一、 遵循标准 

l 《信息安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》

l 《信息安全技术 网络安全等级保护测评要求 第5部分：工业控制系统安全扩展要求》

l 《信息安全技术 网络安全等级保护安全设计技术要求 第5部分：工业控制系统安全扩展要求》

l 《工业控制系统信息安全防护指南》

l 《GB／T26333-2010  工业控制网络安全风险评估规范》

二、 解决方案

1、针对各层级和区域之间的网络，采取安全隔离和访问控制措施，阻止病毒、蠕虫恶意软件扩散和入侵攻击，防止用户的越权访问和非授权设备的接入，保护控制系统安全运行。

2、对工控网络中的操作终端、场站服务器、WEB服务器、实时数据库、生产调度系统等主机进行加固，保障主机及其运行数据的安全；

3、在场站、油井等使用无线生产网络场所进行无线安全防护，防止非法用户和非法设备进入工控生产网络，保证工控网络运行安全；

4、提供安全数据交换介质，杜绝移动存储介质“滥用”的安全隐患，保障工控主机间数据交换安全；

5、提供工控网络操作行为监测审计，详实记录用户操作行为、维护行为和网络通信流量，帮助企业建立网络监测审计机制，避免发生工控安全事故；

6、对油田各层级网络中的安全设备或系统进行集中管理，实现全局配置、集中监控、统一管理，提高管理人员的工作效率，降低企业的人员投入成本。

三、 典型部署

1、区域边界防护

在采油厂、作业区、场站油井边界及作业区区域边界位置串联部署工业防火墙，对各层级用户和外来的访问进行控制，保障采油厂、作业区等重要生产区域网络的可用性和安全性。

2、主机安全防护

在采油厂、作业区、场站油井的实时数据库、关系数据库、生产调度系统等重要主机系统部署工控主机卫士。采用“白名单”防护机制，保证只有安全的软件程序才能够在主机系统中运行，同时对主机操作系统、注册表等进行防护，杜绝信息非法窃取、数据和系统遭受非法破坏的行为发生。

3、无线网络防护

在场站、油井无线局域网内部部署无线安全防护系统，扫除潜在的生产信号干扰风险，防止非法用户的访问，以及对传输数据的篡改和窃听。

4、数据交换安全

采用安全U盘作为数据交换介质，避免不安全的移动存储介质进入工控网络影响生产网络的正常运行。

5、网络监测审计

在作业区的办公网和生产网旁路部署监测审计平台，阻止误操作、恶意操作和非授权设备，监控和记录用户对数据库、生产调度系统、采集服务器的违规操作、误操作行为，为事后调查取证提供依据。

6、集中管理

在作业区的办公网中部署统一管理平台，对整个工控网络中的安全设备和系统进行统一策略配置下发、状态集中监控、网络流量分析。实时掌握工业控制网络运行状态，便于出现问题及时溯源定位。