1    方案背景与目标

根据《中华人民共和国网络安全法》及公安部《信息安全等级保护管理办法》等相关标准规范，以及炼化公司2017年9月下发的《中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见》和炼化板块2022年工信息化管理的要求，促进炼油化工总厂的网络安全发展，夯实等级保护作为国家信息安全国策的成果，依据国家等级保护相关标准并结合厂站系统的实际情况，根据测评过程中发现的安全问题，结合某某油田分公司炼油化工总厂网络安全建设的具体情况，提出网络安全建设工作的整改建议，从而提升信息系统的安全防护能力。

落实《关于信息安全等级保护工作的实施意见》和《关于开展网络系统安全等级保护基础调查工作的通知》，实施符合国家标准的安全等级保护体系建设，重点确保中国石油天然气股份有限公司某某油田分公司炼油化工总厂的业务信息资产的安全性，从而使重要网络系统的安全威胁最小化，达到中国石油天然气股份有限公司某某油田分公司炼油化工总厂信息安全投入的最优化。同时满足国家、网信办、公安对信息化建设的相关要求。在此设计中实现如下总体安全目标：

（1）通过信息安全需求分析，判断中国石油天然气股份有限公司某某油田分公司炼油化工总厂网络系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据网络系统的划分情况、网络系统定级情况、网络系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的网络系统安全建设工程实施。

（2）达到公安部关于网络系统安全等级保护相关要求。

（3）达到网信办关于重要网络系统安全保障的要求。

2 方案详细介绍

2.1互联网出口边界隔离

在互联网出口部署防火墙，实现访问控制及对来自外部的攻击行为进行检测、阻断，对进出网络的所有流量和连接进行实时检测监控，审核不同网络或区域之间的访问请求，实时基于会话状态检测访问控制机制，确保只有合法的访问才能通过，保护网络中尤其是重要服务器系统不受来自外部网络或非可信用户的非法访问，保障整个网络及内部各类业务系统的安全稳定运行。同时防火墙具备入侵防御和防病毒及应用管控等功能，实现对应用层的攻击防范和流量管控。

2.2区域边界流量安全

2.2.1工业安全审计

在各DCS系统核心交换机部署工业审计系统对网络进行深度检测，基于威胁特征库实时检测来自内部和外部的各种攻击行为，实时检测网络流量中隐藏的病毒、蠕虫、木马溢出攻击和漏洞攻击等恶意行为。对不合规行为进行实时的告警，留存网络数据，对溯源分析提供依据，利用黑名单、白名单、自定义规则等多种安全策略，通过内置的工控协议（如Modbus、OPC、IEC104、Ethernet/IP等）深度解析引擎，实时监测工控网络中违规行为、异常流量和不明设备接入，可实时全面掌握工控网络安全运行状况。

2.2.2高级威胁检测系统

通过对网络内全流量的采集，实现未知威胁和高级威胁的精准发现和检测。

高级威胁检测系统基于大数据平台，聚焦于高级威胁和未知威胁检测两大客户痛点，实现威胁检测、资产发现、朔源取证、攻击场景还原、威胁处置及智能防御。帮助用户看见全部资产，看清全部行为、看到全部威胁、看懂全部攻击。

2.3网络空间安全管理

2.3.1工业级轻量级态势感知

通过部署工业安全监管平台，对所有工控安全设备进行统一管理。实现设备资产管理、自动生成拓扑、设备运行状态监控、统一配置下发安全策略，安全设备的日志统一收集呈现等。实现日志统一手机，留存6个月以上。

2.3.2工业运维网关

部署运维安全网关（堡垒机）实现对运维人员的操作行为进行管控和记录，通过设置严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源的安全；并且详细记录用户对资源的访问及操作，对用户运维操作行为审计记录。

2.3.3数据库审计

在生产执行层部署数据库审计，对数据库用户操作行为、操作语句进行审计记录，日志记录存留期大于六个月。过解析端口镜像过来的报文信息，记录用户访问数据库行为的记录、汇总分析所有的用户操作行为，通过大数据分区搜索技术提供高效检索审计记录能力，快速定位事件原因，帮助用户事后生成合规报告、提供有效电子取证信息，用于数据安全事故的追根溯源，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。

2.4计算机环境安全管控

2.4.1工业主机卫士

通过工控主机卫士解决工控业务系统终端安全加固、恶意攻击防护、USB等外设防护和访问控制，实现最大程度地提高工控业务终端乃至生产网络的安全性，对工控业务终端提供全方位的保护。

