石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決建議

石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決建議目錄010203全國工業(yè)控制系統(tǒng)安全大檢查介紹石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決建議石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用案例全國工業(yè)控制系統(tǒng)安全大檢查介紹01全國工業(yè)控制系統(tǒng)安全大檢查介紹被檢查工控系統(tǒng)分布行業(yè)礦山電力石油天然氣石化冶金水利水務(wù)化工制造環(huán)保煙草交通石油天然氣行業(yè)舉例一級名稱二級名稱三級名稱系統(tǒng)名稱簡述石油天然氣油氣井場（上游）DCS監(jiān)控系統(tǒng)實(shí)現(xiàn)油氣開采過程中對溫度、流量等工藝參數(shù)的采集與處理，對控制回路中閥門的自動控制油氣管線（中游）站控（首站，加壓站，計(jì)量站等）DCS系統(tǒng)對油氣運(yùn)輸過程中進(jìn)行處理的工藝流程數(shù)據(jù)監(jiān)控系統(tǒng)。油氣調(diào)度中心石油儲運(yùn)SCADA監(jiān)控系統(tǒng)（包含無線通信）對全線運(yùn)行實(shí)行統(tǒng)一調(diào)度管理,監(jiān)視管線沿線各站的運(yùn)行參數(shù)和狀態(tài),如溫度、壓力、流量以及陰極保護(hù),供配電等系統(tǒng)的有關(guān)參數(shù);對所有閥門的開、關(guān)和故障狀態(tài),火災(zāi)報警,可燃?xì)怏w檢測,通信線路運(yùn)行狀態(tài)等進(jìn)行監(jiān)測。加油站、加氣站（下游）站內(nèi)DCS監(jiān)控系統(tǒng)對站內(nèi)數(shù)據(jù)進(jìn)行監(jiān)控石化行業(yè)舉例一級名稱二級名稱三級名稱系統(tǒng)名稱簡述石化煉油、芳烴、烯烴、塑料、化工分散控制系統(tǒng)（DCS）由控制單元、上位機(jī)（電腦）和監(jiān)控組態(tài)軟件組成的系統(tǒng)，對現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)采集及生產(chǎn)流程控制。安全儀表系統(tǒng)（SIS）為工廠控制系統(tǒng)中報警和聯(lián)鎖部分，對控制系統(tǒng)中檢測的結(jié)果實(shí)施報警動作或調(diào)節(jié)或停機(jī)控制的系統(tǒng)有毒/可燃?xì)怏w監(jiān)測系統(tǒng)（FGS）對火情、有毒、可燃?xì)怏w監(jiān)測報警的系統(tǒng)先進(jìn)過程控制（APC）是指動態(tài)環(huán)境中基于模型、充分借助于計(jì)算機(jī)功能，使系統(tǒng)運(yùn)行在最佳工況的系統(tǒng)。全國工業(yè)控制系統(tǒng)安全大檢查介紹威脅分析資產(chǎn)分析流量分析項(xiàng)目管理報告管理以快速發(fā)現(xiàn)問題為目的，任一評估模塊可單獨(dú)檢查；為節(jié)約時間，可根據(jù)高風(fēng)險檢查項(xiàng)有選擇地實(shí)施檢測。檢查內(nèi)容使用工控系統(tǒng)安全檢查工具箱對工控系統(tǒng)進(jìn)行無害安全分析檢查策略檢查方式：使用“工控安全檢查工具箱”對被檢查單位進(jìn)行威脅分析、資產(chǎn)分析、流量分析。檢查工具箱外觀便攜工具箱外觀檢查客戶端檢查工具電源及網(wǎng)線默認(rèn)密碼檢查工具現(xiàn)場檢查接入“工控安全檢查工具箱”設(shè)備接入檢查流程和檢查過程中需要向被檢查單位確認(rèn)的內(nèi)容：1、在檢查前，要求被檢查單位閱讀《現(xiàn)場接入工控系統(tǒng)安全檢查工具箱須知》并在《工控系統(tǒng)安全檢查入場確認(rèn)表》簽字。2、設(shè)備的流量分析接入點(diǎn)一般選擇在工控系統(tǒng)和信息系統(tǒng)邊界區(qū)域的交換機(jī)，請確認(rèn)該接入交換機(jī)具備鏡像端口功能并要求工控系統(tǒng)責(zé)任單位配置完畢。3、設(shè)備的資產(chǎn)識別接入點(diǎn)原則上接入工控系統(tǒng)網(wǎng)絡(luò)，要求被檢查單提供該工控網(wǎng)絡(luò)的網(wǎng)段地址和IP地址數(shù)量，并提供該網(wǎng)段一個空閑固定IP地址。4、在設(shè)備接入前請確認(rèn)被接的交換機(jī)負(fù)荷≤10%。5、對于現(xiàn)場設(shè)備存在嚴(yán)重老化（大于10年）和超期服役的情況，原則上不建議接入設(shè)備。6、在設(shè)備的接入過程中必須由被檢查單相關(guān)的技術(shù)人員全程陪同。7、明確被檢查單應(yīng)急響應(yīng)聯(lián)系人。8、在檢查結(jié)束，被檢查單在《工控系統(tǒng)安全檢查完成確認(rèn)表》上簽字。9、公安部對檢查結(jié)果統(tǒng)一匯總分析及后續(xù)的整改通知等工作?，F(xiàn)場檢查前注意事項(xiàng)序號檢查內(nèi)容檢查方式被檢查單位配合內(nèi)容備注1威脅分析

公安檢查人員通過使用公安部“工控安全檢查工具箱”對被檢查單位進(jìn)行安全管理訪談，被檢查單位配合填寫“工控安全檢查工具箱”內(nèi)的相關(guān)表單。1、被檢查單位負(fù)責(zé)信息化和安全生產(chǎn)的管理人員配合檢查人員訪談。2、被檢查單位提供相關(guān)信息安全和安全生產(chǎn)相關(guān)的管理制度及工控系統(tǒng)安全生產(chǎn)運(yùn)行的相關(guān)記錄，以備查。基于國家《工控系統(tǒng)等級保護(hù)基本要求》標(biāo)準(zhǔn)來做合規(guī)分析。2資產(chǎn)分析

