珞安科技石油石化行业解决方案_工业控制系统网络安全设备

申请试用

珞安科技石油石化行业解决方案

珞安科技石油石化行业解决方案，在流程化生产过程中，控制系统设备多，异构性强，集成度高，—般采用DCS、PLC等工控设备，其中DCS通过网络接口将各个工作站链接起来，工作站可以独立对数据进行采集、处理、监控、操作和控制等。

立即咨询

首页 > 产品中心 > 工控安全 > 珞安科技石油石化行业解决方案

石油石化行业工业系统网络安全面临"6个问题" icon

从威胁角度看

石油天然气管网在数字化转型过程中，信息化建设采用5G、云计算、大数据等新技术，使之暴露攻击面放大，生产管理网络与办公网络互通。其次，通过震网病毒与变种病毒分析可知，部分病毒是专业人员编写，针对性足，几乎无法通过单个安全产品解决。

从运维角度看

石油天然气管网行业工业控制系统安全运维会涉及本地或远程故障处理，但对于第三方技术支持缺乏有效监控手段。其次，技术人员在日常维护过程中，移动介质管控十分重要，尤其是在运维的过程中移动存储介质滥用导致潜在安全风险。

从防护手段看

石油天然气管网行业工业控制系统在基于业务生产控制、数摄米集衔多广宙-前工业控制系统在防护、测机胧多等方面的防护措施存在不足（(主机、服务器无防护，边界无防护等)，使得整体安全防护能力下降。

从底层协议看

石油天然气管网行业站场、阀室与PLC等控制设备数据通讯采用Modbus TCP、OPC等标准通讯协议。此类协议晶公北刚议，数据格式开放且未加密容易被窃听、篡改以及伪造，攻击人员可利用伪造的数据命令发起攻击，从而引发安全事故。

从支持软件看

石油天然气管网所应用SCADA数据采集与监视控制系统，WinCC、PL7、RSLogix OPC等编程和组态软件，自身安全机制较少，上位机更是采用通用Windows操作系统，其自身存在很多安全漏洞，及其容易被攻击者利用，造成安全事故。

从预警角度看

缺乏对工业控制系统资产安全状态全面监控能力，对安全威胁无法及时预警，导致出现安全问题，也无法快速响应。

石油石化行业的工控安全建设现状 icon

石油石化企业工业控制系统的特点 icon

控制技术难度大
油气企业的系统都是连续性作业，因此需要对其全生产过程进行连续性控制，控制的点位多，技术难度较大,复杂度高。

工艺流程复杂度高
在流程化生产过程中，控制系统设备多，异构性强，集成度高，在协同工作中既集中又分散，任何一个控制系统出现问题会造成整个生产过程停止，甚至造成生产安全事故。

工控设备自治性强
—般采用DCS、PLC等工控设备，其中DCS通过网络接口将各个工作站链接起来，工作站可以独立对数据进行采集、处理、监控、操作和控制等。软件可以组态加载，控制系统功能齐全分散，可独立运行，自治性强。

控制响应实时性高
主要工控系统为管理并控制具有易燃易爆腐蚀等特性的工业生产设备，工艺流程的复杂性和生产过程的连续性决定了极高的实时性。

工控系统可靠性高
工控系统处于高温高压易腐蚀的恶劣环境中，一旦出现故障则可能造成上产安全事故。因此控制系统可靠性设计是首要因素。

“工业互联网＋ ”下新技术应用带来新安全风险 icon

基于工业互联网体系架构的迭代，新的业务需求不断增加，新的技术不断的应用，业务流程和维护方式产生巨大变化。安全防护的重心转移，安全架构改变，导致传统防护手段逐步失效。

工控网络 - 攻击技术手段矩阵 icon

网络安全体系全生命周期视角 icon

油气田网络结构

油、气、水井口和一些无人值守阀室、站。其温度要求范围大，环境比较恶劣，常使用RTU系统；在增压站、转油站、联合站等场站实时性要求高，逻辑联锁控制较多，常使用PLC系统；在大型联合站及轻烃回收等场合控制点数多，回路控制多，常使用DCS系统。

油气田主要场景

油田企业安全防护方案 icon

管道运输工艺流程

管道运输网络结构

调度中心负责对石油天然气管网进行输配调度管理、安全监控、数据收集分析，主要包括各类服务器、操作员工作站、大屏系统、网络设备、虚拟化平台等。

场站按照是否配置上位监控系统分为场站和阀室，主要负责数据的采集、逻辑控制、接受调度中心指令、对设备进行控制等。

按照设计，石油天然气管网系统相对封闭，但调度中心有接口与外部网络连接，工艺场站通过光缆、专网连接至调度中心，存在多个接口，部分阀室通过4G、GPRS网络与调度中心连接；就地具有控制权限，部分调度中心有控制权限；采集数据的传输多采用工控协议如MODBUSTCP、OPC；个别业务交叉数据交换采用S7、 DNP3；PLC、 RTU多采用国外产品，如西门子、福克斯波罗、MOXA、Honeywell、 Modicon、 Schneider等。

