石油炼化行业工控安全解决方案

1. 行业现状

我国炼化企业是最早采用DCS进行生产过程控制的代表，也是全国最早实现管控一体化的典范。炼化企业具有生产连续性强、工艺复杂、产品种类多、停车事故易造成严重损失等特点。“十五”至“十一五”期间，炼化行业大部分生产企业建立了以ERP为核心的企业信息管理系统，基本满足了企业经营管理的需要。同时，结合MES系统的建设总体形成了ERP/MES/PCS三层结构为核心架构的信息化应用体系。

近年来，随着伊朗核事件、乌克兰断网事件、火焰病毒等一系列工控安全事件的发生，为我们敲响了警钟。网络攻击正快速向工控网络系统蔓延，针对工控系统的安全研究已成为当前网络安全的研究热点。炼化工业作为能源行业重要组成部分，且由于其生产装置及过程的复杂性、产品的特殊性、工艺的高危险性，使得炼化生产的工控系统安全变得更为重要。

2. 安全隐患

结合目前各炼化企业的网络系统现状并结合其发展趋势，炼化企业工业控制系统主要存在以下安全风险：

·       炼化企业没有对其内部生产控制系统及网络进行分区、分层,易发生全局性网络安全风险。

·       炼化企业过程控制层与生产监控层之间、各生产车间之间以及不同功能监控系统之间无隔离防护措施，无法保障工控网络、生产设备安全。

·       炼化企业办公网和生产监控网之间无物理隔离措施，导致病毒、木马、黑客攻击等极易以办公网为跳板对生产控制系统发起攻击。

·       由于炼化企业控制流程复杂、设备种类繁多、通信协议多样，造成采集数据安全性无法得到保障。

·       炼化企业内部控制系统及网络缺乏安全监测与审计措施，无法及时发现非法访问、非法操作、恶意攻击等行为。

·       炼化企业内部缺乏统一的安全管理平台。

3. 遵循标准

Ø  《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

Ø  《GB/T 22239-2008信息安全等级保护基本要求》

Ø  《关于加强工业控制系统信息安全管理的通知》（工信部〔2011〕451号）

4. 解决方案

4.1. 防护体系

• 物理隔离
  

在生产监控层与企业资源层之间部署英赛克INS-T9工业网闸实现物理隔离，以非网络连接的方式实现数据的安全交换和工业协议的异常检测、数据完整性检测、组态异常监测等安全功能，同时阻断病毒、木马、非法访问的传播途径。

• 区域与边界隔离
  

在生产监控网与光纤环网之间、各车间工艺流程区域之间部署英赛克INS-T3工业防火墙，实现基于区域和功能的网络划分及隔离，对工业专有协议进行深度解析，阻止区域间的越权访问，病毒、蠕虫扩散和入侵，将危险源控制在有限范围内。

• 重要设备防护
  

采取具备业务连续性保障技术的英赛克INS-T3工业防火墙，对PLC等工控设备进行重点防护，对重要设备工控协议、数据的完整性、功能码、地址范围和工艺参数范围进行深度解析，发现异常指令、告警可疑操作、隔离威胁数据，同时阻止操作员或工程师有意无意的非法操作。

• 不同系统防护
  

采用英赛克INS-T3工业防火墙对生产监控层不同功能的监控系统、应用系统进行访问控制和逻辑隔离，并对系统间数据进行深度安全检测，保障系统安全、可靠运行。

• 可信数据采集与协议转换
  

通过英赛克INS-T5可信数据采集网关，结合基于Linux操作系统的OPC安全通信专利技术和“4S”深度防护专利技术，实现炼化企业网络内OPC、Modbus等协议的实时可信转发。

4.2. 监测体系

分别在生产监控层核心交换机和各车间核心交换机处部署INS-A4工控安全审计监测平台，进行全局监测和区域监测。综合利用INS-A4工控安全审计监测平台的流量审计、协议审计、业务审计以及安全事件分析与追踪功能，实现工控网络从流量、协议、事件到业务的安全可视、异常行为监测，及时发现各种违规行为和病毒、黑客的攻击行为。

4.3. 响应体系

通过英赛克INS-S2工控安全监控管理平台，实现工控安全设备的集中管理、拓扑管理、安全配置及安全策略管理、设备状态监控以及安全告警等功能，并通过安全威胁、事件归一化处理和关联分析，实现对全局工控安全的事件追溯、态势感知和动态响应。