石油化工行業(yè)業(yè)務(wù)板塊介紹

石油化工企業(yè)完成油氣從勘探到加工成品最終面向用戶銷售的整個生產(chǎn)過程，由油氣田、油氣輸送、煉化加工、油氣儲運(yùn)和油氣銷售板塊組成完整生態(tài)鏈。需要多個專業(yè)的相互配合和協(xié)作，是中國重要的資金與技術(shù)密集型企業(yè)。

石油化工行業(yè)信息化系統(tǒng)介紹

在石油化工行業(yè)中，傳統(tǒng)的研究、生產(chǎn)及管理系統(tǒng)導(dǎo)致軟件、數(shù)據(jù)和計(jì)算資源分散部署在各單位，形成獨(dú)立的系統(tǒng)、數(shù)據(jù)庫和工作流程，導(dǎo)致本來應(yīng)環(huán)環(huán)相扣的各項(xiàng)業(yè)務(wù)無法有效結(jié)合。隨著油氣業(yè)務(wù)的發(fā)展，研究、生產(chǎn)及管理人員分布在全國多個地區(qū)，而多數(shù)單位都有異地協(xié)同、研究、辦公的需求。如在油氣田領(lǐng)域通過對多個業(yè)務(wù)的集成協(xié)同，實(shí)現(xiàn)對油藏、井、鉆、管網(wǎng)、設(shè)備等生產(chǎn)對象的實(shí)時狀態(tài)的全面感知，實(shí)現(xiàn)對決策過程、經(jīng)營體系、生產(chǎn)流程及資產(chǎn)價值的全過程分析優(yōu)化；在管網(wǎng)運(yùn)行領(lǐng)域，利用機(jī)器數(shù)據(jù)、信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)及仿真數(shù)據(jù)加強(qiáng)管網(wǎng)實(shí)時狀態(tài)、重點(diǎn)設(shè)備工況和能耗等分析工作；在煉化領(lǐng)域分析設(shè)備運(yùn)行數(shù)據(jù)，提高設(shè)備故障維修效率，節(jié)約成本；在產(chǎn)品銷售領(lǐng)域進(jìn)行成品油銷量預(yù)測、客戶流失分析、促銷量價分析，對未來銷售趨勢進(jìn)行預(yù)判，實(shí)現(xiàn)精準(zhǔn)營銷等。所以，一體化已成為當(dāng)今油氣生產(chǎn)的發(fā)展方向。

石油化工行業(yè)工業(yè)控制系統(tǒng)介紹

在石油化工行業(yè)中，工業(yè)控制系統(tǒng)主要包括集散控制系統(tǒng)（DCS）、安全儀表系統(tǒng)（SIS）、壓縮機(jī)控制系統(tǒng)（CCS）、可燃?xì)鈭缶到y(tǒng)（GDS）、各種可編程控制器（PLC），并已成為石油化工行業(yè)重大的基礎(chǔ)設(shè)施。隨著近年來智能制造的推動以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出。并且行業(yè)普遍存在信息安全管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等問題。

石油化工行業(yè)兩化融合介紹

在“兩化”融合的行業(yè)發(fā)展需求下，現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面：信息化與工業(yè)化的深度融合，為了提高生產(chǎn)高效運(yùn)行、生產(chǎn)管理效率，石油化工行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化，集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強(qiáng)，工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。

石油化工行業(yè)信息系統(tǒng)面臨的安全風(fēng)險

影響石油化工企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的因素很多，可能是有意的攻擊，也可能是員工無意的操作，還可能是外來攻擊者對網(wǎng)絡(luò)系統(tǒng)資源的非法使用。入侵者不會是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；石油化工企業(yè)生產(chǎn)運(yùn)營的系統(tǒng)及研究、生產(chǎn)過程中的數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源；一旦出現(xiàn)安全問題，可能損害用戶、企業(yè)甚至是國家的利益。