管道企业工控安全防护方案 icon

石油炼化工艺

以天然气为原料的化学工业简称天然气化工。其主要内容有：天然气制碳黑、天然气提取氦气、天然气制氢、天然气制氨、天然气制甲醇、天然气制乙炔、天然气制氯甲烷、天然气制四氯化碳、天然气制硝基甲烷、天然气制二硫化碳、天然气制乙烯、天然气制硫磺等。

石油炼化、化工网络结构 icon

通过采用先进控制和实时优化控制策略，改进过程控制品质、优化生产操作、提高装置的稳定性，同时可使装置接近于工艺边界条件下操作运行，提高装置的处理量、产品质量和产品收率、降低能耗、实现装置经济效益最大化和提高管理水平。通常采用OSI PI实时数据库作为数据网核心系统；采用OPC DA协议直接从DCS系统中采集生产数据；一般放在控制网络中的OPC Server 端采集工控系统数据，OPC client 端在生产管理端，连接 OPC Server 获取生产现场数据。石化领域的工控系统大多采用 DCS 系统，一般使用 Honeywell PKS，Yokogawa CENTUM VP，Emerson DeltaV ，Hollis MACS，浙大中控等品牌的 DCS 系统。目前越来越多的化工厂使用浙大中控的 DCS 系统。

炼化工控安全防护方案 icon

油气储运

油库安全防护方案

工控网络安全管理体系建设 icon

安全服务

珞安科技从系统安全规划到持续安全运营，为客户提供全生命周期的安全保障服务。

华东某石化企业工控系统安全防护隐患治理项目 icon

中国石化旗下某化工企业，在多地拥有多个生产基地和广泛的业务网络。公司规模庞大，业务涵盖炼油、化工、石油储运等领域，其地位和影响力得到了业界的广泛认可。项目总体参考“中石化318号文”要求，结合《工控系统信息安全防护指南》和等保2.0等相关要求，从业务系统安全防护、石化系统主动防御两个层面展开，基于各生产单位的工业网络安全防护需求，依据安全现状和需求，搭建工控网络防护体系框架，设计网络安全综合防护平台基础机构，建设安全态势感知与主动防御平台，提升安全态势感知与主动防御能力，构建多层次一体化工业网络安全防御能力，为安全生产提供保障。

解决方案

集中安全管理

在安全运营中心部署工控集中安全管理系统，结合工业现场实际运行环境，有效补充工业网络安全综合分析监测体系，提升工业网络的安全监测分析能力;充分发挥大数据收集能力，实时汇聚各种设备产生的日志告警数据、网络流量数据，从而构建安全大数据中心。

业务行为审计

通过在DCS交换机旁路部署工业安全管理与态势分析系统、工控入侵检测系统、工控安全审计系统、日志审计与分析系统、运维安全审计系统，对日志的采集存放、异常分析、溯源；针对工控网络中数据和流量进行合规性检查，对异常行为、日志进行审计记录等功能。

终端安全防护

在工程师站、操作员站、服务器等工业主机上部署主机安全加固系统、USB安全管理系统一键固化系统当前运行环境，对系统中的组态软件、应用服务及其他运行程序进行管控，阻止恶意软件及不被允许的程序运行，对移动存储介质的使用进行限制。

区域边界防护

通过在边界部署工业安全隔离与信息交换系统，可有效实现工控网络到生产网络之间的安全隔离，数据只能以专有数据块方式进行传输，保证内、外网数据能够安全、可靠地交换。

案例价值

通过工控网络防护体系的建立，实现依法合规、安全可控的目标，提升安全审计、事件溯源能力，生成完整记录便于安全事件追溯;合理划分网络区域并进行有效的隔离，避免网络混乱造成各类安全事件。

华北某油田工控网络安全建设项目 icon

某油田拥有中石化规模最大的企业级信息网络，油田网络上联中石化集团公司、内联油田内部 70 余家二级单位。工控网络自动化仪表近 40 万台，工业网络建设覆盖率达到 95%以上，网络结构复杂，网络设备众多。当前，油田生产规模和环境决定其工控系统信息接入点数量大、分布广，且大多暴露在外部环境中。前端设备无人值守，部分暴露在外的网络接口开放、无控制手段，易被不法分子利用终端网络接口仿冒接入，对内网进行探测或入侵，进而控制核心业务系统，获取敏感数据信息或发起物理攻击。针对该场景，依据综合防护、深度防护、主动防护等理念，设计安全合规检查、状态监控、网络双向阻断、访问控制等安全管理功能，形成有效的安全监测、防御体系。

解决方案

出口安全准入防护

互联网出口处部署下一代防火墙、网络接入控制系统，通过防火墙、DOS、IPS、防病毒、VPN、应用控制、数据防泄漏等进行整体安全防护。通过网络接入控制系统，动态管控接入网络设备及网络访问范围，从而保证接入网络设备可信，确保关键网络获得实时保护。