公安檢查人員通過使用公安部“工控安全檢查工具箱”對被檢查單位進(jìn)行資產(chǎn)分析。分為資產(chǎn)自動掃描識別分析和資產(chǎn)手動識別分析?！肮た匕踩珯z查工具箱”接入到被檢查單位的工控網(wǎng)絡(luò)中的工控交換機(jī)，進(jìn)行資產(chǎn)自動掃描識別分析。對工控系統(tǒng)中的設(shè)備和系統(tǒng)漏洞進(jìn)行發(fā)現(xiàn)。1、被檢查單位提供工控網(wǎng)絡(luò)拓?fù)鋱D，被對檢查人員進(jìn)行詳細(xì)講解。2、被檢查單提供該工控網(wǎng)絡(luò)的網(wǎng)段地址和IP地址數(shù)量，并提供該網(wǎng)段一個空閑固定IP地址，用于“工控安全檢查工具箱”的接入。3、被檢查單提供工控系統(tǒng)的資產(chǎn)列表，如：DCS、SCADA、PLC、RTU等，工控交換機(jī)，工控機(jī)（pc）的品牌、型號、IP地址等信息，工控機(jī)操作系統(tǒng)具體版本，安裝的工控軟件及組態(tài)軟件，上位機(jī)軟件等產(chǎn)品與版本；防火墻等網(wǎng)絡(luò)與信息安全安全設(shè)備（如有）品牌型號版本等。

公安部“工控安全檢查工具箱”是公安部對于本次檢查行動使用的一款綜合硬件產(chǎn)品3流量分析

公安檢查人員通過使用公安部“工控安全檢查工具箱”對被檢查單位進(jìn)行流量分析與數(shù)據(jù)流量抓取，流量抓取大約需要40分鐘左右?！肮た匕踩珯z查工具箱”通過接入到被檢查單位的工控網(wǎng)絡(luò)中的工控交換機(jī)的鏡像口，對工控系統(tǒng)生產(chǎn)使用和傳輸?shù)臄?shù)據(jù)流量進(jìn)行安全分析。1、被檢查單提供該工控網(wǎng)絡(luò)的網(wǎng)段地址和IP地址數(shù)量，并提供該網(wǎng)段一個空閑固定IP地址，用于“工控安全檢查工具箱”的接入。2、被檢查單位需要對工控網(wǎng)絡(luò)中交換機(jī)配置端口鏡像功能。（如不會配置，可以咨詢工控交換機(jī)設(shè)備廠商進(jìn)行設(shè)置）3、被檢查單位的技術(shù)人員和工控系統(tǒng)的技術(shù)人員必須在現(xiàn)場全程陪同，做好應(yīng)急準(zhǔn)備。

工控安全檢查事項(xiàng)及被檢查單位配合內(nèi)容目前全國工業(yè)控制系統(tǒng)安全大檢查情況匯總檢查情況：大檢查已涉及到15省38個地市，完成檢查企業(yè)160多家，其中主要涉及到關(guān)系國計(jì)民生市政、電力、交通、石油、石化等16個重點(diǎn)行業(yè)，涉及到的國內(nèi)外控制系統(tǒng)如下：西門子、施耐德、ABB、霍尼韋爾、AB，浙大中控等企業(yè)。漏洞情況：主要涉及到的本體漏洞設(shè)備為西門子PLCS7-200、300、400、1200等系列高危漏洞施耐德昆騰系列PLC高危漏洞AB控制系統(tǒng)高危漏洞等漏洞種類分布情況為：緩沖區(qū)溢出、輸入驗(yàn)證、代碼注入、權(quán)限許可和訪問控制、競爭條件、配置錯誤等漏洞。發(fā)現(xiàn)問題：在檢查中發(fā)現(xiàn)的主要問題是系統(tǒng)加固不及時，現(xiàn)場存在大量已停產(chǎn)或者廠商已發(fā)布補(bǔ)丁程序但現(xiàn)場未及時更新的情況，安全隱患較大；被查企業(yè)缺乏必要的網(wǎng)絡(luò)安全管理制度和應(yīng)急響應(yīng)預(yù)案，一旦發(fā)生網(wǎng)絡(luò)安全風(fēng)險，無制度可依，不利于風(fēng)險的處理；被查企業(yè)多數(shù)存在未設(shè)立網(wǎng)絡(luò)安全預(yù)算，不重視網(wǎng)絡(luò)安全的情況；被查企業(yè)網(wǎng)絡(luò)安全防護(hù)能力不足，專職安全人員能力有待提高等一系列問題。被查企業(yè)安全防護(hù)認(rèn)知錯誤，普遍存在網(wǎng)絡(luò)隔離或者不接互聯(lián)網(wǎng)即安全的想法，但在實(shí)際檢查中發(fā)現(xiàn)即使孤立網(wǎng)絡(luò)，都存在被病毒感染或者被攻擊的現(xiàn)象。缺乏對于工控安全審計(jì)監(jiān)控和保護(hù)的有效措施國家非常重視，準(zhǔn)備下一步強(qiáng)制性整改工作。全國工業(yè)控制系統(tǒng)安全大檢查應(yīng)急和整改咨詢聯(lián)系人及聯(lián)系方式新疆聯(lián)系人：周世云聯(lián)系方式恩新疆辦事處地址：烏魯木齊天山區(qū)紅山西路26號，時代廣場C座11樓信息保障項(xiàng)目經(jīng)理責(zé)任制10個區(qū)域工控廠商的良好合作關(guān)系“先處理”機(jī)制完備的應(yīng)急保障計(jì)劃及豐富的應(yīng)急實(shí)施經(jīng)驗(yàn)。人員保障廠商合作保障先期處理保障響應(yīng)保障200余人的技術(shù)支持團(tuán)隊(duì)及突發(fā)事件專家處理團(tuán)隊(duì)石油石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決建議02國家非常重視-能源化工行業(yè)產(chǎn)業(yè)鏈上游原料中間體中游化學(xué)品下游消費(fèi)品一

次能源石油天然氣煤炭石化乙烯工程基礎(chǔ)化工煤化工煉焦煤液化電石煤氣化化纖化學(xué)紡織品成品油橡膠甲醇通用塑料MDI（聚氨酯）日用化學(xué)品合成氨其他煤化工服裝汽油

