石油石化行业是一个高技术性和高专业性的技术密集型的大型工业生产产业。石油化工企业一般有大量的且品牌种类多样的DCS、ESD、PLC 工控系统及设备,具有典型的连续性生产、工艺复杂、产品线长且复杂的特点,在发生安全事件的时候容易造成停产进而导致重大的经济损失。在“十五”至“十二五”期间,以中石化、中石油为代表的央企国企已完成以ERP、MES 为核心的企业生产信息管理系统的建设,大量的地炼企业的信息化建设也日趋完善。随着企业两化融合的高速发展,越来越多的控制网络系统通过信息网络连接到互联网,潜在的威胁也逐渐得到国家和企业的重视。2017 年中石化下发了《关于加强工业控制系统安全防护的指导意见》,对工信部的《工业控制系统信息安全防护指南》做了解读,同时对下属企业控制系统边界的安全防护、安全监测、主机加固等方面提出了安全要求。
行业隐患
■ 办公网与工控网之间,特别是数采业务系统未部署能够针对工业协议进行安全防护的安全隔离设备。
■ 各厂区、装置缺少恶意代码监测、异常监测、安全审计等一系列的监测审计措施,不能及时发现进入工控网的安全威胁。
■ 未对工程师站、操作站主机及服务器进行安全加固,不能有效的管理移动外设,工控主机作为上位机极易受到病毒及误操作的影响。
■ 日常管理存在较多远程运维的情况,特别是外来技术人员在进行现场或远程远维时存在隐患。
■ 未建立统一的安全管理监控系统,使得工控网络的安全状态不能及时监测,难以及时发现安全隐患。
解决方案
![石油石化解决方案 石油石化解决方案]()
● 在OPC Server与OPC Client之间部署具有工业协议深度解析功能的工控防火墙。
● 在各厂区边界进行安全监测,采用不影响原有网络环境的“轻接触”接入方式分析来自网络内外的入侵信号及APT攻击。
● 依赖病毒治理、主机加固及工业“白名单”防护技术三合一的工控主机卫士,对关键的工控主机及服务器进行安全加固及审计自查。
● 通过账号管理及运维审计系统,解决远程连接、第三方运维带来的权限泛滥、非法接入及权责不明等问题。
● 部署工业网络安全态势感知平台,对工控安全设备进行集中管理,对安全设备、网络设备和主机等日志及告警信息进行收集分析,实现数据的联动分析和集中展示。