石油

石油行业解决方案

　　石油化工行业作为推动经济发展的重要力量，其对经济的发展起到了重要的推动作用，成为支持经济发展的一个重要力量。另一方面经济的快速发展，各行各业的加快发展，对石油化工产品的需求量也不断增多，这也推动了石油化工行业的发展，石油化工行业的安全生产是其持续高效产出产品的重要手段，为此，石油化工项目安全生产能够更好地保障企业自身的经济效益，同时通过安全生产持续产出推动其他行业更好地发展，促进经济的进步。
　　

　　针对石油石化公司工业网络实际情况，以“等保2.0”三级设计、要求标准为指引，以“安全分区、横向隔离、纵向认证、纵深防御”为方针，以AI基因、智能防御为抓手，综合考虑安全防护通用要求和工业控制系统安全扩展要求，构建安全计算环境、安全通信网络、安全区域边界、安全管理中心。
　　（1）边界防护
　　边界在防护产品通常以串接方式接入，部署在工控以太网与企业管理网络之间、工厂的不同区域之间，或者控制层与现场设备层之间。通过一定的访问控制策略，对工控系统边界、工控系统内部区域边界进行保护。
　　在生产管理层与企业资源层之间部署网闸设备，进行APC网络与生产网进行边界安全防护。过程监控网和生产管理层之间部署工业防火墙设备，基于工控协议配置合理的主机访问规则，并针对工业控制网络在同一个大网的情况，通过ACL等安全访问策略的配置对生产网络进行逻辑分区。
　　（2）网络审计
　　部署在过程监控层与过程控制层之间的交换机上的监测引擎通过镜像接口分析DCS系统中的网络流量，及时发现网络流量或设备的异常情况并告警，通常不会主动阻断通信，产品自身的故障不会直接影响工控系统的正常运行。
　　工控网络监测与审计系统对工控网络中的网络流量进行采集、监测和分析，有效识别工控网络中的安全隐患、恶意攻击以及违规操作等安全风险。
　　通过部经各分区系统网络交换机的数据流量进行实时解析并与工控安全监测与审计系统下发的黑、白名单、关键事件等策略智能匹配，确定每条报文归属类型，并将审计结果上传至位于生产管理层的监测与审计管理平台做进一步的展现及白名单自学习。
　　（3）主机防护
　　工控系统中会部署一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工控系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此，对这些主机设备进行安全防护尤为重要。通过部署终端安全管理系统，在主机上安装代理程序（工控安全卫士），限制只有可信的程序、进程才允许执行，防止恶意程序的侵入。同时，对移动存储介质进行管控，防止通过移动存储介质引入蠕虫、病毒等恶意攻击。
　　（4）运维审计
　　针对网络设备、服务器、工控设备部署远程运维审计系统，对各系统运维人员进行资源授权，权限分配，有效防范第三方维护人员对非授权设备的操作，同时通过策略配置，可以对正在操作的违规流量进行有效阻断，对运维行为对事后发生的问题能够准确定位。
　　（5）统一管理
　　通过部署安全管理平台系统，形成集工业防火墙、网闸、工控监测审计、网络边界检查、运维堡垒机、终端安全管理系统等为一体的综合安全防护系统，对网络设备、安全设备进行统一管理、集中展现，利用大数据关联分析，实时动态发现工控系统网络中的风险并预警。并在此基础上进行关联分析、追踪溯源、风险预测，形成对安全威胁、风险隐患的动态持续态势感知。
　　

　　遵守国家法律法规、满足《工业控制系统信息安全防护指南》与《信息安全技术网络安全等级保护基本要求》等国家合规性要求；
　　对网络边界、网络流量审计、主机加固以及运维审计等方面进行了安全防护与异常监测告警，为企业的网络安全提供支撑，保证企业安全生产，防止病毒、黑客破坏。