石油石化行业工控安全建设解决方案（一）丨龙鼎源

安全问题及需求

石油石化行业的生产网由于相对封闭且使用工业协议通信，所以在长期的运行过程中可能忽略工控系统安全防护建设工作。而随着行业自动化水平的提升，生产网的不断开放，增加了生产系统被入侵和破坏的风险。通过深入分析现有工业控制系统存在的安全风险，可发现以下几方面安全问题：缺乏对自身工业控制系统网络安全的了解，生产控制系统缺乏自身的安全性设计；缺乏对自身工业控制系统网络安全组织架构的规划；缺乏工业控制系统网络安全管理制度；缺乏适合企业自身特点的工控安全防护技术标准规范；缺乏工业控制系统网络安全防护手段等。

北京龙鼎源科技股份有限公司在工控安全建设方面，能够基于工业控制系统潜在的信息安全风险分析结果，从石油石化行业工控系统信息安全防护的实际需求出发，参照信息安全等级保护的思想，以生产装置的安全、稳定、可靠运行为核心，综合运用边界防护、访问控制、主机安全等技术手段，有效整合不同层面的安全技术，设计工控信息安全防护体系，为用户提供完善的工控安全建设解决方案。

遵循标准

我们遵循的标准包括：

⚫ 《工业控制系统信息安全防护指南》（工信软函〔2016〕338 号）

⚫ 《工业控制系统信息安全防护能力评估方法》（工信部信软〔2017〕188 号文）

⚫ 《信息安全技术 网络安全等级保护基本要求》除此之外，我们会根据国家相关法律规定及行业发展状况，完善补充遵循的设计标准及规范。

解决思路

龙鼎源会根据客户具体的情况和需求给出最适合的方案，但通常会从以下几个方面考虑：

1、边界、区域防护

在生产网与信息网间部署工业防火墙及工控安全监测与审计系统，实现生产网与办公网的隔离，阻断非必要的跨区域访问及网络连接，对跨区域的数据流量进行监测，监测信息网的攻击行为是否传输到生产网。

在生产网的不同区域间部署工业防火墙，实现工业控制系统内部的区域隔离，阻断跨区域的网络攻击。同时对上位机发出的工业指令进行深度解析，检测工业指令的合规性，阻断针对 DCS 系统或利用 DCS 系统漏洞发起的攻击行为。

2、主机安全防护

在工作站、接口服务器、数据采集服务器和实时/历史服务器上部署工控主机卫士，工控主机卫士客户端软件可自动生成或手动添加白名单，禁止白名单外的恶意程序和操作执行，同时将终端的运行状态、日志及告警信息等发送到统一安全管理平台进行汇总分析。

在远程维护服务器和数据库服务器上部署主机安全加固系统，以白名单技术为基础，访问控制技术为核心,构建服务器操作系统安全防御架构。主机安全加固系统具有完整的用户身份鉴别，访问权限控制、外设控制、完整性校验、日志审计的功能，并且采用集中式管理，克服了分布式系统在管理上的诸多问题。

3、数据安全交换

采用安全 U 盘作为数据交换介质，避免不安全的移动存储介质所带来的恶意程序进入工控网络影响生产系统的正常运行。

4、网络监测与审计

在关键网络节点旁路部署工控安全监测与审计系统，如：作业区办公网和生产网的交换机、备调调度中心的交换机和备调调度中心后台的核心交换机、现场控制室层的交换机、服务器区与中央控制室之间的交换机。基于对工业控制协议（如 Modbus TCP、OPC、Siemens S7、DNP3 和 IEC104 等）的通信报文进行深度解析，能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，避免发生安全事故。

5、运维管理

在备调调度中心后台的核心交换机上部署安全运维管理系统，避免越权访问、误操作、滥用、恶意破坏等情况的发生，安全运维管理系统是集用户管理、授权管理、认证管理和综合审计于一体的集中安全运维管理系统，该系统能够为企业提供集中的管理平台，减少系统维护工作量，为企业提供全面的用户和资源管理，减少企业的维护成本，帮助企业制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源的安全，详细记录用户对资源的访问及操作，满足对用户行为审计的需求。

6、集中管理

在作业区的办公网、备调调度中心、服务器区与中央控制室之间的交换机上部署统一安全管理平台，对工业网络中的安全设备进行统一的配置和管理，并对其日志信息进行统一收集、管理和分析。