智能油库工业控制系统网络安全建设——护航产业数字化变革，提升智能油库安全能力.pdf

1.1案例十：智能油库工业控制系统网络安全建设——护航

产业数字化变革，提升智能油库安全能力

1.1.1方案概述

本方案的是结合智能油库的网络安全现状，确定油库企业的安全

建设需求，按照《网络安全等级保护基本要求》（GB/T22239-2019）

和中石化318号文等政策要求，加强“监测预警系统”、“终端安全查

杀能力”、“应急响应手段”、“大数据安全平台”、“信息系统等级保护

建设”的推进工作，全面提升油气集输行业的网络安全保护及整网安

全能力，并建立一个完善的信息安全预防、监测、防御和响应的纵深

防御的安全体系。

1.方案背景

工业控制系统是支撑国民经济的重要设施，是工业领域的神经中

枢。目前工业控制系统已广泛应用于电力、轨道交通、石油化工、高

新电子和航空航天等领域，这些领域中涉及国计民生的关键基础设施

超过80%都需要依靠工业控制系统来实现自动化作业，由此可见工业

控制系统已经成为国家关键基础设施的重要组成部分。

随着我国工业由传统产业向网络化、数字化和智能化的逐步转型

升级以及工业互联网平台的建成，网络安全威胁日益向工业领域蔓延。

与此同时，我国工业领域还存在信息安全防护水平偏低、管理力度稍

显不足、防护措施不到位、从业人员安全意识不强和安全技术人才匮

乏等问题。

为了保障网络安全，国家颁布了《中华人民共和国网络安全法》，

将网络安全上升到了法律的层面。国标《网络安全等级保护基本要求》

（GB/T22239-2019）暨等级保护2.0标准增加了工业控制系统扩展要

求。在等级保护的基础上又颁布了关键基础设施保护条例，对关键基

础设施的保护力度大大加强。工信部发布了《工业控制系统信息安全

防护指南》从管理、技术两方面明确了工业企业工控安全防护要求，

《“工业互联网+安全生产”行动计划（2021-2023）年》提出坚持工

业互联网与安全生产同规划、同部署、同发展，构建基于工业互联网

的安全感知、监测、预警、处置及评估体系。我国针对工业控制系统

信息安全颁布实施的一系列标准、政策、法规，表明了我国在保护工

业控制系统安全方面的决心和力度。集团公司依据国家有关政策法规、

工信部相关系列标准发布了《关于加强工业控制系统安全防护的指导

意见》、《中国石化工业仪表控制系统安全防护实施规定》以及《关于

推进工控系统安全防护治理工作的通知》，对企业提升工业控制系统

的安全防护能力提供了指南和依据，通知要求工控系统管理部门和信

息管理部门组建安全防护治理工作小组，对照实施规定及时整改网络

架构，开展工控系统边界隔离防护和内外部安全加固，提高工控网络

态势感知和事件追溯能力。

2.方案简介

成品油油库是销售公司石油供应链中至关重要的一个环节，而工

控系统作为油库的核心系统，其安全与生产安全直接关联。随着油库

的信息化建设和改造，工业化与信息化的结合日益紧密，油库工控系

统安全环境也从单机走向互联，从封闭走向开放，从物理隔离的工业

以太网走向开放的工业互联网。油库工控系统正面临着严峻的信息安

全威胁，其尚未完善的网络安防体系给油库的工控系统运行环境带来

了巨大的安全隐患，因此急需设计一套集安全防护、安全运营、安全

集成与一体的综合性全生命周期的解决方案、加强油库工控系统安全

建设，为油库的安全生产提供网络安全基础。

工控系统的安全方案设计应考虑物理安全、网络安全、应用安全

和数据安全等多方面安全因素，任何一个方面的安全隐患都会给整个

工业控制系统带来安全事故。目前国家网信办、工信部及公安部先后

出台的网络安全和工控安全相关法律条例中对信息安全技术和工控

系统信息安全等方面做出了指导与要求。2021年，集团公司下发了

工控系统安全防护治理工作的通知，要求开展工控系统边界隔离防护

和内外部安全加固工作，提高工程网络态势感知和事件追溯能力，销

售公司也对油库智能化建设标准提出了要求，对油库下一步信息化建

设提出了指导意见和具体措施。在工业控制系统的安全防护建设中，

需严格遵循国家和行业有关标准，并遵照中国石化相关安全管理规定，

结合生产企业具体情况和需求进行规划与建设。

3.方案目标

目前销售企业油库整体智能化水平较低，大多数油库仅具备基本

的信息安全防护条件，仍难以满足油库信息化建设对工控系统安全的

要求，主要存在以下的问题：

（1）安全区域不清晰，缺少边界防护措施

油库缺失分区分域安全隔离，油库生产网与管理网混用，传统的

IT网络威胁向生产网蔓延，工控网通讯协议较