輪胎涂料純堿/氯堿農(nóng)藥、氮肥磷肥、硝酸硝酸銨、民爆紡織交通

運(yùn)輸電子、輕工

建材農(nóng)業(yè)基建、礦山行業(yè)常規(guī)能源的采加工處于產(chǎn)業(yè)鏈上游，化工制造業(yè)處于產(chǎn)業(yè)鏈中游，下游則與國民經(jīng)濟(jì)息息相關(guān),國家非常重視國家和企業(yè)高度重視“兩化”深度融合并積極推動智能化黨的十八大提出要“促進(jìn)工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化同步發(fā)展”，國務(wù)院《工業(yè)轉(zhuǎn)型升級規(guī)劃（2011—2015年）》在有關(guān)“工業(yè)轉(zhuǎn)型升級的重點(diǎn)任務(wù)”的內(nèi)容中提出堅(jiān)持把推進(jìn)“兩化”深度融合作為轉(zhuǎn)型升級的重要支撐2014年2月，中央正式成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，中央書記親自掛帥，擔(dān)任組長，體現(xiàn)黨中央對于信息化的重視和期待《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要》在有關(guān)“轉(zhuǎn)型升級、提高產(chǎn)業(yè)核心競爭力”的內(nèi)容中提出推動信息化和工業(yè)化深度融合，加快經(jīng)濟(jì)社會各領(lǐng)域信息化。包括構(gòu)建下一代信息基礎(chǔ)設(shè)施、推動物聯(lián)網(wǎng)關(guān)鍵技術(shù)研發(fā)和在重點(diǎn)領(lǐng)域的應(yīng)用示范、加強(qiáng)云計(jì)算服務(wù)平臺建設(shè)、加強(qiáng)網(wǎng)絡(luò)與信息安全保障工信部《石化和化學(xué)工業(yè)“十二五”發(fā)展規(guī)劃》在有關(guān)“加強(qiáng)企業(yè)技術(shù)改造”的內(nèi)容中提出推進(jìn)先進(jìn)過程控制系統(tǒng)的應(yīng)用，普及實(shí)時在線產(chǎn)品質(zhì)量成分分析系統(tǒng)，發(fā)展工藝流程仿真技術(shù)，優(yōu)化調(diào)度、故障診斷，提高集約化生產(chǎn)水平。國家對信息化建設(shè)的要求石油化工企業(yè)對信息化建設(shè)的要求中國石化在“十二五”信息化建設(shè)與應(yīng)用發(fā)展規(guī)劃中，提出堅(jiān)持“集中集成，創(chuàng)新提升，共享服務(wù)，協(xié)同智能”工作方針，信息化能力達(dá)到國際能源化工行業(yè)領(lǐng)先水平的建設(shè)目標(biāo)中國石化總結(jié)出信息化建設(shè)“六個堅(jiān)持”的工作思路：堅(jiān)持兩化深度融合，把信息化融入公司發(fā)展戰(zhàn)略；堅(jiān)持信息化為“一把手工程”；堅(jiān)持以質(zhì)量和效益為中心；堅(jiān)持“六統(tǒng)一”建設(shè)原則；堅(jiān)持信息部門與業(yè)務(wù)部門的緊密結(jié)合；堅(jiān)持典型培養(yǎng)、達(dá)標(biāo)考核等深化應(yīng)用措施中國化工企業(yè)提出企業(yè)發(fā)展目標(biāo)：緊緊圍繞提高發(fā)展質(zhì)量和效益，以“保安全、增效益、促和諧、惠民生”為工作主線，爭取將化工集團(tuán)下屬企業(yè)建設(shè)成為“綠色化工、人民滿意、國內(nèi)領(lǐng)先、世界一流的現(xiàn)代化化工企業(yè)”。石油化工行業(yè)下屬企業(yè)領(lǐng)導(dǎo)高度重視信息化工作，要求緊跟總部建設(shè)“行業(yè)領(lǐng)先水平信息化能力”的步伐，結(jié)合“十二五”的總結(jié)工作，開始編制“十三五”信息化建設(shè)總體方案，指導(dǎo)未來五年信息化工作，確保生產(chǎn)信息化水平處于石油化工行業(yè)第一方陣的前列石化行業(yè)兩化深度融合的重點(diǎn)方向與范圍兩化

融合研發(fā)設(shè)計(jì)信息化經(jīng)營管理信息化電子商務(wù)物流信息化信息化綜合基礎(chǔ)創(chuàng)新生產(chǎn)制造信息化節(jié)能減排信息化安全生產(chǎn)信息化服務(wù)型制造裝備信息化產(chǎn)品信息化產(chǎn)業(yè)服務(wù)及行業(yè)管理信息化覆蓋石油化工、電力、鋼鐵、有色金屬、煤炭、軌道交通、航空、制造業(yè)等27個行業(yè)信息化重點(diǎn)建設(shè)方向生產(chǎn)制造企業(yè)信息化總體架構(gòu)圖電器儀表數(shù)據(jù)機(jī)房通訊系統(tǒng)網(wǎng)管系統(tǒng)軟件平臺安防監(jiān)控系統(tǒng)大屏幕系統(tǒng)音頻視頻系統(tǒng)存儲資源池云計(jì)算平臺計(jì)劃優(yōu)化原料優(yōu)化裝置優(yōu)化產(chǎn)品優(yōu)化統(tǒng)計(jì)平衡生產(chǎn)平衡裝置投入產(chǎn)出進(jìn)出廠倉儲管理罐區(qū)管理物料管理能源管理能源優(yōu)化能源統(tǒng)計(jì)能源監(jiān)控設(shè)備管理健康管理維修管理可靠性管理HSE安全管理環(huán)保管理應(yīng)急指揮企業(yè)信息門戶Portal經(jīng)營管理層大數(shù)據(jù)分析商務(wù)智能綜合管理采購管理財務(wù)管理供應(yīng)鏈管理生產(chǎn)管理銷售管理安全節(jié)能v行政辦公財務(wù)管理機(jī)關(guān)服務(wù)人事管理監(jiān)事工作信息發(fā)布協(xié)同辦公OA及其他應(yīng)用客戶關(guān)系管理CRM企業(yè)資源計(jì)劃系統(tǒng)ERP生產(chǎn)執(zhí)行層供應(yīng)商關(guān)系管理SRM人力資源管理財務(wù)、成本和資金管理銷售管理運(yùn)輸管理采購管理生產(chǎn)計(jì)劃和車間作業(yè)管理質(zhì)量管理設(shè)備管理庫存管理項(xiàng)目管理實(shí)時數(shù)據(jù)庫實(shí)驗(yàn)室管理系統(tǒng)（LIMS）操作控制層DCS、PLC、PID、APC、RTO、SIS、電力SCADA、黑屏操作、三維模擬培訓(xùn)、流程模擬……基礎(chǔ)設(shè)施層決策展示層企業(yè)數(shù)據(jù)分析BI分析預(yù)警管理結(jié)構(gòu)與非結(jié)構(gòu)數(shù)據(jù)分析搜素引擎信息安全系統(tǒng)應(yīng)用安全生產(chǎn)管理系統(tǒng)（PMS）調(diào)度優(yōu)化（ORION）質(zhì)量化驗(yàn)（CMS）系統(tǒng)安全網(wǎng)絡(luò)安全物理安全負(fù)載均衡安全組織機(jī)構(gòu)安全管理IT管控體系組織職責(zé)規(guī)劃IT管控規(guī)劃組織架構(gòu)模式組織建設(shè)目標(biāo)成本管理銷售管理安全節(jié)能決策分析戰(zhàn)略地圖平衡積分卡風(fēng)險地圖預(yù)測分析預(yù)警監(jiān)控預(yù)算分析企業(yè)為什么需要生產(chǎn)管控信息化建設(shè)安、穩(wěn)、長、滿、優(yōu)跟蹤物流、優(yōu)化調(diào)度、精細(xì)生產(chǎn)規(guī)范流程、（物流、信息流、資金流）三流合一、嚴(yán)格管理綜合信息、考核績效、科學(xué)決策

