2024石油石化行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案

石油石化行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案石油石化行業(yè)工控安全業(yè)務(wù)版塊石油石化行業(yè)工控安全業(yè)務(wù)版塊 中石油 中石化 中海油 采油煉采油煉化銷(xiāo)售中石油大慶油田有限責(zé)任公司中石油遼河油田公司中石油長(zhǎng)慶油田公司中石油新疆油田公司中石油大港油田公司中石油華北油田公司2…………2

中石油大慶石化公司中石油撫順石化公司中石油遼陽(yáng)石化公司中石油獨(dú)山子石化公司中石油烏魯木齊石化公司中石油錦州石化公司中石油錦西石化公司中石油大慶煉化公司…………

中石油西北銷(xiāo)售公司中石油東北銷(xiāo)售公司工程技術(shù)服務(wù)企業(yè) 工程建設(shè)企業(yè) 科研及事業(yè)單位工程技術(shù)服務(wù)企業(yè)工程建設(shè)企業(yè)科研及事業(yè)單位中石油川慶鉆探工程公司中石油長(zhǎng)城鉆探工程公司中石油西部鉆探工程公司中石油渤海鉆探工程公司中石油海洋工程有限公司中石油東方地球物理公司3……3

中石油工程設(shè)計(jì)有限責(zé)任公司中國(guó)寰球工程公司中石油第七建設(shè)公司中石油第一建設(shè)公司……

中石油工程技術(shù)研究院中石油勘探開(kāi)發(fā)研究院01石油石化行業(yè)安全建設(shè)的驅(qū)動(dòng)力0203煉化企業(yè)工控系統(tǒng)安全解決方案煉化企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀CONTENTS01石油石化行業(yè)安全建設(shè)的驅(qū)動(dòng)力0203煉化企業(yè)工控系統(tǒng)安全解決方案煉化企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀目錄04油田企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀04油田企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀05油田企業(yè)工控系統(tǒng)安全解決方案06常見(jiàn)問(wèn)題05油田企業(yè)工控系統(tǒng)安全解決方案06常見(jiàn)問(wèn)題01石油石化行業(yè)安全建設(shè)的驅(qū)動(dòng)力01封閉網(wǎng)絡(luò)，不再是安全的綠洲封閉網(wǎng)絡(luò)，不再是安全的綠洲伊朗“震網(wǎng)”病毒事件，導(dǎo)致上千臺(tái)離心機(jī)損壞

國(guó)內(nèi)某石化企業(yè)某裝置控制系統(tǒng)感染Conficker病毒，造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷

Wannacry勒索病毒席卷全球，中石油2萬(wàn)多座加油站斷網(wǎng)

國(guó)內(nèi)某煉化企業(yè)APC系統(tǒng)受病毒攻擊，造成企業(yè)生車(chē) 國(guó)內(nèi)某煉化企業(yè)生產(chǎn)系統(tǒng)遭受挖礦病毒攻擊，控制站頻繁藍(lán)屏重啟，造成生產(chǎn)裝置緊急停車(chē)2010年 2011年 2017年國(guó)內(nèi)某煉化企業(yè)生產(chǎn)系統(tǒng)遭受挖礦病毒攻擊，控制站頻繁藍(lán)屏重啟，造成生產(chǎn)裝置緊急停車(chē)

2019年

2019年6工業(yè)控制網(wǎng)絡(luò)安全事件在近幾年呈現(xiàn)穩(wěn)步增長(zhǎng)的趨勢(shì)，2019年被ICS-CERT收錄的攻擊事件達(dá)到329件 62012-2019年全球工控安全事件報(bào)告數(shù)量 2019年工控安全事件所屬行業(yè)細(xì)分典型事件：土耳其輸油管道爆炸典型事件：土耳其輸油管道爆炸2014年12月4日，土耳其境內(nèi)，由伊拉克向土耳其輸送原油的輸油管道爆炸。為監(jiān)控從里海通向地中海的英里的石油管道，在管道內(nèi)安裝了探

5.控制閥門(mén)，增加

4.控制操作員站

視頻服務(wù)器

器，關(guān)閉警報(bào)通過(guò)其它視頻監(jiān)控網(wǎng)絡(luò)而管道爆炸前，卻沒(méi)有上報(bào)一個(gè)遇險(xiǎn)信號(hào)，原因是黑客關(guān)閉了警報(bào)、切斷了通信。

