第四章  油气生产物联网建设



                 （5）强化安全策略管理
                 针对工业防火墙、工控安全审计、主机安全加固软件等软硬件安全产品，集
             中安全管理系统提供完整的安全策略管理，对被管理的安全设备进行安全策略收

             集和配置，实现设备集中配置，策略统一下发，避免安全策略的重复。对安全设
             备、安全策略统一管理，实现黑白名单、IP/MAC 绑定、工业协议分析、日志管
             理和审计分析等功能，实现多功能的安全策略管理。
                 （6）设置边界安防子系统，做好工控系统边界防护

                 通过单向网闸实现网络的安全隔离，保证内部数据能够安全、可靠地传输至
             信息侧。通过部署防火墙对进出网络边界的数据进行保护，防止恶意入侵、恶意
             代码的传播，保障网络数据的安全。建设采油厂 / 采气厂的边界防护，通过工业
             防火墙实现访问控制。在核心工控交换机部署工业入侵检测对网络进行深度检测，

             实现对不同类型的参数进行检测，对病毒、木马、威胁等进行有效拦截，实现区
             域间的逻辑隔离，部署工业防火墙实现边界防护和访问控制，以“黑白名单”形
             式，通过符合安全条件的指令。
                 （7）设置白环境系统

                 工控网络的特点决定了白环境技术能够在工业控制系统进行有效的利用，防
             止各种已知以及未知安全威胁。应用工业主机白环境、网络边界白环境和接入白
             环境，基于白名单机制，提供执行程序行为度量，对授权及不符合预期的执行程
             序运行进行阻止，实现对已知 / 未知恶意代码的主动防御，降低操作系统完整性

             及可用性被破坏的风险。通过提取工控协议中相应的要素并进行记录，然后与白
             名单规则进行比对分析，识别其中异常行为，保障工控信息系统安全。
                 通过开展工业控制系统信息安全建设，有效降低工控网络安全事件对生产
             的影响，提高生产连续性和稳定性，满足国家政策法规的要求，降低工业控制系

             统信息安全方面风险。通过采取完善工业控制信息系统软硬件的措施，不断加强
             工控系统信息安全建设，制定公司层级的工业控制系统信息安全体系管控文件并
             有效执行，不断提升油田工业控制系统安全管理水平，为油气安全平稳生产保驾
             护航。










                                                                                 ·151·