隨著兩化融合、智能制造和智能工廠的廣泛推廣，網(wǎng)絡(luò)安全問題不斷向下延伸；傳統(tǒng)信息安全領(lǐng)域解決的是信息層、管理層和互聯(lián)網(wǎng)的安全問題，而工控網(wǎng)絡(luò)安全解決的是生產(chǎn)網(wǎng)絡(luò)中控制設(shè)備層和監(jiān)控層的安全隱患和問題。企業(yè)關(guān)注企業(yè)應(yīng)提供工業(yè)控制系統(tǒng)必要的安全防護(hù)、安全增強(qiáng)和運(yùn)維管理，保障生產(chǎn)安全、系統(tǒng)可靠性和可擴(kuò)展性；工業(yè)控制系統(tǒng)是由各種自動化控制組件和采集、監(jiān)測實(shí)時數(shù)據(jù)的過程控制組件共同構(gòu)成，確保工業(yè)基礎(chǔ)設(shè)施自動運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)；工業(yè)控制系統(tǒng)能解決工業(yè)網(wǎng)絡(luò)中關(guān)鍵應(yīng)用或系統(tǒng)的故障避免人員傷亡、嚴(yán)重的經(jīng)濟(jì)損失、基礎(chǔ)設(shè)施被破壞、危及公眾生活及國家安全、環(huán)境災(zāi)難等嚴(yán)重后果。企業(yè)工控網(wǎng)絡(luò)安全構(gòu)成圖企

業(yè)

工

控

網(wǎng)

絡(luò)工控設(shè)備檢測工控系統(tǒng)

網(wǎng)絡(luò)架構(gòu)工控網(wǎng)絡(luò)

威脅評估工控系統(tǒng)

監(jiān)控審計(jì)工控系統(tǒng)

智能保護(hù)工控系統(tǒng)

主機(jī)防護(hù)能源企業(yè)需要哪些工控網(wǎng)絡(luò)安全防護(hù)功能石油企業(yè)自控系統(tǒng)的安全問題石油化工行業(yè)控制具有DCS系統(tǒng)普及率高，生產(chǎn)連續(xù)性強(qiáng)，各工段無縫銜接，裝置要保持安、穩(wěn)、長、滿、優(yōu)運(yùn)行等主要特征。石油化工企業(yè)在生產(chǎn)過程中均采用MES系統(tǒng)，包括：調(diào)度指揮、生產(chǎn)監(jiān)視、先進(jìn)控制、裝置優(yōu)化、計(jì)量管理、報警管理、應(yīng)急指揮、能源管理、LIMS等子系統(tǒng)；幾乎都需要與DCS、PLC、實(shí)時數(shù)據(jù)庫等控制系統(tǒng)進(jìn)行數(shù)據(jù)通信，這種辦公網(wǎng)與控制網(wǎng)之間的數(shù)據(jù)通信從一開始就受到化工企業(yè)的高度重視，工信部在2010年頒布的《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》更加強(qiáng)化了石化企業(yè)在這方面的重視程度。

自動控制系統(tǒng)信息安全薄弱環(huán)節(jié)分析：●DCS系統(tǒng)：主要是霍尼韋爾（Honeywell）、?？怂共ǎ‵oxboro）、橫河（Yokogawa）、浙大中控

（Supcon）和和利時（HollySys）等公司的產(chǎn)品，

問題：這些廠商的產(chǎn)品與信息層通訊多采用OPC協(xié)議，通訊缺少安全

認(rèn)證，數(shù)據(jù)易被竊取、篡改或破壞●

PLC：主要是西門子（Siemens）、羅克韋爾（AB）、GE、施耐德、

和利時（HollySys）等產(chǎn)品問題：設(shè)備現(xiàn)場使用分散、不集中，且使用工業(yè)協(xié)議通訊，通用IT防

火墻無法對其進(jìn)行防護(hù)●

現(xiàn)場儀器SIS：儀表的接口類型及通訊協(xié)議復(fù)雜多樣，數(shù)據(jù)集中管理、

維護(hù)存在很大的難度●

控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)互聯(lián)，控制網(wǎng)絡(luò)面臨來自上層信息網(wǎng)的潛在威脅

●

控制系統(tǒng)缺少分級、分區(qū)的安全防護(hù)，易受到信息網(wǎng)絡(luò)及相鄰系統(tǒng)

的潛在威脅常見的解決方案：●

選用工業(yè)網(wǎng)絡(luò)隔離設(shè)備阻止控制設(shè)備/系統(tǒng)被非法訪問，阻斷非法下發(fā)控制指令；防止病毒、惡意代碼等肆意傳播●

數(shù)據(jù)采集應(yīng)選用安全型通信網(wǎng)關(guān)，配備工業(yè)通訊協(xié)議的過濾模塊，支持各種工業(yè)協(xié)議識別及過濾，彌補(bǔ)商業(yè)防火墻不支持工業(yè)協(xié)議過濾的不足●

