石油化工行业概述


石油化工行业业务板块介绍


石油化工企业完成油气从勘探到加工制品最终面向用户销售的整个生产过程,由油气田、油气输送、炼化加工、油气储运和油气销售板块组成完整生态链 。需要多个专业的相互配合和协作,是中国重要的资金与技术密集型企业 。


石油化工行业信息化系统介绍


在石油化工行业中,传统的研究、生产及管理系统导致软件、数据和计算资源疏散部署在各单元,形成独立的系统、数据库和事情流程,导致原来应环环相扣的各项业务无法有效结合 。随着油气业务的生长,研究、生产及管理人员漫衍在全国多个地域,而多数单元都有异地协同、研究、办公的需求 。如在油气田领域通过对多个业务的集成协同,实现对油藏、井、钻、管网、设备等生产工具的实时状态的全面感知,实现对决策过程、经营体系、生产流程及资产价值的全过程分析优化;在管网运行领域,利用机器数据、信息系统业务数据及仿真数据加强管网实时状态、重点设备工况和能耗平分析事情;在炼化领域分析设备运行数据,提高设备故障维修效率,节约成本;在产物销售领域进行制品油销量预测、客户流失分析、促销量价分析,对未来销售趋势进行预判,实现精准营销等 。所以,一体化已成为当今油气生产的生长偏向 。


石油化工行业工业控制系统介绍


在石油化工行业中,工业控制系统主要包罗集散控制系统(DCS)、宁静仪表系统(SIS)、压缩机控制系统(CCS)、可燃气报警系统(GDS)、种种可编程控制器(PLC),并已成为石油化工行业重大的基础设施 。随着近年来智能制造的推动以及物联网的快速生长,工业控制系统产物越来越多地接纳通用协议、通用硬件和通用软件,以种种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息宁静问题日益突出 。而且行业普遍存在信息宁静管理制度不健全,相关尺度规范缺失,技术防护措施不到位,宁静防护能力和应急处置能力不高等问题 。


石油化工行业两化融合介绍


在“两化”融合的行业生长需求下,现代工业控制系统的技术进步主要体现在两大方面:信息化与工业化的深度融合,为了提高生产高效运行、生产管理效率,石油化工行业鼎力推进工业控制系统自身的集成化,集中化管理 。系统的互联互通性逐步加强,工控网络与办公网、互联网也存在千丝万缕的联系 。


石油化工行业信息系统面临的宁静风险


影响石油化工企业网络系统宁静的因素很多,可能是有意的攻击,也可能是员工无意的操作,还可能是外来攻击者对网络系统资源的非法使用 。入侵者不会是一般意义上的“黑客”,而很可能是恐怖组织甚至是敌对国家力量支撑的组织;石油化工企业生产运营的系统及研究、生产过程中的数据已成为国家基础性战略资源;一旦泛起宁静问题,可能损害用户、企业甚至是国家的利益 。


石油化工企业生产的产物大多为易燃、易爆、有毒以及强腐蚀性的物质,其操作流程十分庞大,种种高温、高压设备较多,对操作都有严格要求,一旦生产系统泛起宁静问题,生产现场可能泛起火灾、爆炸,进而可能引起生产装置的损坏,并可能造成人员伤亡 。事故导致生产原料的泄漏、扩散等,可能在很大范围内长时间地造成空气、水源、土壤的污染,给当地人民生活和周边环境带来严重影响 。


石油化工行业信息宁静需求分析


威胁来源分析


对信息系统影响较大的宁静威胁主要集中在以下五个方面 。


1) 硬件方面 。网络中存在大量广播信息易造成广播风暴 。蠕虫病毒利用网络流传,也可占用计算机的系统资源和网络带宽,容易使法式无法响应系统的要求,造成系统的堵塞,甚至瓦解 。


2) 软件方面 。石油化工行业各单元信息系统众多,涉及范围广;工控系统国内外的软件品牌众多,很难形成统一的防护规范计谋应对宁静问题;另外当软件面向网络应用时,就必须开放端口,一旦被恶意攻击和利用后果不堪设想 。


3) 使用方面 。网络的使用者由于经验不足等原因造成的网络口令丢失,权限分配失策、系统被人入侵等情况,也会造成机密数据丢失、泄漏、系统瘫痪等故障 。


4) 非法授权使用 。石油化工企业系统普遍存在访问制度和权限管理 。权限管理的漏洞造成的非授权使用或来自外部的黑客攻击有可能获取系统权限,访问敏感数据;致使工控系统误行动,甚至造成系统瘫痪 。