石油化工企業(yè)生產(chǎn)的產(chǎn)品大多為易燃、易爆、有毒以及強(qiáng)腐蝕性的物質(zhì)，其操作流程十分復(fù)雜，各種高溫、高壓設(shè)備較多，對操作都有嚴(yán)格要求，一旦生產(chǎn)系統(tǒng)出現(xiàn)安全問題，生產(chǎn)現(xiàn)場可能出現(xiàn)火災(zāi)、爆炸，進(jìn)而可能引起生產(chǎn)裝置的損壞，并可能造成人員傷亡。事故導(dǎo)致生產(chǎn)原料的泄漏、擴(kuò)散等，可能在很大范圍內(nèi)長時間地造成空氣、水源、土壤的污染，給當(dāng)?shù)厝嗣裆詈椭苓叚h(huán)境帶來嚴(yán)重影響。

石油化工行業(yè)信息安全需求分析

威脅來源分析

對信息系統(tǒng)影響較大的安全威脅主要集中在以下五個方面。

1) 硬件方面。網(wǎng)絡(luò)中存在大量廣播信息易造成廣播風(fēng)暴。蠕蟲病毒利用網(wǎng)絡(luò)傳播，也可占用計(jì)算機(jī)的系統(tǒng)資源和網(wǎng)絡(luò)帶寬,容易使程序無法響應(yīng)系統(tǒng)的要求,造成系統(tǒng)的堵塞，甚至崩潰。

2) 軟件方面。石油化工行業(yè)各單位信息系統(tǒng)眾多，涉及范圍廣；工控系統(tǒng)國內(nèi)外的軟件品牌眾多，很難形成統(tǒng)一的防護(hù)規(guī)范策略應(yīng)對安全問題；另外當(dāng)軟件面向網(wǎng)絡(luò)應(yīng)用時，就必須開放端口，一旦被惡意攻擊和利用后果不堪設(shè)想。

3) 使用方面。網(wǎng)絡(luò)的使用者由于經(jīng)驗(yàn)不足等原因造成的網(wǎng)絡(luò)口令丟失,權(quán)限分配失策、系統(tǒng)被人入侵等情況,也會造成機(jī)密數(shù)據(jù)丟失、泄漏、系統(tǒng)癱瘓等故障。

4) 非法授權(quán)使用。石油化工企業(yè)系統(tǒng)普遍存在訪問制度和權(quán)限管理。權(quán)限管理的漏洞造成的非授權(quán)使用或來自外部的黑客攻擊有可能獲取系統(tǒng)權(quán)限，訪問敏感數(shù)據(jù)；致使工控系統(tǒng)誤動作,甚至造成系統(tǒng)癱瘓。

5) 病毒攻擊。計(jì)算機(jī)病毒在整個網(wǎng)絡(luò)系統(tǒng)內(nèi)的傳播可能造成某個或多個計(jì)算機(jī)的性能下降甚至癱瘓,造成生產(chǎn)系統(tǒng)局部功能的喪失。

石油化工行業(yè)網(wǎng)絡(luò)風(fēng)險點(diǎn)分析

1、信息安全管理方面的安全脆弱性

1) 信息安全管理制度流程欠完善?，F(xiàn)在大部分企業(yè)還未形成完整的制度政策，缺乏信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維、廢止全生命周期的信息安全需求和設(shè)計(jì)管理，欠缺配套的管理體系、處理流程、人員責(zé)任等規(guī)定。

2) 應(yīng)急響應(yīng)機(jī)制欠健全，需進(jìn)一步提高系統(tǒng)信息安全事件的應(yīng)對能力。發(fā)生信息安全事件后人員通常依靠經(jīng)驗(yàn)判斷，甚至逐個斷網(wǎng)等方式，確定信息安全事件發(fā)生的設(shè)備和影響范圍，對于被攻擊的程度，工藝是否受影響存在很多不明確的逐一進(jìn)行排查。

3) 人員信息安全培訓(xùn)不足，技術(shù)和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對應(yīng)用系統(tǒng)的業(yè)務(wù)培訓(xùn)，但是面向全員的信息安全意識宣傳、信息安全技術(shù)和管理培訓(xùn)均比較缺乏，需加強(qiáng)信息安全體系化宣傳和培訓(xùn)。

4) 尚需完善第三方人員管理體制。大部分的行業(yè)會將設(shè)備建設(shè)運(yùn)維工作外包給設(shè)備商或集成商，尤其針對國外廠商，業(yè)主不了解網(wǎng)絡(luò)、應(yīng)用及安全設(shè)備的技術(shù)細(xì)節(jié)，對于所有的運(yùn)維操作無控制、無審計(jì)，留有安全隱患。

