当前位置: 首页 > 行业解决方案 > 石油化工

石油化工控制系统安全解决方案

  • 行业现状
  • 典型方案
  • 方案部署
  • 相关产品

1.行业概述

新中国成立后,油气行业创造了举世瞩目的辉煌业绩,截止2011年,全国25个省市自治区和近海海域发现上千个油气田,建立了东北、新疆、鄂尔多斯、四川、渤海湾、南海等多个大油气区,30个油气生产基地。2015年全国年产原油2.15亿吨,居世界第四位,然而,2015年我国原油消耗量约5.4亿吨,石油对外依存度高达60%以上,且供需缺口仍在扩大。

2013年,中国炼油能力为7.1亿吨/年,占全球炼油能力的12.4%,位居全球第二;乙烯产能为1 749万吨/年,占全球乙烯能力的11.2%,位居全球第二;三大合成材料中,合成树脂(包括聚乙烯、聚丙烯、聚氯乙烯、聚苯乙烯、ABS)产能6 182.3万吨/年,合成橡胶(包括顺丁、丁苯、SBS)产能360.2万吨/年,合成纤维(包括腈纶、锦纶、涤纶)产能4 281.7万吨/年。芳烃产能2 323万吨/年,有机化工产品产能达到1 555万吨/年,多数产品产能位居世界第二。

随着信息技术的迅速发展,物联网、云计算、大数据等新技术进入大规模商用阶段,以互联网为代表的信息技术与运营技术、制造技术的融合,不断催生出新业态、新模式,将给炼化工业生产方式带来革命性的变化。

2.安全隐患

信息化在油田企业中的应用使得工业控制网络大量采用通用TCP/IP 技术,ICS 网络和企业管理网的联系更紧密。传统工业控制系统设计上没有考虑互联互通带来的安全问题。企业管理网与工业控制网络几乎没有隔离防护功能,数字油田系统的安全隐患问题日益严峻。无线网络的接入、边界的脆弱性、区域划分不明确、终端操作系统的安全风险以及工控协议本身传的安全风险,这些问题很容易被病毒和黑客利用,系统中任何一点受到攻击都有可能导致整个系统的瘫痪。

石油炼化企业普遍采用了基于ERP/SCM、MES和PCS三层架构的管控一体化信息模型,实现了自管理层至现场设备层的一致性识别、通讯和控制,使得炼化企业在通过网络互连提升生产效率的同时,也带来更多安全威胁。

炼化企业工控网络存在以下安全隐患:

内网系统升级、设备维护等需要USB设备及其他外来设备的接入。

国外主流控制系统存在不可控因素。

现场控制层区域划分不明确,导致病毒扩散。

DCS与MES层通讯多采用OPC协议,通讯缺少安全认证,数据易被窃取、篡改或破坏。

● 目标系统的威胁评估,帮助客户了解网络整体安全威胁和风险,提供全网安全防护建议,进而帮助用户构建合理有效的工控系统,对石油石化厂控制系统网络进行安全检查、漏洞分析和风险评估;

● 目标系统的监控审计,通过特定的安全策略,快速识别出石油石化厂控制系统网络非法操作、异常事件、外部攻击,并实时发出告警。

● 目标系统的智能保护,帮助用户有效提高工控网络整体安全系数,保证生产的安全有序进行,降低工控网络攻击带来的各种损失。对工控专有协议进行深度分析,层层拆解数据包、深入剖析数据包结构与内容,确保数据包的合法性,从而实现工控网络的深度防护。

● 目标系统的数采隔离,对数采系统所采集的数据进行深度分析,确保数据合法性,一旦发现非法行为,将进行记录隔离。

监控审计平台方案

重要节点(工程师站,重要操作站,重要控制器,数据服务器)并联接入。

重要数据出口(DCS系统至厂级SIS系统),重要系统互联通信采用并联接入的方式。非重要车间采用单个车间并联接入方式。

中央管理系统可放置在工程师室,可实时告警。

全网监控审计网络独立组网,如无条件可以同控制网络公用网络。


IAD智能保护平台方案

对控制系统网络中容易受到攻击的节点进行防护,将匡安IAD智能保护终端串接到设备通信线路上,对APT攻击、异常控制行为和非法数据包进行告警和阻断,并对各类安全威胁实施监控。


数据采集隔离平台方案

对控制系统网络需要与上层网络进行通讯的边界进行防护,将匡安数据采集隔离平台布置于OPC服务器和上层网络通讯线路之间,对APT攻击、异常控制行为和非法数据包进行告警和阻断,并对各类安全威胁实施监控。





安全监管平台


威胁评估平台


监测审计平台



IAD智能保护平台


数据采集隔离平台


工控卫士