在當(dāng)今數(shù)字化時(shí)代，石油石化行業(yè)作為國(guó)家重要的支柱產(chǎn)業(yè)，其工控系統(tǒng)的安全穩(wěn)定運(yùn)行至關(guān)重要。然而，隨著物聯(lián)網(wǎng)、云計(jì)算、邊緣計(jì)算、大數(shù)據(jù)、5G、人工智能等新一代信息技術(shù)在工業(yè)領(lǐng)域的不斷滲透，石油石化行業(yè)的信息安全問題日益凸顯。為了應(yīng)對(duì)這些挑戰(zhàn)，博智安全公司推出了一套全面的石油石化行業(yè)工控安全解決方案，旨在幫助企業(yè)提升工控系統(tǒng)的安全防護(hù)能力，滿足等保2.0、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南等政策要求。

一、引言

石油石化行業(yè)是不法分子意圖竊取敏感信息、破壞生產(chǎn)運(yùn)行或造成社會(huì)混亂的重要目標(biāo)。該行業(yè)的高溫、高壓、易燃、易爆、易腐蝕等特殊性增加了生命風(fēng)險(xiǎn)，一旦工控系統(tǒng)遭受攻擊，可能不僅僅是暴露信息或影響生產(chǎn)，還可能對(duì)設(shè)備甚至人員造成物理?yè)p害。進(jìn)入21世紀(jì)后，中國(guó)石油石化行業(yè)飛速發(fā)展，但信息安全問題也隨之而來。因此，構(gòu)建強(qiáng)大的工控安全保障體系已成為當(dāng)務(wù)之急。

石油工業(yè)主要包括石油的開采、油氣存儲(chǔ)、練化加工、油氣輸送等環(huán)節(jié)。其中，石油煉化是將原油通過一系列煉制過程轉(zhuǎn)化為多種石油產(chǎn)品的過程。石油煉化常用的工藝流程為常減壓蒸餾、催化裂化、延遲焦化、加氫裂化、溶劑脫瀝青、加氫氧制、催化重整等。通過煉化將原油加工成各種產(chǎn)品，如汽油、噴氣燃料、煤油、柴油、燃料油、潤(rùn)滑油、石油蠟、石油瀝青、石油焦，以及用于進(jìn)一步化工加工的各種原料。

二、現(xiàn)狀分析

（一）安全事件頻發(fā)

石油石化行業(yè)的工業(yè)控制系統(tǒng)信息安全攻擊事件具有目標(biāo)明確、隱蔽性強(qiáng)、破壞嚴(yán)重等特點(diǎn)。近年來，國(guó)內(nèi)外發(fā)生了多起針對(duì)石油石化企業(yè)的安全事件，如Conficker病毒感染、Flame病毒潛伏、土耳其石油管道爆炸等，這些事件給企業(yè)帶來了巨大的損失。

（二）國(guó)家重視 

國(guó)家高度重視石油石化工控系統(tǒng)安全，發(fā)布了一系列政策文件，如《關(guān)于開展重要工業(yè)控制系統(tǒng)基本情況調(diào)查的通知》《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》《中國(guó)石化工業(yè)儀表控制系統(tǒng)安全防護(hù)實(shí)施規(guī)定》等，要求加強(qiáng)工業(yè)控制系統(tǒng)安全監(jiān)管，定期開展安全檢查和風(fēng)險(xiǎn)評(píng)估，規(guī)范工控系統(tǒng)安全配置，保障安全穩(wěn)定運(yùn)行。

（三）安全問題普遍

石油石化行業(yè)工控系統(tǒng)安全問題十分普遍，主要包括網(wǎng)絡(luò)節(jié)點(diǎn)間無有效隔離、通信協(xié)議漏洞、工程師站無身份認(rèn)證和訪問控制、Windows平臺(tái)漏洞及主機(jī)防護(hù)不足、APC自身無防護(hù)措施等。這些問題使得企業(yè)的工控系統(tǒng)在面對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)不堪一擊，急需加強(qiáng)安全防護(hù)體系建設(shè)。

三、方案設(shè)計(jì)

解決方案以滿足等級(jí)保護(hù)2.0合規(guī)性要求為基礎(chǔ)，綜合運(yùn)用邊界防護(hù)、身份認(rèn)證、威脅監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估等手段，構(gòu)建以工業(yè)安全管理平臺(tái)為中心，安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)的三重防御體系，幫助建立企業(yè)一體化工控安全綜合管控體系。

（一）安全風(fēng)險(xiǎn)評(píng)估

部署工控漏洞掃描系統(tǒng)，對(duì)煉化企業(yè)PLC、工程師站、操作員站、APC服務(wù)器等進(jìn)行掃描，涵蓋系統(tǒng)內(nèi)工控軟件的漏洞檢測(cè)、工控設(shè)備脆弱性檢測(cè)、工控設(shè)備信息收集、工控設(shè)備未知漏洞探測(cè)等內(nèi)容。利用資產(chǎn)管理功能，深入了解資產(chǎn)安全狀態(tài)，為后續(xù)的安全防護(hù)提供依據(jù)。

