【行业解决方案】石化行业工业网络信息安全防护方案

       伴随国家工业化、信息化的两化融合，石化企业提出管控一体化规划，基于实时数据库应用的MES系统在各大企业得到大力推广。实时数据库的建立是以采集过程控制系统的数据为前提，这就需要MES的信息网络必须要实现与控制网络之间的数据交换，控制网络不再以一个独立的网络运行，而要与信息网络互通、互联，基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。

网络拓扑图

系统说明及隐患分析
       石化行业系统结构通常分为三层，自上而下分别是办公网、数采网和控制网。办公网和数采网是物理上隔离的；数采网采用OPC标准从控制网采集数据，数采机或OPC Server采用双网卡结构与控制网进行了隔离；工程师站通常需要接入第三方设备（U盘、笔记本电脑等），系统存在以下信息安全隐患：

1、数采网与控制网之间的病毒相互感染隐患。虽然通过Buffer数采机或OPC Server的双网卡结构对数采网与控制网进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置并不起作用，病毒仍会在数采网和控制网之间互相传播。另外OPC通讯使用动态端口，无法使用常规防火墙进行防护。
2、来自工程师站的病毒扩散隐患。工程师站通常接入设备U盘、笔记本电脑等第三方，受到病毒攻击和入侵的概率很大，存在较高的安全隐患。
3、网络攻击事件无法追踪。网络中缺乏对网络进行实时监控的工具，一旦出现问题后，无法进行原因查找、分析和故障点查询。

解决方案

１、 网络分区
       针对石化行业网络当前的安全隐患，根据系统网络结构和安全要求，可以将整个网络分为办公网、数采网、控制网和工程师站四大区域。

２、 通讯管控
      在控制网和数采网之间部署Tofino工业防火墙，通过OPC Enforcer软插件自动跟踪OPC通讯的动态端口，并对其通讯内容进行深度检查，保障数采通讯安全；此外，在工程师站前端部署Tofino工业防火墙，对工程师站进行隔离防护，防止病毒扩散。

３、 集中管理
       在网络中部署CMP配置管理平台，用于配置、管理、监测网络中所有的Tofino工业防火墙，并接收来自防火墙的网络报警信息。无需停车，Tofino工业防火墙特有的“测试”模式允许在线配置防火墙策略。

４、 预警分析
       在企业办公网部署SMP安全管理平台，捕获并分析现场所有安装Tofino防火墙的通讯“管道”中的攻击，一方面可以实现对整个生产网络的实时监控，另一方面也可以及时发现病毒、非法入侵以及各类威胁并迅速解决，以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠的依据。