石油开采行业工控安全解决方案

典型部署

行业背景

       石油工业作为能源行业重要组成部分，主要包括石油的开采、存储、练化、输送等环节，石油开采的生产网由于相对封闭且使用工业协议通信，所以在长期的运行过程中忽略了工控系统安全防护建设工作。而随着开采行业自动化水平的提升，MES系统、APC系统深入参与到工业生产流程之中，生产网络与办公网络的进一步融合，也给石油开采工业控制系统带来了巨大的安全风险。同时，控制系统方面，石油工业行业大量使用Honeywell PKS、Yokogawa CENTUM VP等国外的DCS系统，可能存在一定后面风险，在国际形势发生变幻时，容易成为国家之间利用的攻击工具。

       石油行业的工业控制系统信息安全攻击事件具有目标明确、隐蔽性强、破坏严重等特点，其背后往往是敌对国家、利益集团所为，其攻击方法具有极强的隐蔽性，很难被传统的信息安全技术所发现和防护，往往能够造成严重的安全事件，给国家、企业、人民带来严重的损失。

政策法规

方案依据的法律法规及行业标准如：《中华人民共和国网络安全法》

《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

《GB/T 22239-2019 网络安全等级保护基本要求》（公安部等保2.0）

《关于加强工业控制系统安全防护的指导意见》（中国石化生[2017]292号文）

解决方案

      以国家工控系统信息安全相关政策规范和技术标准要求为依据，结合石油开采企业工业控制系统的实际应用现状，以区域划分、纵深防御为基础进行安全防护设计。同时在方案设计过程中，遵循以下原则：

     (1) 综合平衡，适度安全的原则

     (2) 技术与管理并重原则

边界隔离、区域防护

      在企业管理层和生产监控层之间部署工业安全隔离交换系统进行区域物理隔离，以保护生产控制系统免受来自企业管理网安全威胁的渗透，阻止可能遭受的外部黑客的网络攻击。

      在生产监控层与各个现场控制层、无线控制区的网络边界处部署工业防火墙进行工控协议过滤、恶意代码防护、操作指令审计，并防止各个系统之间交叉影响。

网络监测审计

      在工控网络核心交换机处旁路部署工控安全监测审计系统（即工控数据库审计系统）进行全域监测和审计；对控制系统下发、上传的数据进行深度协议解析、实时监控，对非法数据及时预警。

主机安全防护

      在工业控制系统的操作员站、工程师站、服务器上部署工控主机加固系统（主机白名单软件），对各个终端实现应用程序白名单防护、恶意代码防护、安全审计、连接互联网检测、外设管控等安全防护。

安全运维审计

      部署工控安全运维审计系统，利用单点登录功能可避免记忆复杂口令，通过给第三方人员分配临时账号，可避免敏感信息外泄，同时可将运维人员的整个操作过程进行全程录像，以备后期审计取证。

集中管理、日志收集

      部署工控监测分析预警平台，将各个安全子系统的告警情况、日志情况、网络安全状况进行采集和汇总，形成安全体系的综合监管；同时对各个安全子系统进行集中管控，统一策略下发、统一版本升级等，方便后续运维。