（二）安全分區(qū)分域

在煉化企業(yè)資源層與生產(chǎn)管理層邊界、企業(yè)過程控制層與過程監(jiān)控層邊界、過程監(jiān)控層與生產(chǎn)管理層邊界以及過程監(jiān)控層不同的功能區(qū)域邊界上部署工控安全隔離網(wǎng)閘及工控防火墻，實(shí)現(xiàn)功能區(qū)域間、不同層級(jí)邊界間的隔離控制，保障各個(gè)功能區(qū)域內(nèi)部系統(tǒng)的干凈和穩(wěn)定運(yùn)行，對(duì)業(yè)務(wù)操作進(jìn)行嚴(yán)格的訪問控制。

（三）網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)

通過在不同產(chǎn)線裝置的網(wǎng)絡(luò)交換機(jī)旁鏡像部署工控安全審計(jì)系統(tǒng)和工控入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)工業(yè)控制協(xié)議通信報(bào)文的深度解析，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)攻擊、用戶誤操作、違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實(shí)時(shí)報(bào)警，同時(shí)對(duì)工業(yè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，發(fā)現(xiàn)并阻斷各種入侵攻擊、異常流量、非法操作或異常行為。

（四）安全計(jì)算環(huán)境

在煉化企業(yè)內(nèi)操作員站、工程師站、服務(wù)器等設(shè)備上部署工控主機(jī)衛(wèi)士，以白名單的技術(shù)方式，全方位地保護(hù)主機(jī)的資源使用，監(jiān)控本地設(shè)備安全基線配置，禁止非法進(jìn)程的運(yùn)行、非法網(wǎng)絡(luò)的訪問連接和非法USB設(shè)備的接入，從而切斷病毒和木馬的傳播與破壞路徑。

（五）安全集中管理

在企業(yè)安全運(yùn)維區(qū)域部署工業(yè)安全管理平臺(tái)，對(duì)工控防火墻、工控安全審計(jì)系統(tǒng)、工控主機(jī)衛(wèi)士、工控漏洞掃描系統(tǒng)等工控安全產(chǎn)品及第三方設(shè)備進(jìn)行統(tǒng)一監(jiān)控、日志采集、安全分析、策略下發(fā)，為工控網(wǎng)絡(luò)安全運(yùn)營(yíng)提供決策支持，加強(qiáng)安全事件響應(yīng)速度與安全運(yùn)維能力，提升工控網(wǎng)絡(luò)整體信息安全水平。

四、設(shè)備功能需求

（一）工控安全審計(jì)系統(tǒng)

支持對(duì)多種工控協(xié)議通信報(bào)文深度解析，能夠檢測(cè)出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息。采用機(jī)器學(xué)習(xí)方式對(duì)網(wǎng)絡(luò)中資產(chǎn)與流量進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)威脅。對(duì)工控信息設(shè)備進(jìn)行惡意代碼檢查，對(duì)工控網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)預(yù)警，同時(shí)能夠根據(jù)日志和數(shù)據(jù)包對(duì)工控網(wǎng)絡(luò)通信記錄進(jìn)行回溯。

（二）工控防火墻

內(nèi)置工業(yè)協(xié)議深度解析引擎，支持對(duì)多種主流工控協(xié)議的深度解析，具備協(xié)議精準(zhǔn)識(shí)別、數(shù)據(jù)包合規(guī)性檢查功能。內(nèi)置工業(yè)ISP規(guī)則庫(kù)，能全方位防御DDOS攻擊、注入攻擊、XSS 攻擊、目錄遍歷攻擊、操作系統(tǒng)漏洞利用等攻擊行為。內(nèi)置工業(yè)病毒庫(kù)，可對(duì)文件進(jìn)行病毒檢測(cè)并攔截。支持自定義配置訪問控制策略，訪問控制策略更加精細(xì)化。具備高可用性，支持BYPASS、雙機(jī)熱備、負(fù)載均衡等功能。

（三）工控入侵檢測(cè)系統(tǒng)

內(nèi)置強(qiáng)大的攻擊特征庫(kù)，涵蓋通用和工控兩部分攻擊規(guī)則，并保持不斷更新。支持多種工業(yè)協(xié)議類型的入侵檢測(cè)，包括功能碼合法性、功能碼訪問地址合法性及寄存器值設(shè)定合法性等多個(gè)層次的檢測(cè)。支持會(huì)話及流量分析，支持工控協(xié)議自學(xué)習(xí)白名單體系，用戶可以根據(jù)自身實(shí)際的網(wǎng)絡(luò)情況自由選擇部署方式。

