shù)的發(fā)展，物聯(lián)網(wǎng)安全應(yīng)用的需求與日俱增，我們也能明顯感覺到國(guó)家對(duì)數(shù)據(jù)安全要求的不斷提升，疫情之后，工控企業(yè)對(duì)于數(shù)據(jù)安全的認(rèn)知正在大大改善，企業(yè)負(fù)責(zé)人意識(shí)到了工控?cái)?shù)據(jù)的重要性，工控網(wǎng)絡(luò)從之前的網(wǎng)絡(luò)安全防護(hù)正在進(jìn)入數(shù)據(jù)安全防御的階段。網(wǎng)絡(luò)防護(hù)經(jīng)歷了多年發(fā)展，相關(guān)產(chǎn)品和技術(shù)基本趨于成熟，隨著數(shù)字化應(yīng)用的推廣，數(shù)據(jù)安全的重要性正受到各行業(yè)應(yīng)用的重視，我們預(yù)測(cè)3-5年內(nèi)，各行業(yè)的數(shù)據(jù)安全需求，尤其是工控物聯(lián)網(wǎng)的數(shù)據(jù)安全防護(hù)需求將會(huì)大幅度提升。

記者：近年來智能制造、數(shù)字化轉(zhuǎn)型的快速發(fā)展給物聯(lián)網(wǎng)帶來了新的機(jī)遇，您認(rèn)為此趨勢(shì)對(duì)于物聯(lián)網(wǎng)產(chǎn)品提出了哪些新需求？訊石科技未來在產(chǎn)品和應(yīng)用創(chuàng)新方面有何規(guī)劃？

牛毅：訊石科技立足物聯(lián)網(wǎng)安全方向，從這個(gè)方向來講，目前數(shù)據(jù)正成為企業(yè)重要的數(shù)字資產(chǎn)，也是行業(yè)應(yīng)用發(fā)展的核心，安全產(chǎn)品要實(shí)現(xiàn)的是對(duì)實(shí)時(shí)動(dòng)態(tài)數(shù)據(jù)的防護(hù)，而不是傳統(tǒng)的靜態(tài)數(shù)據(jù)，實(shí)時(shí)動(dòng)態(tài)數(shù)據(jù)防護(hù)最重要的就是要和業(yè)務(wù)應(yīng)用結(jié)合起來，安全不能成為應(yīng)用的絆腳石，不能增加安全導(dǎo)致應(yīng)用受到拖累，這樣的安全沒有意義。

工控應(yīng)用多年來都是封閉系統(tǒng)，現(xiàn)在要實(shí)現(xiàn)數(shù)字化，實(shí)現(xiàn)互聯(lián)互通，一方面要考慮安全改造后的應(yīng)用效率，另一方面還要考慮改造的難度，比如改造成本、維護(hù)的方便性等。因此，對(duì)于物聯(lián)網(wǎng)安全產(chǎn)品來講，采用適合物的安全技術(shù)來提升安全應(yīng)用效率，實(shí)現(xiàn)安全接入的方便性、易用性就非常重要。訊石科技針對(duì)智能制造和數(shù)字化轉(zhuǎn)型，正在實(shí)現(xiàn)基于輕量級(jí)安全技術(shù)的、免改造安全防護(hù)的系列終端和平臺(tái)產(chǎn)品，基于我們多年來的工控應(yīng)用研究和安全技術(shù)儲(chǔ)備為企業(yè)數(shù)字化轉(zhuǎn)型提供滿足工控應(yīng)用時(shí)效的安全產(chǎn)品和方案。

記者：您認(rèn)為當(dāng)前物聯(lián)網(wǎng)最具發(fā)展?jié)摿Φ念I(lǐng)域有哪些？訊石科技對(duì)于在物聯(lián)網(wǎng)領(lǐng)域的未來發(fā)展，將有哪些戰(zhàn)略布局？

牛毅：從工控應(yīng)用的角度來講，目前物聯(lián)網(wǎng)最具潛力的領(lǐng)域有能源生產(chǎn)、智能制造領(lǐng)域，這兩個(gè)領(lǐng)域也是目前物聯(lián)網(wǎng)應(yīng)用最有場(chǎng)景的領(lǐng)域。訊石科技主要針對(duì)物聯(lián)網(wǎng)安全方向，對(duì)于這個(gè)領(lǐng)域，我們認(rèn)為未來將會(huì)在無人系統(tǒng)或裝備領(lǐng)域產(chǎn)生大量需求，因此，我們?cè)跓o人系統(tǒng)指令加固、低時(shí)延驗(yàn)證、信源加密等方面做了大量的技術(shù)儲(chǔ)備工作，目前，我們正在研究國(guó)產(chǎn)算法的自組網(wǎng)安全協(xié)議以及低軌衛(wèi)星安全交互應(yīng)用，同時(shí)也對(duì)后量子密碼算法進(jìn)行相關(guān)研究。

記者：針對(duì)訊石科技在物聯(lián)網(wǎng)行業(yè)所從事領(lǐng)域，從技術(shù)及應(yīng)用發(fā)展角度您認(rèn)為具有怎樣的趨勢(shì)？

牛毅：訊石科技從事物聯(lián)網(wǎng)安全領(lǐng)域，目前，絕大多數(shù)的安全和應(yīng)用都是分離的，安全做安全的事情，應(yīng)用完成應(yīng)用的事情，但往往是兩者結(jié)合之后就會(huì)造成應(yīng)用的時(shí)效降低；隨著無人技術(shù)的推廣和應(yīng)用，今后發(fā)展的趨勢(shì)一定是安全和應(yīng)用系統(tǒng)的結(jié)合，安全必將成為系統(tǒng)的關(guān)鍵組成部分，要為應(yīng)用建立主動(dòng)防御，或者換句話來說，無論應(yīng)用系統(tǒng)是否遭遇安全攻擊，應(yīng)用都會(huì)實(shí)施主動(dòng)性防御，而不是被動(dòng)挨打。所以，從技術(shù)上來講，應(yīng)用技術(shù)必須和安全技術(shù)結(jié)合起來，總體設(shè)計(jì)規(guī)劃，安全和應(yīng)用將不再是兩個(gè)技術(shù)領(lǐng)域，而是融為一體。

摘自《自動(dòng)化博覽》2023年6月刊