安全型數(shù)據(jù)通信網(wǎng)關(guān)須采集多個不同子系統(tǒng)、設(shè)備、智能儀表等的數(shù)據(jù)，進(jìn)行數(shù)據(jù)集中匯總、分類和預(yù)處理，并向多個不同應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)●

安全型數(shù)據(jù)通信網(wǎng)關(guān)須支持組態(tài)軟件或?qū)崟r數(shù)據(jù)庫軟件的斷線緩存，以解決由網(wǎng)絡(luò)斷開或信息阻塞造成的數(shù)據(jù)丟失和歷史數(shù)據(jù)不完整問題，保證MES系統(tǒng)數(shù)據(jù)的完整性●

不同層級間的控制系統(tǒng)應(yīng)進(jìn)行縱向防護(hù)、橫向隔離，阻止來自上層網(wǎng)絡(luò)的潛在威脅和避免區(qū)域間病毒擴(kuò)散項(xiàng)目樣例，僅供說明煉化企業(yè)MES系統(tǒng)中控制系統(tǒng)信息安全問題我國煉化企業(yè)是最早采用DCS進(jìn)行生產(chǎn)過程控制的代表，也是全國最早實(shí)現(xiàn)管控一體化的典范。煉化企業(yè)具有生產(chǎn)連續(xù)性強(qiáng)、工藝復(fù)雜、產(chǎn)品種類多、停車事故易造成嚴(yán)重?fù)p失等特點(diǎn)。因此煉化企業(yè)的MES系統(tǒng)需具備快捷的數(shù)據(jù)傳輸速率、較大的數(shù)據(jù)吞吐能力和全面的裝置覆蓋率。煉化企業(yè)MES系統(tǒng)信息安全薄弱環(huán)節(jié)分析：●

DCS系統(tǒng)很少具有安全防護(hù)組件●

控制系統(tǒng)普遍采用國外產(chǎn)品，存在不可控因素●

儀控人員缺乏必要的信息安全經(jīng)驗(yàn)和安全意識●

由于軟件版本匹配原因系統(tǒng)不能及時安裝任何殺毒軟件、不及時更新控制系統(tǒng)軟件補(bǔ)丁●

控制系統(tǒng)多采用OPC協(xié)議通訊，而OPC協(xié)議缺乏安全認(rèn)證，數(shù)據(jù)信息容易被竊取、篡改或破壞●

控制系統(tǒng)區(qū)域劃分不明確，導(dǎo)致不同區(qū)域間的病毒容易擴(kuò)散、傳染●

各種系統(tǒng)的裝置設(shè)備種類繁多，且通訊協(xié)議多樣，存在通訊協(xié)議標(biāo)準(zhǔn)化問題解決方案：●

須將DCS的信息安全保護(hù)等級設(shè)置為最高等級，避免任何不可控因素對DCS的安全運(yùn)行產(chǎn)生任何不良影響●

對DCS進(jìn)行網(wǎng)絡(luò)隔離保護(hù)，阻止來自信息網(wǎng)或其它區(qū)域的潛在威脅●

數(shù)據(jù)采集系統(tǒng)須采集所有生產(chǎn)裝置的數(shù)據(jù)，進(jìn)行數(shù)據(jù)集中匯總、分類和預(yù)處理，并向多個不同應(yīng)用平臺系

統(tǒng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，使系統(tǒng)更容易接入MES●

數(shù)據(jù)采集系統(tǒng)的數(shù)據(jù)通訊網(wǎng)關(guān)須支持組態(tài)軟件或?qū)崟r數(shù)據(jù)庫軟件的斷線緩存，以解決由網(wǎng)絡(luò)斷開或信息阻

塞造成的數(shù)據(jù)丟失和歷史數(shù)據(jù)不完整問題，保證系統(tǒng)數(shù)據(jù)的完整性●

不同層級間的控制系統(tǒng)應(yīng)進(jìn)行縱向防護(hù)、橫向隔離；阻止來自上層網(wǎng)絡(luò)的潛在威脅；避免區(qū)域間病毒擴(kuò)

散；保證數(shù)據(jù)的單向傳輸●

應(yīng)建立統(tǒng)一的控制系統(tǒng)信息安全管理平臺，支持遠(yuǎn)程網(wǎng)絡(luò)化配置項(xiàng)目樣例，僅供說明傳統(tǒng)煉化企業(yè)工控網(wǎng)絡(luò)安全風(fēng)險總結(jié)1、通訊協(xié)議漏洞傳統(tǒng)IT協(xié)議漏洞

