石油化工行業解決方案

石油化工行業業務板塊介紹

石油化工企業完成油氣從勘探到加工成品最終面向用戶銷售的整個生產過程，由油氣田、油氣輸送、煉化加工、油氣儲運和油氣銷售板塊組成完整生態鏈。需要多個專業的相互配合和協作，是中國重要的資金與技術密集型企業。

石油化工行業信息化系統介紹

在石油化工行業中，傳統的研究、生產及管理系統導致軟件、數據和計算資源分散部署在各單位，形成獨立的系統、數據庫和工作流程，導致本來應環環相扣的各項業務無法有效結合。隨著油氣業務的發展，研究、生產及管理人員分布在全國多個地區，而多數單位都有異地協同、研究、辦公的需求。如在油氣田領域通過對多個業務的集成協同，實現對油藏、井、鉆、管網、設備等生產對象的實時狀態的全面感知，實現對決策過程、經營體系、生產流程及資產價值的全過程分析優化；在管網運行領域，利用機器數據、信息系統業務數據及仿真數據加強管網實時狀態、重點設備工況和能耗等分析工作；在煉化領域分析設備運行數據，提高設備故障維修效率，節約成本；在產品銷售領域進行成品油銷量預測、客戶流失分析、促銷量價分析，對未來銷售趨勢進行預判，實現精準營銷等。所以，一體化已成為當今油氣生產的發展方向。

石油化工行業工業控制系統介紹

在石油化工行業中，工業控制系統主要包括集散控制系統（DCS）、安全儀表系統（SIS）、壓縮機控制系統（CCS）、可燃氣報警系統（GDS）、各種可編程控制器（PLC），并已成為石油化工行業重大的基礎設施。隨著近年來智能制造的推動以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。并且行業普遍存在信息安全管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等問題。

石油化工行業兩化融合介紹

在“兩化”融合的行業發展需求下，現代工業控制系統的技術進步主要表現在兩大方面：信息化與工業化的深度融合，為了提高生產高效運行、生產管理效率，石油化工行業大力推進工業控制系統自身的集成化，集中化管理。系統的互聯互通性逐步加強，工控網絡與辦公網、互聯網也存在千絲萬縷的聯系。

石油化工行業信息系統面臨的安全風險

影響石油化工企業網絡系統安全的因素很多，可能是有意的攻擊，也可能是員工無意的操作，還可能是外來攻擊者對網絡系統資源的非法使用。入侵者不會是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；石油化工企業生產運營的系統及研究、生產過程中的數據已成為國家基礎性戰略資源；一旦出現安全問題，可能損害用戶、企業甚至是國家的利益。

石油化工企業生產的產品大多為易燃、易爆、有毒以及強腐蝕性的物質，其操作流程十分復雜，各種高溫、高壓設備較多，對操作都有嚴格要求，一旦生產系統出現安全問題，生產現場可能出現火災、爆炸，進而可能引起生產裝置的損壞，并可能造成人員傷亡。事故導致生產原料的泄漏、擴散等，可能在很大范圍內長時間地造成空氣、水源、土壤的污染，給當地人民生活和周邊環境帶來嚴重影響。

石油化工行業信息安全需求分析

威脅來源分析

對信息系統影響較大的安全威脅主要集中在以下五個方面。

1) 硬件方面。網絡中存在大量廣播信息易造成廣播風暴。蠕蟲病毒利用網絡傳播，也可占用計算機的系統資源和網絡帶寬,容易使程序無法響應系統的要求,造成系統的堵塞，甚至崩潰。

2) 軟件方面。石油化工行業各單位信息系統眾多，涉及范圍廣；工控系統國內外的軟件品牌眾多，很難形成統一的防護規范策略應對安全問題；另外當軟件面向網絡應用時，就必須開放端口，一旦被惡意攻擊和利用后果不堪設想。

3) 使用方面。網絡的使用者由于經驗不足等原因造成的網絡口令丟失,權限分配失策、系統被人入侵等情況,也會造成機密數據丟失、泄漏、系統癱瘓等故障。

4) 非法授權使用。石油化工企業系統普遍存在訪問制度和權限管理。權限管理的漏洞造成的非授權使用或來自外部的黑客攻擊有可能獲取系統權限，訪問敏感數據；致使工控系統誤動作,甚至造成系統癱瘓。

5) 病毒攻擊。計算機病毒在整個網絡系統內的傳播可能造成某個或多個計算機的性能下降甚至癱瘓,造成生產系統局部功能的喪失。

石油化工行業網絡風險點分析

1、信息安全管理方面的安全脆弱性

1) 信息安全管理制度流程欠完善。現在大部分企業還未形成完整的制度政策，缺乏信息系統規劃、建設、運維、廢止全生命周期的信息安全需求和設計管理，欠缺配套的管理體系、處理流程、人員責任等規定。

