摘要:石油石化行业在我国的工业体系中有着至关重要的作用,是我国关键基础设施建设的重要组成部分。国家对事关国家安全和国计民生的关键基础设施,在网络安全等级保护制度的基础上,将实行重点保护。在信息化和工业化深度融合的背景下,炼油化工企业普遍采用了高度自动化的生产技术装备
背景概述
石油石化行业在我国的工业体系中有着至关重要的作用,是我国关键基础设施建设的重要组成部分。国家对事关国家安全和国计民生的关键基础设施,在网络安全等级保护制度的基础上,将实行重点保护。在信息化和工业化深度融合的背景下,炼油化工企业普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段,这极大地提升了生产效率。然而,与此同时,也带来了越来越多的安全威胁和挑战。
随着两化融合的加速发展,炼油化工行业的工业控制系统网络化、智能化程度不断提高,同时也面临着诸多安全挑战。网络连接处易受病毒侵袭:由于工业控制系统与生产网络的连接越来越紧密,网络连接处成为了病毒和恶意软件的主要入侵点。
主机存在安全隐患:主机系统可能存在漏洞或配置不当,导致被黑客利用进行攻击。
操作系统和应用系统漏洞:这些漏洞可能被黑客利用,对工业控制系统进行渗透和破坏。
控制设备安全风险:控制设备可能因设计缺陷或配置不当而面临安全风险。
工业协议漏洞:工业协议中的漏洞可能被攻击者利用,对工业控制系统进行远程攻击。
政策依据
01/ 中华人民共和国公安部
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019本标准除等级保护通用要求外,还对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用提出了扩展要求,智能化炼油化工安全方案要遵循以上要求。02/ 国家标准化管理委员会
《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)本标准是商用密码应用与安全性评估工作的重要里程碑,可适用于指导、规范炼油化工信息系统密码应用的规划、建设、运行、测评等工作。
03/ 中华人民共和国工业和信息化部
《工业控制系统信息安全防护指南》本指南以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的落地性,从管理、技术两方面明确工业企业工控安全防护要求。
04/ 中华人民共和国住房和城乡建设部
《石油化工工厂信息系统设计规范》(GB/T 50609-2010)本规范为石油化工工厂信息系统的工程设计要求,安全方案设计要遵循化工厂的业务情况、网络特点等。
需求分析
01/ 标准合规性需求
炼油化工行业是国民经济支柱产业,产业链条长、产品种类多、关联覆盖广,在数字化转型过程中要加快完成安全技术体系与管理体系的建设工作,使之国家法律、法规,行业政策、企业网络安全相关要求。02/ 业务安全性需求
从炼油化工企业工控网络与架构、工控系统现场控制与过程控制层及工控协议安全三个层面进行需求分析:工控网络与架构:炼油化工企业的自动化系统与信息化系统种类较多,如炼油化工各生产装置、信息管理网、视频监控网及第三方边界等,形成互联互通、多网互联的关系。且大多炼油化工企业存在对数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,造成各网络子域间及跨网交换非授权访问风险以及病毒横向传播风险。现场控制与过程监控层面:炼油化工企业工控系统上位机、服务器漏洞无处不在,对打补丁比较排斥,身份鉴别过于单一等情况;各主机也未部署对已知与未知病毒的防护措施;现场控制层与过程控制层存在误操作、非法攻击、勒索病毒感染等风险,炼油化工企业迫切需要对工控主机进行加固及病毒免疫等。工控协议安全层面:当前在炼油化工工控网络中,各类安全威胁不断涌入控制系统,而炼油化工企业内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,让网络入侵轻易成功,最终导致安全生产事故的发生。
03/ 新技术安全需求
大数据、人工智能、云计算、物联网等新技术逐渐应用到炼油化工生产业务中。各生产工艺流程高度集成的自动控制系统,使得一些非法攻击与入侵更容易进入生产控制网络,信息安全风险极高。
解决方案
安盟信息以“安全、可信、合规”及“满足化工企业安全要求”为目标,符合国家、行业网络安全监管要求为前提,结合炼油化工生产系统的特点,形成炼油化工安全技术体系、安全管理体系、仿真验证体系及安全运营体系。
