1、行业概述

2013年，中国炼油能力为7.1亿吨/年，占全球炼油能力的12.4%，位居全球第二；乙烯产能为1 749万吨/年，占全球乙烯能力的11.2%，位居全球第二；三大合成材料中，合成树脂（包括聚乙烯、聚丙烯、聚氯乙烯、聚苯乙烯、ABS）产能6 182.3万吨/年，合成橡胶（包括顺丁、丁苯、SBS）产能360.2万吨/年，合成纤维（包括腈纶、锦纶、涤纶）产能4 281.7万吨/年。芳烃产能2 323万吨/年，有机化工产品产能达到1 555万吨/年，多数产品产能位居世界第二。

随着信息技术的迅速发展，物联网、云计算、大数据等新技术进入大规模商用阶段，以互联网为代表的信息技术与运营技术、制造技术的融合，不断催生出新业态、新模式，将给炼化工业生产方式带来革命性的变化。

2、安全隐患

石油炼化企业普遍采用了基于ERP/SCM、MES和PCS三层架构的管控一体化信息模型，实现了自管理层至现场设备层的一致性识别、通讯和控制,使得炼化企业在通过网络互连提升生产效率的同时，也带来更多安全威胁。

炼化企业工控网络存在以下安全隐患：

• 内网系统升级、设备维护等需要USB设备及其他外来设备的接入。

• 国外主流控制系统存在不可控因素。

• 现场控制层区域划分不明确，导致病毒扩散。

• DCS与MES层通讯多采用OPC协议，通讯缺少安全认证，数据易被窃取、篡改或破坏。

3、安全事件

• 2011年“8·29”中石油大连石化分公司突然发生火灾

8月29日上午10时许，中石油大连石化分公司突然发生火灾。据悉，是油品罐区一个可存储数千吨柴油的罐体突然发生火灾，现场浓烟滚滚，着火点系连接两罐体之间管线爆裂引发。火灾发生后，公安部调集65台消防车、组织296名消防官兵全力救援。到13时20分左右，火灾基本被扑灭，未造成人员伤亡。

• 2011年“7·16”中石油大连石化分公司火灾 大火持续6小时

7月16日14时25分，位于辽宁省大连市甘井子区的中石油大连石化分公司(原大连石油七厂)三号港附近炼油装置发生火灾。经消防官兵全力扑救，于19时57分将火全部扑灭，无人员伤亡。有知情人士透露，引发火灾原因是一炼油装置“三蒸馏转换器”发生泄漏起火，大火燃烧了6个小时后才被熄灭。

• 2011年“7·11”中海油惠州炼油厂发生大火 未对核电站造成威胁

7月11日凌晨4时10分，惠州市大亚湾石化区中海石油炼化有限责任公司惠州炼油分公司运行三部400单元的重整生成油塔底泵机械密封泄漏着火。大火在13小时后被完全扑灭，无人员伤亡，无油品外溢，未对周围环境造成直接影响，厂区各套环保设施运转正常，装置现场整体可控。

4、常见攻击方式

利用设备后门和本身漏洞攻击、利用协议漏洞攻击、电子邮件欺骗攻击、木马攻击

5、解决方案

针对炼化企业工控网络安全现状，匡恩网络提供了以下解决方案。

炼化企业工控网络安全解决方案拓扑图

（1）终端防护：在现场控制层和PLC之间部署IAD智能保护平台，对工控专有协议进行深度分析，确保数据包的合法性，实现工控网络的深度防护。

（2）监控审计：在MES层旁路部署监控审计平台，通过特定的安全策略，快速识别出炼化企业控制系统网络非法操作、异常事件、外部攻击，并实时报警。

（3）区域防护：在OPC服务器与数据汇聚层、数据汇聚层与MES层之间部署数据采集隔离平台，针对DCS系统管理的关键区域部署安全策略，实现分层级的安全防护，抵御已知威胁。

（4）主机防护：在现场控制层的工程师站、操作员站、OPC服务器以及网关机上部署工控卫士，通过应用程序、网络、USB移动存储的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。