一、前 言

油库作为国家石油储备的关键基地，扮演着协调原油生产、加工、成品油供应及运输的重要角色，与炼油厂共同构成高效供应链，保障着石油能源产品的稳定流通。油库的建设和运营对带动区域经济发展具有重要作用，可促进区域能源协同。国家政策支持油库建设与管网规划，以推动其在能源产业链中发挥更关键的作用。

借助国家政策“东风”踏上两化融合“浪潮”，油库行业快速发展并向数字化、智能化、绿色化转型，广泛运用数字化设备和管理方法以提高运输和仓储效率，实现降本增效。不仅强化了油库的产业地位，也为可持续发展提供了技术支撑。

然而，在信息化建设与数字化转型中，油库企业普遍存在网络边界模糊、OT设备风险、系统老旧、安全意识淡薄和监测防护机制不足等网络安全问题，数据安全和系统稳定性尚未得到充分保障，容易遭受外部攻击，从而威胁到能源供应的安全性。

二、油库企业网络安全需求分析

珞安科技作为专注工业网络空间安全的国家专精特新“小巨人”企业，在工控安全领域深耕多年，与国内知名石油石化企业建立了深度合作关系。在项目建设的实践中，珞安科技深入挖掘并归纳了油库企业工控系统的网络安全防护建设需求：

安全风险防范需求

随着信息化的不断深入，油库企业通过集成、连锁、自动、提成等技术措施，建设系统集成平台，实现相关子系统间的联锁保护、联动反应和信息共享。平台为油库生产带来便利的同时，也产生了多方面的工控系统安全威胁风险，如应用漏洞、系统漏洞、越权访问、边界模糊等。

漏洞攻击防护需求

油库企业工控系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。应采取有效的防范措施阻止病毒、蠕虫、木马等利用应用漏洞、系统漏洞等对系统发起攻击。

访问控制防护需求

在生产侧，油库企业追求可用性而牺牲安全，缺乏完整有效的安全策略与管理流程也给工控系统网络安全带来威胁。例如工控系统中移动存储介质的违规使用，包括U盘、移动硬盘等设备的违规使用和不严格的访问控制策略，厂家运维时笔记本的随意接入等。

网络边界防护需求

油库工控系统集成平台将各子系统直接/间接的连接起来，但未进行安全域的划分与隔离。为保证工控系统的安全性，应该在工控网络中进行安全域的划分，并在各个安全域之间进行安全逻辑隔离。

三、油库企业网络安全解决方案

珞安科技依据行业相关标准和规范，深入考虑油库企业在安全区域划分、网络边界防护、通信网络安全、主机终端等多个层面的安全防护需求，通过实施边界防护、网络监控、恶意软件防护以及安全运维等技术手段，增强油库企业的工控系统网络安全防护水平，确保系统的稳定运行和能源供应的安全性。

01、边界防护

根据网络实际情况，将油库工控系统按照功能划分安全域，分为储运系统、消防系统、安防系统、集控中心等，在工控网与办公网以及各安全域之间部署工业防火墙、工业安全隔离与信息交换系统等加强访问控制能力。根据数据包的源地址、目的地址、传输层协议、应用层协议、端口等信息执行访问控制规则，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止非法攻击。

02、行为安全

为满足油库企业工控系统对网络的安全审计、入侵防范等基本安全要求，在核心交换机上分别部署工控安全审计系统，实现系统间流量的审计与检测。鉴于工控系统主机类设备漏洞易被黑客利用，以主机作为网络的突破口进行攻击，固采用工业主机安全卫士建立恶意代码入侵防护体系，有效保证系统内工业主机的安全性。

03、集中安全管理

为了便于安全管理人员对工控系统中部署的所有安全防护设备进行统一、集中的管理，提高全面的安全管理、风险管理能力，规划建设安全管理中心，实现对安全设备的集中管理、对运维人员的全过程管控、对安全事件的实时监控和对工控网络的安全态势感知能力。

04、构建纵深防御体系

充分考虑在安全区域划分、网络边界防护、通信网络安全、主机终端等不同层面的安全防护需要，通过采取边界防护、网络监测、恶意代码防护、安全运维等技术措施，打造油库工控系统网络安全主动防护能力，形成安全有效的纵深防护体系。

四、结 语

油库作为能源产业链的“蓄水池”和“调节阀”，其重要性体现在供应链稳定、安全保障、经济韧性及技术迭代等多个维度，是现代社会能源体系不可或缺的支柱。珞安科技将充分发挥专精特新企业优势，专注于工控安全技术研究创新，以专业可靠的安全产品和方案筑牢油库企业网络空间安全屏障，为我国石油石化行业信息化建设安全保驾护航。