5) 病毒攻击 。计算机病毒在整个网络系统内的流传可能造成某个或多个计算机的性能下降甚至瘫痪,造成生产系统局部功效的丧失 。


石油化工行业网络风险点分析


1、信息宁静管理方面的宁静脆弱性


1) 信息宁静管理制度流程欠完善 。现在大部门企业还未形成完整的制度政策,缺乏信息系统规划、建设、运维、废止全生命周期的信息宁静需求和设计管理,欠缺配套的管理体系、处置流程、人员责任等规定 。


2) 应急响应机制欠健全,需进一步提高系统信息宁静事件的应对能力 。发生信息宁静事件后人员通常依靠经验判断,甚至逐个断网等方式,确定信息宁静事件发生的设备和影响范围,对于被攻击的水平,工艺是否受影响存在很多不明确的逐一进行排查 。


3) 人员信息宁静培训不足,技术和管理能力以及人员宁静意识有待提高 。大部门行业有针对应用系统的业务培训,但是面向全员的信息宁静意识宣传、信息宁静技术和管理培训均比力缺乏,需加强信息宁静体系化宣传和培训 。


4) 尚需完善第三方人员管理体制 。大部门的行业会将设备建设运维事情外包给设备商或集成商,尤其针对国外厂商,业主不了解网络、应用及宁静设备的技术细节,对于所有的运维操作无控制、无审计,留有宁静隐患 。


2、信息宁静技术方面的宁静脆弱性


1) 未进行宁静区域划分,区域间未设置访问控制措施 。随着信息系统及工业系统的集成化越来越高,泛起统一管理、集中监控的趋势,系统的互联水平大幅提高 。但是各子系统之间没有进行有效的隔离,系统界限不清楚,界限访问控制计谋缺失,一旦发生宁静问题,存在迅速蔓延的可能性 。


2) 事情主机存在互相熏染的隐患 。大部门事情主机是基于Windows平台,版本包罗NT4.0,Win2000,XP,win7,Server2003等,Windows平台固有的脆弱性均可以被病毒黑客利用 。而且大部门企业无移动存储介质管理、事情主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施 。


3) 缺少信息宁静风险监控技术,不能及时发现信息宁静问题,泛起问题后靠人员经验排查 。在网络上普遍缺少信息宁静监控机制,不能及时了解网络状况,一旦发生问题不能及时确定问题所在,不能及时排查到故障点,排查过程耗费大量人力成本、时间成本 。


4) 系统运行后,事情主机和服务器很少打补丁,存在系统漏洞,系统宁静配置较单薄,防病毒软件安装不全面 。系统自身的宁静计谋未启用或配置单薄 。防病毒软件的安装不全面,即使安装后也不及时更新防恶意代码软件版本和恶意代码库 。


5) 存在使用移动存储介质不规范问题,易引入病毒及黑客攻击法式 。在系统运维和使用过程中,存在随意使用U盘、光盘、移动硬盘等移动存储介质现象,有可能熏染病毒、木马等威胁生产系统 。


6) 第三方人员运维生产系统无审计措施 。泛起问题后无法及时准确定位问题原因、影响范围及追究责任 。


7)上线前未进行信息宁静测试 。系统在上线前未进行宁静性测试,系统上线后存在大量宁静风险漏洞,宁静配置单薄,甚至有的系统带毒事情 。


石油化工行业信息宁静防护方案


东森·(中国区)官方网站

石油化工行业系统部署架构

 

石油化工行业信息宁静防护思路


在保证系统可用性前提下,对石油化工行业信息系统及工业控制系统进行综合防护,实现“垂直分层,水平分区 。界限控制,内部监测” 。


1)“垂直分层、水平分区”即对石油化工行业生产及管理系统垂直偏向化分为集团管理层、企业管理层、生产管理层、生产调治层、现场控制层及现场设备层;水平分区指各信息管理系统之间,工业控制系统之间从网络上隔离开,处于差异的宁静区 。


2)“界限控制,内部监测”即对系统界限即各事情站、应用服务器、信息系统、工业控制系吐洮接处、无线网络等要进行界限防护和准入控制等;对生产办公网络及工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题 。


3)系统面临的主要宁静威胁来自于黑客攻击,病毒蠕虫等恶意代码,非授权接入、移动介质、弱口令、操作系统漏洞、误操作和业务异常等越权访问 。因此,其宁静防护应在以下方面予以重点完善和强化:入侵检测及防御;恶意代码防护;内部网络异常行为的检测;界限访问控制和系统访问控制计谋;系统开发与维护的宁静;身份认证和行为审计;账号唯一性和口令宁静,尤其是管理员账号和口令的管理;操作站操作系统宁静;移动存储介质的标志、权限控制和审计;设备物理宁静 。