管道壓力道爆炸

查看到有兩名黑客出現(xiàn)在石油管道附近7國(guó)家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)國(guó)家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)88工業(yè)控制系統(tǒng)信息安全防護(hù)指南工業(yè)控制系統(tǒng)信息安全防護(hù)指南網(wǎng)絡(luò)安全法與石油石化網(wǎng)絡(luò)安全法與石油石化99《中華人民共和國(guó)網(wǎng)絡(luò)安全法《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過(guò)《《國(guó)家網(wǎng)絡(luò)安全檢查操作指南》中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局2016年6月等級(jí)保護(hù)2.0—基本要求等級(jí)保護(hù)2.0—基本要求1010工業(yè)控制系統(tǒng)信息安全防護(hù)指南工業(yè)控制系統(tǒng)信息安全防護(hù)指南工業(yè)控制系統(tǒng)信息安全防護(hù)指南一、安全軟件選擇與管理二、配置和補(bǔ)丁管理工業(yè)控制系統(tǒng)信息安全防護(hù)指南三、邊界安全防護(hù)四、物理和環(huán)境安全防護(hù)五、身份認(rèn)證六、遠(yuǎn)程訪問(wèn)安全七、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練八、資產(chǎn)安全11九、數(shù)據(jù)安全11石油石化行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范石油石化行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范12122.3.5防病毒軟件宜優(yōu)先選用主動(dòng)式防病毒軟件，以防止病毒軟件攻擊正常操作軟件導(dǎo)致事故發(fā)生。防病毒軟件必須為合法授權(quán)的正式版本2.3.5防病毒軟件宜優(yōu)先選用主動(dòng)式防病毒軟件，以防止病毒軟件攻擊正常操作軟件導(dǎo)致事故發(fā)生。防病毒軟件必須為合法授權(quán)的正式版本,并通過(guò)工控廠家兼容性等測(cè)試。13中國(guó)石化生【2019】318號(hào)02煉化企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀02煉化企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀煉化企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀橫向分區(qū)縱向分層OPC數(shù)據(jù)傳輸橫向分區(qū)縱向分層OPC數(shù)據(jù)傳輸SIS與DCS通信獨(dú)立設(shè)置APCAPC與OPC隔離霍尼韋爾數(shù)據(jù)服務(wù)層操作監(jiān)控層1515煉化企業(yè)工控系統(tǒng)主要的安全隱患煉化企業(yè)工控系統(tǒng)主要的安全隱患生產(chǎn)運(yùn)行管理層數(shù)據(jù)服務(wù)層

生產(chǎn)運(yùn)行管理網(wǎng)與過(guò)程控制網(wǎng)之間的OPC數(shù)據(jù)采集機(jī)采用雙網(wǎng)卡配置，無(wú)其他任何防護(hù)措施。無(wú)法阻止病毒傳播。操作監(jiān)控層過(guò)程控制層16現(xiàn)場(chǎng)設(shè)備層16生產(chǎn)運(yùn)行管理層數(shù)據(jù)服務(wù)層操作監(jiān)控層

APC系統(tǒng)通?？梢杂上冗M(jìn)控制軟件供應(yīng)商自由操作，自身無(wú)任何防護(hù)措施，存在感染病毒的高風(fēng)險(xiǎn)隱患。過(guò)程控制層17現(xiàn)場(chǎng)設(shè)備層17生產(chǎn)運(yùn)行管理層數(shù)據(jù)服務(wù)層操作監(jiān)控層

根據(jù)系統(tǒng)制造商不同，基于TCP／IP技術(shù)的通信協(xié)議是不一樣的，例如HoneywellPKS使用的是FTE，橫河CS3000使用的是Vnet。一旦某一個(gè)工程師站出現(xiàn)問(wèn)題，就會(huì)擴(kuò)展到不同的FAR內(nèi)。過(guò)程控制層18現(xiàn)場(chǎng)設(shè)備層1803煉化企業(yè)工控系統(tǒng)安全解決方案03基于“白環(huán)境”的“縱深防御安全防護(hù)技術(shù)體系”①網(wǎng)絡(luò)分區(qū)分域②強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力③提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力油田生產(chǎn)控制系統(tǒng)④提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力油田生產(chǎn)控制系統(tǒng)⑤提高系統(tǒng)內(nèi)主機(jī)病毒防范能力⑥提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制⑦一鍵式安全加固，提高主機(jī)安全基線⑧關(guān)閉不必要的服務(wù)端口，提高入侵防范能力⑨利用訪問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改⑩加強(qiáng)第三方運(yùn)維人員行為管理?提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月?建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力20?技術(shù)手段輔助業(yè)主完成定期自檢20切入點(diǎn)—全面風(fēng)險(xiǎn)評(píng)估，尋找問(wèn)題癥結(jié)點(diǎn)風(fēng)險(xiǎn)評(píng)估分析是對(duì)油田生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)各資產(chǎn)進(jìn)行安全管理的先決條件，其目的在于識(shí)別和評(píng)估不同用戶(hù)所面臨的生產(chǎn)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的典型內(nèi)容：工控系統(tǒng)資產(chǎn)梳理，分析價(jià)值；識(shí)別已有的安全防護(hù)措施；資產(chǎn)脆弱性及面臨的威脅分析；21安全風(fēng)險(xiǎn)綜合分析。211.石油煉化企業(yè)工控網(wǎng)絡(luò)分層分區(qū)1.石油煉化企業(yè)工控網(wǎng)絡(luò)分層分區(qū)按照向分層”的網(wǎng)絡(luò)劃分原則，“先邊界安全加固、后深入內(nèi)部防護(hù)”的防護(hù)思路，構(gòu)建安全可靠的網(wǎng)絡(luò)安全結(jié)構(gòu)。管理。工業(yè) 非工控系 業(yè)控22統(tǒng) 系統(tǒng)222.強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力2.強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力工業(yè)互聯(lián)防火墻工業(yè)防火墻