区域边界物理隔离

在生产管理层与过程控制层之间部署工业安全隔离与信息交换系统，通过“数据摆渡”模式，建立数据安全传输通道，切断内、外网络之间所有直接连接，保证内、外网数据安全、可靠地交换，从而实现内、外网络的安全隔离。

安全防护闭环设计在生产环境中，通过工业防火墙、工控安全审计系统、主机安全加固系统、工控入侵检测系统、日志审计与分析系统形成闭环网络安全防护体系，建立事前预警、事中防御、事后溯源安全机制，确保生产环境安全，保障企业正常生产。

完善安全运营管理部署工控集中安全管理系统，对工控网络安全各种安全设备（工业防火墙、工控安全审计系统、主机安全加固系统等）进行统一管理、配置、授权和响应。同时，收集各终端或数据源的安全日志和安全事件，从整体视角对全网的安全事件进行关联分析和攻击溯源。

案例价值 本次项目采用先进防护手段，以安全可控为目标，监控审计为特征，构建全面的工控系统网络安全深度防御体系，并将安全运营纳入其中，提高了企业工控系统整体安全水平。此外，加强员工培训提高网络威胁和攻击意识，提供应急响应技能，使其更好地应对安全风险。

国家管网西北某管道公司安全运维建设项目 icon

某管道公司是我国重要的油气输送单位，下辖4个分公司的13条在役管道总长6380千米。原油干线输送能力可达2000万吨/年；成品油干线输送能力1000万吨/年；然气输送能力600亿立方米/年，彰显了中国油气能源战略通道的重要地位。该公司非常注重设备运行和维护的安全性，并采取了多项全面的安全配置措施来保障其设备在安全运营和维护过程中的完整性和可靠性。除此之外针对网络安全方面进行了区域隔离和安全域划分，对操作员站和工程师站进行防护，对网络内的流量进行实时检测，以保证网络的安全和稳定，避免恶意攻击和不良行为的发生。同时，调控中心对各作业区下发权限，使其能够根据所授予的权限对所管理的站场进行设备维护和参数设定，确保操作的合法性和安全性。所有措施有效地防止了各种恶意攻击和网络病毒的入侵，保障了管道设备的安全运营和维护，也为保护管道公司的网络安全提供了强有力的保障。

解决方案

出口安全隔离防护

根据现场需求，在进出口侧部署工业安全隔离与信息交换系统，进行办公网与生产网的物理隔离；同时，将所需生产数据通过数据摆渡的方式上传至办公网，供办公网使用。

区域边界安全防护

根据现场实际情况，调控、分控中心与各场站网络特点，通过工业防火墙将调度、分控中心进行域划分，分别为生产控制区、安全管理中心、生产数据中心和运维管理区；通过基于端口级的安全策略进行逻辑隔离，保证各区域的安全性。

终端主机安全防护工控终端（工作站/服务器）部署主机安全加固系统，通过身份认证、程序安全、网络安全、主机策略、外设管理、文件安全、主机安全审计等安全能力，提升操作系统（Windows、Linux、国产操作系统）整体的安全保护能力。

安全运维管理建设通过运维安全审计系统对运维人员的关键运维操作行为进行审计，保障运维人员的操作合法性；通过工控集中安全管理系统和日志审计与分析系统处理整个工控系统环境内的异常情况告警、安全产品配置变更、安全产品运行状况等信息，保障生产环境安全性。

案例价值 本项目除了建立安全防护设备和网络架构之外，通过建立详细的安全策略和规程，构建科学、合理的安全管理体系；同时，网络安全培训提高员工的安全意识和技能，使其掌握安全最佳实践；定期进行安全演练和应急响应训练增强应急处理能力，减少安全事件对业务的影响。

石油石化行业项目案例汇总 icon

产品推荐查看更多>>

tenable.ot工控网络安全风险可视化平台

tenable.ot工控网络安全风险可视化平台，融合OT基础设施需要的保护不止于OT。借助全面的网络覆盖和对IT与OT资产深度的态势感知同时保护IT和OT。Tenable.ot与Nessus一起使用可将您的OT和IT安全统一在一个集成解决方案中，消除传统的盲点和潜在的安全风险。

全面的可见性

高级威胁检测

基于风险的漏洞管理

配置控制

立即咨询查看详情

珞安科技主机安全加固系统

珞安科技主机安全加固系统是一款综合运用安全标记、访问控制、完整性保护等多层次立体式防护手段。通过扩展操作系统的安全子系统，防范外部的渗透攻击，预防内部的主动泄密，弥补传统信息安全解决方案在主机层的安全短板，提升操作系统整体的安全保护能力，满足国家等级保护的安全技术要求。

高效稳定

安全可靠

立即咨询查看详情

威努特企业级交换机

威努特企业级交换机，支持静态路由，RIP/OSPF动态路，VRRP虚拟路由，DHCP 服务器，ERPS环网，预留双电源设计，支持掉电告警。上行4~6万兆光口，大缓存，视频监控核心，高等级防雷防静电硬件设计。

静态路由

掉电告警

大缓存

集群交换

立即咨询查看详情

数字化社区查看更多>>