TCP/IP協(xié)議漏洞工控協(xié)議漏洞

OPC、Modbus等工控協(xié)議漏洞

2、操作系統(tǒng)漏洞Windows操作系統(tǒng)基于WindowsXP的控制系統(tǒng)已經(jīng)停止升級3、安全策略和管理流程漏洞

追求可用性忽視安全性

可移動存儲設(shè)備、筆記本電腦隨意接入4、工業(yè)病毒防護(hù)漏洞

IT防護(hù)手段失效

Stuxnet、Havex等病毒為代表的APT攻擊傳統(tǒng)IT防護(hù)手段無法防護(hù)5、應(yīng)用軟件漏洞

多樣性，很難形成統(tǒng)一的防護(hù)規(guī)范

很多軟件要使用必須開啟相應(yīng)端口，傳統(tǒng)防火墻無法做到DPI6、多網(wǎng)絡(luò)端口接入

現(xiàn)場維護(hù)需要或者管理不善導(dǎo)致的網(wǎng)絡(luò)接入

自動化工程師在維護(hù)、升級系統(tǒng)時引入風(fēng)險7、疏漏的網(wǎng)絡(luò)分割設(shè)計(jì)智能工廠：面向企業(yè)全價值鏈環(huán)節(jié)，綜合應(yīng)用現(xiàn)代傳感技術(shù)、網(wǎng)絡(luò)技術(shù)、自動化技術(shù)、智能技術(shù)、管理技術(shù)等先進(jìn)技術(shù)，高度集成生產(chǎn)過程的工藝技術(shù)和設(shè)備運(yùn)行技術(shù)的新型工廠，以實(shí)現(xiàn)復(fù)雜環(huán)境下企業(yè)運(yùn)營的高效、智能化和可持續(xù)性人機(jī)協(xié)同自治能力模型驅(qū)動高度集成泛在感知智能工廠智能工廠的必要技術(shù)傳感器網(wǎng)絡(luò)數(shù)據(jù)互操作性大規(guī)模動態(tài)建模與仿真智能化自動控制可伸縮的、多層次的信息安全智能工廠帶來的收益降低產(chǎn)品進(jìn)入市場的周期推動動態(tài)的、基于需求的生產(chǎn)模式帶來全局性的競爭力優(yōu)勢使過程向零事故和零排放方向發(fā)展快速響應(yīng)消費(fèi)者需求的變化智能工廠當(dāng)前應(yīng)用利用操作工具和服務(wù)嵌入式數(shù)字化控制系統(tǒng)，優(yōu)化生產(chǎn)操作和提高安全性利用預(yù)防性維護(hù)、統(tǒng)計(jì)評價和度量進(jìn)行資產(chǎn)管理，提高工廠的可靠性利用智能傳感器檢測異常，避免非正常和災(zāi)難性事件能耗實(shí)時監(jiān)控、能源優(yōu)化模型、能源優(yōu)化控制相結(jié)合，實(shí)現(xiàn)實(shí)時能源優(yōu)化智能工廠的概念解決了數(shù)采網(wǎng)與控制網(wǎng)之間的數(shù)據(jù)隔離以及DCS系統(tǒng)之間的網(wǎng)絡(luò)分割設(shè)計(jì)缺陷，區(qū)域風(fēng)險隔離。對OPC協(xié)議進(jìn)行深度解析與防護(hù)。石油煉化企業(yè)必備的安全防護(hù)匡恩網(wǎng)絡(luò)為煉化企業(yè)提供哪些全生命周期解決方案風(fēng)險評估服務(wù)在線分析離線分析煉化廠控制系統(tǒng)資產(chǎn)評估煉化廠控制系統(tǒng)威脅評估安全分區(qū)合理性評估邊界完整性評估節(jié)點(diǎn)通信關(guān)系評估邊界安全性評估煉化廠控制系統(tǒng)安全配置核查現(xiàn)場控制設(shè)備PLC、DCS安全漏洞檢測挖掘檢查監(jiān)控系統(tǒng)軟件可能存在的安全漏洞檢查網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)基礎(chǔ)設(shè)施可能存在的安全漏洞初步分析將資產(chǎn)調(diào)查、威脅分析、脆弱性分析中采集到的數(shù)據(jù)按照風(fēng)險計(jì)算的要求，進(jìn)行分析和整理分析得出煉化廠安全脆弱點(diǎn)的分布情況，以及控制系統(tǒng)安全防護(hù)措施的現(xiàn)狀結(jié)果分析需求分析安全建議安全建設(shè)實(shí)施計(jì)劃匡恩工控網(wǎng)絡(luò)全生命周期解決方案驗(yàn)證系統(tǒng)功能和特點(diǎn)為了對實(shí)際運(yùn)行的現(xiàn)場工業(yè)控制系統(tǒng)進(jìn)行安全測試和攻防實(shí)驗(yàn)，主要需求如下：系統(tǒng)環(huán)境力求核心功能完善，貼近實(shí)際工業(yè)運(yùn)行環(huán)境；基于平臺進(jìn)行深入漏洞挖掘，攻擊路徑研究，保護(hù)方法驗(yàn)證等；漏洞挖掘，攻擊效果展示和保護(hù)方案驗(yàn)證。解決方案行業(yè)高仿真攻防對抗平臺；平臺系統(tǒng)提供深入的漏洞挖掘，攻擊路徑研究和保護(hù)方法驗(yàn)證；平臺系統(tǒng)可跟蹤最新的攻防技，針對攻防系統(tǒng)尋找可能的網(wǎng)絡(luò)切入點(diǎn)，針對行業(yè)工業(yè)控制網(wǎng)絡(luò)，模擬網(wǎng)絡(luò)攻擊，深入分析攻擊路徑，攻擊方法和攻擊對系統(tǒng)的影響?？蛻魞r值通過石化行業(yè)典型工業(yè)網(wǎng)絡(luò)，實(shí)現(xiàn)了工業(yè)網(wǎng)絡(luò)深度防護(hù)；展示了工業(yè)網(wǎng)絡(luò)整體網(wǎng)絡(luò)威脅，有效保護(hù)核心生產(chǎn)區(qū)，為提出和驗(yàn)證網(wǎng)絡(luò)安全方案提供有效的基礎(chǔ)依據(jù)。植根于工控系統(tǒng)的全生命周期解決方案植根于工控系統(tǒng)的全生命周期解決方案工控安全-變事后追溯為事中監(jiān)控，提升企業(yè)精細(xì)化管理水平企業(yè)工控安全監(jiān)管平臺實(shí)施前

“肉爛在鍋里”、事后找原因、往往歸罪于人員誤操作、設(shè)備陳舊去、監(jiān)管不力等，缺乏追溯手段企業(yè)工控安全監(jiān)管平臺實(shí)施后監(jiān)控生產(chǎn)控制系統(tǒng)全過程，規(guī)范管理減少誤操作、出現(xiàn)工業(yè)漏洞、非法入侵、APT攻擊等情況時及時報警并記錄原因，還原事故真相2010年2011年2012年2013年2014年1月-6月

