石油化工行業(yè)業(yè)務板塊介紹

石油化工企業(yè)完成油氣從勘探到加工成品最終面向用戶銷售的整個生產(chǎn)過程，由油氣田、油氣輸送、煉化加工、油氣儲運和油氣銷售板塊組成完整生態(tài)鏈。需要多個專業(yè)的相互配合和協(xié)作，是中國重要的資金與技術密集型企業(yè)。

石油化工行業(yè)信息化系統(tǒng)介紹

在石油化工行業(yè)中，傳統(tǒng)的研究、生產(chǎn)及管理系統(tǒng)導致軟件、數(shù)據(jù)和計算資源分散部署在各單位，形成獨立的系統(tǒng)、數(shù)據(jù)庫和工作流程，導致本來應環(huán)環(huán)相扣的各項業(yè)務無法有效結合。隨著油氣業(yè)務的發(fā)展，研究、生產(chǎn)及管理人員分布在全國多個地區(qū)，而多數(shù)單位都有異地協(xié)同、研究、辦公的需求。如在油氣田領域通過對多個業(yè)務的集成協(xié)同，實現(xiàn)對油藏、井、鉆、管網(wǎng)、設備等生產(chǎn)對象的實時狀態(tài)的全面感知，實現(xiàn)對決策過程、經(jīng)營體系、生產(chǎn)流程及資產(chǎn)價值的全過程分析優(yōu)化；在管網(wǎng)運行領域，利用機器數(shù)據(jù)、信息系統(tǒng)業(yè)務數(shù)據(jù)及仿真數(shù)據(jù)加強管網(wǎng)實時狀態(tài)、重點設備工況和能耗等分析工作；在煉化領域分析設備運行數(shù)據(jù)，提高設備故障維修效率，節(jié)約成本；在產(chǎn)品銷售領域進行成品油銷量預測、客戶流失分析、促銷量價分析，對未來銷售趨勢進行預判，實現(xiàn)精準營銷等。所以，一體化已成為當今油氣生產(chǎn)的發(fā)展方向。

石油化工行業(yè)工業(yè)控制系統(tǒng)介紹

在石油化工行業(yè)中，工業(yè)控制系統(tǒng)主要包括集散控制系統(tǒng)（DCS）、安全儀表系統(tǒng)（SIS）、壓縮機控制系統(tǒng)（CCS）、可燃氣報警系統(tǒng)（GDS）、各種可編程控制器（PLC），并已成為石油化工行業(yè)重大的基礎設施。隨著近年來智能制造的推動以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出。并且行業(yè)普遍存在信息安全管理制度不健全，相關標準規(guī)范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等問題。

石油化工行業(yè)兩化融合介紹

在“兩化”融合的行業(yè)發(fā)展需求下，現(xiàn)代工業(yè)控制系統(tǒng)的技術進步主要表現(xiàn)在兩大方面：信息化與工業(yè)化的深度融合，為了提高生產(chǎn)高效運行、生產(chǎn)管理效率，石油化工行業(yè)大力推進工業(yè)控制系統(tǒng)自身的集成化，集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強，工控網(wǎng)絡與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。

石油化工行業(yè)信息系統(tǒng)面臨的安全風險

影響石油化工企業(yè)網(wǎng)絡系統(tǒng)安全的因素很多，可能是有意的攻擊，也可能是員工無意的操作，還可能是外來攻擊者對網(wǎng)絡系統(tǒng)資源的非法使用。入侵者不會是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；石油化工企業(yè)生產(chǎn)運營的系統(tǒng)及研究、生產(chǎn)過程中的數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源；一旦出現(xiàn)安全問題，可能損害用戶、企業(yè)甚至是國家的利益。

石油化工企業(yè)生產(chǎn)的產(chǎn)品大多為易燃、易爆、有毒以及強腐蝕性的物質，其操作流程十分復雜，各種高溫、高壓設備較多，對操作都有嚴格要求，一旦生產(chǎn)系統(tǒng)出現(xiàn)安全問題，生產(chǎn)現(xiàn)場可能出現(xiàn)火災、爆炸，進而可能引起生產(chǎn)裝置的損壞，并可能造成人員傷亡。事故導致生產(chǎn)原料的泄漏、擴散等，可能在很大范圍內長時間地造成空氣、水源、土壤的污染，給當?shù)厝嗣裆詈椭苓叚h(huán)境帶來嚴重影響。

石油化工行業(yè)信息安全需求分析

威脅來源分析

對信息系統(tǒng)影響較大的安全威脅主要集中在以下五個方面。

1) 硬件方面。網(wǎng)絡中存在大量廣播信息易造成廣播風暴。蠕蟲病毒利用網(wǎng)絡傳播，也可占用計算機的系統(tǒng)資源和網(wǎng)絡帶寬,容易使程序無法響應系統(tǒng)的要求,造成系統(tǒng)的堵塞，甚至崩潰。