（四）工控主機(jī)衛(wèi)士

采用可信應(yīng)用白名單，禁止白名單以外的程序加載運(yùn)行，有效防御未知惡意程序和木馬。具備可信USB白名單，規(guī)范USB設(shè)備使用，防止USB作為媒介的攻擊行為。可自動(dòng)學(xué)習(xí)工控終端設(shè)備與其它設(shè)備發(fā)啟的網(wǎng)絡(luò)連接，發(fā)現(xiàn)非法連接可即時(shí)阻斷。對(duì)特定的對(duì)象提供文件完整性保護(hù)，具備系統(tǒng)基線保護(hù)功能，可對(duì)設(shè)備本地安全中多項(xiàng)策略進(jìn)行監(jiān)控配置。兼容性強(qiáng)，支持多種操作系統(tǒng)。

（五）工業(yè)安全管理平臺(tái)

具備設(shè)備統(tǒng)一安全管理功能，可集中管理設(shè)備信息，統(tǒng)一導(dǎo)入、導(dǎo)出，方便用戶進(jìn)行安全管理。能夠繪制資產(chǎn)拓?fù)洌酝負(fù)湫问秸故举Y產(chǎn)信息，方便用戶查看網(wǎng)絡(luò)關(guān)系結(jié)構(gòu)進(jìn)行分析。提供網(wǎng)絡(luò)拓?fù)洹?shí)時(shí)消息、圖表分析、安全報(bào)告等全面的可視化手段，支持?jǐn)?shù)據(jù)鉆取分析，可對(duì)異常數(shù)據(jù)進(jìn)行跟蹤溯源，提升安全運(yùn)維工作效率。支持對(duì)工控安全設(shè)備統(tǒng)一管理，設(shè)備統(tǒng)一監(jiān)控，安全策略批量下發(fā)，同時(shí)提供標(biāo)準(zhǔn)接口，支持對(duì)第三方設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控。具備安全日志管理功能，支持對(duì)安全日志進(jìn)行統(tǒng)一收集與歸一化，內(nèi)置高效大數(shù)據(jù)引擎，提供強(qiáng)大的數(shù)據(jù)查詢處理能力，滿足日志存儲(chǔ)合規(guī)性要求。

（六）工控漏洞掃描系統(tǒng)

支持對(duì)Windows、Linux、Vxworks等工業(yè)常見操作系統(tǒng)進(jìn)行端口掃描、服務(wù)探測(cè)及脆弱性檢測(cè)。支持對(duì)多種類型的工控系統(tǒng)或設(shè)備進(jìn)行漏洞掃描，準(zhǔn)確定位其脆弱點(diǎn)和潛在威脅。能夠通過工業(yè)協(xié)議對(duì)各類工業(yè)資產(chǎn)進(jìn)行精確識(shí)別。支持對(duì)主流數(shù)據(jù)庫(kù)進(jìn)行漏洞檢測(cè)，具備 Web 應(yīng)用掃描、安全配置核查功能。

（七）運(yùn)維管理系統(tǒng)

加強(qiáng)對(duì)運(yùn)維人員的行為管理，包括運(yùn)維人員身份鑒別、操作授權(quán)和行為審計(jì)。通過對(duì)運(yùn)維人員的行為進(jìn)行全程監(jiān)控和記錄，及時(shí)發(fā)現(xiàn)和阻止異常行為，確保工控系統(tǒng)的安全穩(wěn)定運(yùn)行。

五、用戶收益

（一）顯著提升存量工控系統(tǒng)安全防護(hù)水平

通過優(yōu)化結(jié)構(gòu)，強(qiáng)化邊界防護(hù)，減少對(duì)威脅的暴露面，降低脆弱性的可利用性，設(shè)置多道防線，重點(diǎn)防護(hù)實(shí)時(shí)控制系統(tǒng)。在確保結(jié)構(gòu)安全的前提下，規(guī)范內(nèi)部物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)安全，加強(qiáng)安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理，提高系統(tǒng)整體安全防護(hù)能力，保證石油石化工業(yè)控制系統(tǒng)運(yùn)行及重要數(shù)據(jù)的安全。

（二）安全響應(yīng)處置能力不斷提高

通過“評(píng)”“防”“溯”“維”的信息安全防護(hù)理念，在石油石化信息安全建設(shè)、事件處置、應(yīng)急演練的過程中，逐步提升信息安全防護(hù)、應(yīng)急處置能力，形成一套涵蓋石油石化各系統(tǒng)的完備響應(yīng)處置流程和響應(yīng)處置預(yù)案。

總之，博智安全公司的石油石化行業(yè)工控安全解決方案能夠有效提升企業(yè)的工控系統(tǒng)安全防護(hù)水平，滿足國(guó)家政策要求，為企業(yè)的穩(wěn)定發(fā)展提供有力保障。在未來，博智安全將繼續(xù)致力于工控安全領(lǐng)域的技術(shù)創(chuàng)新和服務(wù)提升，為石油石化行業(yè)的發(fā)展保駕護(hù)航。