1、背景介绍

落实《关于信息安全等级保护工作的实施意见》和《关于开展网络系统安全等级保护基础调查工作的通知》，实施符合国家标准的安全等级保护体系建设，重点确保中国石油天然气股份有限公司玉门油田分公司炼油化工总厂的业务信息资产的安全性，从而使重要网络系统的安全威胁最小化，达到中国石油天然气股份有限公司玉门油田分公司炼油化工总厂信息安全投入的最优化。同时满足国家、网信办、公安对信息化建设的相关要求。在此设计中实现如下总体安全目标：

（1）通过信息安全需求分析，判断中国石油天然气股份有限公司玉门油田分公司炼油化工总厂网络系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据网络系统的划分情况、网络系统定级情况、网络系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的网络系统安全建设工程实施。

（2）达到公安部关于网络系统安全等级保护相关要求。

（3）达到网信办关于重要网络系统安全保障的要求。

2、目标与原则

按照有关部门关于网络系统在物理、网络安全运行、信息保密和管理等方面的总体要求，以中国石油天然气股份有限公司玉门油田分公司炼油化工总厂网络现状为基础，科学规划设计一整套完整的安全体系改造加固方案。

该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性。

具体包括：

保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络系统的安全风险。

3、案例实施与应用情况详细介绍

3.1案例规划与实施情况

本项目需充分考虑与玉门油田炼化总厂现有安全建设集成的问题，需考虑全厂网络安全统一管理、纳管等需求，将已建安全措施集成使用，同时做好清晰的网络安全风险识别，根据炼化行业的需求，风险分析如下：

根据对DCS系统结构的分析和系统运行维护的经验，通常易受病毒侵袭的主要风险点有DCS过程控制网与生产运行管理网的连接，DCS过程控制网与先进控制系统的连接，操作员站之间的连接三处。

3.1.1生产运行管理网与过程控制网之间的通讯安全隐患

风险现状

生产运行管理网与过程控制网之间的OPC数据采集机采用双网卡配置，无其他任何防护措施。

风险识别

OPC数据采集机采用双网卡配置，已经将控制网与信息网进行隔离，信息网已经无法对控制网进行操纵攻击，但是双网卡结构的配置，对病毒的传播没有任何阻挡作用，所以目前风险隐患来自上层信息网对控制网的病毒感染。

3.1.2先进控制系统存在对控制网病毒感染隐患

风险现状

APC系统通常可以由先进控制软件供应商自由操作，自身无任何防护措施，存在感染病毒的高风险。

风险识别

会将病毒传染给控制网络。

1)先进控制的安装、调试、运行一般需要较长的时间，而且需要项目工程师进行不断的调试、修改。期间APC系统需要频繁与外界进行数据交换，这给APC系统本身带来很大感染病毒的风险。一旦 APC系统受到病毒感染，其对实时运行的控制系统安全会造成极大隐患。

2)该节点是应用OPC通讯协议与DCS的 OPC Server进行数据通讯的，所以常规IT策略不能防护。

3.1.3操作员站互相感染隐患

风险现状

目前所有操作员站都在一个网络中，仅从管理角度，采取通过规章制度限制移动介质接入而减少外部感染，但在网络内部没有采取任何有效防护措施。

风险识别

所有操作员站会同时相互感染某种病毒，影响到生产控制操作。

风险分析

PC+Windows平台已经为各行各业所共用，同时以太网互联也得到推广，TCP、STMP、POP3、ICMP等大量开放的商用通讯协议为大家广泛使用，但随之也带来木马、蠕虫等计算机病毒。在控制系统的网络中，除具备上述通讯协议外，根据系统制造商不同，基于TCP／IP 技术的通信协议是不一样的，例如 Honeywell PKS使用的是FTE，横河CS3000使用的是Vnet。目前传统网络安全产品无法实现工业通讯协议的过滤，所以当网络中某个操作员站（工程师站）感染病毒时，可能会马上传播到网络中的其他计算机，容易造成网络上所有操作员站同时发生故障或者容易引发控制网络风暴，造成网络通信堵塞，严重时可导致所有操作员站失控。

3.1.4信息管理网络的安全威胁

硬件方面

网络中一台设备能够将数据包转发给网络中所有其他站点的技术称为广播。在一些较大型的网络中，当大量广播信息（如地址查询等）同时在网络中传播时，会发生数据包的碰撞。 随后，网络试图缓解这些碰撞并重传更多的数据包，结果导致全网的可用带宽阻塞，并最终使得网络失去连接而瘫痪，此过程称为广播风暴。

另外现在的蠕虫病毒往往占据计算机的资源，使应用程序无法响应系统的要求，造成系统的堵塞或崩溃。

 软件方面

由于系统软件或应用软件的原因可能造成隐含的安全漏洞，甚至被恶意攻击和利用。

ž 使用方面

网络的使用者由于经验不足等原因造成的网络口令丢失，权限分配失策、系统被人入侵等情况，也会造成机密数据丢失、泄露、系统 瘫痪等故障。

3,1.5对过程控制系统影响较大的安全威胁

广播风暴

由于过程控制系统大型化、集成化、智能化的发展趋势和客观需求， 过程控制系统网络越来越庞大，处理的信息量也越来越丰富。若由于广播风暴造成整个控制系统通信总线的负荷过大甚至完全堵塞，会造成不可估量的严重影响。