2) 軟件方面。石油化工行業(yè)各單位信息系統(tǒng)眾多，涉及范圍廣；工控系統(tǒng)國內外的軟件品牌眾多，很難形成統(tǒng)一的防護規(guī)范策略應對安全問題；另外當軟件面向網(wǎng)絡應用時，就必須開放端口，一旦被惡意攻擊和利用后果不堪設想。

3) 使用方面。網(wǎng)絡的使用者由于經(jīng)驗不足等原因造成的網(wǎng)絡口令丟失,權限分配失策、系統(tǒng)被人入侵等情況,也會造成機密數(shù)據(jù)丟失、泄漏、系統(tǒng)癱瘓等故障。

4) 非法授權使用。石油化工企業(yè)系統(tǒng)普遍存在訪問制度和權限管理。權限管理的漏洞造成的非授權使用或來自外部的黑客攻擊有可能獲取系統(tǒng)權限，訪問敏感數(shù)據(jù)；致使工控系統(tǒng)誤動作,甚至造成系統(tǒng)癱瘓。

5) 病毒攻擊。計算機病毒在整個網(wǎng)絡系統(tǒng)內的傳播可能造成某個或多個計算機的性能下降甚至癱瘓,造成生產(chǎn)系統(tǒng)局部功能的喪失。

石油化工行業(yè)網(wǎng)絡風險點分析

1、信息安全管理方面的安全脆弱性

1) 信息安全管理制度流程欠完善。現(xiàn)在大部分企業(yè)還未形成完整的制度政策，缺乏信息系統(tǒng)規(guī)劃、建設、運維、廢止全生命周期的信息安全需求和設計管理，欠缺配套的管理體系、處理流程、人員責任等規(guī)定。

2) 應急響應機制欠健全，需進一步提高系統(tǒng)信息安全事件的應對能力。發(fā)生信息安全事件后人員通常依靠經(jīng)驗判斷，甚至逐個斷網(wǎng)等方式，確定信息安全事件發(fā)生的設備和影響范圍，對于被攻擊的程度，工藝是否受影響存在很多不明確的逐一進行排查。

3) 人員信息安全培訓不足，技術和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對應用系統(tǒng)的業(yè)務培訓，但是面向全員的信息安全意識宣傳、信息安全技術和管理培訓均比較缺乏，需加強信息安全體系化宣傳和培訓。

4) 尚需完善第三方人員管理體制。大部分的行業(yè)會將設備建設運維工作外包給設備商或集成商，尤其針對國外廠商，業(yè)主不了解網(wǎng)絡、應用及安全設備的技術細節(jié)，對于所有的運維操作無控制、無審計，留有安全隱患。

2、信息安全技術方面的安全脆弱性

1) 未進行安全區(qū)域劃分，區(qū)域間未設置訪問控制措施。隨著信息系統(tǒng)及工業(yè)系統(tǒng)的集成化越來越高，呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢，系統(tǒng)的互聯(lián)程度大幅提高。但是各子系統(tǒng)之間沒有進行有效的隔離，系統(tǒng)邊界不清楚，邊界訪問控制策略缺失，一旦發(fā)生安全問題，存在迅速蔓延的可能性。

2) 工作主機存在互相感染的隱患。大部分工作主機是基于Windows平臺，版本包括NT4.0，Win2000,XP,win7,Server2003等，Windows平臺固有的脆弱性均可以被病毒黑客利用。并且大部分企業(yè)無移動存儲介質管理、工作主機軟件運行白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡準入控制的技術控制措施。

3) 缺少信息安全風險監(jiān)控技術，不能及時發(fā)現(xiàn)信息安全問題，出現(xiàn)問題后靠人員經(jīng)驗排查。在網(wǎng)絡上普遍缺少信息安全監(jiān)控機制，不能及時了解網(wǎng)絡狀況，一旦發(fā)生問題不能及時確定問題所在，不能及時排查到故障點，排查過程耗費大量人力成本、時間成本。

4) 系統(tǒng)運行后，工作主機和服務器很少打補丁，存在系統(tǒng)漏洞，系統(tǒng)安全配置較薄弱，防病毒軟件安裝不全面。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。

5) 存在使用移動存儲介質不規(guī)范問題，易引入病毒及黑客攻擊程序。在系統(tǒng)運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質現(xiàn)象，有可能傳染病毒、木馬等威脅生產(chǎn)系統(tǒng)。

