石油化工工控系统整体安全解决方案

行业应用介绍

石油化工行业在我国经济建设中占据重要地位，长期以来其发展受到诸多关注。在我国石油化工行业中，主要工业控制系统（ICS）包括分布式控制系统（DCS）、安全仪表系统（SIS）、压缩机控制系统（CCS）、可燃气报警系统（GDS）、各种可编程逻辑器件（PLC）等。随着信息化的推动和工业化进程的加速，为工业生产带来极大推动作用的同时，也带来了ICS的安全问题。

石油化工系统风险分析

（1）通信协议漏洞

组态软件、PLC嵌入式系统等在设计过程中主要考虑可用性、实时性，对安全性考虑不足。

（2）操作系统漏洞

大部分ICS的工程师站、操作员站及服务器在正常运行的系统中很难安装相关补丁，存在被攻击、被入侵的可能。

（3）应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题。

（4）网络互联带来的安全风险

在企业实际应用环境中，许多控制网络都是“敞开的”，在各控制系统和区域边界缺乏有效的安全审计、入侵监控等策略和机制，无法实时发现和应对来自系统内部和外部的非法访问和恶意攻击，尤其是基于OPC、Modbus等开放通信协议的工业控制网络，黑客一旦控制该系统中的某一网络节点，就可能导致生产运行的瘫痪。

解决方案设计

1）隔离防护

在OPC服务器与数采层之间部署安盟华御工业安全隔离装置，实现分层级的安全防护，抵御已知威胁。

在管理网/MES和生产网之间部署安盟华御工业安全隔离装置，避免管理网/MES遭受攻击后威胁到生产网，该隔离为应用层单向即管理网/MES对访问控制策略允许的目标设备进行只读操作，禁用基于管理网/MES向底层系统或设备进行写操作行为。

2）网络防护系统

在工程师站到PLC/DCS之间部署安盟华御工业防火墙，对工控专用协议进行深度分析，确保数据包的合法性，实现工控网络的深层防护。通过基于工业协议的识别对访问行为进行控制。

3）网络安全审计

在生产网安全管理中心部署安盟华御工业安全审计系统及工业入侵检测系统，快速识别出炼化企业控制系统中非法操作、异常事件、外部攻击等，并实时报警。

4）主机安全防护

在管理网、生产网、控制网的工程师站、操作员站、OPC服务器以及其他服务器部署安盟华御工控主机卫士，防止用户的违规和误操作、阻止不明程序、授权移动存储介质访问权限等，有效提高工控网络的综合“免疫”能力。

5）安全运维

在生产网安全管理中心部署安盟华御工业堡垒机，实现业务管理员、运维管理员和第三方服务人员的系统运维操作管理和审计。实现对运维人员的系统登录授权、系统密码代维、操作指令限制、操作全程录屏审计等功能。

6）安全管理平台

生产网安全管理中心部署安盟华御安全管理平台，完成设备实时信息收集，实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析，形成强大的一体化安全管控功能界面，多视角、多层次的管理与态势感知视图。

典型用户

中石油长庆油田、中石油大港油田、中石油大港石化、中石化西北局、中石化春风油田、中石化华北销售分公司、中石化燕山石化、中国石化中原油田、中海油莆田、中海油天津、中海油珠海。