🤔 **氢氧化钾生产企业的业务特点和风险分析** 氢氧化钾生产企业以离子膜法为主要工艺，涉及盐水操作、片碱操作、电解操作、氯氢操作等多个工序，需要依赖DCS系统进行控制。但传统DCS系统存在安全漏洞、生产逻辑混乱等风险，容易受到网络攻击，导致生产事故。此外，引入OPC数采业务后，互联网暴露面增加，业务系统间横向风险也随之提升，给生产安全带来新的挑战。

🛡️ **威努特工控安全解决方案：打造纵深防御体系** 威努特针对氢氧化钾生产企业的工控安全痛点，提供以工控安全“白环境”为核心技术理念的纵深防御体系，包括工控边界安全防护、工控主机安全防护、流量威胁检测措施和安全管理中心建设等。该解决方案采用工业防火墙、工控主机卫士、入侵检测系统、工控安全监测审计系统等产品，实现生产网络的边界隔离、主机安全防护、流量威胁检测和安全管理，有效降低网络攻击风险，保障生产安全。

🤝 **成功案例：某集团高纯氢氧化钾生产企业工控安全建设** 威努特为某集团高纯氢氧化钾生产企业提供工控安全解决方案，帮助其构建了符合国家监管要求的网络安全体系，有效提升了DCS系统安全性和生产业务连续性，为企业安全生产提供了强力保障。威努特在化工行业拥有丰富的经验和成熟的解决方案，可以为更多化工企业提供定制化服务，共同构建我国工业制造-危化品生产加工和存储管控（化学、核等）一类关键信息基础设施的工控安全护城河。

化工行业，作为从事化学工业生产和开发的企业和单位的总称，已渗透到国民经济的各个方面，是不可或缺的重要组成部分。它的发展对于人类经济、社会发展具有重要的现实意义。化工行业不仅在国民经济中占据支柱产业、龙头地位，而且是一个资产密集型行业，化工产品广泛应用于工业、农业、国防、科学研究、人民生活等各个领域，占据了国民的衣食住行，具有不可替代的作用。

化工行业的发展速度和规模对社会经济的各个部门有着直接影响，世界化工产品年产值已超过15000亿美元。由于化学工业门类繁多、工艺复杂、产品多样，生产中排放的污染物种类多、数量大、毒性高，因此，化学工业是污染大户。同时，化工产品在加工、贮存、使用和废弃物处理等各个环节都有可能产生大量有毒物质进而影响生态环境和危及人类健康。

我们将化工行业划分为：石油化工、基础化工以及化学化纤三大类。其中基础化工分为九小类：化肥、有机品、无机品、氯碱、精细与专用化学品、农药、日用化学品、塑料制品以及橡胶制品。本文将聚焦在以氢氧化钾为主要产品的无机品化工制造企业，阐述氢氧化钾生产企业的业务特点，分析其生产业务面临的网络安全风险，并就如何建设该类企业工控安全防护体系给出威努特答案，与广大用户和合作伙伴共同构建我国危化品行业的网络安全防护战线。

事件一：2023年7月，以色列最大炼油厂运营商BAZAN集团旗下网站遭受黑客组织DDOS攻击，导致无法进入。伊朗黑客组织“网络复仇者”声称已渗透到BAZAN网络，并发布了关键系统的屏幕截图。

图2-1 BAZAN集团网站显示“拒绝访问”错误消息

事件二：2021年5月，美国最大的成品油管道运营商Colonial Pipeline遭受到勒索软件DarkSide攻击，为了控制影响面，Colonial Pipeline被迫关闭其位于美国东部沿海各州供油的关键燃油网络，同时美国宣布进入国家紧急状态。据悉，该输油管道每天输送250万桶原油，占东海岸柴油、汽油和航空燃料供应量的45%，能源输送系统极其庞大。

图2-2 因网络攻击而中断燃油供应后，美国多地进入紧急状态

事件三：2020年，美国国土安全部网络安全和基础设施安全署(CISA)发布公告，有一家未公开名字的天然气公司因感染勒索软件后被迫关闭设施。

图2-3 感染勒索软件后关停天然气设施导致供气不足

事件四：2019年，我国某炼化企业生产系统遭受挖矿病毒攻击，控制站频繁蓝屏重启，造成生产装置紧急停车。

从以上网络安全事件可以看出，全球各国每年都在发生针对石油、燃气、化工等关键信息基础设施的网络安全攻击，攻击手段越发先进、造成的影响越发靠近生产业务现场。氢氧化钾成品本身具备强腐蚀性，一旦泄露将造成人员伤亡或耕地盐碱化等恶性事件，其生产企业更需防控因网络攻击导致的危化品泄露风险。

