石油化工行业概述


石油化工行业业务板块介绍


石油化工企业完成油气从勘探到加工成品最终面向用户销售的整个生产过程,由油气田、油气输送、炼化加工、油气储运和油气销售板块组成完整生态链。需要多个专业的相互配合和协作,是中国重要的资金与技术密集型企业。


石油化工行业信息化系统介绍


在石油化工行业中,传统的研究、生产及管理系统导致软件、数据和计算资源分散部署在各单位,形成独立的系统、数据库和工作流程,导致本来应环环相扣的各项业务无法有效结合。随着油气业务的发展,研究、生产及管理人员分布在全国多个地区,而多数单位都有异地协同、研究、办公的需求。如在油气田领域通过对多个业务的集成协同,实现对油藏、井、钻、管网、设备等生产对象的实时状态的全面感知,实现对决策过程、经营体系、生产流程及资产价值的全过程分析优化;在管网运行领域,利用机器数据、信息系统业务数据及仿真数据加强管网实时状态、重点设备工况和能耗等分析工作;在炼化领域分析设备运行数据,提高设备故障维修效率,节约成本;在产品销售领域进行成品油销量预测、客户流失分析、促销量价分析,对未来销售趋势进行预判,实现精准营销等。所以,一体化已成为当今油气生产的发展方向。


石油化工行业工业控制系统介绍


在石油化工行业中,工业控制系统主要包括集散控制系统(DCS)、安全仪表系统(SIS)、压缩机控制系统(CCS)、可燃气报警系统(GDS)、各种可编程控制器(PLC),并已成为石油化工行业重大的基础设施。随着近年来智能制造的推动以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。并且行业普遍存在信息安全管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等问题。


石油化工行业两化融合介绍


在“两化”融合的行业发展需求下,现代工业控制系统的技术进步主要表现在两大方面:信息化与工业化的深度融合,为了提高生产高效运行、生产管理效率,石油化工行业大力推进工业控制系统自身的集成化,集中化管理。系统的互联互通性逐步加强,工控网络与办公网、互联网也存在千丝万缕的联系。


石油化工行业信息系统面临的安全风险


影响石油化工企业网络系统安全的因素很多,可能是有意的攻击,也可能是员工无意的操作,还可能是外来攻击者对网络系统资源的非法使用。入侵者不会是一般意义上的“黑客”,而很可能是恐怖组织甚至是敌对国家力量支撑的组织;石油化工企业生产运营的系统及研究、生产过程中的数据已成为国家基础性战略资源;一旦出现安全问题,可能损害用户、企业甚至是国家的利益。


石油化工企业生产的产品大多为易燃、易爆、有毒以及强腐蚀性的物质,其操作流程十分复杂,各种高温、高压设备较多,对操作都有严格要求,一旦生产系统出现安全问题,生产现场可能出现火灾、爆炸,进而可能引起生产装置的损坏,并可能造成人员伤亡。事故导致生产原料的泄漏、扩散等,可能在很大范围内长时间地造成空气、水源、土壤的污染,给当地人民生活和周边环境带来严重影响。


石油化工行业信息安全需求分析


威胁来源分析


对信息系统影响较大的安全威胁主要集中在以下五个方面。


1) 硬件方面。网络中存在大量广播信息易造成广播风暴。蠕虫病毒利用网络传播,也可占用计算机的系统资源和网络带宽,容易使程序无法响应系统的要求,造成系统的堵塞,甚至崩溃。


2) 软件方面。石油化工行业各单位信息系统众多,涉及范围广;工控系统国内外的软件品牌众多,很难形成统一的防护规范策略应对安全问题;另外当软件面向网络应用时,就必须开放端口,一旦被恶意攻击和利用后果不堪设想。


3) 使用方面。网络的使用者由于经验不足等原因造成的网络口令丢失,权限分配失策、系统被人入侵等情况,也会造成机密数据丢失、泄漏、系统瘫痪等故障。


4) 非法授权使用。石油化工企业系统普遍存在访问制度和权限管理。权限管理的漏洞造成的非授权使用或来自外部的黑客攻击有可能获取系统权限,访问敏感数据;致使工控系统误动作,甚至造成系统瘫痪。