工業(yè)防火墻工業(yè)互聯(lián)防火墻23233.提高工控系統(tǒng)網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力3.提高工控系統(tǒng)網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力入侵檢測(cè)系統(tǒng)工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)

入侵檢測(cè)系統(tǒng)工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)244.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力工控主機(jī)衛(wèi)士交換機(jī)關(guān)閉不必要端口交換機(jī)進(jìn)行IP/MAC綁定工控主機(jī)衛(wèi)士開(kāi)啟非法外聯(lián)策略工控主機(jī)衛(wèi)士255.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力5.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力工控主機(jī)衛(wèi)士切斷惡意代碼/病毒通過(guò)U盤(pán)擺渡到系統(tǒng)內(nèi)部的途徑啟動(dòng)文件級(jí)白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行26USB隔離器266.提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制6.提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制工控主機(jī)衛(wèi)士關(guān)鍵服務(wù)器采用雙因子認(rèn)證靜態(tài)密碼+UKEY27工控主機(jī)衛(wèi)士277.一鍵式安全加固，提高主機(jī)安全基線7.一鍵式安全加固，提高主機(jī)安全基線工控主機(jī)衛(wèi)士?jī)?nèi)置42條安全基線規(guī)則一鍵式配置，降低手動(dòng)加固成本工控主機(jī)衛(wèi)士288.關(guān)閉不必要的服務(wù)端口，提高入侵防范能力8.關(guān)閉不必要的服務(wù)端口，提高入侵防范能力工控主機(jī)衛(wèi)士?jī)?nèi)置防火墻功能，關(guān)閉不必要端口一鍵式配置，降低手動(dòng)加固成本工控主機(jī)衛(wèi)士299.利用訪問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改9.利用訪問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改工控主機(jī)衛(wèi)士基于標(biāo)記的強(qiáng)制訪問(wèn)控制自主訪問(wèn)控制30工控主機(jī)衛(wèi)士3010.加強(qiáng)運(yùn)維人員行為管理10.加強(qiáng)運(yùn)維人員行為管理安全管理中心

安全運(yùn)維管理系統(tǒng)運(yùn)維人員身份鑒別運(yùn)維人員操作授權(quán)運(yùn)維人員操作授權(quán)運(yùn)維人員行為審計(jì)運(yùn)維人員行為審計(jì)安全運(yùn)維管理系統(tǒng)3111.提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月11.提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月安全管理中心

統(tǒng)一安全管理平臺(tái)泛化多種類(lèi)設(shè)備（主機(jī)、網(wǎng)絡(luò)、安全）日志快速準(zhǔn)確的識(shí)別安全事件，發(fā)現(xiàn)違規(guī)行為統(tǒng)一安全管理平臺(tái)3212.建立統(tǒng)一安全管理中心，強(qiáng)化集中管能力12.建立統(tǒng)一安全管理中心，強(qiáng)化集中管能力安全管理中心

統(tǒng)一安全管理平臺(tái)安全產(chǎn)品集中管理加密傳輸通道高度可視化雙機(jī)熱備，高度可靠33統(tǒng)一安全管理平臺(tái)33存量-石油化工工控安全整體解決方案存量-石油化工工控安全整體解決方案工業(yè)防火墻工業(yè)互聯(lián)防火墻工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)工控主機(jī)衛(wèi)士34USB隔離器34新建-石油化工工控安全整體解決方案新建-石油化工工控安全整體解決方案工業(yè)防火墻工業(yè)互聯(lián)防火墻工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)工控主機(jī)衛(wèi)士35USB隔離器3504油田企業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀04油田企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