非法授权使用

过程控制系统应有严格的访问制度和权限管理。权限管理的漏洞造成的非授权使用或来自外部的黑客攻击有可能使控制系统误动作，甚至造成系统瘫痪。

 病毒攻击

计算机病毒在整个控制系统内的传播可能造成某个或多个计算机的性能下降甚至瘫痪，造成控制系统局部功能的丧失。

3.2重难点分析

本项目重点和难点部分主要集中在工业控制网络对于实时性和连续性高，对生产中断容忍度低，任何生产过程被中断都将导致企业遭受损失，因此在设计规划阶段应重点考虑以下几点因素：

难点1：

为实现区域内流量审计，本项目设计使用工业安全审计进行区域流量分析，但同时也可能会带来业务中断的风险。

解决方案：流量分析在正式上线前应通过自学习对工控网络中的流量和协议进行深度解析、识别和学习，建立自学习白名单，生成特定的工业协议特征库，包括网络数据中的源IP，目的IP，协议名称，详细协议数据。在默认情况下，任何未经批准的主机、协议或功能指令都将准确识别，从而抵御零日恶意软件和有针对性的攻击。一旦检测到白名单以外的网络数据，及时上报异常，实现对未知的攻击也能够记录。

难点2：

工业控制环境中操作员站等操作系统通常使用windows XP、Win7等现已停止更新的版本，自身存在很多安全漏洞，容易感染勒索病毒、挖矿病毒等恶意软件。

解决方案：在工业主机和操作员站部署工业安全卫士，实时监控工控主机的进程状态、网络端口状态、USB端口状态，以白名单的技术方式，全方位地保护主机的资源使用。根据白名单的配置，工业卫士会禁止非法进程的运行，禁止非法网络端口的打开与服务，禁止非法USB设备的接入，从而切断病毒和木马的传播与破坏路径。

难点3：

工业控制环境中USB存储介质通常都是病毒感染的重要途径，未对USB存储介质进行严格管控容易导致各类病毒在工控网络中传播。

解决方案：部署工业安全卫士，严格的USB存储设备管理，U盘、USB硬盘等存储设备在接入工控主机使用前，必须先经过使用授权。未经授权的USB存储设备不能使用，经过授权的设备，也不能进行超越其权限的操作。通过授权管理，工业卫士能够有效防止文件泄密。同时，工业卫士还会审计USB存储设备的文件操作行为，为事后追责提供依据。

难点4：

各场站和区域之间地理跨度较大，对现场安全设备进行管理和运维难度大，无法进行统一管理和控制。

解决方案：利旧使用目前的惠而特工业安全监管平台，北京惠而特科技有限公司于2024年4月份已配合玉门油田炼化总厂完成安全建设，本项目安全设备需要支持无缝接入已建的惠而特工业安全监管平台，实现全网安全监测、预警及响应，平台通过工业网络中设备运行情况、工业生产日常行为等操作建立基线、对于可疑行为、恶意攻击等威胁实时监控，通过工业审计系统、工业卫士系统等返回的数据对于网络中存在的风险通过安全引擎处理，对于惠而特工业安全集中监管平台系统验证的恶意攻击行为、非法操作行为，生成动态策略以有效地抵御来自工业内网的威胁以及外网的攻击。

难点5：

本项目涉及更换控制系统交换机，需要更换成具有网管和流量镜像功能的交换机，更换交换机可能影响控制系统正常运行，造成生产影响。

解决方案：由控制系统原厂商进行交换机更换服务，并且提供控制系统原厂商无缝对接的交换机，防止交换机与控制系统可能存在的兼容性问题，指派经验丰富的控制系统原厂商工程师进行交换机更换工作，并且更换时间应在控制系统检修期间进行，最大限度保证生产工作正常开展。

3.3创新点分析

本项目是首次在实时生产过程中开展的工控网络安全加固措施，在不停机的情况下，进行了工控安全加固，解决工控系统兼容性与可靠性问题。

4、应用价值与效益

分层分区：依据“垂直分层，水平分区”的思想对项目信息系统进行细致的安全区域划分，同时根据不同区域的安全防护需求特点分安全级别的落实安全措施。

本体保护：信息系统中的各个模块均应实现自身的安全。同时，在条件不具备的条件下将各模块本体作为安全防护的单元，应用必要的安全技术、管理手段和应急措施。

智能分析：在构筑安全架构的基础上，通过对AI技术实现对网络行为中潜藏异常风险进行挖掘，通过智能化的策略建议提供更高的安全防护水平。

集中管控：对部署的安全防护技术手段应在系统范围内进行集中管控，将孤立的安全能力整合成协同工作的安全防护体系