石油化工行业信息宁静防护方案


结合石油化工行业信息宁静防护思路,将石油化工企业系统划分为企业信息管理系统及生产控制系统 。企业信息管理系统分为两层,即集团管理层和企业管理层;生产控制系统分为四层,即生产管理层、生产调治层、现场控制层和现场设备层 。每一套信息系统、每一个工业控制系统应单独划分在一个区域里 。


集团管理层及企业管理层主要是经营管理、资源计划管理、文件管理、合同管理、质量管理、采购及物资管理等相关系统 。


生产管理层主要是生产调治、详细生产流程、可靠性保证、三维可视、能源管理、设备管理、视频管理、地理信息管理、应急指挥管理以及站点范围内的控制优化等相关系统 。


生产调治层包罗了监督和控制实际生产过程的人机界面HMI、操作员站、工程师站、报警管理服务器、通信服务器、实时数据收集服务器、历史数据归档服务器以及用于连接的其他服务器客户机等相关系统 。


现场控制层是对来自现场设备层的传感器所收罗的数据进行操作,执行控制算法,输出到执行器执行,该层通过现场总线或实时网络与现场设备层的传感器和执行器形成控制回路 。主要包罗DCS控制器、可编程逻辑控制器PLC、远程终端单元RTU等控制相关系统 。


现场设备层对生产设施的现场设备进行数据收罗和输出操作的功效,包罗所有连在现场总线或实时网络的传感器(模拟量和开关量输入)和执行器(模拟量和开关量输出) 。


凭据“界限控制,内部监测”的防护思路,对石油化工行业信息管理系统及工业控制系统进行防护 。


通过信息宁静管理系统对整个系统内的各个子系统和宁静设备进行统一宁静监控和管理 。对企业日常办公及工业控制现场设备、信息宁静设备、网络设备、服务器、操作站等进行统一资产管理,并对各设备的信息宁静监控和报警、信息宁静日志信息进行集中管理 。凭据宁静审计计谋对种种信息宁静信息进行分类管理与查询,系统对种种信息宁静报警和日志信息进行关联分析,展现全网的宁静风险漫衍和趋势 。


防护类措施分类如下: 


1)在宁静区域界限处部署防火墙设备,实现IP/端口、协议的访问控制、应用层协议访问控制、流量控制等;于工业控制宁静区域界限处部署工业系统专用防火墙,在实现传统网络防护功效基础上对工业控制系统专用协议进行深度解析及访问控制 。


2)在宁静区域界限处部署入侵防御设备,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的掩护网络的宁静 。


3)在内部信息区域与对外宣布信息区域之间及工业控制区域与信息管理区域之间部署网闸设备,切断网络链路层链接,完成网络之间的数据交换 。


4)在事情主机、操作站、工程师站及办公终端部署操作站宁静系统实现移动存储介质使用的管理、软件黑白名单管理、联网控制、网络准入控制、宁静配置管理等 。


5)宁静审计与管理系统的作用是,对管理人员及运维人员在业务环境下的操作行为进行细粒度审计的合规性管理,通过对业务人员访问系统的行为进行解析、分析、记录、汇报,实现事前规划预防,事中实时监视、违规行为响应,事后合规陈诉、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产的正常运营 。


6)Wifi入侵检测与防护设备是放在基于Wifi组网的现场设备网络中,可实现非法AP阻断,非法外来设备接入生产网络,基于Wifi的入侵检测等 。


监控检查类措施如下:


1)在交换机镜像口上部署入侵监测系统,检测信息系统内部入侵行为,异常操作行为,发现异常流量和异常访问关系等;并于工业以太网交换机景象口上部署工控异常监测系统,检测工业控制系统内部入侵、异常操作、异常流量和异常访问关系等 。


2)部署漏洞扫描系统,对系统漏洞、Web漏洞以及弱口令进行扫描,并在工控系统检修、停机或新系统上线时对工业控制系统进行漏洞扫描并对漏洞进行修补 。


3)部署宁静配置基线核查系统,对系统进行配置基线检查,重点关注事情主机、工程师站、服务器等开放的服务,账号密码计谋、协议的宁静配置等问题,对风险进行宁静加固 。


石油石化行业信息系统宁静防护优势

    

本方案的整体思路主要依据石油化工行业网络宁静“统一规划、分级分域、积极预防、重点保障”的思路 。对石油化工行业整个信息管理系统及工控系统进行全面风险评估掌握目前石油化工行业信息系统风险现状;通过对互联网界限流量的分析,保证企业内部网络的宁静性;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网界限宁静;在企业内部办公系统及工控系统进行一定手段的监测、防护,保证企业内部宁静;最后对整个企业系统进行统一宁静泛起,将各个防护点组成一个全面的防护体系,保障企业整个信息管理系统及工业控制系统宁静稳定运行 。并对企业信息管理系统及工业控制系统提供一系列专业宁静服务 。