1、行業概述

2013年，中國煉油能力為7.1億噸/年，占全球煉油能力的12.4%，位居全球第二；乙烯產能為1 749萬噸/年，占全球乙烯能力的11.2%，位居全球第二；三大合成材料中，合成樹脂（包括聚乙烯、聚丙烯、聚氯乙烯、聚苯乙烯、ABS）產能6 182.3萬噸/年，合成橡膠（包括順丁、丁苯、SBS）產能360.2萬噸/年，合成纖維（包括腈綸、錦綸、滌綸）產能4 281.7萬噸/年。芳烴產能2 323萬噸/年，有機化工產品產能達到1 555萬噸/年，多數產品產能位居世界第二。

隨著信息技術的迅速發展，物聯網、云計算、大數據等新技術進入大規模商用階段，以互聯網為代表的信息技術與運營技術、制造技術的融合，不斷催生出新業態、新模式，將給煉化工業生產方式帶來革命性的變化。

2、安全隱患

石油煉化企業普遍采用了基于ERP/SCM、MES和PCS三層架構的管控一體化信息模型，實現了自管理層至現場設備層的一致性識別、通訊和控制,使得煉化企業在通過網絡互連提升生產效率的同時，也帶來更多安全威脅。

煉化企業工控網絡存在以下安全隱患：

• 內網系統升級、設備維護等需要USB設備及其他外來設備的接入。

• 國外主流控制系統存在不可控因素。

• 現場控制層區域劃分不明確，導致病毒擴散。

• DCS與MES層通訊多采用OPC協議，通訊缺少安全認證，數據易被竊取、篡改或破壞。

3、安全事件

• 2011年“8·29”中石油大連石化分公司突然發生火災

8月29日上午10時許，中石油大連石化分公司突然發生火災。據悉，是油品罐區一個可存儲數千噸柴油的罐體突然發生火災，現場濃煙滾滾，著火點系連接兩罐體之間管線爆裂引發。火災發生后，公安部調集65臺消防車、組織296名消防官兵全力救援。到13時20分左右，火災基本被撲滅，未造成人員傷亡。

• 2011年“7·16”中石油大連石化分公司火災 大火持續6小時

7月16日14時25分，位于遼寧省大連市甘井子區的中石油大連石化分公司(原大連石油七廠)三號港附近煉油裝置發生火災。經消防官兵全力撲救，于19時57分將火全部撲滅，無人員傷亡。有知情人士透露，引發火災原因是一煉油裝置“三蒸餾轉換器”發生泄漏起火，大火燃燒了6個小時后才被熄滅。

• 2011年“7·11”中海油惠州煉油廠發生大火 未對核電站造成威脅

7月11日凌晨4時10分，惠州市大亞灣石化區中海石油煉化有限責任公司惠州煉油分公司運行三部400單元的重整生成油塔底泵機械密封泄漏著火。大火在13小時后被完全撲滅，無人員傷亡，無油品外溢，未對周圍環境造成直接影響，廠區各套環保設施運轉正常，裝置現場整體可控。

4、常見攻擊方式

利用設備后門和本身漏洞攻擊、利用協議漏洞攻擊、電子郵件欺騙攻擊、木馬攻擊

5、解決方案

針對煉化企業工控網絡安全現狀，匡恩網絡提供了以下解決方案。

煉化企業工控網絡安全解決方案拓撲圖

（1）終端防護：在現場控制層和PLC之間部署IAD智能保護平臺，對工控專有協議進行深度分析，確保數據包的合法性，實現工控網絡的深度防護。

（2）監控審計：在MES層旁路部署監控審計平臺，通過特定的安全策略，快速識別出煉化企業控制系統網絡非法操作、異常事件、外部攻擊，并實時報警。

（3）區域防護：在OPC服務器與數據匯聚層、數據匯聚層與MES層之間部署數據采集隔離平臺，針對DCS系統管理的關鍵區域部署安全策略，實現分層級的安全防護，抵御已知威脅。

（4）主機防護：在現場控制層的工程師站、操作員站、OPC服務器以及網關機上部署工控衛士，通過應用程序、網絡、USB移動存儲的白名單策略，防止用戶的違規操作和誤操作，阻止不明程序、移動存儲介質和網絡通信的濫用，有效提高工控網絡的綜合“免疫”能力。