（1）终端安全加固在不需要经常更新终端的补丁和病毒库的基础上，对工控业务系统终端提供额外的保护。

（2）工控业务系统终端软件白名单从源头上遏制了恶意代码的运行。

（3）工控业务系统终端进程网络访问白名单确保终端中只有许可的进程才能进行许可的网络访问，进一步限制恶意代码的感染和传播。

（4）终端外设管理消除了病毒或恶意代码通过终端外设进入工控业务系统终端及生产网络的可能性。

（5）终端接入控制确保了工业网络的接入设备都是可信任的，确保恶意代码和病毒不会通过局域网感染工业网络。

（6）对组态软件及配置的保护从根本上杜绝了恶意生产参数或指令下发到自动控制设备，从而保证生产安全。

（7）终端身份认证确保终端只能由授权的人员进行操作，消除恶意人员利用社会工程的方案破坏工控生产网络。

2.5核心技术优势

2.5.1恶意加密流量人工智能检测分析

近年来，工业互联网的发展推动传统工业控制系统升级，但也增加了恶意攻击风险。攻击多样化、专业化和复杂化，威胁工控系统稳定。因此，我们聚焦于工控网络恶意加密流量检测技术。相比于传统的IT系统安全问题，工控系统安全存在显著差异。首先，工控系统的工业网络环境更加复杂，涉及各种控制设备的通信协议和交互方式，这增加了安全防护的难度。其次，工控网络安全的核心在于确保生产过程的稳定与可靠，对系统可用性的要求颇为严格。然而，相较于数据完整性和机密性的保护，其重视程度相对较低，这或将成为潜在安全风险的诱因。由于工控系统与传统IT系统的差异较大，传统的入侵检测解决方案无法直接应用于工控网络环境，需要开发专门的恶意加密流量监测技术来应对这些挑战。因此，如何高效地检测这些工业控制网络中恶意攻击成为亟待解决的问题。

为了解决工业互联网恶意攻击行为检测困难的问题，我们研发出高级威胁检测系统应用于本方案中，相较于传统的安全技术依赖于静态基于签名的或基于列表的模式匹配技术，无法对许多零日和定向型威胁进行监测。高级威胁检测系统可以使用有监督机器学习融合模型和深度学习模型进行流量监测，通过神经网络、机器学习、知识图谱等人工智能技术对网络流量的特征进行提取、聚类和建模，可以有效检测出加密流量和恶意代码的基因图谱。类似于人类的DNA，无论外观如何变化，也能够精准和快速进行识别。

2.5.2轻量级的工控系统终端智能管控技术

工控主机卫士基于AI智能算法，开发如白名单、恶意代码入侵检测、和外设安全防护技术等，支持进程级白名单自学习算法，基于深度学习的恶意代码网络行为检测技术和外设安全管控技术，应用于整个工控系统终端主机安全防护当中。

2.5.2.1白名单自学习

工控主机卫士通过机器学习的模式，全盘扫描，智能分析主机程序、进程，对于可以进程放置到隔离沙箱，保护主机的安全。对于伪造签名和身份的“合法”访问的识别，利用AI算法等技术，建立白名单基线以及业务特性基线，对白名单再次验证，同时对相应端口的流量、行为做安全监护，出现异常流量，行为突变时，及时告警处理。

2.5.2.2基于深度学习的恶意攻击行为检测

深度学习的恶意攻击行为检测能在内容、环境、应用层感知入侵，通过人工智能检测技术对恶意代码的主机行为和网络行为进行深入分析，对异常网络行为进行告警和阻断。

2.5.2.3基于驱动源智能识别的外设防护

针对主机USB、光驱、无线等设备的防护，利用驱动级的过滤技术理能够灵活控制和监控终端外设使用情况，比如控制终端的并口、串口、移动存储设备、蓝牙、USB等外设的使用情况，能够自动收集主机曾经使用过的USB设备的历史记录，并能够单独禁用无法确定其用途的USB设备，能够通过对未知设备进行自动检测和采样，实现对未知和新增设备的有效控制和管理。

3 代表性及推广价值

3.1 代表性

行业示范作用：石油天然气行业在国民经济中占据重要地位，某某油田分公司作为行业内的重要企业，本方案工控等保建设的成功实践可以为整个石油天然气行业乃至其他工业领域提供可借鉴的范例和标准，为石油化工行业类似应用场景做了成功示例，展示了如何在炼油化工总厂生产环境中构建有效的工控安全防护体系。

技术应用典型性：油田的工控系统通常涉及多种复杂的技术和设备，如分布式控制系统（DCS）、安全仪表系统（SIS）、数据采集与监控系统（SCADA）等。在本方案等保建设过程中，需要针对这些系统的特点和安全需求，采用相应的安全技术和产品，工业防火墙、高级威胁检测系统、工业网络审计系统、工业主机卫士等对这些技术的应用和集成，可以代表石油天然气行业在工控安全技术应用方面的先进水平和典型做法。

业务场景复杂性：在本方案的设计建设种涉及到大量的工业控制系统和数据交互。本方案充分考虑这些业务场景的复杂性，实现对不同环节和系统的安全防护和协同管理。本方案在某某油田分公司等保建设对业务场景的深入理解和安全解决方案的定制化，可以为其他企业在应对复杂业务环境下的工控安全问题提供参考。

3.2 推广性

针对中国石油天然气股份有限公司某某油田分公司炼油化工总厂信息安全对工控安全背景及必要性，在此基础上对标等保2.0的要求对工控网络现状及安全隐患进行分析,从实际存在的安全隐患中考虑总体的工控安全防护管理策略及相应的技术管理手段。本方案按照油田工业控制系统安全防护的总体要求,遵循中国石油天然气股份有限公司工业网络"横向分区、纵向分层、安全隔离、适度防护"的安全防护总体原则,建成敏捷、高效、安全的工控专网,实现厂级工控安全防护体系，为用户业务系统带来持续保护的安全价值。可以为石油天然气行业的等保建设方案提供参考和示范。