2) 應急響應機制欠健全，需進一步提高系統信息安全事件的應對能力。發生信息安全事件后人員通常依靠經驗判斷，甚至逐個斷網等方式，確定信息安全事件發生的設備和影響范圍，對于被攻擊的程度，工藝是否受影響存在很多不明確的逐一進行排查。

3) 人員信息安全培訓不足，技術和管理能力以及人員安全意識有待提高。大部分行業有針對應用系統的業務培訓，但是面向全員的信息安全意識宣傳、信息安全技術和管理培訓均比較缺乏，需加強信息安全體系化宣傳和培訓。

4) 尚需完善第三方人員管理體制。大部分的行業會將設備建設運維工作外包給設備商或集成商，尤其針對國外廠商，業主不了解網絡、應用及安全設備的技術細節，對于所有的運維操作無控制、無審計，留有安全隱患。

2、信息安全技術方面的安全脆弱性

1) 未進行安全區域劃分，區域間未設置訪問控制措施。隨著信息系統及工業系統的集成化越來越高，呈現統一管理、集中監控的趨勢，系統的互聯程度大幅提高。但是各子系統之間沒有進行有效的隔離，系統邊界不清楚，邊界訪問控制策略缺失，一旦發生安全問題，存在迅速蔓延的可能性。

2) 工作主機存在互相感染的隱患。大部分工作主機是基于Windows平臺，版本包括NT4.0，Win2000,XP,win7,Server2003等，Windows平臺固有的脆弱性均可以被病毒黑客利用。并且大部分企業無移動存儲介質管理、工作主機軟件運行白名單管理、聯網控制、網絡準入控制的技術控制措施。

3) 缺少信息安全風險監控技術，不能及時發現信息安全問題，出現問題后靠人員經驗排查。在網絡上普遍缺少信息安全監控機制，不能及時了解網絡狀況，一旦發生問題不能及時確定問題所在，不能及時排查到故障點，排查過程耗費大量人力成本、時間成本。

4) 系統運行后，工作主機和服務器很少打補丁，存在系統漏洞，系統安全配置較薄弱，防病毒軟件安裝不全面。系統自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。

5) 存在使用移動存儲介質不規范問題，易引入病毒及黑客攻擊程序。在系統運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質現象，有可能傳染病毒、木馬等威脅生產系統。

6) 第三方人員運維生產系統無審計措施。出現問題后無法及時準確定位問題原因、影響范圍及追究責任。

7）上線前未進行信息安全測試。系統在上線前未進行安全性測試，系統上線后存在大量安全風險漏洞，安全配置薄弱，甚至有的系統帶毒工作。

石油化工行業信息安全防護方案

石油化工行業系統部署架構

石油化工行業信息安全防護思路

在保證系統可用性前提下，對石油化工行業信息系統及工業控制系統進行綜合防護，實現“垂直分層，水平分區。邊界控制，內部監測”。

1）“垂直分層、水平分區”即對石油化工行業生產及管理系統垂直方向化分為集團管理層、企業管理層、生產管理層、生產調度層、現場控制層及現場設備層；水平分區指各信息管理系統之間，工業控制系統之間從網絡上隔離開，處于不同的安全區。

2）“邊界控制，內部監測”即對系統邊界即各工作站、應用服務器、信息系統、工業控制系統連接處、無線網絡等要進行邊界防護和準入控制等；對生產辦公網絡及工業控制系統內部要監測網絡流量數據以發現入侵、業務異常、訪問關系異常和流量異常等問題。

3）系統面臨的主要安全威脅來自于黑客攻擊，病毒蠕蟲等惡意代碼，非授權接入、移動介質、弱口令、操作系統漏洞、誤操作和業務異常等越權訪問。因此，其安全防護應在以下方面予以重點完善和強化：入侵檢測及防御；惡意代碼防護；內部網絡異常行為的檢測；邊界訪問控制和系統訪問控制策略；系統開發與維護的安全；身份認證和行為審計；賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；操作站操作系統安全；移動存儲介質的標記、權限控制和審計；設備物理安全。

石油化工行業信息安全防護方案

結合石油化工行業信息安全防護思路，將石油化工企業系統劃分為企業信息管理系統及生產控制系統。企業信息管理系統分為兩層，即集團管理層和企業管理層；生產控制系統分為四層，即生產管理層、生產調度層、現場控制層和現場設備層。每一套信息系統、每一個工業控制系統應單獨劃分在一個區域里。

