立项背景：

“互联网+”的快速发展以及工业4.0、大数据、云计算、工控物联网技术在企业的应用，使得工业网络与传统的IT网络的融合成为必然。企业为了优化生产运行和提高管理效率，大力推进MES系统的流程化、信息化管理，工业控制网络会越来越开放。企业建设工业控制系统时更多考虑的是系统的可用性、扩展性和开放性，并没有考虑系统控制网络通讯的安全风险和防护建设，近年来，随着“震网”病毒、Conficker病毒、Flame病毒等事件的发生，对制造企业的控制系统网络安全敲响了警钟，工业控制系统信息安全形势日益严峻。

内涵和主要做（方）法：

工业控制系统信息安全整体防护技术路线，采用三层分布式架构，由安全监测层、区域管控层和全网分析层组成。安全监测层包含流量监测模块、行为监测模块、威胁监测模块、主机监测模块和监测数据存储模块，负责建立厂级工控系统信息安全纵深监测体系，并完成各安全分区内安全数据的存储转发。区域管控层包含区域预警模块、区域态势模块和区域安全存储模块，负责厂级生产控制系统信息安全监管与分析，并完成全厂安全数据的存储转发。全网分析层包含全网预警模块、全网态势模块、信息展示模块和全网分析存储模块，负责全网生产监控系统信息安全监管与分析，并完成全网安全数据的集中存储。

原理或机理：

根据石油化工炼化装置控制系统网络安全实际现状，从网络信息安全的整体安全防护出发，通过顶层设计规划，按照边界防护、网络恶意代码防护、内部安全审计等措施对工控网络安全架构进行设计。工控网络安全防护遵循等级保护“一个中心、三重防护”的纵深防御模型，一个中心指安全管理中心，负责安全信息收集、安全配置管理、安全设备运维等，三重防护指在区域边界、网络通信、计算环境三个层次实现纵深的安全防护措施。

按照“统一架构、统一管控”的工控网络信息化建设原则，建设工控安全集中监测管理平台，将各业务板块工控系统网络安全集中管理、集中监测、集中展示、集中支援等总体目标。平台整体采用三层分布式技术架构，由数据采集层、汇聚处理层和分析展示层组成。策略主要包括实现工控信息系统安全防护中“边界安全防护、网络设备加固、应用安全控制、安全审计、恶意代码防护”等部分。

创新亮点和值得学习借鉴之处

1、工控系统安全态势得到掌握：实现了对工控网络安全状况实现集中监测，实时的掌握工控系统及网络遭受外部攻击和出现内部异常事件的总体情况，动态的收集工控系统及网络存在的漏洞和配置缺陷，及时制定相应措施。

2、安全事件可实现精确定位：实现了从海量的监测数据中准确发现已产生危害后果的安全事件，提高了前端监测手段和后台分析能力。

3、在线管控和防护能力得以强化：工控安全数据采集的前端措施部署可发现工业控制系统计算环境、网络通信、区域边界的风险隐患等问题，强化全局监管各业务板块工控安全的能力。

4、网络行为得到监测审计：对工控环境中的网络攻击和异常行为进行监视和审计，及时发现、并对入侵渗透、违规操作过程进行记录，及时告警与应急处理。

5、定向威胁攻击得到监测：依靠木马流量特征检测引擎、沙盒检测引擎、恶意代码检测引擎、黑名单控制库、Hacker库等检测机制构建的定向威胁攻击检测设备，针对监测到的某一特定安全事件，通过溯源其攻击源、攻击目标、攻击路径，对网内受影响的风险节点进行精确定位，锁定IP和MAC地址，协助需方对事件进行快速处理。从事件时间、事件类型、事件风险、事件危害等多个维度对监测到的安全事件进行统计分析，并自动记录和归类需要关注的重大威胁、高危节点、风险区域，展现整体网络安全态势。

实施应用前后效果（益）情况对比

通过工业控制系统网络安全防护策略实施的成功实施，使炼化装置控制系统形成了一套全面的安全防护体系，整体提高企业工控网络安全保障能力，有效防止了病毒和非法操作，保证了实时数据系统运行顺畅，极大提高工控系统运行的安全性，提高了生产效率。自安全防护体系投入运行以来，该项目实施已成功拦截外部非法访问达500余次，外网攻击100余次，有效的保护了工控系统的安全运行，达到了预期使用效果。