石油石化行业解决方案——油气田开采
安全防护依据

《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

● GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

中国石油化工集团《关于加强工业控制系统安全防护的指导意见》

安全防护原则
安全分区
对于生产网络与办公网络、集团公司内网存在共用网络的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。
工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
典型部署
安全子域防护

● 以联合站、作业区等为单位进行安全子区域的防护,安全子域与上一层调度网络之间采用工业防火墙(或工业安全隔离网关)进行安全防护,实现生产网络安全子区域网络边界访问控制;

● 以联合站、作业区等为单位进行安全子区域的防护,安全子域网络内部部署工业安全审计系统,通过内置的黑名单威胁特征库与通过自学习生成的白名单安全策略,对生产网络中的异常行为、异常流量、非授权操作等异常行为进行实时监控、分析;

● 以联合站、作业区等为单位进行安全子区域的防护,在安全子域的所有上位操作终端统一部署一套USB安全隔离装置和主机防护系统,并对所有上位主机的USB接口进行封堵,规范USB接口的使用管理,并对通过USB接口进行的数据存储过程进行病毒查杀和访问控制;

调度中心防护

● 对于采用调度中心集中调度的网络形势,需要在调度中心核心交换机旁路部署入侵检测系统,对通过调度中心与外部网络的链路入侵工控网络的威胁源进行有效检测;

● 在调度中心技术部署一套日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析,满足国家标准规范中关于日志审计的相关要求;

● 在调度中心上位操作终端部署网络版主机安全防护系统,实现终端进程的可信管理,只允许需要的业务软件运行,其他病毒、恶意程序,以及与业务无关的软件都无法运行,提供极高的安全性;

● 调度中心集中部署一套USB安全隔离装置,对调度中心的USB接口使用进行有效授权管理;

● 单独组建安全管理网络,对网络中所有安全设备进行集中管理,并对生产网络的安全态势进行集中监控与分析,通过安全管理平台进行统一显示;

●在安全管理中心技术部署账号集中管理与审计系统,对整个生产网络中的运维过程进行安全审计;

● 在安全管理中心技术部署账号集中管理与审计系统,对整个生产网络中的运维过程进行安全审计;

● 在安全管理中心部署工控漏洞扫描系统,对工业控制系统快速、精确、高效的进行网络安全风险合规巡检。