油库是接收、储存、发放石油或石油产品的企业或单位。它是协调原油生产、原油加工、成品油供应及运输的纽带,油库生产区域一般可划分为储油区和装卸油作业区。储油区又称油罐区,是油库集中存放油品的区域,主要由储油罐、阀门、管道等设施组成;装卸作业区又称为生产作业区、由于作业方式和任务不同,可分为铁路装卸区,水运装卸区和公路发放区等。铁路装卸区是油库通过铁路运输工具装卸油品而设的区域,主要设施有栈桥、鹤管、集油管、油泵房等;水运装卸区是油库通过油轮等水上运输工具接卸和发放油品而设的区域,主要设施有油泵房、输油管线等;公路发放区是油库通过公路运输工具发放油品而设的区域,主要设施有油泵房、发油台等。油库管理的产品为原油和成品油等易燃、易爆、有毒以及强腐蚀性的物质,其操作流程十分复杂,各种高温高压设备较多且对操作都有严格要求,一旦生产系统出现安全问题,后果不堪设想。
为满足工控系统对网络的安全审计、入侵防范等基本安全要求,在核心交换机上分别部署工控安全审计系统,实现系统间流量的审计与检测。鉴于工控系统主机类设备漏洞容易被黑客利用,以 主机作为网络的突破口。采用工业主机安全卫士建立恶意代码入侵防护体系,有效保证系统内工业主机的安全性。
根据网络的实际情况,油库工控系统按照功能划分安全域,分别为储运系统、消防系统、安防系统、集控中心等,在工控网与办公网以及各安全域之间部署工业防火墙、工业隔离网闸等加强访问控制能力。根据数据包的源地址、目的地址、传输层协议、应用层协议、端口等信息执行访问控制规则,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止非法攻击。
为了便于安全管理人员对工控系统中部署的所有安全防护设备进行统一、集中的管理,提高全面的安全管理、风险管理能力,规划建设安全管理中心,实现对安全设备的集中管理、对运维人员的全过程管控、对安全事件的实时监控和对工控网络的安全态势感知能力。
在安全区域划分、网络边界防护、通信网络安全、主机终端等不同层面充分考虑安全防护的需要,通过采取边界防护、网络监测、恶意代码防护、安全运维等技术措施,打造油库工控系统网络安全主动防护能力,形成安全有效的纵深防护体系。