石油化工行业信息安全解决方案.docx

? ? ? ? ? ? ? 石油化工行业信息安全解决方案 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  石油化工行业概述 石油化工行业业务板块介绍 石油化工企业完成油气从勘探到加工成品最终面向用户销售的整个生产过程，由油气田、油气输送、炼化加工、油气储运和油气销售板块组成完整生态链。需要多个专业的相互配合和协作，是中国重要的资金与技术密集型企业。 石油化工行业信息化系统介绍 在石油化工行业中，传统的研究、生产及管理系统导致软件、数据和计算资源分散部署在各单位，形成独立的系统、数据库和工作流程，导致本来应环环相扣的各项业务无法有效结合。随着油气业务的发展，研究、生产及管理人员分布在全国多个地区，而多数单位都有异地协同、研究、办公的需求。如在油气田领域通过对多个业务的集成协同，实现对油藏、井、钻、管网、设备等生产对象的实时状态的全面感知，实现对决策过程、经营体系、生产流程及资产价值的全过程分析优化；在管网运行领域，利用机器数据、信息系统业务数据及仿真数据加强管网实时状态、重点设备工况和能耗等分析工作；在炼化领域分析设备运行数据，提高设备故障维修效率，节约成本；在产品销售领域进行成品油销量预测、客户流失分析、促销量价分析，对未来销售趋势进行预判，实现精准营销等。所以，一体化已成为当今油气生产的发展方向。 石油化工行业工业控制系统介绍 在石油化工行业中，工业控制系统主要包括集散控制系统（DCS）、安全仪表系统（SIS）、压缩机控制系统（CCS）、可燃气报警系统（GDS）、各种可编程控制器（PLC），并已成为石油化工行业重大的基础设施。随着近年来智能制造的推动以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。并且行业普遍存在信息安全管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等问题。 石油化工行业两化融合介绍 在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：信息化与工业化的深度融合，为了提高生产高效运行、生产管理效率，石油化工行业大力推进工业控制系统自身的集成化，集中化管理。系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。 石油化工行业信息系统面临的安全风险 影响石油化工企业网络系统安全的因素很多，可能是有意的攻击，也可能是员工无意的操作，还可能是外来攻击者对网络系统资源的非法使用。入侵者不会是一般意义上的“黑客”，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；石油化工企业生产运营的系统及研究、生产过程中的数据已成为国家基础性战略资源；一旦出现安全问题，可能损害用户、企业甚至是国家的利益。 石油化工企业生产的产品大多为易燃、易爆、有毒以及强腐蚀性的物质，其操作流程十分复杂，各种高温、高压设备较多，对操作都有严格要求，一旦生产系统出现安全问题，生产现场可能出现火灾、爆炸，进而可能引起生产装置的损坏，并可能造成人员伤亡。事故导致生产原料的泄漏、扩散等，可能在很大范围内长时间地造成空气、水源、土壤的污染，给当地人民生活和周边环境带来严重影响。 石油化工行业信息安全需求分析 威胁来源分析 对信息系统影响较大的安全威胁主要集中在以下五个方面。 1) 硬件方面。网络中存在大量广播信息易造成广播风暴。蠕虫病毒利用网络传播，也可占用计算机的系统资源和网络带宽,容易使程序无法响应系统的要求,造成系统的堵塞，甚至崩溃。 2) 软件方面。石油化工行业各单位信息系统众多，涉及范围广；工控系统国内外的软件品牌众多，很难形成统一的防护规范策略应对安全问题；另外当软件面向网络应用时，就必须开放端口，一旦被恶意攻击和利用后果不堪设想。 3) 使用方面。网络的使用者由于经验不足等原因造成的网络口令丢失,权限分配失策、系统被人入侵等情况,也会造成机密数据丢失、泄漏、系统瘫痪等故障。 4) 非法授权使用。石油化工企业系统普遍存在访问制度和权限管理。权限管理的漏洞造成的非授权使用或来自外部的黑客攻击有可能获取系统权限，访问敏感数据；致使工控系统误动作,甚至造成系统瘫痪。 5) 病毒攻击。计算机病毒在整个网络系统内的传播可能造成某个或多个计算机的性能下降甚至瘫痪,造成生产系统局部功能的丧失。 石油化工行业网络风险点分析 1、信息安全管理方面的安全脆弱性 1) 信息安全管理制度流程欠完善。现在大部分企业还未形成完整的制度政策，缺乏信息系统规划、建设、运维、废止全生命周期的信息安全需求和设计管理，欠缺配套的管理体系、处理流程、人员责任等规定。 2) 应急响应机制欠健全，需进一步提高系统信息安全事件的应对能力。发生信息安全事件