集團管理層及企業管理層主要是經營管理、資源計劃管理、文件管理、合同管理、質量管理、采購及物資管理等相關系統。

生產管理層主要是生產調度、詳細生產流程、可靠性保證、三維可視、能源管理、設備管理、視頻管理、地理信息管理、應急指揮管理以及站點范圍內的控制優化等相關系統。

生產調度層包括了監督和控制實際生產過程的人機界面HMI、操作員站、工程師站、報警管理服務器、通信服務器、實時數據收集服務器、歷史數據歸檔服務器以及用于連接的其他服務器客戶機等相關系統。

現場控制層是對來自現場設備層的傳感器所采集的數據進行操作，執行控制算法，輸出到執行器執行，該層通過現場總線或實時網絡與現場設備層的傳感器和執行器形成控制回路。主要包含DCS控制器、可編程邏輯控制器PLC、遠程終端單元RTU等控制相關系統。

現場設備層對生產設施的現場設備進行數據采集和輸出操作的功能，包括所有連在現場總線或實時網絡的傳感器（模擬量和開關量輸入）和執行器（模擬量和開關量輸出）。

根據“邊界控制，內部監測”的防護思路，對石油化工行業信息管理系統及工業控制系統進行防護。

通過信息安全管理系統對整個系統內的各個子系統和安全設備進行統一安全監控和管理。對企業日常辦公及工業控制現場設備、信息安全設備、網絡設備、服務器、操作站等進行統一資產管理，并對各設備的信息安全監控和報警、信息安全日志信息進行集中管理。根據安全審計策略對各類信息安全信息進行分類管理與查詢，系統對各類信息安全報警和日志信息進行關聯分析，展現全網的安全風險分布和趨勢。

防護類措施分類如下： 

1）在安全區域邊界處部署防火墻設備，實現IP/端口、協議的訪問控制、應用層協議訪問控制、流量控制等；于工業控制安全區域邊界處部署工業系統專用防火墻，在實現傳統網絡防護功能基礎上對工業控制系統專用協議進行深度解析及訪問控制。

2）在安全區域邊界處部署入侵防御設備，通過對網絡中深層攻擊行為進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網絡的安全。

3）在內部信息區域與對外發布信息區域之間及工業控制區域與信息管理區域之間部署網閘設備，切斷網絡鏈路層鏈接，完成網絡之間的數據交換。

4）在工作主機、操作站、工程師站及辦公終端部署操作站安全系統實現移動存儲介質使用的管理、軟件黑白名單管理、聯網控制、網絡準入控制、安全配置管理等。

5）安全審計與管理系統的作用是，對管理人員及運維人員在業務環境下的操作行為進行細粒度審計的合規性管理，通過對業務人員訪問系統的行為進行解析、分析、記錄、匯報，實現事前規劃預防，事中實時監視、違規行為響應，事后合規報告、事故追蹤溯源，同時加強內外部網絡行為監管、促進核心資產的正常運營。

6）Wifi入侵檢測與防護設備是放在基于Wifi組網的現場設備網絡中，可實現非法AP阻斷，非法外來設備接入生產網絡，基于Wifi的入侵檢測等。

監控檢查類措施如下：

1）在交換機鏡像口上部署入侵監測系統，檢測信息系統內部入侵行為，異常操作行為，發現異常流量和異常訪問關系等；并于工業以太網交換機景象口上部署工控異常監測系統，檢測工業控制系統內部入侵、異常操作、異常流量和異常訪問關系等。

2）部署漏洞掃描系統，對系統漏洞、Web漏洞以及弱口令進行掃描，并在工控系統檢修、停機或新系統上線時對工業控制系統進行漏洞掃描并對漏洞進行修補。

3）部署安全配置基線核查系統，對系統進行配置基線檢查，重點關注工作主機、工程師站、服務器等開放的服務，賬號密碼策略、協議的安全配置等問題，對風險進行安全加固。

石油石化行業信息系統安全防護優勢

本方案的整體思路主要依據石油化工行業網絡安全“統一規劃、分級分域、積極預防、重點保障”的思路。對石油化工行業整個信息管理系統及工控系統進行全面風險評估掌握目前石油化工行業信息系統風險現狀；通過對互聯網邊界流量的分析，保證企業內部網絡的安全性；通過管理網和生產網隔離確保生產網不會引入來自管理網風險，保證生產網邊界安全；在企業內部辦公系統及工控系統進行一定手段的監測、防護，保證企業內部安全；最后對整個企業系統進行統一安全呈現，將各個防護點組成一個全面的防護體系，保障企業整個信息管理系統及工業控制系統安全穩定運行。并對企業信息管理系統及工業控制系統提供一系列專業安全服務。