在當今數字化時代，石油石化行業作為國家重要的支柱產業，其工控系統的安全穩定運行至關重要。然而，隨著物聯網、云計算、邊緣計算、大數據、5G、人工智能等新一代信息技術在工業領域的不斷滲透，石油石化行業的信息安全問題日益凸顯。為了應對這些挑戰，博智安全公司推出了一套全面的石油石化行業工控安全解決方案，旨在幫助企業提升工控系統的安全防護能力，滿足等保2.0、工業控制系統網絡安全防護指南等政策要求。

一、引言

石油石化行業是不法分子意圖竊取敏感信息、破壞生產運行或造成社會混亂的重要目標。該行業的高溫、高壓、易燃、易爆、易腐蝕等特殊性增加了生命風險，一旦工控系統遭受攻擊，可能不僅僅是暴露信息或影響生產，還可能對設備甚至人員造成物理損害。進入21世紀后，中國石油石化行業飛速發展，但信息安全問題也隨之而來。因此，構建強大的工控安全保障體系已成為當務之急。

石油工業主要包括石油的開采、油氣存儲、練化加工、油氣輸送等環節。其中，石油煉化是將原油通過一系列煉制過程轉化為多種石油產品的過程。石油煉化常用的工藝流程為常減壓蒸餾、催化裂化、延遲焦化、加氫裂化、溶劑脫瀝青、加氫氧制、催化重整等。通過煉化將原油加工成各種產品，如汽油、噴氣燃料、煤油、柴油、燃料油、潤滑油、石油蠟、石油瀝青、石油焦，以及用于進一步化工加工的各種原料。

二、現狀分析

（一）安全事件頻發

石油石化行業的工業控制系統信息安全攻擊事件具有目標明確、隱蔽性強、破壞嚴重等特點。近年來，國內外發生了多起針對石油石化企業的安全事件，如Conficker病毒感染、Flame病毒潛伏、土耳其石油管道爆炸等，這些事件給企業帶來了巨大的損失。

（二）國家重視 

國家高度重視石油石化工控系統安全，發布了一系列政策文件，如《關于開展重要工業控制系統基本情況調查的通知》《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》《中國石化工業儀表控制系統安全防護實施規定》等，要求加強工業控制系統安全監管，定期開展安全檢查和風險評估，規范工控系統安全配置，保障安全穩定運行。

（三）安全問題普遍

石油石化行業工控系統安全問題十分普遍，主要包括網絡節點間無有效隔離、通信協議漏洞、工程師站無身份認證和訪問控制、Windows平臺漏洞及主機防護不足、APC自身無防護措施等。這些問題使得企業的工控系統在面對網絡風險時不堪一擊，急需加強安全防護體系建設。

三、方案設計

解決方案以滿足等級保護2.0合規性要求為基礎，綜合運用邊界防護、身份認證、威脅監測、風險評估等手段，構建以工業安全管理平臺為中心，安全計算環境、安全區域邊界、安全通信網絡的三重防御體系，幫助建立企業一體化工控安全綜合管控體系。

（一）安全風險評估

部署工控漏洞掃描系統，對煉化企業PLC、工程師站、操作員站、APC服務器等進行掃描，涵蓋系統內工控軟件的漏洞檢測、工控設備脆弱性檢測、工控設備信息收集、工控設備未知漏洞探測等內容。利用資產管理功能，深入了解資產安全狀態，為后續的安全防護提供依據。

（二）安全分區分域

在煉化企業資源層與生產管理層邊界、企業過程控制層與過程監控層邊界、過程監控層與生產管理層邊界以及過程監控層不同的功能區域邊界上部署工控安全隔離網閘及工控防火墻，實現功能區域間、不同層級邊界間的隔離控制，保障各個功能區域內部系統的干凈和穩定運行，對業務操作進行嚴格的訪問控制。

（三）網絡實時監測

通過在不同產線裝置的網絡交換機旁鏡像部署工控安全審計系統和工控入侵檢測系統，實現對工業控制協議通信報文的深度解析，實時檢測網絡攻擊、用戶誤操作、違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，同時對工業網絡系統的運行狀況進行監視，發現并阻斷各種入侵攻擊、異常流量、非法操作或異常行為。

（四）安全計算環境

在煉化企業內操作員站、工程師站、服務器等設備上部署工控主機衛士，以白名單的技術方式，全方位地保護主機的資源使用，監控本地設備安全基線配置，禁止非法進程的運行、非法網絡的訪問連接和非法USB設備的接入，從而切斷病毒和木馬的傳播與破壞路徑。

