编者按：

启明星辰《面向油气田行业的油气田生产物联网基础网络安全防护建设》应用案例符合当前国家对工业互联网安全市场战略发展需要，带动了工业互联网安全防护与监测产品、系统的研发与市场化，带动自主可控、基于国产化组件的工业互联网安全产品的研发与市场推广应用，形成工业互联网安全产品和服务的增值业务。

在整个工业互联网安全产业，尤其是能源方面的基于安全运营思维的网络安全主动防御技术与研究得到了有力实践验证，避免出现网络安全勒索事件致使SCADA停产导致的经济损失等类似重大工控事件，保障石油石化行业的网络安全运营及业务安全稳定运行。

还有个实实在在的奖

了解一下~~~

启明星辰的《面向油气田行业的油气田生产物联网基础网络安全防护建设》荣获2019年工业信息安全优秀应用案例奖。

油气田行业面临的网络威胁

油气田作为国家重要的关键基础设施，两化融合提高油气田生产效率的同时，也使油气田面临网络威胁：

通用病毒侵入：病毒通过网络、USB口等方式侵入系统;

黑客恶意攻击：不法人员通过远程修改控制策略、修改测控参数等手段攻击;

客服恶意植入病毒：不法人员恶意植入危险程序，造成工艺装置发生事故或停产损失;

企业信息被盗：企业重要信息被恶意窃取，影响企业商业经营或国家利益;

……

启明星辰综合考虑油气田SCADA的特点，建立了自动化生产系统的安全加固与主动预警的安全防护体系。从网络层、主机层、系统层、应用层和管理制度等方面进行主动式威胁管理，提高油气田整体网络安全防护等级，保证油气田SCADA系统的稳定有序运行。

聊聊方案的具体实施

本次生产网安全体系建设核心思想可总结为：“垂直分层 水平分区、边界控制 内部监测、全局管理”。

垂直分层 水平分区

对工业控制系统根据分公司生产网的业务属性垂直方向化分为四层：现场设备层、现场控制层、监督控制层、生产管理层。水平分区指各层级单位的系统之间应该从网络上隔离开，处于不同的安全区。

边界控制 内部监测

对各系统边界即各操作站、工业控制系统连接处等要进行边界防护和准入控制等。对工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题。

全局管理

通过各层级安全信息、网络信息、终端信息的收集加强全局监控管理，提高信息的统一性、集中性，并通过收集的数据进行安全风险预警，安全事件溯源。

安全区域划分与隔离防护：进行安全域划分，不同安全域配置了不同的控制策略，确保了核心服务安全。在生产网与办公网之间部署单向隔离网闸，保证油气生产网的安全，确保数据只能由生产网进入办公网。在作业区生产网核心交换机前端部署工业防火墙设备，以保护作业区内部核心生产网络的安全，抵御来自无线传输网络的安全威胁。通过分域分区以及网络域隔离，阻止来自业务办公网络的攻击、病毒、木马等感染入侵其它网络域。抑制在某一个网络域中的病毒木马向其它网络传播扩散，缩小安全威胁的影响范围。

生产系统网络安全：通过在工控系统实施安全分域、密码加固、工控协议安全等多种手段综合防护，确保工业生产环境安全防护全覆盖;建立以国产密码算法、证书体系和边界防护为基础的安全结构框架，涵盖各级生产系统。

关键控制设备安全：通过工程师站、工控设备和智能仪表等实施接入认证和终端防护等措施确保关键设备安全;通过在智能仪表内置仪表安全防护认证模块，为现场感知提供安全保障。

工控主机安全防护：在服务器与操作员站、工程师站上部署内网安全平台，通过其白名单机制为终端设备创建一个安全的运行环境，抑制病毒、木马以及恶意软件在终端环境运行。同时对外设接口，如USB管控，有效防范通过USB接口发起的高级攻击。

工控安全运维：在生产网旁路部署工控运维平台，接管服务器、工程师站等设备的登录，运维人员、第三方人员统一在堡垒机上操作，进行权限分配、操作审计、进行合规性管理，对风险行为进行告警。通过堡垒机的部署可实现对生产网进行集中管理，可对生产网进行权重等级的划分和访问控制权限的划分。

工控网络安全监测与入侵检测：在各网络区域边界处部署超融合探针(工控网络安全监测与入侵检测系统)，进行威胁感知及故障监测，发现工控网络中的异常行为和入侵行为，定位被攻击点及故障点。加强工控网络流量监测与分析能力，有效提升事件发现、安全处置和事件回溯等安全运维能力水平。

统一管理平台：利用基于数字证书的身份认证技术，形成从管理层至现场各层级的统一信任体系;利用工控集中管理平台，对工控系统各环节流量进行分析，提供工控系统安全事件统一监视窗口;对工控安全设备统一配置。

油气田网络安全态势感知能力：基于获取的特征信息，提取工控设备、协议等相关的脆弱性信息，以油气田工控系统网络通信中易危端口开放占比及分布、高危漏洞分布地域及类型占比、易忽视的隐患设备运行状态变换、透明的控制过程种类等控安全态势预测在工控态势理解的数据分析基础上对相关设备或协议的安全等级、攻击手段变化趋势或来源等作出预测分析。

谈谈方案的应用价值

◆有力保障油气开采SCADA及其业务安全稳定运行，通过包括工业防火墙、工业IDS等安全设备的部署可以有效的对OT生产环境进行有效的网络安全检测预警、安全防护，在智慧油田生产推进背景下，提供了有力的工业互联网安全技术保障，可以有效避免工控安全事件导致停产影响原油气开采的生产运行。

◆为石油石化油气开采的工业互联网安全建设提供了成型案例和实际经验借鉴，为促进石油石化整体工业互联网安全建设和防护能力水平提升起到了非常好的示范带头作用。对整个石油石化行业的工业互联网安全建设开辟新的思路，积累宝贵实践经验，为后续同类型企业进行工控安全建设工作奠定了坚实基础，为促进石油石化大的工业互联网安全建设水平的提升做出了很好的贡献。

◆在建设过程中，充分地参考和借鉴了工信部发布的《工业控制系统信息安全防护指南》，在建设过程中按照《指南》要求开展了管理和技术两个领域的完善和建设，同时为石油石化行业的工业互联网安全建设及其规范提供了实际的标准规范技术验证。

作为最早开展工业互联网安全研究的信息安全企业，启明星辰已在石油石化、电力、煤炭、轨道交通、烟草、先进制造等行业积累了大量实践经验，对行业应用的实际安全问题和需求有深刻的理解和实践，并具有完善的工业互联网安全产品体系和成熟的行业解决方案。未来，启明星辰将继续深耕工业互联网安全领域，为工业互联网安全建设贡献力量。