2、信息安全技術(shù)方面的安全脆弱性

1) 未進(jìn)行安全區(qū)域劃分，區(qū)域間未設(shè)置訪問控制措施。隨著信息系統(tǒng)及工業(yè)系統(tǒng)的集成化越來越高，呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢，系統(tǒng)的互聯(lián)程度大幅提高。但是各子系統(tǒng)之間沒有進(jìn)行有效的隔離，系統(tǒng)邊界不清楚，邊界訪問控制策略缺失，一旦發(fā)生安全問題，存在迅速蔓延的可能性。

2) 工作主機(jī)存在互相感染的隱患。大部分工作主機(jī)是基于Windows平臺，版本包括NT4.0，Win2000,XP,win7,Server2003等，Windows平臺固有的脆弱性均可以被病毒黑客利用。并且大部分企業(yè)無移動存儲介質(zhì)管理、工作主機(jī)軟件運(yùn)行白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準(zhǔn)入控制的技術(shù)控制措施。

3) 缺少信息安全風(fēng)險監(jiān)控技術(shù)，不能及時發(fā)現(xiàn)信息安全問題，出現(xiàn)問題后靠人員經(jīng)驗(yàn)排查。在網(wǎng)絡(luò)上普遍缺少信息安全監(jiān)控機(jī)制，不能及時了解網(wǎng)絡(luò)狀況，一旦發(fā)生問題不能及時確定問題所在，不能及時排查到故障點(diǎn)，排查過程耗費(fèi)大量人力成本、時間成本。

4) 系統(tǒng)運(yùn)行后，工作主機(jī)和服務(wù)器很少打補(bǔ)丁，存在系統(tǒng)漏洞，系統(tǒng)安全配置較薄弱，防病毒軟件安裝不全面。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。

5) 存在使用移動存儲介質(zhì)不規(guī)范問題，易引入病毒及黑客攻擊程序。在系統(tǒng)運(yùn)維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)現(xiàn)象，有可能傳染病毒、木馬等威脅生產(chǎn)系統(tǒng)。

6) 第三方人員運(yùn)維生產(chǎn)系統(tǒng)無審計(jì)措施。出現(xiàn)問題后無法及時準(zhǔn)確定位問題原因、影響范圍及追究責(zé)任。

7）上線前未進(jìn)行信息安全測試。系統(tǒng)在上線前未進(jìn)行安全性測試，系統(tǒng)上線后存在大量安全風(fēng)險漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

石油化工行業(yè)信息安全防護(hù)方案

石油化工行業(yè)系統(tǒng)部署架構(gòu)

石油化工行業(yè)信息安全防護(hù)思路

在保證系統(tǒng)可用性前提下，對石油化工行業(yè)信息系統(tǒng)及工業(yè)控制系統(tǒng)進(jìn)行綜合防護(hù)，實(shí)現(xiàn)“垂直分層，水平分區(qū)。邊界控制，內(nèi)部監(jiān)測”。

1）“垂直分層、水平分區(qū)”即對石油化工行業(yè)生產(chǎn)及管理系統(tǒng)垂直方向化分為集團(tuán)管理層、企業(yè)管理層、生產(chǎn)管理層、生產(chǎn)調(diào)度層、現(xiàn)場控制層及現(xiàn)場設(shè)備層；水平分區(qū)指各信息管理系統(tǒng)之間，工業(yè)控制系統(tǒng)之間從網(wǎng)絡(luò)上隔離開，處于不同的安全區(qū)。

2）“邊界控制，內(nèi)部監(jiān)測”即對系統(tǒng)邊界即各工作站、應(yīng)用服務(wù)器、信息系統(tǒng)、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進(jìn)行邊界防護(hù)和準(zhǔn)入控制等；對生產(chǎn)辦公網(wǎng)絡(luò)及工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題。