以某石化公司為例，煉油加工損失從2010年的1.08%下降到了2014年的0.43%，年均下降0.16%，相當(dāng)于每年減少物料損失達(dá)2.16萬噸，按當(dāng)時原油成本3500元/噸價格計(jì)算，相當(dāng)增效7560萬元。項(xiàng)目樣例，僅供說明匡恩網(wǎng)絡(luò)解決方案實(shí)施流程解決方案1-某煉化企業(yè)整體安全防護(hù)解決方案數(shù)采防護(hù)說明：數(shù)采協(xié)議深度檢測與分析深度分析數(shù)據(jù)采集協(xié)議數(shù)據(jù)包，快速剖析結(jié)構(gòu)與內(nèi)容，確保數(shù)據(jù)包的合法性。白名單主動防御基于白名單的未知漏洞防御保護(hù)功能。通過將白名單中安全的網(wǎng)絡(luò)數(shù)據(jù)和行為的特征，與網(wǎng)絡(luò)中的數(shù)據(jù)和行為進(jìn)行提取、匹配、比對、判斷，一旦如果發(fā)現(xiàn)其行為不符合白名單中的安全數(shù)據(jù)和行為特征，將會對網(wǎng)絡(luò)中所有不符合的數(shù)據(jù)和行為進(jìn)行阻斷和告警，保護(hù)工業(yè)控制網(wǎng)絡(luò)避免受到未知漏洞的危害。安全事件實(shí)時監(jiān)控對白名單與黑名單方式防御所產(chǎn)生的告警和阻斷等進(jìn)行監(jiān)控，當(dāng)前工控系統(tǒng)內(nèi)發(fā)生的各類網(wǎng)絡(luò)安全事件進(jìn)行管理與后續(xù)處理。能夠獲得安全事件發(fā)生的時間、來源、目標(biāo)、種類、嚴(yán)重程度、威脅描述、已經(jīng)采取的操作、建議采取的操作等等。開放式特征匹配擁有覆蓋廣泛的工業(yè)控制設(shè)備漏洞庫，包含各大主流工控廠商的設(shè)備漏洞，通過定期的升級，為黑名單防御保護(hù)功能提供最新支持，有效提高工控網(wǎng)絡(luò)安全產(chǎn)品的防護(hù)能力，能針對各種工控設(shè)備的實(shí)際網(wǎng)絡(luò)組合情況安排篩查最佳的漏洞庫最新升級版本。整體解決方案實(shí)施后，結(jié)合匡恩網(wǎng)絡(luò)的安全運(yùn)維，可以使整個企業(yè)的工控網(wǎng)絡(luò)的安全水平達(dá)到目前最高級別防護(hù)說明：幫助客戶了解網(wǎng)絡(luò)整體安全威脅和風(fēng)險，提供全網(wǎng)安全防護(hù)建議，進(jìn)而幫助用戶構(gòu)建合理有效的工控系統(tǒng)1）提供石化廠控制系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀分析報告；2）對石化廠控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全檢查、漏洞分析和風(fēng)險評估；3）提供總體風(fēng)險評估報告；4）對現(xiàn)階段可行的安全改造與持續(xù)性的安全維護(hù)提供建議方案IAD防護(hù)說明：白名單防御保護(hù)基于白名單的未知漏洞防御保護(hù)，通過將白名單中安全的網(wǎng)絡(luò)數(shù)據(jù)和行為的特征，智能學(xué)習(xí)能夠自動收集系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為，在此基礎(chǔ)上自動地提取數(shù)據(jù)特征，并生成用戶容易理解的規(guī)則，組成白名單，實(shí)現(xiàn)自動化的特征規(guī)則提取和生成。黑名單防御保護(hù)通過將已知漏洞庫中的已知策略，與網(wǎng)絡(luò)中的數(shù)據(jù)和行為進(jìn)行提取、匹配、判斷，保護(hù)工業(yè)控制網(wǎng)絡(luò)避免受到已知漏洞的危害。網(wǎng)絡(luò)拓?fù)?組網(wǎng)結(jié)構(gòu)通過網(wǎng)絡(luò)拓?fù)鋱D的形式，能夠監(jiān)控網(wǎng)絡(luò)中的保護(hù)終端和客戶系統(tǒng)設(shè)備網(wǎng)路結(jié)構(gòu)、配置信息以及安全事件。安全事件監(jiān)控對白名單與黑名單方式防御所產(chǎn)生的告警和阻斷等進(jìn)行監(jiān)控，當(dāng)前工控系統(tǒng)內(nèi)發(fā)生的各類網(wǎng)絡(luò)安全事件進(jìn)行管理與后續(xù)處理。工控網(wǎng)絡(luò)安全漏洞庫擁有覆蓋廣泛的工業(yè)控制設(shè)備漏洞庫，包含各大主流工控廠商的設(shè)備漏洞，通過定期的升級，為黑名單防御保護(hù)功能提供最新支持，有效提高工控網(wǎng)絡(luò)安全產(chǎn)品的防護(hù)能力。審計(jì)防護(hù)說明：

網(wǎng)絡(luò)安全審計(jì)：對網(wǎng)絡(luò)中存在的所有活動提供協(xié)議審計(jì)、行為審計(jì)、內(nèi)容審計(jì)、流量審計(jì)，生成完整記錄便于時間追溯。

旁路監(jiān)聽：為不影響控制網(wǎng)絡(luò)系統(tǒng)的正常生產(chǎn)運(yùn)行，監(jiān)測審計(jì)平臺設(shè)計(jì)了旁路監(jiān)聽功能，通過KEMGMT管理端口連接安全監(jiān)管平臺可進(jìn)行統(tǒng)一管理。

工控異常行為審計(jì)：基于工業(yè)協(xié)議的深度包解析白名單和黑名單的工控異常行為審計(jì)，協(xié)助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中存在的違規(guī)下發(fā)的控制操作。

