1、背景介紹

落實《關于信息安全等級保護工作的實施意見》和《關于開展網絡系統安全等級保護基礎調查工作的通知》，實施符合國家標準的安全等級保護體系建設，重點確保中國石油天然氣股份有限公司玉門油田分公司煉油化工總廠的業務信息資產的安全性，從而使重要網絡系統的安全威脅最小化，達到中國石油天然氣股份有限公司玉門油田分公司煉油化工總廠信息安全投入的最優化。同時滿足國家、網信辦、公安對信息化建設的相關要求。在此設計中實現如下總體安全目標：

（1）通過信息安全需求分析，判斷中國石油天然氣股份有限公司玉門油田分公司煉油化工總廠網絡系統的安全保護現狀與國家等級保護基本要求之間的差距，確定安全需求，然后根據網絡系統的劃分情況、網絡系統定級情況、網絡系統承載業務情況和安全需求等，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規劃，以指導后續的網絡系統安全建設工程實施。

（2）達到公安部關于網絡系統安全等級保護相關要求。

（3）達到網信辦關于重要網絡系統安全保障的要求。

2、目標與原則

按照有關部門關于網絡系統在物理、網絡安全運行、信息保密和管理等方面的總體要求，以中國石油天然氣股份有限公司玉門油田分公司煉油化工總廠網絡現狀為基礎，科學規劃設計一整套完整的安全體系改造加固方案。

該安全體系需要全面保衛網絡和基礎設施、邊界和外部接入、計算環境、支持性基礎設施、數據和系統等方面內容，實現信息資源的機密、完整、可用、不可抵賴和可審計性。

具體包括：

保障基礎設施安全，保障網絡周邊環境和物理特性引起的網絡設備和線路的持續使用。

保障網絡連接安全，保障網絡傳輸中的安全，尤其保障網絡邊界和外部接入中的安全。

保障計算環境的安全，保障操作系統、數據庫、服務器、用戶終端及相關商用產品的安全。

保障應用系統安全，保障應用程序層對網絡信息的保密性、完整性和信源的真實的保護和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補和完善現有操作系統和網絡系統的安全風險。

3、案例實施與應用情況詳細介紹

3.1案例規劃與實施情況

本項目需充分考慮與玉門油田煉化總廠現有安全建設集成的問題，需考慮全廠網絡安全統一管理、納管等需求，將已建安全措施集成使用，同時做好清晰的網絡安全風險識別，根據煉化行業的需求，風險分析如下：

根據對DCS系統結構的分析和系統運行維護的經驗，通常易受病毒侵襲的主要風險點有DCS過程控制網與生產運行管理網的連接，DCS過程控制網與先進控制系統的連接，操作員站之間的連接三處。

3.1.1生產運行管理網與過程控制網之間的通訊安全隱患

風險現狀

生產運行管理網與過程控制網之間的OPC數據采集機采用雙網卡配置，無其他任何防護措施。

風險識別

OPC數據采集機采用雙網卡配置，已經將控制網與信息網進行隔離，信息網已經無法對控制網進行操縱攻擊，但是雙網卡結構的配置，對病毒的傳播沒有任何阻擋作用，所以目前風險隱患來自上層信息網對控制網的病毒感染。

3.1.2先進控制系統存在對控制網病毒感染隱患

風險現狀

APC系統通常可以由先進控制軟件供應商自由操作，自身無任何防護措施，存在感染病毒的高風險。

風險識別

會將病毒傳染給控制網絡。

1)先進控制的安裝、調試、運行一般需要較長的時間，而且需要項目工程師進行不斷的調試、修改。期間APC系統需要頻繁與外界進行數據交換，這給APC系統本身帶來很大感染病毒的風險。一旦 APC系統受到病毒感染，其對實時運行的控制系統安全會造成極大隱患。

2)該節點是應用OPC通訊協議與DCS的 OPC Server進行數據通訊的，所以常規IT策略不能防護。

3.1.3操作員站互相感染隱患

風險現狀

目前所有操作員站都在一個網絡中，僅從管理角度，采取通過規章制度限制移動介質接入而減少外部感染，但在網絡內部沒有采取任何有效防護措施。

風險識別

所有操作員站會同時相互感染某種病毒，影響到生產控制操作。

風險分析

PC+Windows平臺已經為各行各業所共用，同時以太網互聯也得到推廣，TCP、STMP、POP3、ICMP等大量開放的商用通訊協議為大家廣泛使用，但隨之也帶來木馬、蠕蟲等計算機病毒。在控制系統的網絡中，除具備上述通訊協議外，根據系統制造商不同，基于TCP／IP 技術的通信協議是不一樣的，例如 Honeywell PKS使用的是FTE，橫河CS3000使用的是Vnet。目前傳統網絡安全產品無法實現工業通訊協議的過濾，所以當網絡中某個操作員站（工程師站）感染病毒時，可能會馬上傳播到網絡中的其他計算機，容易造成網絡上所有操作員站同時發生故障或者容易引發控制網絡風暴，造成網絡通信堵塞，嚴重時可導致所有操作員站失控。

3.1.4信息管理網絡的安全威脅

硬件方面

網絡中一臺設備能夠將數據包轉發給網絡中所有其他站點的技術稱為廣播。在一些較大型的網絡中，當大量廣播信息（如地址查詢等）同時在網絡中傳播時，會發生數據包的碰撞。 隨后，網絡試圖緩解這些碰撞并重傳更多的數據包，結果導致全網的可用帶寬阻塞，并最終使得網絡失去連接而癱瘓，此過程稱為廣播風暴。