5) 病毒攻击。计算机病毒在整个网络系统内的传播可能造成某个或多个计算机的性能下降甚至瘫痪,造成生产系统局部功能的丧失。


石油化工行业网络风险点分析


1、信息安全管理方面的安全脆弱性


1) 信息安全管理制度流程欠完善。现在大部分企业还未形成完整的制度政策,缺乏信息系统规划、建设、运维、废止全生命周期的信息安全需求和设计管理,欠缺配套的管理体系、处理流程、人员责任等规定。


2) 应急响应机制欠健全,需进一步提高系统信息安全事件的应对能力。发生信息安全事件后人员通常依靠经验判断,甚至逐个断网等方式,确定信息安全事件发生的设备和影响范围,对于被攻击的程度,工艺是否受影响存在很多不明确的逐一进行排查。


3) 人员信息安全培训不足,技术和管理能力以及人员安全意识有待提高。大部分行业有针对应用系统的业务培训,但是面向全员的信息安全意识宣传、信息安全技术和管理培训均比较缺乏,需加强信息安全体系化宣传和培训。


4) 尚需完善第三方人员管理体制。大部分的行业会将设备建设运维工作外包给设备商或集成商,尤其针对国外厂商,业主不了解网络、应用及安全设备的技术细节,对于所有的运维操作无控制、无审计,留有安全隐患。


2、信息安全技术方面的安全脆弱性


1) 未进行安全区域划分,区域间未设置访问控制措施。随着信息系统及工业系统的集成化越来越高,呈现统一管理、集中监控的趋势,系统的互联程度大幅提高。但是各子系统之间没有进行有效的隔离,系统边界不清楚,边界访问控制策略缺失,一旦发生安全问题,存在迅速蔓延的可能性。


2) 工作主机存在互相感染的隐患。大部分工作主机是基于Windows平台,版本包括NT4.0,Win2000,XP,win7,Server2003等,Windows平台固有的脆弱性均可以被病毒黑客利用。并且大部分企业无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。


3) 缺少信息安全风险监控技术,不能及时发现信息安全问题,出现问题后靠人员经验排查。在网络上普遍缺少信息安全监控机制,不能及时了解网络状况,一旦发生问题不能及时确定问题所在,不能及时排查到故障点,排查过程耗费大量人力成本、时间成本。


4) 系统运行后,工作主机和服务器很少打补丁,存在系统漏洞,系统安全配置较薄弱,防病毒软件安装不全面。系统自身的安全策略未启用或配置薄弱。防病毒软件的安装不全面,即使安装后也不及时更新防恶意代码软件版本和恶意代码库。


5) 存在使用移动存储介质不规范问题,易引入病毒及黑客攻击程序。在系统运维和使用过程中,存在随意使用U盘、光盘、移动硬盘等移动存储介质现象,有可能传染病毒、木马等威胁生产系统。


6) 第三方人员运维生产系统无审计措施。出现问题后无法及时准确定位问题原因、影响范围及追究责任。


7)上线前未进行信息安全测试。系统在上线前未进行安全性测试,系统上线后存在大量安全风险漏洞,安全配置薄弱,甚至有的系统带毒工作。


石油化工行业信息安全防护方案


石油化工行业系统部署架构

 

石油化工行业信息安全防护思路


在保证系统可用性前提下,对石油化工行业信息系统及工业控制系统进行综合防护,实现“垂直分层,水平分区。边界控制,内部监测”。


1)“垂直分层、水平分区”即对石油化工行业生产及管理系统垂直方向化分为集团管理层、企业管理层、生产管理层、生产调度层、现场控制层及现场设备层;水平分区指各信息管理系统之间,工业控制系统之间从网络上隔离开,处于不同的安全区。


2)“边界控制,内部监测”即对系统边界即各工作站、应用服务器、信息系统、工业控制系统连接处、无线网络等要进行边界防护和准入控制等;对生产办公网络及工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题。


3)系统面临的主要安全威胁来自于黑客攻击,病毒蠕虫等恶意代码,非授权接入、移动介质、弱口令、操作系统漏洞、误操作和业务异常等越权访问。因此,其安全防护应在以下方面予以重点完善和强化:入侵检测及防御;恶意代码防护;内部网络异常行为的检测;边界访问控制和系统访问控制策略;系统开发与维护的安全;身份认证和行为审计;账号唯一性和口令安全,尤其是管理员账号和口令的管理;操作站操作系统安全;移动存储介质的标记、权限控制和审计;设备物理安全。


石油化工行业信息安全防护方案


结合石油化工行业信息安全防护思路,将石油化工企业系统划分为企业信息管理系统及生产控制系统。企业信息管理系统分为两层,即集团管理层和企业管理层;生产控制系统分为四层,即生产管理层、生产调度层、现场控制层和现场设备层。每一套信息系统、每一个工业控制系统应单独划分在一个区域里。