（五）安全集中管理

在企業安全運維區域部署工業安全管理平臺，對工控防火墻、工控安全審計系統、工控主機衛士、工控漏洞掃描系統等工控安全產品及第三方設備進行統一監控、日志采集、安全分析、策略下發，為工控網絡安全運營提供決策支持，加強安全事件響應速度與安全運維能力，提升工控網絡整體信息安全水平。

四、設備功能需求

（一）工控安全審計系統

支持對多種工控協議通信報文深度解析，能夠檢測出數據包的有效內容特征、負載和可用匹配信息。采用機器學習方式對網絡中資產與流量進行檢測，及時發現網絡威脅。對工控信息設備進行惡意代碼檢查，對工控網絡攻擊進行監測預警，同時能夠根據日志和數據包對工控網絡通信記錄進行回溯。

（二）工控防火墻

內置工業協議深度解析引擎，支持對多種主流工控協議的深度解析，具備協議精準識別、數據包合規性檢查功能。內置工業ISP規則庫，能全方位防御DDOS攻擊、注入攻擊、XSS 攻擊、目錄遍歷攻擊、操作系統漏洞利用等攻擊行為。內置工業病毒庫，可對文件進行病毒檢測并攔截。支持自定義配置訪問控制策略，訪問控制策略更加精細化。具備高可用性，支持BYPASS、雙機熱備、負載均衡等功能。

（三）工控入侵檢測系統

內置強大的攻擊特征庫，涵蓋通用和工控兩部分攻擊規則，并保持不斷更新。支持多種工業協議類型的入侵檢測，包括功能碼合法性、功能碼訪問地址合法性及寄存器值設定合法性等多個層次的檢測。支持會話及流量分析，支持工控協議自學習白名單體系，用戶可以根據自身實際的網絡情況自由選擇部署方式。

（四）工控主機衛士

采用可信應用白名單，禁止白名單以外的程序加載運行，有效防御未知惡意程序和木馬。具備可信USB白名單，規范USB設備使用，防止USB作為媒介的攻擊行為。可自動學習工控終端設備與其它設備發啟的網絡連接，發現非法連接可即時阻斷。對特定的對象提供文件完整性保護，具備系統基線保護功能，可對設備本地安全中多項策略進行監控配置。兼容性強，支持多種操作系統。

（五）工業安全管理平臺

具備設備統一安全管理功能，可集中管理設備信息，統一導入、導出，方便用戶進行安全管理。能夠繪制資產拓撲，以拓撲形式展示資產信息，方便用戶查看網絡關系結構進行分析。提供網絡拓撲、實時消息、圖表分析、安全報告等全面的可視化手段，支持數據鉆取分析，可對異常數據進行跟蹤溯源，提升安全運維工作效率。支持對工控安全設備統一管理，設備統一監控，安全策略批量下發，同時提供標準接口，支持對第三方設備進行實時監控。具備安全日志管理功能，支持對安全日志進行統一收集與歸一化，內置高效大數據引擎，提供強大的數據查詢處理能力，滿足日志存儲合規性要求。

（六）工控漏洞掃描系統

支持對Windows、Linux、Vxworks等工業常見操作系統進行端口掃描、服務探測及脆弱性檢測。支持對多種類型的工控系統或設備進行漏洞掃描，準確定位其脆弱點和潛在威脅。能夠通過工業協議對各類工業資產進行精確識別。支持對主流數據庫進行漏洞檢測，具備 Web 應用掃描、安全配置核查功能。

（七）運維管理系統

加強對運維人員的行為管理，包括運維人員身份鑒別、操作授權和行為審計。通過對運維人員的行為進行全程監控和記錄，及時發現和阻止異常行為，確保工控系統的安全穩定運行。

五、用戶收益

（一）顯著提升存量工控系統安全防護水平

通過優化結構，強化邊界防護，減少對威脅的暴露面，降低脆弱性的可利用性，設置多道防線，重點防護實時控制系統。在確保結構安全的前提下，規范內部物理和環境、網絡和通信、設備和計算、應用和數據安全，加強安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理，提高系統整體安全防護能力，保證石油石化工業控制系統運行及重要數據的安全。

（二）安全響應處置能力不斷提高

通過“評”“防”“溯”“維”的信息安全防護理念，在石油石化信息安全建設、事件處置、應急演練的過程中，逐步提升信息安全防護、應急處置能力，形成一套涵蓋石油石化各系統的完備響應處置流程和響應處置預案。

總之，博智安全公司的石油石化行業工控安全解決方案能夠有效提升企業的工控系統安全防護水平，滿足國家政策要求，為企業的穩定發展提供有力保障。在未來，博智安全將繼續致力于工控安全領域的技術創新和服務提升，為石油石化行業的發展保駕護航。