构建生产经营与网络安全融合协同、强化全过程一体化管控、促进数字孪生创新应用、加快石化企业数字化转型。打造全面的工控安全感知、数据安全交换、实时决策分析、预测预警、精准管控及安全协同处理的智能化炼油化工工控安全体系,保障炼油化工企业的数字化、智慧化转型。
炼油化工企业工控安全体系依据国家法律法规、政策标准等打造可靠的四大信息安全体系,安盟信息炼油化工工控安全体系架构如下:
01/ 安全技术体系
安全技术体系是炼油化工企业工控安全纵深防御的具体体现,重点需要强化生产装置、公用工程、SIS网络等工控系统边界隔离强度,提升各生产子系统(生产装置、公用工程、SIS)工控网络、工控主机及生产数据的安全防护效果,加大与第三方外联机构安全数据交换的能力,提高化工企业生产系统及重要生产数据的安全性,增强工控系统整体安全防护能力。
02/ 安全管理体系
安全管理体系是炼油化工企业工控安全顶层策略方针和指导思想,指导企业建立完善的工控安全管理制度,规范日常操作及安全运维等。03/ 仿真验证体系
仿真验证体系是炼油化工生产业务融合工控安全的关键,对新加入系统、设备,建设方案通过仿真生产环境严格验证,提早规避风险,并协助炼油化工企业进行应急演练、安全攻防、技术培训等工作开展。04/ 安全运营体系
安全运营体系是炼油化工企业生产系统稳定运行的支撑和保障,全面提升生产控制网安全感知、风险实时预测、精准管控、协同处理的能力。部署方案
01/ 现场控制层安全
现场控制层安全由不同的生产装置去实现,并进行现场物理环境安全防护。通过工控安全整体方案设计,提供各生产装置的防护目标。
02/ 过程监控层安全
安全区域边界分别在各生产装置OPC到生产管理层、第三方外联边界部署工业安全隔离装置。分别在各生产装置到集中监控边界部署工业防火墙。提升外联安全接入区隔离强度,实现接近于物理隔离的高安全隔离目标。采用工业应用审计系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警;通过部署入侵检测系统实时监测工控网络异常流量,对异常的、入侵行为的数据进行检测和报警。对异常操作行为与数据进行实时检测和报警。
安全通讯网络
针对炼油化工企业的实际安全需求,终端安全接入模块与摄像头、无线设备等物联网设备进行融合安全设计。从无线接入可信性、通讯机密性与完整性提升无线物联设备接入安全防护能力,确保炼油化工生产系统安全可靠稳定运行。
安全计算环境
在集中控制室及各装置的操作员站、工程师站、服务器等部署工控主机卫士软件或机甲卫士系统。以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。
安全管理中心
建设炼油化工安全管理中心,实现网络准入控制、漏洞弱点发现、运维安全管控、日志审计、安全管理平台、态势感知等系统等。对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
03/ 生产管理层
在生产管理层操作员站、工程师站、服务器等部署工控主机卫士软件或机甲卫士系统。以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。同时部署数据库审计系统,对数据库访问行为、数据库风险操作、数据泄漏等进行精准识别与预警。采用工业应用审计系统、入侵检测对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警。对异常操作行为与数据进行实时检测和报警案例价值
01/ 促进炼油化工智慧化发展
通过本方案建设炼油化工企业工控安全保障体系,可解决炼油化工企业智慧化建设过程中带来的信息安全风险,保障炼油化工业务系统安全、可靠运转,加速炼油化工行业质量变革、效率变革、动力变革,加快我国由炼油化工大国向强国迈进。02/ 构建炼油化工体系化安全
通过强化炼油化工工控网络安全区域内网络、主机及数据的安全防护,大大增强了企业工业互联网络的整体安全防护能力,确保炼油化工业务安全生产、可持续运营,构建以密码应用赋能边界安全、工控系统安全的纵深防护体系。03/ 提升炼油化工生产安全性
深度融合炼油化工企业生产环境中系统应用,降低炼油化工企业的安全运营风险,提高安全运维效率,为企业稳定连续作业,构建多系统集成、智能感知、智慧决策提供可靠的安全保障。04/ 满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》等相关政策、标准及监管要求。来源:anmeng安盟信息