伴隨國家工業化、信息化的兩化融合，石化企業提出管控一體化規劃，基于實時數據庫應用的MES系統在各大企業得到大力推廣。實時數據庫的建立是以采集過程控制系統的數據為前提，這就需要MES的信息網絡必須要實現與控制網絡之間的數據交換，控制網絡不再以一個獨立的網絡運行，而要與信息網絡互通、互聯，基于TCP/IP以太網通訊的OPC技術在該領域得到廣泛應用。

網絡拓撲圖

系統說明及隱患分析
       石化行業系統結構通常分為三層，自上而下分別是辦公網、數采網和控制網。辦公網和數采網是物理上隔離的；數采網采用OPC標準從控制網采集數據，數采機或OPC Server采用雙網卡結構與控制網進行了隔離；工程師站通常需要接入第三方設備（U盤、筆記本電腦等），系統存在以下信息安全隱患：

1、數采網與控制網之間的病毒相互感染隱患。雖然通過Buffer數采機或OPC Server的雙網卡結構對數采網與控制網進行了隔離，部分惡意程序不能直接攻擊到控制網絡，但對于能夠利用 Windows 系統漏洞的網絡蠕蟲及病毒等，這種配置并不起作用，病毒仍會在數采網和控制網之間互相傳播。另外OPC通訊使用動態端口，無法使用常規防火墻進行防護。
2、來自工程師站的病毒擴散隱患。工程師站通常接入設備U盤、筆記本電腦等第三方，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。
3、網絡攻擊事件無法追蹤。網絡中缺乏對網絡進行實時監控的工具，一旦出現問題后，無法進行原因查找、分析和故障點查詢。

解決方案

１、 網絡分區
       針對石化行業網絡當前的安全隱患，根據系統網絡結構和安全要求，可以將整個網絡分為辦公網、數采網、控制網和工程師站四大區域。

２、 通訊管控
      在控制網和數采網之間部署Tofino工業防火墻，通過OPC Enforcer軟插件自動跟蹤OPC通訊的動態端口，并對其通訊內容進行深度檢查，保障數采通訊安全；此外，在工程師站前端部署Tofino工業防火墻，對工程師站進行隔離防護，防止病毒擴散。

３、 集中管理
       在網絡中部署CMP配置管理平臺，用于配置、管理、監測網絡中所有的Tofino工業防火墻，并接收來自防火墻的網絡報警信息。無需停車，Tofino工業防火墻特有的“測試”模式允許在線配置防火墻策略。

４、 預警分析
       在企業辦公網部署SMP安全管理平臺，捕獲并分析現場所有安裝Tofino防火墻的通訊“管道”中的攻擊，一方面可以實現對整個生產網絡的實時監控，另一方面也可以及時發現病毒、非法入侵以及各類威脅并迅速解決，以總攬大局的方式為工廠網絡故障的及時排查、分析提供可靠的依據。