绿盟智能油库安全解决方案，护航油库企业数字化转型升级

油库作为能源关键基础设施，是协调石油生产、加工、供应及运输的纽带，其智能化水平对调节产、炼、供、销环节具有重要意义。为此，国家积极推进智能油库建设，以不断提升调控中心、库区的综合感知和决策能力，来实现油库智能化运营。但是，随着新一代信息技术与工业生产深入融合发展，智能油库建设面临的勒索软件、挖矿病毒、APT攻击团伙等网络安全威胁日益增多，严重影响着国家安全和国民经济稳定运行。

截止2020年12月，全国已建、在建和规划中的原油和成品油油库超过3000座，库容总计约8000万立方米，战略储备油库库容达3230万立方米，以及三桶油运营近1000座油库和5.53万座加油站，对调节油品供求平衡具有重要意义。

油库工艺流程在物理上划分有卸油区、存储区、发油区以及控制室四个区，分别承载油料接受、油料存储、油料发运以及集中调控功能，主要通过三大类业务系统支撑其智能化运营。

油库控制系统：通过对罐区监控、计量、油品收发控制系统等子系统，实现油库生产作业的自动化监控。

安防监测系统：通过集成视频监控、门禁监控、巡更管理、油气泄漏及消防警报监控等子系统，实现对库区的安全监测。

综合信息管理系统：包含油料作业管理、油料质量监督管理、油库信息管理等子系统，实现对油库各项业务的工作计划、业务流程的信息化管理，以及对油库生产过程中进、销、存三个业务环节的生产数据进行存储、整合、利用。

2021年5月，美国成品油管道运营商科洛尼尔管道运输公司遭受勒索软件，导致其8000多公里管线被迫关停，极大影响了美国东海岸燃油供应，该事件为我国油气储运敲响了警钟。油库业务系统作为关键信息基础设施，一旦遭受到网络攻击，产生的破坏力更大、损失更多、影响更广。

1）系统安全“先天不足”。油库使用的工控系统在设计阶段没有充分考虑安全问题，普遍存在授权、认证、加密等问题。

2）三网混合网络边界模糊。油库工控网、视频网、信息网，三网混合，网络边界模糊，与第三方网络边界无隔离，安全措施难以落实。

3）生产运行安全无感知。油库工控网无监测手段，面对威胁入侵、漏洞利用、恶意行为、异常指令、非常操作等异常无感知。

4）油库主机带病裸奔运行。发油、罐区、计量等工业主机，无恶意代码防范机制，安全配置基线低、存储介质管控弱。

5）安全运维过程无管控。控制系统第三方维修时，移动设备存在随意接入情况，无管控措施。

6）网络安全意识薄弱。油库生产安全常常放在运营第一位，但是网络安全意识薄弱，无相关岗位、人员、职责分工；无完善体系化管理制度，供应链管理不到位等问题。

在国家法律法规、政策、标准的框架体系下，绿盟智能油库安全解决方案依据《工业控制系统信息安全防护指南》《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）以及《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）的要求，从安全技术和安全管理构建纵深防御体系，达到有效防护、监测预警、及时响应的效果。

整体安全技术架构设计如下：

1）油库

在油库生产网（工控网+视频网）与办公网之间部署工业网闸（双机热备），对生产数据采集、转发、安全传输、防护，确保油库工控网与办公网以及第三方网络的大边界安全隔离。

油库工控网和视频网之间部署工业防火墙（双机热备），基于自学习白名单模型以及工业协议深度解析，落实细粒度的访问控制措施。

在油库工控网内部关键网络节点部署工控安全审计系统，对异常指令、异常行为、误操作、违规操作、关键操作（程序下载上传、CPU启停、组态变更等）以及漏洞利用、入侵行为实时监测。

在油库工控网中全线的工业主机（操作员站、工程师站以及SCADA服务器等工业主机）部署主机卫士系统客户端，在省公司调度指挥中心部署主机卫士系统服务端，实现工业主机计算环境的防护，抵御勒索病毒、挖矿病毒等未知威胁。

2）省公司

在省公司调度指挥中心部署主机卫士系统服务器，对省公司下属油库全线的主机卫士客户端进行管控，策略下发，统计分析等。

在公司调度指挥中心部署堡垒机，对下属油库运维过程进行录屏、键盘记录，并审计，保障远程运维安全。

在公司调度指挥中心部署工控漏扫设备，定期进行健康检查，包括漏洞、安全配置等，及时掌握智能油库的薄弱环节，并进行针对性预防与加固。

在公司调度指挥中心部署工业网络安全监测预警平台，对安全设备进行管控、策略下发，并对告警信息集中采集、泛化、关联分析。从整体视角对下属油库进行实时感知、事件分析、攻击研判等，提升智能油库整体安全预警水平。

在安全管理建设上，首先，进行组织治理。明确油库网络安全负责人和管理组织，企业主要负责人是网络安全第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等。其次，进行管理制度建设。主要从四个层面进行建设，包括一级文件的网络安全方针、战略；二级文件的管理规定、办法；三级文件的操作流程、规范、作业指导书、模板等；四级文件的各类表单、记录日志、报告等。最后，将制度文件进行评审、修订、发布、执行等管理。

１）全面提升智能油库网络安全合规性，满足国家主管部门、行业监管部门以及上级单位的安全防护要求。

２）全面提升智能油库安全防护与监测预警能力，推动油库数字化转型升级，确保油品产、炼、供、销环节的动态平衡。

３）全面提升智能油库相关业务人员的安全意识、安全技术水平和安全管理水平。