3）系統(tǒng)面臨的主要安全威脅來自于黑客攻擊，病毒蠕蟲等惡意代碼，非授權(quán)接入、移動介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常等越權(quán)訪問。因此，其安全防護(hù)應(yīng)在以下方面予以重點(diǎn)完善和強(qiáng)化：入侵檢測及防御；惡意代碼防護(hù)；內(nèi)部網(wǎng)絡(luò)異常行為的檢測；邊界訪問控制和系統(tǒng)訪問控制策略；系統(tǒng)開發(fā)與維護(hù)的安全；身份認(rèn)證和行為審計(jì)；賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；操作站操作系統(tǒng)安全；移動存儲介質(zhì)的標(biāo)記、權(quán)限控制和審計(jì)；設(shè)備物理安全。

石油化工行業(yè)信息安全防護(hù)方案

結(jié)合石油化工行業(yè)信息安全防護(hù)思路，將石油化工企業(yè)系統(tǒng)劃分為企業(yè)信息管理系統(tǒng)及生產(chǎn)控制系統(tǒng)。企業(yè)信息管理系統(tǒng)分為兩層，即集團(tuán)管理層和企業(yè)管理層；生產(chǎn)控制系統(tǒng)分為四層，即生產(chǎn)管理層、生產(chǎn)調(diào)度層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。每一套信息系統(tǒng)、每一個工業(yè)控制系統(tǒng)應(yīng)單獨(dú)劃分在一個區(qū)域里。

集團(tuán)管理層及企業(yè)管理層主要是經(jīng)營管理、資源計(jì)劃管理、文件管理、合同管理、質(zhì)量管理、采購及物資管理等相關(guān)系統(tǒng)。

生產(chǎn)管理層主要是生產(chǎn)調(diào)度、詳細(xì)生產(chǎn)流程、可靠性保證、三維可視、能源管理、設(shè)備管理、視頻管理、地理信息管理、應(yīng)急指揮管理以及站點(diǎn)范圍內(nèi)的控制優(yōu)化等相關(guān)系統(tǒng)。

生產(chǎn)調(diào)度層包括了監(jiān)督和控制實(shí)際生產(chǎn)過程的人機(jī)界面HMI、操作員站、工程師站、報警管理服務(wù)器、通信服務(wù)器、實(shí)時數(shù)據(jù)收集服務(wù)器、歷史數(shù)據(jù)歸檔服務(wù)器以及用于連接的其他服務(wù)器客戶機(jī)等相關(guān)系統(tǒng)。

現(xiàn)場控制層是對來自現(xiàn)場設(shè)備層的傳感器所采集的數(shù)據(jù)進(jìn)行操作，執(zhí)行控制算法，輸出到執(zhí)行器執(zhí)行，該層通過現(xiàn)場總線或?qū)崟r網(wǎng)絡(luò)與現(xiàn)場設(shè)備層的傳感器和執(zhí)行器形成控制回路。主要包含DCS控制器、可編程邏輯控制器PLC、遠(yuǎn)程終端單元RTU等控制相關(guān)系統(tǒng)。

現(xiàn)場設(shè)備層對生產(chǎn)設(shè)施的現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)采集和輸出操作的功能，包括所有連在現(xiàn)場總線或?qū)崟r網(wǎng)絡(luò)的傳感器（模擬量和開關(guān)量輸入）和執(zhí)行器（模擬量和開關(guān)量輸出）。

根據(jù)“邊界控制，內(nèi)部監(jiān)測”的防護(hù)思路，對石油化工行業(yè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)進(jìn)行防護(hù)。

通過信息安全管理系統(tǒng)對整個系統(tǒng)內(nèi)的各個子系統(tǒng)和安全設(shè)備進(jìn)行統(tǒng)一安全監(jiān)控和管理。對企業(yè)日常辦公及工業(yè)控制現(xiàn)場設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等進(jìn)行統(tǒng)一資產(chǎn)管理，并對各設(shè)備的信息安全監(jiān)控和報警、信息安全日志信息進(jìn)行集中管理。根據(jù)安全審計(jì)策略對各類信息安全信息進(jìn)行分類管理與查詢，系統(tǒng)對各類信息安全報警和日志信息進(jìn)行關(guān)聯(lián)分析，展現(xiàn)全網(wǎng)的安全風(fēng)險分布和趨勢。

