一、行业背景

石油石化行业在我国的工业体系中有着至关重要的作用，是我国关键基础设施建设的重要组成部分，国家对事关国家安全和国计民生的关键基础设施，在网络安全等级保护制度的基础上，将实行重点保护。然而，在信息化和工业化深度融合的趋势下，有效提高工业生产力的同时，也意味着越来越多的工业控制系统通过信息网络连接到互联网上，潜在的威胁也越来越多，给石油石化行业的网络防护带来了巨大挑战。

为贯彻落实 《网络安全法》、《工信部安全防护指南》和等级保护2.0等法规标准的颁布实施，按照行业规范的《中国石化工业仪表控制系统安全防护实施规定》、《中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见》等要求，各炼化企业需要依据规范，建设工业控制系统安全防护体系来保障生产安全。

二、需求分析

该炼化公司现有工业控制系统，主要分布在化工新区、化工老区、炼油新区、炼油老区等几个主要厂区，以横河（YOKOGAWA）公司CENTUM CS3000 DCS系统为全厂主要控制系统。其中炼油新区、化工新区工业控制系统采用的网络架构大致相同，各生产装置DCS系统单独组网完成独立的自动化生产控制功能，SIS系统、PLC控制系统通过RS485接口与Modbus协议与DCS实现互联及数据通讯。加之DCS网络之间没有汇聚互联，需通过独立的OPC服务器与MES系统实现数据交互。

各DCS系统通过工业以太网在DCS集中管控中心（CCR）汇聚实现集中管控，通过独立的OPC服务器与MES系统实现数据交互，另外，炼油新区设置一个集中管控中心（CCR3），化工新区设置2个集中管控中心（CCR1、CCR2）。

三、解决方案

融安网络在石化工业控制系统网络信息安全解决方案建设考虑到工业控制系统的特性，结合炼化生产生产控制系统的实际情况，从外到内构成“纵深防御、分区防护”体系。按照“一个中心，三重防护”的原则，从安全通信网络、安全区域边界、安全计算环境、安全管理中心等四个层面加以实现：

1、 安全通信网络层面：工控网络采用独立组网，并根据业务特点划分不同网络安全区域，并在不同网络安全区域之间进行网络隔离；对关键网络设备和线路实现冗余备份，对广域网传输的数据采用加密技术确保传输信息的保密性等。

2、安全区域边界层面：对工控网络内部各安全域之间以及工控网络与非工控网络的数据访问进行控制，只允许授权访问通过边界保护设备；对工控网络协议进行分析监测，对网络攻击、病毒等安全事件进行检测，及时发现网络中的威胁事件。

3、安全计算环境层面：加强服务器、工程师站等工业主机的身份鉴别和访问控制措施，严格限制用户访问权限；保证工控应用系统身份认证数据和业务数据完整性和保密性，防止非授权操作、误操作或信息泄露；并根据需要实现数据定时备份或实时备份功能，保证数据可用性。

4、安全管理中心层面：加强网络设备和安全设备集中认证和审计日志的集中统一管理；加强对网络运行状况的集中监控；实现系统管理员、安全管理员、审计管理员的权限分离、身份鉴别以及操作过程的监控审计等功能。

具体解决方案实现的六大步骤如下：

1、边界防护

在PLC、DCS和工程师站、操作员站之间，以及生产网控制层的各区域的边界之间部署工业防火墙，实现分层级的安全防护，对工控协议的深度解析，抵御已知安全风险，保障通信数据的合法性，实现对工业控制网络的深度防护；

2、行为审计

在各生产装置DCS系统之间、TS服务器外联网络和工厂广域办公网相连的边界网络设备上旁路各部署一套工业监控审计系统及入侵防范系统，对入侵工控网络的威胁源进行有效检测及监测审计；

3、终端防护

在所有工控网络中的电脑或服务器等终端安装部署USB防御系统及工业安全卫士。对主机的USB接口安全使用进行有效管理和对主机病毒和安全进程防护，抵御网络攻击，提升防病毒入侵能力，给予终端计算机全生命周期的安全防护。

4、入侵检测

在DCS系统的TS服务器外联网络，与工厂广域办公网相连的边界网络设备上旁路各部署一套工业监测审计系统和工业入侵检测系统，快速识别系统中存在的非法操作、异常事件等外部攻击，并实时监测、告警；

5、日志审计

在各生产网络部署日志审计系统对日志的采集、集中存储管理、合规审计、实时监控及安全告警等功能，为安全事件的分析、溯源提供了有力支撑。

6、集中管理

在各生产网络部署统一安全管理平台，对管控中心CCR等工控网络内的所有网络安全节点进行统一管理、统一配置，审计信息统一存储、统一分析，从而构建工控系统的整体安全防御体系。

部署图

四、客户价值

全方位、一体化的安全解决方案，提升企业经济和社会价值

1、安全合规建设，能够有效履行国家标准《工信部安全防护指南》、等级保护2.0和行业规范《中国石化工业仪表控制系统安全防护实施规定》、《中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见》等合规性要求；

2、满足石油炼化行业一体化、自动化、网络化等行业发展新趋势、新技术的发展要求。

3、弥补现有生产系统网络安全层面的缺陷，构建安全的工业控制安全防御体系，提高安全防护，助力企业安全生产，降低造成国家关键基础设施遭到破坏的可能性。