第一級(jí)：油田公司級(jí)，以采油廠數(shù)據(jù)（實(shí)時(shí)、關(guān)系）據(jù)源對(duì)象，建立總公司級(jí)生產(chǎn)指揮系統(tǒng)；生產(chǎn)情況，以監(jiān)視分析為主；第三級(jí)：作業(yè)區(qū)級(jí)，區(qū)分管理網(wǎng)和生產(chǎn)網(wǎng)，建設(shè)的有SCADA系統(tǒng)，火墻，大部分處于無(wú)防護(hù)狀態(tài)（公網(wǎng)的邊界）；DCS系統(tǒng)，其他以PLC居多，工業(yè)控制設(shè)備種類(lèi)多；通訊協(xié)議多以O(shè)PC、Modbus、Profinet、S7等為主。37度要求范圍大，環(huán)境比較惡劣，常使用RTU系統(tǒng)；使用PLC系統(tǒng)；在大型聯(lián)合站及輕烴回收等場(chǎng)合控制點(diǎn)數(shù)多，回路控制多，常使用DCS系統(tǒng)。3705油田企業(yè)工控系統(tǒng)安全解決方案051.油田企業(yè)工控網(wǎng)絡(luò)分層分區(qū)1.油田企業(yè)工控網(wǎng)絡(luò)分層分區(qū)按照分層”的網(wǎng)絡(luò)劃分原則；“先邊界安全加固、后深入內(nèi)部防護(hù)的防護(hù)管理。生產(chǎn)控制制系生產(chǎn)控制制系系統(tǒng) 統(tǒng)392、強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力2、強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力安全隔離與信息交換系統(tǒng)工業(yè)防火墻40安全隔離與信息交換系統(tǒng)40工業(yè)防火墻3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力4141網(wǎng)絡(luò)威脅感知系統(tǒng)工控監(jiān)測(cè)與審計(jì)系統(tǒng)網(wǎng)絡(luò)威脅感知系統(tǒng)工控監(jiān)測(cè)與審計(jì)系統(tǒng)4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力工控主機(jī)衛(wèi)士提高系統(tǒng)內(nèi)主機(jī)病毒防范能力提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制一鍵式安全加固，提高主機(jī)安全基線關(guān)閉不必要的服務(wù)端口，提高入侵防范能力利用訪問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改42工控主機(jī)衛(wèi)士4210.加強(qiáng)運(yùn)維人員行為管理10.加強(qiáng)運(yùn)維人員行為管理計(jì) 安全管理中心43安全運(yùn)維管理系統(tǒng)4311.提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月11.提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月泛化多種類(lèi)設(shè)備（主機(jī)、網(wǎng)絡(luò)、安全）日志快速準(zhǔn)確的識(shí)別安全事件，發(fā)現(xiàn)違規(guī)行為安全管理中心統(tǒng)一安全管理平臺(tái)4412.建立統(tǒng)一安全管理中心，強(qiáng)化集中管能力12.建立統(tǒng)一安全管理中心，強(qiáng)化集中管能力安全產(chǎn)品集中管理加密傳輸通道高度可視化雙機(jī)熱備，高度可靠安全管理中心45統(tǒng)一安全管理平臺(tái)45油田工控安全態(tài)勢(shì)感知油田工控安全態(tài)勢(shì)感知 集團(tuán)態(tài)勢(shì)資產(chǎn)態(tài)勢(shì)處置態(tài)勢(shì)

廠區(qū)態(tài)勢(shì)威脅態(tài)勢(shì)合規(guī)態(tài)勢(shì)46生產(chǎn)安全集中監(jiān)測(cè)平臺(tái)46油田總體安全防護(hù)方案油田總體安全防護(hù)方案474706常見(jiàn)問(wèn)題0649數(shù)采接口使用數(shù)采網(wǎng)關(guān)是否還需要部署工業(yè)防火墻？49數(shù)采網(wǎng)關(guān)雖然采用雙網(wǎng)卡的模式，但由于OPC協(xié)議是基于微軟的DCOM技術(shù)，因此大部分網(wǎng)關(guān)采用windows系統(tǒng)，本身就存在一定的安全風(fēng)險(xiǎn)，其次數(shù)采網(wǎng)關(guān)主要關(guān)注點(diǎn)在