防護(hù)類措施分類如下： 

1）在安全區(qū)域邊界處部署防火墻設(shè)備，實(shí)現(xiàn)IP/端口、協(xié)議的訪問控制、應(yīng)用層協(xié)議訪問控制、流量控制等；于工業(yè)控制安全區(qū)域邊界處部署工業(yè)系統(tǒng)專用防火墻，在實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防護(hù)功能基礎(chǔ)上對工業(yè)控制系統(tǒng)專用協(xié)議進(jìn)行深度解析及訪問控制。

2）在安全區(qū)域邊界處部署入侵防御設(shè)備，通過對網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護(hù)網(wǎng)絡(luò)的安全。

3）在內(nèi)部信息區(qū)域與對外發(fā)布信息區(qū)域之間及工業(yè)控制區(qū)域與信息管理區(qū)域之間部署網(wǎng)閘設(shè)備，切斷網(wǎng)絡(luò)鏈路層鏈接，完成網(wǎng)絡(luò)之間的數(shù)據(jù)交換。

4）在工作主機(jī)、操作站、工程師站及辦公終端部署操作站安全系統(tǒng)實(shí)現(xiàn)移動存儲介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準(zhǔn)入控制、安全配置管理等。

5）安全審計(jì)與管理系統(tǒng)的作用是，對管理人員及運(yùn)維人員在業(yè)務(wù)環(huán)境下的操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，通過對業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報，實(shí)現(xiàn)事前規(guī)劃預(yù)防，事中實(shí)時監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報告、事故追蹤溯源，同時加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)的正常運(yùn)營。

6）Wifi入侵檢測與防護(hù)設(shè)備是放在基于Wifi組網(wǎng)的現(xiàn)場設(shè)備網(wǎng)絡(luò)中，可實(shí)現(xiàn)非法AP阻斷，非法外來設(shè)備接入生產(chǎn)網(wǎng)絡(luò)，基于Wifi的入侵檢測等。

監(jiān)控檢查類措施如下：

1）在交換機(jī)鏡像口上部署入侵監(jiān)測系統(tǒng)，檢測信息系統(tǒng)內(nèi)部入侵行為，異常操作行為，發(fā)現(xiàn)異常流量和異常訪問關(guān)系等；并于工業(yè)以太網(wǎng)交換機(jī)景象口上部署工控異常監(jiān)測系統(tǒng)，檢測工業(yè)控制系統(tǒng)內(nèi)部入侵、異常操作、異常流量和異常訪問關(guān)系等。

2）部署漏洞掃描系統(tǒng)，對系統(tǒng)漏洞、Web漏洞以及弱口令進(jìn)行掃描，并在工控系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時對工業(yè)控制系統(tǒng)進(jìn)行漏洞掃描并對漏洞進(jìn)行修補(bǔ)。

3）部署安全配置基線核查系統(tǒng)，對系統(tǒng)進(jìn)行配置基線檢查，重點(diǎn)關(guān)注工作主機(jī)、工程師站、服務(wù)器等開放的服務(wù)，賬號密碼策略、協(xié)議的安全配置等問題，對風(fēng)險進(jìn)行安全加固。

石油石化行業(yè)信息系統(tǒng)安全防護(hù)優(yōu)勢

本方案的整體思路主要依據(jù)石油化工行業(yè)網(wǎng)絡(luò)安全“統(tǒng)一規(guī)劃、分級分域、積極預(yù)防、重點(diǎn)保障”的思路。對石油化工行業(yè)整個信息管理系統(tǒng)及工控系統(tǒng)進(jìn)行全面風(fēng)險評估掌握目前石油化工行業(yè)信息系統(tǒng)風(fēng)險現(xiàn)狀；通過對互聯(lián)網(wǎng)邊界流量的分析，保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性；通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會引入來自管理網(wǎng)風(fēng)險，保證生產(chǎn)網(wǎng)邊界安全；在企業(yè)內(nèi)部辦公系統(tǒng)及工控系統(tǒng)進(jìn)行一定手段的監(jiān)測、防護(hù)，保證企業(yè)內(nèi)部安全；最后對整個企業(yè)系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)，將各個防護(hù)點(diǎn)組成一個全面的防護(hù)體系，保障企業(yè)整個信息管理系統(tǒng)及工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。并對企業(yè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)提供一系列專業(yè)安全服務(wù)。