2017年6月1日，我国网络安全领域上位法《中华人民共和国网络安全法》正式施行，法规第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。

中央网络安全和信息化领导小组办公室网络安全协调局在2016年6月发布《国家网络安全检查操作指南》，根据其中的关键信息基础设施业务判定表和氢氧化钾产品自身的强腐蚀特性可知，化工领域的氢氧化钾生产企业属于关键信息基础设施中的工业制造-危化品生产加工和存储管控（化学、核等）一类。

图2-4 关键信息基础设施业务判定表

随着我国网络安全标准制度的不断完善，2021年9月1日正式施行《关键信息基础设施安全保护条例》，相应国标《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）也在2023年5月1日正式实施，标志着我国关键信息基础设施安全建设工作步入正轨。本次针对我国氢氧化钾生产企业的工控安全解决方案设计，将严格遵循国家关键信息基础设施保护标准，充分满足各项法律法规的要求。

氢氧化钾又名苛性钾，固体物为白色片状。腐蚀性强，属强碱，易溶于水，且放出大量溶解热。吸水性极强。吸收CO2逐渐变为K2CO3，是基础化工原料之一。

图2-5 氢氧化钾实物图

氢氧化钾生产工艺流程有两种，一种是隔膜法，另一种是离子膜法，核心工序为盐水一次精制，关键设备为电解槽及离子膜。离子膜法主要应用在大批量生产制造氢氧化钾的场景，本次以该工艺举例：

图2-6 离子膜法氢氧化钾制备工艺流程图

离子膜法：氯化钾为原料，从离子膜电解槽流出的淡盐水经过脱氯塔脱去氯气，进入盐水饱和槽制成饱和盐水，而后再加入氢氧化钾、碳酸钾等化学品，盐水进入澄清槽澄清，澄清后的一次盐水再经过盐水过滤器过滤。而后经过二次精制，即盐水进入整合树脂塔除去其中的钙、镁，就可以加到离子膜电解槽的阳极室。与此同时，纯水和液碱一同进到阴极室，通入直流电后，在阳极室产生氯气和流出淡盐水经分离器分离，氯气输送到氯气总管，淡盐水一般含KCl200-220g/L，经脱氯气去饱和槽。在电解槽的阴极室产生氢气和30-32%液碱同样也经过分离器，氢气输送到氢氧总管。30-32%的液碱可以作为商品出售，也可以送到蒸发装置蒸浓到48%的液碱后作商品出售，再浓缩即可制成片、固体氢氧化钾产品。

目前国内新建或改造的氢氧化钾制备装置都采用离子膜法，对于研究该类生产企业的业务流程具备普遍参考意义。从以上流程图可以看出，一个标准氢氧化钾生产企业会配备盐水操作、片碱操作、电解操作、氯氢操作、锅炉系统、污水/废气处理等工序。

（1）DCS系统业务风险

电解操作、盐水操作、片碱操作、氯氢操作这几道工序一般连续性和时序性较强，常采用DCS系统进行控制，涉及现场PLC、上位机以及组态软件等。化工行业DCS系统主流品牌有浙江中控、和利时、南京科远、国能智深、霍尼韦尔、ABB等，不论是国产品牌还是国外品牌，系统业务层面的安全风险主要体现在以下几点：

DCS系统脆弱性风险高：传统DCS系统在设计之初主要考虑生产工艺如何实现自动化控制，以及保障后期自动化控制流程的稳定性及可靠性，但针对系统中的PLC、组态软件等自身的网络安全能力容易疏忽，导致DCS系统及其配套软硬件在出厂时便携带大量安全漏洞，极易被网络攻击方利用，对整个生产控制系统造成致命威胁。

图2-7 国家信息安全漏洞共享平台（CNVD）公布的部分DCS系统漏洞

DCS系统生产逻辑混乱风险高：在未进行任何工控安全专项建设的氢氧化钾生产企业的工厂里，其DCS系统一般是采用物理独立组网的形式搭建生产网络，但随着工业互联网和智能制造的产业升级，DCS系统网络中会引入OPC数采网络的接口，这就导致DCS系统彻底暴露。而DCS系统中上位机对下位机下发的控制指令可以被网络攻击方恶意篡改其逻辑（如指令到达时间、指令之间的前后顺序等），这就会导致电解操作、盐水操作、片碱操作、氯氢操作等工序发生逻辑混乱，轻则导致氢氧化钾产品不合格，重则造成危险品（如伴生产品氯气）的泄露，最终造成人身伤亡事故等恶性影响。

