石油石化行業網絡安全防護方案淺析

石油不僅可以提供汽車、飛機等交通設備所用燃料，還可以加工成口罩核心材料熔噴布、服裝材料合成纖維等，所以石油石化行業在我國的工業體系中有著至關重要的作用，是我國的支柱產業之一。黨的十九大明確提出，要支持傳統產業優化升級，全面的推進石油石化企業信息化和工業化深度融合，進一步提升石油石化企業自動化、數字化、網絡化和智能化水平，加快推進“智慧油田”、“智慧工廠”、“智慧管道”和“智慧加油站”的建設，但是在信息化和工業化深度融合，有效提高工業生產力的同時，也意味著越來越多的工業控制系統通過信息網絡連接到互聯網上，潛在的威脅也會越來越大，給石油石化行業的網絡防護帶來了巨大挑戰。

風險分析

在我國石油石化行業中，主要工業控制系統包括集散控制系統（DCS） 、數據采集與監控（SCADA）、安全儀表系統（SIS）、壓縮機控制系統（CCS）、可燃氣報警系統（GDS）、各種可編程邏輯器件（PLC）等，基于對石油石化行業的深度調研和自身對石油石化行業防護建設的經驗積累，安帝科技總結了在石油石化行業中，工業控制系統網絡存在的幾個主要風險問題：

操作系統安全漏洞

企業中工業控制系統的工程師站、操作員站等PC系統多采用比較老舊的Windows系統，存在大量系統漏洞，出于穩定運行的考慮，系統從未進行過升級，存在極大安全隱患，全球范圍內，每年都會發生數次大規模的病毒爆發事件。

應用軟件安全漏洞

很多廠商設計之初，缺乏安全意識，在設計和開發軟件的時候并未做安全考慮，導致軟件存在編碼或者邏輯方面的安全漏洞和缺陷，部分廠商為了節約成本，直接用的網上的開源代碼做開發、設計，給設備帶來了極大的安全風險。

移動存儲介質濫用

移動存儲介質的使用，給用戶帶來便捷的同時，也給企業的內部網絡帶來安全風險。

移動存儲介質缺乏相應的管控機制，一旦由于有意的或者無意的將感染的移動存儲介質用到企業網絡中，后果不堪設想，極易造成企業數據泄露風險，還有可能使網絡造成感染，如Stuxnet震網病毒即通過此種途徑傳播，一旦病毒入侵，就會在內網迅速復制傳播，感染整個網絡，對企業造成極大損害。

缺乏審計監測機制

工控系統網絡中缺少安全監控審計和入侵檢測機制，不能實時的檢測網絡中的安全威脅，日志記錄不充分，對于網絡攻擊也無法很好的進行追根溯源。

工業控制系統網絡安全威脅

石油石化的一些企業在網絡規劃設計階段，工業控制網絡在內部安全區域之間沒有進行合理化的隔離手段，工業控制網絡和辦公網絡之間缺乏相應的安全管控，使得許多控制網絡都是“敞開的”，不同的接入網絡之間沒有效的隔離，一旦某處區域遭受病毒攻擊，將會迅速蔓延整個工業內網，給企業造成巨大損失。

解決方案

方案政策、規范依據

• 《工業自動化和控制系統網絡安全 可編程序控制器（PLC）》 GBT33008.1-2016
• 《工業自動化和控制系統網絡安全 集散控制系統（DCS） 第1部分：防護要求》 GBT33009.1-2016
• 《工業自動化和控制系統網絡安全 集散控制系統（DCS） 第2部分：管理要求》 GBT33009.2-2016
• 《工業自動控制系統安全：構建工業自動控制系統安全方案》ANSI/ISA-99.02.01-2009；
• 《關于加強工業控制系統信息安全管理的通知》工業和信息化部2011年10月
• 《工業控制系統安全防護指南》工業和信息化部2016年11月
• 《中華人民共和國網絡安全法》全國人大常委會2016年11月
• 《關于加強工業控制系統安全防護的指導意見》中國石化 2017年
• 《工業控制系統信息安全事件應急管理工作指南》工業和信息化部2017年6月
• 《工業控制系統信息安全行動計劃（2018-2020）》工業和信息化部2018年1月
• GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求  2019年
• GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求  2019年
• GB/T 28448-2019 信息安全技術 網絡安全等級保護測評要求2019年

通過對石油石化行業存在的風險進行分析，安帝科技提出了一套安全防護方案。

邊界防護

在PLC、DCS和工程師站、操作員站之間，以及生產網控制層的各區域的邊界之間部署工業防火墻，實現分層級的安全防護，抵御已知的安全威脅，通過對工控協議的深度解析，來保障通信數據的合法性，實現對工業控制網絡的深度防護。

終端防護

在生產網、控制網和管理網的工程師站、操作員站、OPC服務器、能源服務器等終端安裝部署主機安全防護軟件，提高工作站的安全等級、抵御網絡攻擊，提升防病毒入侵能力，給予終端計算機全生命周期的安全防護。

網絡監測

在生產網旁路部署入侵檢測系統，可以快速識別出系統中存在的非法操作、異常事件、APT攻擊、蠕蟲木馬及外部攻擊。在生產網旁路部署監測審計系統，通過特定的安全策略，快速識別出企業控制系統網絡非法操作、異常事件、外部攻擊，并實時報警。

集中管理

在生產網部署工業統一行為安全管理平臺，實現對部署在整個工控系統的安全設備統一化的安全監管和運維，作為系統中所有安全設備節點（工業防火墻、工控安全審計系統、工控主機防護等）的統一安管中心，工業統一行為安全管理平臺支持對工控安全設備的安全策略統一下發、安全事件的集中有效的管理，打破安全孤島，使他們成為一個有機體系統來抵御網絡中的各種威脅。

方案價值

通過工控安全防護體系的建設，對石油石化行業各網絡邊界、區域邊界、重要控制設備進行隔離、防護，切斷病毒、木馬、惡意攻擊的傳播途徑，來保障網絡區域內生產控制系統的安全；通過工控安全監測體系的建設，對工控網絡內控制指令、操作行為、傳輸數據等進行實時的檢測，及時發現非法操作、惡意篡改、網絡攻擊等安全事件，來保障石油石化行業業務流程、生產數據的安全；通過統一管理體系的建設，實現對工控網絡內的安全設備進行統一的監管和運維；通過工控安全防護體系、工控安全監測體系和工控設備統一管理體系的建設，形成符合石油石化行業業務特點的工控安全響應體系，及時預警安全事件發現安全問題，做到安全防護、安全監測、集中管理的可視化，最大限度的保障石油石化行業生產的安全運行。