长扬科技——工控安全及物联网安全行业应用专家（石油石化篇）

石油石化

行业背景

石油化工企业是典型的资金和技术密集型企业，生产的连续性很强，装置和重要设备的意外停产都会导致巨大的经济损失，因此生产过程控制大多采用DCS等先进的控制系统，且以国外厂商为主。经过多年的发展，石油化工行业信息化建设已经有了较好的基础，企业在管理层的指挥、协调和监控能力在实时性、完整性和一致性上都有了很大的提升，相应的网络安全防护也有了较大提高。

随着石化企业管控一体化的实现，越来越多的控制网络系统通过信息网络连接到互联上，潜在的威胁就越来越大。2017年中石化《关于加强工业控制系统安全防护的指导意见》中也对控制系统边界的安全防护、安全监测、风险预警等方面提出了安全要求。

解决方案

长扬科技针对石化行业相关特点，针对常见的石化企业工业控制系统进行如下安全防护：

◆ 网络边界安全

在生产网络同企业MES网络间部署工业防火墙，实现工控网络边界隔离。长扬科技工业防火墙可识别工控网络中已知的安全威胁，根据石化行业相关工艺定义白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，防止外部网络向工控网络传输基于工控协议的各类攻击，保证通路可靠。

部署位置：生产网络各工艺段、监控中心与MES边界处。

◆ 网络流量审计  

在生产网络各核心交换机处旁路部署网络工业网络监测审计平台，对企业工业控制网络全网数据流量进行协议级审计，实时监控控制网络安全，发现异常行为及病毒木马，实现网络安全审计及入侵检测。

部署位置：各工艺段及控制中心核心交换机旁。

◆ 主机安全防护

在工业控制网络上位机上安装部署工控精灵终端安全防护产品，开启主机白名单安全防护，能使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。

部署位置：工业控制网络中各操作员站、工程师站及上位机上。

◆ 安全风险感知

在石化企业工控网络中部署安全检查平台，可定期对工控网络环境实现静态扫描，感知企业工控网络安全状况，为企业制定各种安全政策提供技术、管理依据。

部署位置：控制中心核心交换机处。

◆ 统一安全管理

部署工控网络安全管理平台，统一管控所有工控网络安全设备与安全防护手段，可对相关安全产品实现统一管理、统一策略下发、版本更新等。将系统的工控网络安全现状实时、全面地进行监控。

长扬科技石化行业工业控制系统网络安全部署示意图如下所示：

石化行业工业控制系统网络安全部署示意图