筑牢炼化工控系统网络安全 888贵宾会在行动——海南炼化项目回顾

一、项目背景

中国石化海南炼油化工有限公司地处海南省西北部的洋浦经济开发区，是中国石化步入21世纪按照国际水平建设的首个①原油综合加工能力800万吨/年的炼厂。作为海南省石油化工产业的龙头企业，也是中国石化驻琼产业链条的核心，海南炼化现已发展成为我国东南沿海重要的进口原油加工基地、成品油出口基地和芳烃生产基地。

近年来，随着信息化建设的不断深入，生产网络内各类资产互联互通水平不断提高，生产网络内部核心资产的暴露面逐渐增多。海南炼化十分重视网络安全建设工作，尤其是生产网络的安全防护和监测预警体系建设。委托888贵宾会信息安全团队为其实施工控安全建设，覆盖了各大装置，从安全通信网络、安全区域边界、安全主机防御、安全计算环境、安全管理中心多维度进行设计防护。

图/来源于网络

二、项目目标

本项目根据《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》、《中国石化工业仪表控制系统安全防护实施规定》等法律法规及标准的要求，对炼化行业生产系统进行网络安全建设：通过搭建一体化安全管理中心，实现对企业工控网络中的安全设备、网络设备和主机系统等各类资产进行统一管理；实时监视网络和资产的运行状态、健康状态和安全状态；抵御黑客、病毒、恶意代码对生产系统的破坏和攻击；阻止内部人员的非法访问；及时恢复遭受攻击和破坏的工控系统能力。构建全生命周期网络安全防护体系，全面提升关键业务数据的可用性、机密性、完整性，极大提高安全管理人员的运营与安全管理能力，切实保障工控网络信息安全。

三、解决方案

工控系统与传统信息系统相比,保护对象不同,防护侧重点也不同，主要体现在:

由于连续生产的要求，工业控制系统的系统和软件实时更新困难，传统防病毒和检测手段难以保障安全;

工业协议私有化程度高，通用技术兼容性差，设计时大都未考虑安全特性;

工业控制系统嵌入式计算环境实时性要求高，但资源极其有限，难以增加复杂的安全防护功能。

888贵宾会基于在工业自动化领域 30 年的经验积累，在本项目中根据等保 2.0“一个中心，三重防护”要求，对现场 DCS 控制系统进行防护部署。对工业通讯协议、工业计算环境。工业主机加固等进行重点研究，抓准控制系统痛点，针对性部署安全设备，对工业控制系统全方面进行保护。

1、安全通信网络

888贵宾会信息安全团队针对DCS系统网络特点，按照“纵向分层、横向分区、安全隔离、独立操作”原则设计整体安全网络。并根据工艺操作需要和数据交换最小原则进行网络分区，划分各域。各域接入CCR三层交换机，划分VLAN进行隔离，并通过ACL访问策略控制各域间的访问。

本项目网络安全解决方案，实现了对整个DCS系统的网络流量进行全面检测，对通信传输网络内的数据进行合规性检查，对异常行为、违规操作行为进行识别、审计告警，实时将告警日志发送到日志审计系统和安全管理平台中进行集中存储、分析与风险关联展示，辅助安全运维人员进行处置。

2、安全区域边界

根据系统特点，888贵宾会信息安全团队将其规划为不同的安全区域，在各子系统区域边界处部署工业隔离网闸，实现物理隔离。通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，确保非授权的设备不能在内外网之间随意连接，避免在一个系统或区域里爆发的安全事件扩散到其他系统或区域当中，从而保障系统通信网络安全。

在重要安全域网络出入口部署入侵检测系统，对系统内的通信数据进行实时检测，识别监控网络中可能存在的各种已知攻击行为，并进行审计告警，并将告警日志发送到日志审计系统和安全管理平台中进行风险分析与可视化，辅助安全运维人员进行风险处置。

3、安全计算环境

为提高现场上位机的入侵防范能力，888贵宾会信息安全团队在DCS系统涉及的操作员站、工程师站、历史站和通讯站等终端上部署主机安全防护软件，主机安全防护软件采用“白名单”防护机制，能够锁定工业主机上应用程序，阻止任何白名单外的程序运行，避免恶意代码、非法程序的运行；同时实现对外设U盘、光驱的管控，防止通过U盘等外接输入设备引入恶意程序和泄露敏感数据。

其次，为加强主机系统安全基线，确保工业主机上的设置符合等保安全基线策略要求，针对系统内的上位机安装主机加固软件，根据不同类型的节点进行差异化的主机加固设置，包括关闭不必要的服务、端口，密码策略、访问控制、安全审计等。为主机系统安全运行提供必要的安全保障。

4、安全管理中心

项目在CCR层配置日志审计设备，通过syslog、SNMP等方式收集网络中各系统产品的告警日志，进行日志的集中存储、范式化、安全分析和展示。加强对系统内各类设备日志的审计与分析，能够对安全事件和威胁起到及时发现、预警和追溯的作用。

在CCR层设立安全管理平台，对系统内部署的安全设备进行集中管控，从而实现对信号系统全线安全防护相关软硬件设备的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等功能。

四、项目意义

1、引领行业建设标杆

建立生产网络安全管理体系，为炼化企业树立了工控安全建设标杆和示范，有助于提高炼化行业整体的信息安全水平，提升炼化企业生产控制系统稳定性及风险防范能力。

2、等保合规、安全可控

信息安全防护建设的落地，使该DCS系统实现了具有“动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”能力的网络安全综合防体系，满足国家对关键信息基础设施安全保护的基本要求，为控制系统安全、稳定、可靠运行提供有力保障。