【成果展示篇】天地和兴纵深主动防御体系为油田生产安全保驾护航

北京天地和兴科技有限公司（简称天地和兴）成立于2007年，是国内专业从事工业网络安全的领军企业。公司总部位于北京，在全国31个省级行政区域设置了分公司或办事机构，用户覆盖电力、石油石化、轨道交通、智能制造、钢铁冶金和军工等多个国家关键信息基础设施行业。

1

客户背景

//

中石化某油田分公司的主要业务生产流程大致是首先采油厂管理区下属的井场采集油气上来，通过增压站(计量站) 计量、加压后，将油气汇聚至转油站进行油气水的初步分离。转油站输出的含水原油送至联合站，联合站是油田油气集输的最终环节，对含水原油集中处理后通过管道输送到石化总厂进行集中炼化加工。

该公司的油气生产业务板块下属有12个采油厂, 130个采油管理区, 62座联合站、74座接转站、72座污水处理站、394座注水站、20071口油井、以及配合油气储运的3座大型油库。石油加工业务板块主要是下属的石油化工总厂，该厂是承担油田分公司石油炼化任务的唯一专业化企业。

2

安全需求

//

本案例客户通过四化建设使油田分公司在两化融合、标准化、自动化、智能化领域大幅领先，但在提高油田生产效率的同时随之而来是病毒和木马等恶意攻击来源复杂化、攻击目的多样化以及攻击过程持续化的信息安全现状，其中油田分公司工业控制系统网络安全问题日益突出，生产控制系统信息安全的保障工作迫在眉捷。

目前中石化某油田分公司的各个生产控制系统之间，生产控制系统内部的操作站和控制站之间的安全防护措施十分欠缺，无法及时有效的防止信息安全事件的发生。其生产控制系统安全防护体系建设，明显滞后于生产控制系统信息体系建设，涉及生产控制系统的安全防护工作尚在起步阶段，生产控制系统在安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面存在较多的问题和隐患，需要尽快完善并加以解决，建立健全生产控制系统安全防护体系，保障油田生产控制系统的安全、稳定、可靠运行。

3

解决方案

//

01

标准化原则

安全解决方案的安全规划、安全建设、安全整改及建设的各个环节都必须符合国家关于信息安全的法律、法规和相关行业标准。

主要遵循等保2.0的“一个中心、三重防护”的思维进行设计

02

安全性原则

安全解决方案要能够为油田分公司整体信息安全提供指导、建设方向，必须保证其生产控制系统资源受控、合法、安全地使用

03

可靠性原则

安全解决方案应在不影响油田生产控制系统功能和效率的前提下，做到安全、有效、可靠的不间断运行。

04

可扩展性原则

安全解决方案必须允油田分公司根据自身业务发展需要，增加新的安全组件与安全功能主动防御思想，必须保证满足油田分公司生产控制系统安全性不断改进、增长的需要。

05

可管理性原则

安全解决方案中的所有安全防护产品必须可管理，做到分布式安全布控，集中式安全管理。

06

经济适用原则

本之间进行科学的平衡、比较和折中，保证油田生产控制系统安全防护体系，安全、经济、适用，性价比合理。

07

全生命周期防护原则

通过前期安全调研（如资产梳理、风险评估），中期安全建设（如设计、实施、运维、培训）以及后期的运营（如运维、测评、管理），构建一个全生命周期的油田分公司生产控制系统安全解决方案。

炼化业务板块安全防护部署图

· 安全通信网络

在数采网边界处部署工业安全隔离与信息交换系统（工业网闸系统）进行网络隔离与数据安全交换，来实现双网隔离与数据的安全交换。

· 安全区域边界

在工业控制网络的各层级或各安全域之间串行部署工控防火墙系统，保护各层级或各安全域间的运行安全。

通过在数采网的汇聚层交换机上选择旁路部署入侵检测系统、日志审计、账号管理及运维审计系统（堡垒机）实时监测工控系统网络中、核心数据服务安全域的异常行为并进行分析并告警，并对第三方运维行为进行审计。

在各厂的生产控制网汇聚交换机部署工控安全审计系统，对通信数据进行合规性检查，对异常行为、违规操作行为进行识别、审计告警，辅助安全运维人员进行处置。

· 安全计算环境

在工程师站、历史站、操作员站等主机系统上部署主机防护系统，确保主机身份鉴别、访问控制、恶意代码防范、入侵防范得到有效控制。

在生产控制层和数采网管理主机操作域内部署USB安全隔离系统，实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能，保护系统USB拷贝数据的安全。

· 安全管理中心

在数采网中新建安全管理中心域，部署工控安全检查工具、工控安全监管与分析平台以及工控威胁检测系统，通过工控防火墙连接到数采网的汇聚层交换机。

实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置，对重要操作行为进行记录、分析，及时发现各种违规行为以及病毒、黑客的攻击行为，同时实现全网资产无损扫描识别与管理，资产漏洞匹配与统计报告等安全集中管理能力。

4

客户价值

//

依据中石化某油田分公司四化建设后的信息安全现状和实际监管需求，建设一套稳定、先进、高效、可靠、安全合规的全生命周期的纵深主动防御体系。

全生命周期的纵深主动防御体系，主要通过在油田生产控制系统网络中部署，安全分区、主机安全加固、工控威胁行为监测、运维操作行为监控、网络异常分析审计、信息安全管理平台等安全措施来解决四化建设后的油田生产控制网络面临的安全问题，提升了油田生产控制系统整体安全性，为安全生产保驾护航。

通过全生命周期的安全解决方案，建立健全中石化某油田分公司生产控制系统网络安全体系，保障油田生产业务安全、稳定、可靠的运行。

END

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!