图2-8 广州东圃化学品大泄漏事故现场

（2）数采业务风险

目前国内成规模的氢氧化钾生产企业基本都完成智能制造的产业升级，其厂区生产系统不再是纯物理隔离状态，出于集团对排产计划和生产执行结果的统一决策需求，将会在厂区原有生产网基础上引入OPC数采业务系统，从而形成“办公网-数采网-DCS控制网”这样的网络格局。引入数采业务后带来的风险有如下几点：

互联网暴露面增加：OPC数采业务需要将厂区各生产系统的工序执行情况、工艺环节的执行结果等数据进行采集，并由数采服务器通过厂区办公网的互联网出口传输至集团数据中心机房或云上业务机房。整个数据的传输过程无意间形成了一条厂区DCS系统、锅炉系统、污水/废气处理系统等与互联网的潜在通信链路，增加了黑客通过互联网渗透到厂区核心生产系统进行攻击的风险；

业务系统间横向风险增加：数采业务需要在各个业务系统网络内部部署至少1个数采主机进行结果数据采集，多个数采主机通过网络将结果数据汇聚到厂区数采服务器并上传云端，该过程将原本孤立的业务网络连通，如果没有进行专业的工控安全边界防护建设，病毒感染其中一个业务系统后，将有较大风险在其他业务系统之间疯狂横向扩散，最终感染整个厂区生产系统，导致业务瘫痪。

在深入分析氢氧化钾生产企业产品制备工艺以及业务风险后，威努特将结合自身在化工行业沉淀十年的技术经验，为氢氧化钾生产企业量身定制工控安全解决方案，打造以工控安全“白环境”为核心技术理念的纵深防御体系，为维护危化品类关键信息基础设施安全贡献威努特力量。

图3-1 威努特氢氧化钾生产企业工控安全解决方案拓扑

结合《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）和《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），在深入分析氢氧化钾生产企业的工控安全业务痛点后，威努特氢氧化钾生产企业工控安全解决方案如上图所示，设计思路如下：

▪️ 生产执行层和企业管理层边界处部署工控安全隔离与信息交换系统工控网闸，实现生产网与办公网的边界隔离，同时支持OPC数采业务传输时所需的端口动态选定功能；

图3-2 工控安全隔离与信息交换系统OPC动态端口识别及其他工控安全应用

▪️ 危化品企业监管单位部署在厂区的行业数采网关机接入生产执行层网络前部署工业互联防火墙，实现互联网暴露面的安全防护；

▪️ 安全管理中心和片碱业务区域分别部署工业互联防火墙，实现区域隔离和风险面收缩；

▪️ 开关站、DCS系统区域、锅炉系统等过程监控层以下区域分别部署工业防火墙，实现区域隔离、访问控制、工控协议深度解析、工艺流程异常风险识别等，可防止内部网络攻击横向扩散，有效降低DCS系统等生产业务遭受指令攻击导致的逻辑混乱风险。

图3-3 工业防火墙三重白名单守护生产业务逻辑安全

不同于办公网终端，所有工控网（生产执行层及其以下范围）的终端（如操作员站、工程师站、数采服务器等）都不适宜采用基于黑名单技术路线的杀毒软件、EDR等进行安全防护，而是需要逐一部署基于工控“白环境”技术理念的工控主机卫士进行防护，可以带来以下改进：

▪️ 系统脆弱性问题彻底根治：工控主机卫士采用“白名单”技术路线，只允许事先建立好的白名单规则库中的程序、文件、脚本等执行，任何恶意文件、变种病毒等均无法破坏工控系统，可以实现0 Day漏洞攻击防护；

▪️ 维护便捷且风险低：工控主机卫士不需要维护病毒库，由于工控环境下的终端各运行组件和程序等相对固定，所以工控主机卫士一旦完成部署和白名单规则建立后，日常无需对其进行维护和策略调优，降低用户使用难度的同时收敛了风险暴露面；