集团管理层及企业管理层主要是经营管理、资源计划管理、文件管理、合同管理、质量管理、采购及物资管理等相关系统。


生产管理层主要是生产调度、详细生产流程、可靠性保证、三维可视、能源管理、设备管理、视频管理、地理信息管理、应急指挥管理以及站点范围内的控制优化等相关系统。


生产调度层包括了监督和控制实际生产过程的人机界面HMI、操作员站、工程师站、报警管理服务器、通信服务器、实时数据收集服务器、历史数据归档服务器以及用于连接的其他服务器客户机等相关系统。


现场控制层是对来自现场设备层的传感器所采集的数据进行操作,执行控制算法,输出到执行器执行,该层通过现场总线或实时网络与现场设备层的传感器和执行器形成控制回路。主要包含DCS控制器、可编程逻辑控制器PLC、远程终端单元RTU等控制相关系统。


现场设备层对生产设施的现场设备进行数据采集和输出操作的功能,包括所有连在现场总线或实时网络的传感器(模拟量和开关量输入)和执行器(模拟量和开关量输出)。


根据“边界控制,内部监测”的防护思路,对石油化工行业信息管理系统及工业控制系统进行防护。


通过信息安全管理系统对整个系统内的各个子系统和安全设备进行统一安全监控和管理。对企业日常办公及工业控制现场设备、信息安全设备、网络设备、服务器、操作站等进行统一资产管理,并对各设备的信息安全监控和报警、信息安全日志信息进行集中管理。根据安全审计策略对各类信息安全信息进行分类管理与查询,系统对各类信息安全报警和日志信息进行关联分析,展现全网的安全风险分布和趋势。


防护类措施分类如下: 


1)在安全区域边界处部署防火墙设备,实现IP/端口、协议的访问控制、应用层协议访问控制、流量控制等;于工业控制安全区域边界处部署工业系统专用防火墙,在实现传统网络防护功能基础上对工业控制系统专用协议进行深度解析及访问控制。


2)在安全区域边界处部署入侵防御设备,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。


3)在内部信息区域与对外发布信息区域之间及工业控制区域与信息管理区域之间部署网闸设备,切断网络链路层链接,完成网络之间的数据交换。


4)在工作主机、操作站、工程师站及办公终端部署操作站安全系统实现移动存储介质使用的管理、软件黑白名单管理、联网控制、网络准入控制、安全配置管理等。


5)安全审计与管理系统的作用是,对管理人员及运维人员在业务环境下的操作行为进行细粒度审计的合规性管理,通过对业务人员访问系统的行为进行解析、分析、记录、汇报,实现事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产的正常运营。


6)Wifi入侵检测与防护设备是放在基于Wifi组网的现场设备网络中,可实现非法AP阻断,非法外来设备接入生产网络,基于Wifi的入侵检测等。


监控检查类措施如下:


1)在交换机镜像口上部署入侵监测系统,检测信息系统内部入侵行为,异常操作行为,发现异常流量和异常访问关系等;并于工业以太网交换机景象口上部署工控异常监测系统,检测工业控制系统内部入侵、异常操作、异常流量和异常访问关系等。


2)部署漏洞扫描系统,对系统漏洞、Web漏洞以及弱口令进行扫描,并在工控系统检修、停机或新系统上线时对工业控制系统进行漏洞扫描并对漏洞进行修补。


3)部署安全配置基线核查系统,对系统进行配置基线检查,重点关注工作主机、工程师站、服务器等开放的服务,账号密码策略、协议的安全配置等问题,对风险进行安全加固。


石油石化行业信息系统安全防护优势

    

本方案的整体思路主要依据石油化工行业网络安全“统一规划、分级分域、积极预防、重点保障”的思路。对石油化工行业整个信息管理系统及工控系统进行全面风险评估掌握目前石油化工行业信息系统风险现状;通过对互联网边界流量的分析,保证企业内部网络的安全性;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网边界安全;在企业内部办公系统及工控系统进行一定手段的监测、防护,保证企业内部安全;最后对整个企业系统进行统一安全呈现,将各个防护点组成一个全面的防护体系,保障企业整个信息管理系统及工业控制系统安全稳定运行。并对企业信息管理系统及工业控制系统提供一系列专业安全服务。