石油石化行业网络安全防护方案浅析

石油不仅可以提供汽车、飞机等交通设备所用燃料，还可以加工成口罩核心材料熔喷布、服装材料合成纤维等，所以石油石化行业在我国的工业体系中有着至关重要的作用，是我国的支柱产业之一。党的十九大明确提出，要支持传统产业优化升级，全面的推进石油石化企业信息化和工业化深度融合，进一步提升石油石化企业自动化、数字化、网络化和智能化水平，加快推进“智慧油田”、“智慧工厂”、“智慧管道”和“智慧加油站”的建设，但是在信息化和工业化深度融合，有效提高工业生产力的同时，也意味着越来越多的工业控制系统通过信息网络连接到互联网上，潜在的威胁也会越来越大，给石油石化行业的网络防护带来了巨大挑战。

风险分析

在我国石油石化行业中，主要工业控制系统包括集散控制系统（DCS） 、数据采集与监控（SCADA）、安全仪表系统（SIS）、压缩机控制系统（CCS）、可燃气报警系统（GDS）、各种可编程逻辑器件（PLC）等，基于对石油石化行业的深度调研和自身对石油石化行业防护建设的经验积累，安帝科技总结了在石油石化行业中，工业控制系统网络存在的几个主要风险问题：

操作系统安全漏洞

企业中工业控制系统的工程师站、操作员站等PC系统多采用比较老旧的Windows系统，存在大量系统漏洞，出于稳定运行的考虑，系统从未进行过升级，存在极大安全隐患，全球范围内，每年都会发生数次大规模的病毒爆发事件。

应用软件安全漏洞

很多厂商设计之初，缺乏安全意识，在设计和开发软件的时候并未做安全考虑，导致软件存在编码或者逻辑方面的安全漏洞和缺陷，部分厂商为了节约成本，直接用的网上的开源代码做开发、设计，给设备带来了极大的安全风险。

移动存储介质滥用

移动存储介质的使用，给用户带来便捷的同时，也给企业的内部网络带来安全风险。

移动存储介质缺乏相应的管控机制，一旦由于有意的或者无意的将感染的移动存储介质用到企业网络中，后果不堪设想，极易造成企业数据泄露风险，还有可能使网络造成感染，如Stuxnet震网病毒即通过此种途径传播，一旦病毒入侵，就会在内网迅速复制传播，感染整个网络，对企业造成极大损害。

缺乏审计监测机制

工控系统网络中缺少安全监控审计和入侵检测机制，不能实时的检测网络中的安全威胁，日志记录不充分，对于网络攻击也无法很好的进行追根溯源。

工业控制系统网络安全威胁

石油石化的一些企业在网络规划设计阶段，工业控制网络在内部安全区域之间没有进行合理化的隔离手段，工业控制网络和办公网络之间缺乏相应的安全管控，使得许多控制网络都是“敞开的”，不同的接入网络之间没有效的隔离，一旦某处区域遭受病毒攻击，将会迅速蔓延整个工业内网，给企业造成巨大损失。

解决方案

方案政策、规范依据

• 《工业自动化和控制系统网络安全 可编程序控制器（PLC）》 GBT33008.1-2016
• 《工业自动化和控制系统网络安全 集散控制系统（DCS） 第1部分：防护要求》 GBT33009.1-2016
• 《工业自动化和控制系统网络安全 集散控制系统（DCS） 第2部分：管理要求》 GBT33009.2-2016
• 《工业自动控制系统安全：构建工业自动控制系统安全方案》ANSI/ISA-99.02.01-2009；
• 《关于加强工业控制系统信息安全管理的通知》工业和信息化部2011年10月
• 《工业控制系统安全防护指南》工业和信息化部2016年11月
• 《中华人民共和国网络安全法》全国人大常委会2016年11月
• 《关于加强工业控制系统安全防护的指导意见》中国石化 2017年
• 《工业控制系统信息安全事件应急管理工作指南》工业和信息化部2017年6月
• 《工业控制系统信息安全行动计划（2018-2020）》工业和信息化部2018年1月
• GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求  2019年
• GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求  2019年
• GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求2019年

通过对石油石化行业存在的风险进行分析，安帝科技提出了一套安全防护方案。

边界防护

在PLC、DCS和工程师站、操作员站之间，以及生产网控制层的各区域的边界之间部署工业防火墙，实现分层级的安全防护，抵御已知的安全威胁，通过对工控协议的深度解析，来保障通信数据的合法性，实现对工业控制网络的深度防护。

终端防护

在生产网、控制网和管理网的工程师站、操作员站、OPC服务器、能源服务器等终端安装部署主机安全防护软件，提高工作站的安全等级、抵御网络攻击，提升防病毒入侵能力，给予终端计算机全生命周期的安全防护。

网络监测

在生产网旁路部署入侵检测系统，可以快速识别出系统中存在的非法操作、异常事件、APT攻击、蠕虫木马及外部攻击。在生产网旁路部署监测审计系统，通过特定的安全策略，快速识别出企业控制系统网络非法操作、异常事件、外部攻击，并实时报警。

集中管理

在生产网部署工业统一行为安全管理平台，实现对部署在整个工控系统的安全设备统一化的安全监管和运维，作为系统中所有安全设备节点（工业防火墙、工控安全审计系统、工控主机防护等）的统一安管中心，工业统一行为安全管理平台支持对工控安全设备的安全策略统一下发、安全事件的集中有效的管理，打破安全孤岛，使他们成为一个有机体系统来抵御网络中的各种威胁。

方案价值

通过工控安全防护体系的建设，对石油石化行业各网络边界、区域边界、重要控制设备进行隔离、防护，切断病毒、木马、恶意攻击的传播途径，来保障网络区域内生产控制系统的安全；通过工控安全监测体系的建设，对工控网络内控制指令、操作行为、传输数据等进行实时的检测，及时发现非法操作、恶意篡改、网络攻击等安全事件，来保障石油石化行业业务流程、生产数据的安全；通过统一管理体系的建设，实现对工控网络内的安全设备进行统一的监管和运维；通过工控安全防护体系、工控安全监测体系和工控设备统一管理体系的建设，形成符合石油石化行业业务特点的工控安全响应体系，及时预警安全事件发现安全问题，做到安全防护、安全监测、集中管理的可视化，最大限度的保障石油石化行业生产的安全运行。