6) 第三方人員運維生產(chǎn)系統(tǒng)無審計措施。出現(xiàn)問題后無法及時準確定位問題原因、影響范圍及追究責任。

7）上線前未進行信息安全測試。系統(tǒng)在上線前未進行安全性測試，系統(tǒng)上線后存在大量安全風險漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

石油化工行業(yè)信息安全防護方案

石油化工行業(yè)系統(tǒng)部署架構

石油化工行業(yè)信息安全防護思路

在保證系統(tǒng)可用性前提下，對石油化工行業(yè)信息系統(tǒng)及工業(yè)控制系統(tǒng)進行綜合防護，實現(xiàn)“垂直分層，水平分區(qū)。邊界控制，內部監(jiān)測”。

1）“垂直分層、水平分區(qū)”即對石油化工行業(yè)生產(chǎn)及管理系統(tǒng)垂直方向化分為集團管理層、企業(yè)管理層、生產(chǎn)管理層、生產(chǎn)調度層、現(xiàn)場控制層及現(xiàn)場設備層；水平分區(qū)指各信息管理系統(tǒng)之間，工業(yè)控制系統(tǒng)之間從網(wǎng)絡上隔離開，處于不同的安全區(qū)。

2）“邊界控制，內部監(jiān)測”即對系統(tǒng)邊界即各工作站、應用服務器、信息系統(tǒng)、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡等要進行邊界防護和準入控制等；對生產(chǎn)辦公網(wǎng)絡及工業(yè)控制系統(tǒng)內部要監(jiān)測網(wǎng)絡流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務異常、訪問關系異常和流量異常等問題。

3）系統(tǒng)面臨的主要安全威脅來自于黑客攻擊，病毒蠕蟲等惡意代碼，非授權接入、移動介質、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務異常等越權訪問。因此，其安全防護應在以下方面予以重點完善和強化：入侵檢測及防御；惡意代碼防護；內部網(wǎng)絡異常行為的檢測；邊界訪問控制和系統(tǒng)訪問控制策略；系統(tǒng)開發(fā)與維護的安全；身份認證和行為審計；賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；操作站操作系統(tǒng)安全；移動存儲介質的標記、權限控制和審計；設備物理安全。

石油化工行業(yè)信息安全防護方案

結合石油化工行業(yè)信息安全防護思路，將石油化工企業(yè)系統(tǒng)劃分為企業(yè)信息管理系統(tǒng)及生產(chǎn)控制系統(tǒng)。企業(yè)信息管理系統(tǒng)分為兩層，即集團管理層和企業(yè)管理層；生產(chǎn)控制系統(tǒng)分為四層，即生產(chǎn)管理層、生產(chǎn)調度層、現(xiàn)場控制層和現(xiàn)場設備層。每一套信息系統(tǒng)、每一個工業(yè)控制系統(tǒng)應單獨劃分在一個區(qū)域里。

集團管理層及企業(yè)管理層主要是經(jīng)營管理、資源計劃管理、文件管理、合同管理、質量管理、采購及物資管理等相關系統(tǒng)。

生產(chǎn)管理層主要是生產(chǎn)調度、詳細生產(chǎn)流程、可靠性保證、三維可視、能源管理、設備管理、視頻管理、地理信息管理、應急指揮管理以及站點范圍內的控制優(yōu)化等相關系統(tǒng)。

生產(chǎn)調度層包括了監(jiān)督和控制實際生產(chǎn)過程的人機界面HMI、操作員站、工程師站、報警管理服務器、通信服務器、實時數(shù)據(jù)收集服務器、歷史數(shù)據(jù)歸檔服務器以及用于連接的其他服務器客戶機等相關系統(tǒng)。

現(xiàn)場控制層是對來自現(xiàn)場設備層的傳感器所采集的數(shù)據(jù)進行操作，執(zhí)行控制算法，輸出到執(zhí)行器執(zhí)行，該層通過現(xiàn)場總線或實時網(wǎng)絡與現(xiàn)場設備層的傳感器和執(zhí)行器形成控制回路。主要包含DCS控制器、可編程邏輯控制器PLC、遠程終端單元RTU等控制相關系統(tǒng)。

現(xiàn)場設備層對生產(chǎn)設施的現(xiàn)場設備進行數(shù)據(jù)采集和輸出操作的功能，包括所有連在現(xiàn)場總線或實時網(wǎng)絡的傳感器（模擬量和開關量輸入）和執(zhí)行器（模擬量和開關量輸出）。

根據(jù)“邊界控制，內部監(jiān)測”的防護思路，對石油化工行業(yè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)進行防護。

