西门子纵深防御DCS信息安全方案在青岛炼化项目的应用.docxVIP

聚焦

石化 FocuS

石化

编辑解读：

青岛炼化项目是石化行业非常典型的工业控制系统信息安全解决方案，虽然此项目完成于2011年，但如今看

来，依然有很多值得借鉴的地方，所以，在本期专题中，记者将再次通过阐述这一具体项目，为石化行业用户实施信息安全解决方案提供参考。

西门子纵深防御DCS信息安全方案在青岛炼化项目的应用

西门子工厂自动化工程有限公司张波

随着计算机和网络技术的发展，信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等新兴技术融合进来，从而拓展了工业控制的发展空间，带来新的发展机遇，同时也带来了工业控制系统的信息安全等问题。对此，西门子提出了纵深防御信息安全解决方案，并且将其成功应用到了青岛炼化项目中。

项目背景

青岛炼化公司一期1000万吨/年炼油项目是我国批准建设的第一个单系列千万吨级炼油项目，是中国石化调整国内炼化产业布局、打造环渤海湾炼化产业集群的重大战略项目。青岛炼化公司位于青岛经济技术开发区重化工园区，位置优越，配套完备，交通便捷。工艺路线采用“焦化+CFB锅炉+催化”方案，设计加工进口原油1000万吨/年，拥有16套工艺生产装置和相应的公用工

Ar

Ar

TankArea

1x16x9x4×4x17xosAuxosCCTsis

v

mdEglRng

凤隔

Fiel

FCR12;

cUCable

…FOCable

MaintonanceEnaineerina

AMSES1ES2

ccTv

x3x

RNSchedA3DStn

2%2xPRNPRNA3EA3C

A3

2xcCT

v

Manageme

ntUnit

OSx2

Area4Area5

oscCTsIS8s

CCTsISv

14m3x4x

S

ES

SiIS

ESEIS

5xSIS

9xos

Area2

5.030/07/10ZB

DCSARCHITECTURE

SystemArchitecture

图1网络结构图

42百惯质AUTOMATIONPANORAMA2015.2

程、辅助设施，占地220公顷，总投资125亿元，总定员500人。年产汽、煤、柴成品油708万吨，液化气、聚丙烯、苯、混苯等化工产品203万吨。青岛大炼油项目按照“大型化、系列化、集约化、信息化”理念进行规划建设，具有规模经济、技术先进、环保领先和效益显著等四个鲜明特征。

青岛炼化公司一期1000万吨/年炼油装置采用西门子PCS7V6.1过程控制系统作为过程控制系统系统，控制/O点数在23000点左右。二期扩建部分包括苯乙烯、加氢裂化、制氢等装置，采用西门子PCS7V7.0过程控制系统作为过程控制系统系统，控制I/O点数在5500点左右。青岛炼化DCS系统网络结构图如图1所示。

信息安全需求

青岛炼化DCS系统自2008年5月投用以来运行良好。但从2009年底开始，在调用趋势时，有零星的操作员站死机现象出现。青岛炼化联合西门子的技术人员，对该细节进行认真的分析和判断，最终发现故障原因是由于系统内感染了多种网络病毒。

在确认故障原因后，青岛炼化、中石化工程建设有限公司(SEI)、西门子共同研究制定解决方案。

青岛炼化信息安全方案

在深入分析青岛炼化过程控制系统的系统架构、应用特点、安全现状、安全威胁以及安全需求的基础上，我们将纵深防御理念引入到过程控制信息安全领域，结合过程控制的系统特点，重点研究了网络分区与防护、系统加固与补丁管理等关键技术，提出了一个切实可行的过程控制系统信息安全解决方案。

本技术方案在IEC62443标准所提出的纵深防御理念基础上，研究工业领域的工程化解决方案。通过深入研究青岛炼化公司的系统特点与安全需求，将纵深防御的理念引入到过程控制系统安全领域并工程化，提出了石化行业工控系统分层及安全防护的参考模型。该模型不仅适用于青岛炼化项目，在石化行业作为最佳实践具有很高的推广价值，方案总体架构图如图2所示。

物理安全

物理安全

安全策略与流程

网络分区与边界防护

安全的单元间通信

系统加固与补丁管理

恶意软件的检测与防护

访问控制与账号管理

日志与审计

过程控

制系统

图2纵深防御信息安全解决方案的总体架构

维护网络安全，确保石油石化过程控制系统的稳定可靠、防止来自内部或外