石油行业工控系统网络安全解决方案软件升级

石油行业解决方案

行业背景

石油企业生产的产品为原油、成品油和天然气等易燃、易爆、有毒以及强腐蚀性的物质，其操作流程十分复杂，各种高温高压设备较多且对操作都有严格要求，一旦生产系统出现安全问题，后果不堪设想。一旦发生事故，由于生产产品的特殊性，所造成危害影响严重，首先是现场的火灾、爆炸，造成现场工作人员伤亡、消防人员伤亡、生产设备的损坏，直接造成巨大的人员财产损失。在事故发生后，生产原料的泄露、扩散等灾害都会很难处理，在很大范围内，长时间造成空气、水源、土地的污染，严重影响厂区附近人民群众的生产生活。石油企业是中国重要的资金与技术密集型企业，承担着重要的社会责任，工业控制系统的信息安全问题不容有失。

需求分析

在石油行业中，工业控制系统信息安全问题日益突出。

硬件方面

工控网络中存在大量广播信息易造成广播风暴。

软件方面

石油行业工控系统国内外的软件品牌众多，很难形成统一的防护规范策略应对安全问题；另外当软件面向网络应用时，就必须开放端口，尤其对于工控系统边界存在OPC协议，常规的IT防火墙和网闸等安全设备无法适应OPC动态端口机制，很难发挥其保障作用。

使用方面

网络的使用者由于经验不足等原因造成的网络口令丢失，权限分配失策、系统被人入侵等情况，也会造成机密数据丢失、泄漏、系统瘫痪等故障。

非法授权使用

工控系统普遍存在访问制度和权限管理。权限管理的漏洞造成的非授权使用或来自外部的黑客攻击有可能使工控系统误动作，甚至造成系统瘫痪。

病毒攻击

计算机病毒在整个工控系统内的传播可能造成某个或多个计算机的性能下降甚至瘫痪，造成工控系统局部功能的丧失。

解决方案

方案以《GBT22239-2019信息安全技术网络安全等级保护基本要求》技术及管理要求为基准，对站控层设备接入进行管理、安全区域边界进行防护、生产网络安全进行审计，并提供统一安全管理平台，解决安全问题单点管理的弊端。

在场站及调度中心SCADA系统边界部署工业级防火墙，进行边界访问控制，对工业指令实现命令级过滤，入侵攻击防护，拒绝服务攻击防护。

在场站工控交换机及调度中心生产网交换机旁路部署工业安全审计系统，实时监测工控网络中违规行为、异常流量和不明设备接入；在调度中心生产网交换机旁路部署入侵检测设备，实现网络攻击检测和异常行为审计。

在场站生产监控终端，调度中心服务器、开发站、运维终端及监控工作站分别部署主机安全防护系统，实现对移动存储介质使用管理、非法外联控制、软件黑白名单管理、主机安全基线管理、补丁管理、主机审计、主机资产管理等功能。

在调度中心规划统一安全管理中心，对工业控制系统进行检查评估，网络流量进行安全审计、对所有安全设备进行统一策略管理、实现系统安全态势感知分析。