通過信息安全管理系統(tǒng)對整個系統(tǒng)內的各個子系統(tǒng)和安全設備進行統(tǒng)一安全監(jiān)控和管理。對企業(yè)日常辦公及工業(yè)控制現(xiàn)場設備、信息安全設備、網(wǎng)絡設備、服務器、操作站等進行統(tǒng)一資產(chǎn)管理，并對各設備的信息安全監(jiān)控和報警、信息安全日志信息進行集中管理。根據(jù)安全審計策略對各類信息安全信息進行分類管理與查詢，系統(tǒng)對各類信息安全報警和日志信息進行關聯(lián)分析，展現(xiàn)全網(wǎng)的安全風險分布和趨勢。

防護類措施分類如下： 

1）在安全區(qū)域邊界處部署防火墻設備，實現(xiàn)IP/端口、協(xié)議的訪問控制、應用層協(xié)議訪問控制、流量控制等；于工業(yè)控制安全區(qū)域邊界處部署工業(yè)系統(tǒng)專用防火墻，在實現(xiàn)傳統(tǒng)網(wǎng)絡防護功能基礎上對工業(yè)控制系統(tǒng)專用協(xié)議進行深度解析及訪問控制。

2）在安全區(qū)域邊界處部署入侵防御設備，通過對網(wǎng)絡中深層攻擊行為進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網(wǎng)絡的安全。

3）在內部信息區(qū)域與對外發(fā)布信息區(qū)域之間及工業(yè)控制區(qū)域與信息管理區(qū)域之間部署網(wǎng)閘設備，切斷網(wǎng)絡鏈路層鏈接，完成網(wǎng)絡之間的數(shù)據(jù)交換。

4）在工作主機、操作站、工程師站及辦公終端部署操作站安全系統(tǒng)實現(xiàn)移動存儲介質使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡準入控制、安全配置管理等。

5）安全審計與管理系統(tǒng)的作用是，對管理人員及運維人員在業(yè)務環(huán)境下的操作行為進行細粒度審計的合規(guī)性管理，通過對業(yè)務人員訪問系統(tǒng)的行為進行解析、分析、記錄、匯報，實現(xiàn)事前規(guī)劃預防，事中實時監(jiān)視、違規(guī)行為響應，事后合規(guī)報告、事故追蹤溯源，同時加強內外部網(wǎng)絡行為監(jiān)管、促進核心資產(chǎn)的正常運營。

6）Wifi入侵檢測與防護設備是放在基于Wifi組網(wǎng)的現(xiàn)場設備網(wǎng)絡中，可實現(xiàn)非法AP阻斷，非法外來設備接入生產(chǎn)網(wǎng)絡，基于Wifi的入侵檢測等。

監(jiān)控檢查類措施如下：

1）在交換機鏡像口上部署入侵監(jiān)測系統(tǒng)，檢測信息系統(tǒng)內部入侵行為，異常操作行為，發(fā)現(xiàn)異常流量和異常訪問關系等；并于工業(yè)以太網(wǎng)交換機景象口上部署工控異常監(jiān)測系統(tǒng)，檢測工業(yè)控制系統(tǒng)內部入侵、異常操作、異常流量和異常訪問關系等。

2）部署漏洞掃描系統(tǒng)，對系統(tǒng)漏洞、Web漏洞以及弱口令進行掃描，并在工控系統(tǒng)檢修、停機或新系統(tǒng)上線時對工業(yè)控制系統(tǒng)進行漏洞掃描并對漏洞進行修補。

3）部署安全配置基線核查系統(tǒng)，對系統(tǒng)進行配置基線檢查，重點關注工作主機、工程師站、服務器等開放的服務，賬號密碼策略、協(xié)議的安全配置等問題，對風險進行安全加固。

石油石化行業(yè)信息系統(tǒng)安全防護優(yōu)勢

本方案的整體思路主要依據(jù)石油化工行業(yè)網(wǎng)絡安全“統(tǒng)一規(guī)劃、分級分域、積極預防、重點保障”的思路。對石油化工行業(yè)整個信息管理系統(tǒng)及工控系統(tǒng)進行全面風險評估掌握目前石油化工行業(yè)信息系統(tǒng)風險現(xiàn)狀；通過對互聯(lián)網(wǎng)邊界流量的分析，保證企業(yè)內部網(wǎng)絡的安全性；通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會引入來自管理網(wǎng)風險，保證生產(chǎn)網(wǎng)邊界安全；在企業(yè)內部辦公系統(tǒng)及工控系統(tǒng)進行一定手段的監(jiān)測、防護，保證企業(yè)內部安全；最后對整個企業(yè)系統(tǒng)進行統(tǒng)一安全呈現(xiàn)，將各個防護點組成一個全面的防護體系，保障企業(yè)整個信息管理系統(tǒng)及工業(yè)控制系統(tǒng)安全穩(wěn)定運行。并對企業(yè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)提供一系列專業(yè)安全服務。