石化企业生产的产品大多为易燃、易爆、有毒以及强腐蚀性的物质,其操作流程十分复杂,各种高温高压设备较多且对操作都有严格要求,一旦生产系统出现安全问题,后果不堪设想。石化企业一旦发生事故,由于生产产品的特殊性,所造成危害影响严重,首先是现场的火灾、爆炸,造成现场工作人员伤亡、消防人员伤亡、生产设备的损坏,直接造成巨大的人员财产损失。在事故发生后,其次生灾害,包括生产原料的泄露、扩散,都会很难处理,在很大范围内、长时间造成空气、水源、土地的污染,严重影响厂区附近人民群众的生产生活。
随着两桶油在两化融合的形势下加速发展,生产网普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段,极大地提升了生产效率。与此同时,严峻的网络信息安全风险也如影随形。石油石化生产网网络信息安全防护有其特殊性。一是其防护的攻击主体特殊,与以谋财、牟利为目的的网络诈骗、网络入侵等传统网络攻击所不同,产业入侵者不会是一般意义上的“黑客”,而很可能是恐怖组织甚至是敌对国家力量支撑的组织;二是遭受攻击破坏后果严重,比如油气管线或大型石化装置的关键设施一旦遭受攻击,会直接威胁到国民经济的发展和社会安定。
面对严峻的内、外部工业控制系统安全环境,依据自身生产网安全现状,迫切需要对生产网进行信息安全建设。石油化工企业集成自动化和信息化系统的网络安全要考虑自动控制本身的安全,更要综合考虑网络、通信、外部访问、病毒攻击、系统维护和管理等多方面的安全因素。主要的网络安全策略可以归纳为以下几方面:
1)集成自动化和信息化系统应有清晰的网络层次,如过程控制层、生产管理层和工厂信息层等,各层网络间应采用工业防火墙或工业网闸对工业工艺数据进行安全防护,对针对工业控制系统的木马、病毒或违规人员的非法操作实时监控阻断隔离。
2)当多套生产装置在同一个LAN内,或某套生产装置规模太大,应划分子网,在各生产装置区域内部署工控异常监测系统,对区域网络内的木马病毒进行实时检测,及时发现未知连接等威胁预警。
3)集成自动化和信息化系统上位机操作站等应设置防病毒措施,定期更新升级经验证的病毒库,部署操作站安全管理系统,对安装在上位机操作站上的程序进行防护,对移动介质的接入进行管理等。
4)集成自动化和信息化系统网络应加强权限设置、访问管理和身份认证等管理。通过部署工控运维审计系统可以对外来人员对工控系统的运维行为和运维程序进行备份审计。
5)最后部署工控系统信息安全管理平台,建立工控信息安全管理系统,主要用于对工业控制环境的统一安全管理,在实现网络进行可用性与性能的监控、事件的分析审计预警、风险与态势的度量与评估、流行为的合规分析的同时,还承载着对工控安全设备统一管理的职能,是工业控制网络信息安全管理的统一平台。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