未知設(shè)備接入監(jiān)測：對工業(yè)控制網(wǎng)內(nèi)未知的設(shè)備接入進(jìn)行實(shí)時告警，迅速發(fā)現(xiàn)網(wǎng)絡(luò)中存在的非法接入。工業(yè)控制設(shè)備異常連接告警：對拓?fù)鋱D中的工業(yè)控制設(shè)備實(shí)時進(jìn)行連接狀態(tài)檢測，向用戶提出告警，幫助用戶定位工業(yè)控制設(shè)備網(wǎng)絡(luò)異常。安監(jiān)平臺防護(hù)說明：工業(yè)協(xié)議智能解析與防護(hù)設(shè)備針對工控系統(tǒng)進(jìn)行防御設(shè)計(jì)，能快速識別系統(tǒng)中的非法操作、異常事件以及外部攻擊并及時告警和阻斷非法數(shù)據(jù)包。多種保護(hù)防御機(jī)制設(shè)備通過白名單、黑名單、IP/MAC地址綁定方式，對工控網(wǎng)絡(luò)APT攻擊、異常行為和非法數(shù)據(jù)包等多種威脅進(jìn)行多方式保護(hù)，對發(fā)現(xiàn)的威脅進(jìn)行告警和阻斷，保護(hù)工業(yè)控制網(wǎng)絡(luò)安全，有效的提高網(wǎng)絡(luò)的安全性。高性能數(shù)據(jù)交換，多協(xié)議支持能滿足大規(guī)模的控制數(shù)據(jù)、處理、低延時轉(zhuǎn)發(fā)、響應(yīng)，具備BYPASS端口。同時，支持目前主流的工業(yè)控制網(wǎng)絡(luò)中的各種應(yīng)用協(xié)議，智能網(wǎng)絡(luò)行為學(xué)習(xí)設(shè)備具備智能機(jī)器學(xué)習(xí)引擎，該引擎是專為工控網(wǎng)絡(luò)安全開發(fā)的全新智能學(xué)習(xí)引擎。能夠自動收集、分析和學(xué)習(xí)系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為，自動生成容易理解的操作規(guī)則和白名單，實(shí)現(xiàn)自動化特征規(guī)則的提取和生成，對規(guī)則以外的異常數(shù)據(jù)和操作行為進(jìn)行告警或限制。安全報告安全態(tài)勢報告能生成安全事件和設(shè)備監(jiān)控相關(guān)的報告。工控衛(wèi)士防護(hù)說明：能有效防護(hù)IT網(wǎng)絡(luò)病毒和工控病毒（如Havex）的運(yùn)行，針對工控網(wǎng)絡(luò)最新的攻擊手段（BadUSB攻擊等）也能被有效阻止?？梢杂行Х乐褂脩舻倪`規(guī)操作和誤操作，阻止不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫用，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。能對上位機(jī)和服務(wù)器上的違規(guī)操作進(jìn)行監(jiān)控，如監(jiān)測進(jìn)程的運(yùn)行狀態(tài)、監(jiān)測USB接口及操作，并記錄詳細(xì)的日志，方便事后的審計(jì)和追查。威脅評估：采用旁路鏡像的方式，進(jìn)行真實(shí)數(shù)據(jù)流量的收集和比對；主動發(fā)現(xiàn)潛在的安全威脅。解決方案2-煉化企業(yè)工控網(wǎng)絡(luò)安全解決方案監(jiān)控審計(jì)：

在MES層旁路部署監(jiān)控審計(jì)平臺，通過特定的安全策略，快速識別出煉化企業(yè)控制系統(tǒng)網(wǎng)絡(luò)非法操作、異常事件、外部攻擊，并實(shí)時報警。終端防護(hù)：

在現(xiàn)場控制層和PLC之間部署IAD智能保護(hù)平臺，對工控專有協(xié)議進(jìn)行深度分析，確保數(shù)據(jù)包的合法性，實(shí)現(xiàn)工控網(wǎng)絡(luò)的深度防護(hù)。主機(jī)防護(hù)：

在現(xiàn)場控制層的工程師站、操作員站、OPC服務(wù)器以及網(wǎng)關(guān)機(jī)上部署工控衛(wèi)士，通過應(yīng)用程序、網(wǎng)絡(luò)、USB移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫用，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。區(qū)域防護(hù)：

在OPC服務(wù)器與數(shù)據(jù)匯聚層、數(shù)據(jù)匯聚層與MES層之間部署數(shù)采隔離平臺，針對DCS系統(tǒng)管理的關(guān)鍵區(qū)域部署安全策略，實(shí)現(xiàn)分層級的安全防護(hù)，抵御已知威脅。解決方案3-油田企業(yè)工控網(wǎng)絡(luò)安全解決方案邊界防護(hù)：數(shù)據(jù)采集隔離設(shè)備通過自己獨(dú)特的內(nèi)核技術(shù)對來自工業(yè)網(wǎng)絡(luò)中的生產(chǎn)數(shù)據(jù)和視頻數(shù)據(jù)進(jìn)行分流，其中對生產(chǎn)數(shù)據(jù)使用白名單的方式做深度的協(xié)議分析，保證生產(chǎn)數(shù)據(jù)的可靠性；對視頻數(shù)據(jù)采用直接轉(zhuǎn)發(fā)的方式讓其通過。數(shù)據(jù)采集隔離設(shè)備通過自己高性能的數(shù)據(jù)流級的深度解析功能對數(shù)據(jù)進(jìn)行解析和判斷，確保數(shù)據(jù)的可靠性，通過白名單和黑名單方式保證數(shù)據(jù)的單向性。主機(jī)防護(hù)：

在工程師站、操作員站、服務(wù)器等主機(jī)上部署工控衛(wèi)士和U寶，通過應(yīng)用程序、網(wǎng)絡(luò)、USB移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫用，USB炸彈等，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。監(jiān)測審計(jì)：

在廠級和站控級旁路部署監(jiān)控審計(jì)平臺，通過特定的安全策略，快速識別工業(yè)控制系統(tǒng)網(wǎng)絡(luò)非法操作、異常事件、外部攻擊，并實(shí)時報警。區(qū)域隔離：對每個站控系統(tǒng)進(jìn)行數(shù)據(jù)保護(hù)，做到橫向隔離，縱向保護(hù)的安全數(shù)據(jù)采集隔離。數(shù)據(jù)采集隔離設(shè)備通過自己高性能的數(shù)據(jù)流級的深度解析功能對數(shù)據(jù)進(jìn)行解析和判斷，對生產(chǎn)數(shù)據(jù)和視頻數(shù)據(jù)進(jìn)行分流，確保數(shù)據(jù)的可靠性，通過白名單和黑名單方式保證數(shù)據(jù)的單向性。終端防護(hù)：

在站控級層和RTU之間部署IAD智能保護(hù)平臺，對工控專有協(xié)議進(jìn)行深度分析，對生產(chǎn)數(shù)據(jù)和視頻數(shù)據(jù)進(jìn)行分流，確保數(shù)據(jù)包的合法性，實(shí)現(xiàn)工控網(wǎng)絡(luò)的深度防護(hù)。IAD智能保護(hù)設(shè)備保護(hù)來自無線網(wǎng)絡(luò)的非法接入等黑客和病毒對井場的數(shù)據(jù)竊取和篡改。解決方案4-油氣集輸工控網(wǎng)絡(luò)安全解決方案監(jiān)控審計(jì)：

在SCADA網(wǎng)絡(luò)旁路部署監(jiān)控審計(jì)平臺，通過特定的安全策略，快速識別出企業(yè)控制系統(tǒng)網(wǎng)絡(luò)非法操作、異常事件、外部攻擊，并實(shí)時報警。主機(jī)防護(hù)：

在現(xiàn)場控制層的操作員站上部署工控衛(wèi)士和U寶，通過應(yīng)用程序、網(wǎng)絡(luò)、USB移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