图3-4 扫描固化可执行文件白名单，无需升级，维护更便捷

▪️ 工控终端防护扩展性好：工控主机卫士不仅可以实现对全恶意代码的防护，还可以搭配其他产品实现移动存储介质闭环管控、非法外联监测预警、等保合规一键检测等。

▪️ 生产执行层核心交换机旁路部署入侵检测系统，对网络内的横向、纵向流量进行全方位解析，针对异常入侵、恶意攻击、漏洞利用等威胁24小时检测预警；

▪️ DCS系统网络汇聚交换机旁路部署工控安全监测审计系统，全量获取网络内工控流量，深度解析工业控制协议（深入到值域一级），建立访问控制、工控协议、工艺行为基线这三重白名单，实时监测来自生产业务逻辑层面的高级威胁。

图3-5 业务工艺行为基线解决业务逻辑层面的高级威胁

为满足国家对关键信息基础设施的网络安全等级保护建设要求，在生产执行层网络中划定一块逻辑区域作为企业安全管理中心，涉及以下内容：

▪️ 资产统一管理：部署统一安全管理平台，远程统一管理生产网内工控安全设备，大大提高策略调试、配置优化等工作效率；提供资产探测功能，形成资产台账并执行基于资产视角的风险管控。

▪️ 日志审计安全合规：部署日志审计与分析系统，全面采集生产网内各类型资产的网络安全日志，日志留存时间超过12个月，满足国家监管要求。

▪️ 安全运维管理降风险：部署安全运维管理系统，生产网内针对服务器、操作员站等业务终端的运维操作可审计、可预警，降低因第三方人员误操作导致的生产事故风险。

▪️ 工控脆弱性管理：部署工控漏洞扫描平台，自动探测生产网工控资产漏洞，可针对PLC、DCS组态软件等进行专项检测，出具漏洞报告并给出风险管理建议。

▪️ 移动介质闭环管控：部署移动介质安检站，搭配工控主机卫士和安全U盘即可实现生产网内移动存储介质的闭环管控，即U盘“不杀毒，不可用”，从技术层面弥补了管理制度无法落地执行的弊端。

图3-6 威努特移动介质闭环管控逻辑示意图

某集团有限公司是一家以现代农牧与食品产业为主营业务的企业集团，是中国最大的肉、蛋、奶综合供应商之一。随着集团业务扩展，其事业版图已覆盖食品与现代农业、乳业与快消品、房产与基建、化工与资源等，其中钾化工已成为其化工板块重要的分支。

该集团某高纯氢氧化钾生产企业在2023年一季度开展生产安全风险评估以及网络改造工作，集团IT部门经评估发现该企业厂区生产网及核心DCS系统未配备任何网络安全防护措施，存在被网络攻击的风险，遂开展针对厂区业务系统的工控安全专项整改建设工作，确保产线稳定运行的同时满足国家监管要求。

威努特获悉该客户的需求后，快速组建并成立项目组，对客户现状、痛点问题等展开深度调研，为客户制定贴近业务的工控安全解决方案。项目建设完成后，主要给客户带来以下几点实质性收益：

▪️ DCS系统脆弱性问题明显改善：DCS系统网络中各工程师站均部署工控主机卫士构建主机安全“白环境”，有效防护已知病毒和变种病毒，针对未知威胁具有明显的防护效果，“一劳永逸”解决DCS系统自身脆弱性问题。

▪️ 生产业务连续性得到保障：工业防火墙对电解操作、盐水操作、片碱操作、氯氢操作等工序所在局域网进行跨边界工控流量深度解析后，生成访问控制、工控协议、工艺流程这三重“白环境”，上位机下发到各工序下位机的指令将被实时监测，不在规定时间周期内的、协议格式不正确的、值域范围不合规的指令将被工业防火墙识别为风险并拦截，有效保障生产业务的连续性。

▪️ 逐步符合国家监管要求：整体项目建设完毕后，该客户生产网络安全将达到二级等保标准，为后续往三级等保演进奠定良好基础，同时符合国家对工业制造-危化品生产加工和存储管控（化学、核等）一类关键信息基础设施的安全监管要求。

化工行业对我国经济、民生、国防等关键领域的意义重大，威努特深耕工控安全领域十年，已经在石油化工、煤化工、基础化工等各类型化工细分行业中落地超500家工控安全建设案例。威努特凭借深厚的产品技术积累，其工控安全主机防护产品、边界防护产品等广受化工行业客户一致好评，且常年市场占有率业界领先。威努特有信心为每一位化工行业的客户/合作伙伴提供最贴合业务场景的工控安全解决方案，共同构筑我国工业制造-危化品生产加工和存储管控（化学、核等）一类关键信息基础设施的工控安全护城河！

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

?发表于：中国 北京