另外現在的蠕蟲病毒往往占據計算機的資源，使應用程序無法響應系統的要求，造成系統的堵塞或崩潰。

 軟件方面

由于系統軟件或應用軟件的原因可能造成隱含的安全漏洞，甚至被惡意攻擊和利用。

? 使用方面

網絡的使用者由于經驗不足等原因造成的網絡口令丟失，權限分配失策、系統被人入侵等情況，也會造成機密數據丟失、泄露、系統 癱瘓等故障。

3,1.5對過程控制系統影響較大的安全威脅

廣播風暴

由于過程控制系統大型化、集成化、智能化的發展趨勢和客觀需求， 過程控制系統網絡越來越龐大，處理的信息量也越來越豐富。若由于廣播風暴造成整個控制系統通信總線的負荷過大甚至完全堵塞，會造成不可估量的嚴重影響。

非法授權使用

過程控制系統應有嚴格的訪問制度和權限管理。權限管理的漏洞造成的非授權使用或來自外部的黑客攻擊有可能使控制系統誤動作，甚至造成系統癱瘓。

 病毒攻擊

計算機病毒在整個控制系統內的傳播可能造成某個或多個計算機的性能下降甚至癱瘓，造成控制系統局部功能的喪失。

3.2重難點分析

本項目重點和難點部分主要集中在工業控制網絡對于實時性和連續性高，對生產中斷容忍度低，任何生產過程被中斷都將導致企業遭受損失，因此在設計規劃階段應重點考慮以下幾點因素：

難點1：

為實現區域內流量審計，本項目設計使用工業安全審計進行區域流量分析，但同時也可能會帶來業務中斷的風險。

解決方案：流量分析在正式上線前應通過自學習對工控網絡中的流量和協議進行深度解析、識別和學習，建立自學習白名單，生成特定的工業協議特征庫，包括網絡數據中的源IP，目的IP，協議名稱，詳細協議數據。在默認情況下，任何未經批準的主機、協議或功能指令都將準確識別，從而抵御零日惡意軟件和有針對性的攻擊。一旦檢測到白名單以外的網絡數據，及時上報異常，實現對未知的攻擊也能夠記錄。

難點2：

工業控制環境中操作員站等操作系統通常使用windows XP、Win7等現已停止更新的版本，自身存在很多安全漏洞，容易感染勒索病毒、挖礦病毒等惡意軟件。

解決方案：在工業主機和操作員站部署工業安全衛士，實時監控工控主機的進程狀態、網絡端口狀態、USB端口狀態，以白名單的技術方式，全方位地保護主機的資源使用。根據白名單的配置，工業衛士會禁止非法進程的運行，禁止非法網絡端口的打開與服務，禁止非法USB設備的接入，從而切斷病毒和木馬的傳播與破壞路徑。

難點3：

工業控制環境中USB存儲介質通常都是病毒感染的重要途徑，未對USB存儲介質進行嚴格管控容易導致各類病毒在工控網絡中傳播。

解決方案：部署工業安全衛士，嚴格的USB存儲設備管理，U盤、USB硬盤等存儲設備在接入工控主機使用前，必須先經過使用授權。未經授權的USB存儲設備不能使用，經過授權的設備，也不能進行超越其權限的操作。通過授權管理，工業衛士能夠有效防止文件泄密。同時，工業衛士還會審計USB存儲設備的文件操作行為，為事后追責提供依據。

難點4：

各場站和區域之間地理跨度較大，對現場安全設備進行管理和運維難度大，無法進行統一管理和控制。

解決方案：利舊使用目前的惠而特工業安全監管平臺，北京惠而特科技有限公司于2024年4月份已配合玉門油田煉化總廠完成安全建設，本項目安全設備需要支持無縫接入已建的惠而特工業安全監管平臺，實現全網安全監測、預警及響應，平臺通過工業網絡中設備運行情況、工業生產日常行為等操作建立基線、對于可疑行為、惡意攻擊等威脅實時監控，通過工業審計系統、工業衛士系統等返回的數據對于網絡中存在的風險通過安全引擎處理，對于惠而特工業安全集中監管平臺系統驗證的惡意攻擊行為、非法操作行為，生成動態策略以有效地抵御來自工業內網的威脅以及外網的攻擊。

難點5：

本項目涉及更換控制系統交換機，需要更換成具有網管和流量鏡像功能的交換機，更換交換機可能影響控制系統正常運行，造成生產影響。

解決方案：由控制系統原廠商進行交換機更換服務，并且提供控制系統原廠商無縫對接的交換機，防止交換機與控制系統可能存在的兼容性問題，指派經驗豐富的控制系統原廠商工程師進行交換機更換工作，并且更換時間應在控制系統檢修期間進行，最大限度保證生產工作正常開展。

3.3創新點分析

本項目是首次在實時生產過程中開展的工控網絡安全加固措施，在不停機的情況下，進行了工控安全加固，解決工控系統兼容性與可靠性問題。

4、應用價值與效益

分層分區：依據“垂直分層，水平分區”的思想對項目信息系統進行細致的安全區域劃分，同時根據不同區域的安全防護需求特點分安全級別的落實安全措施。

本體保護：信息系統中的各個模塊均應實現自身的安全。同時，在條件不具備的條件下將各模塊本體作為安全防護的單元，應用必要的安全技術、管理手段和應急措施。

智能分析：在構筑安全架構的基礎上，通過對AI技術實現對網絡行為中潛藏異常風險進行挖掘，通過智能化的策略建議提供更高的安全防護水平。

集中管控：對部署的安全防護技術手段應在系統范圍內進行集中管控，將孤立的安全能力整合成協同工作的安全防護體系