在当前复杂的国际形势下，信息安全对于石化行业的重要性日益凸显。石化行业作为国家的关键基础设施，其生产运营的连续性和稳定性直接关系到国家的能源安全和经济发展。然而，长期以来，我国石化行业在边界安全防护方面严重依赖国外芯片和技术，这不仅存在潜在的安全风险，如后门漏洞、供应链中断等，还可能导致关键信息被窃取或系统被恶意控制。
随着国产化芯片技术的不断发展和成熟，为石化行业实现自主可控的边界安全防护提供了可行的解决方案。国产化芯片具有自主研发、生产和可控的特点，能够有效降低外部依赖，增强信息安全的自主性和可靠性。
此外，近年来网络攻击手段日益复杂和多样化，针对石化行业的网络攻击事件频繁发生。传统的边界安全防护手段在应对高级持续性威胁（APT）等复杂攻击时显得力不从心。因此，构建基于国产化芯片的先进、全面的边界安全防护体系，提升石化行业的网络安全防御能力，已经成为当务之急。
同时，国家对信息安全和关键基础设施保护的重视程度不断提高，出台了一系列政策法规，要求石化行业加强信息安全防护，推动国产化技术的应用。在这样的政策环境下，开展基于国产化芯片的石化边界安全防护项目，既是顺应国家战略的需要，也是保障石化行业可持续发展的必然选择。
随着IT和OT的不断深入，工业控制系统网络安全事关工业生产运行、国家经济安全和人民生命财产安全。工业控制设备用以控制生产设备的运行；一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。
该方案场景应用与工控网络与管理网之间或者旁路式监控工控网络，既支持对工控协议的分析、攻击防护、文件过滤，同时具备防火墙、防病毒、入侵检测与防御（IPS）、流量控制（QoS）、路由/NAT/透明模式等功能。
该方案依托国产系列CPU进行工控安全国产化升级，为产品的自主可信打下坚实的基础，真正从基础与核心保障安全，从硬件、操作系统、应用软件三个角度做到安全可信、自主可控。
采用了国产CPU内核级开发能力，基于国产系列CPU产品特点，实现基于多核处理器性能优势的系统处理能力的提升。
该方案强化安全策略：具备更加精细和多层次的安全策略，允许管理员对不同的应用、用户和数据进行个性化的访问控制。
该方案提高可视化管理能力：为了更好地监测和管理网络流量，增加可视化的管理工具，可以提供实时的数据分析和可视化图形界面来展示网络拓扑结构和数据流量。
该方案加强统一威胁管理：集成完整的威胁管理方案，包括恶意代码检测、漏洞扫描、远程入侵检测、网络访问控制等功能。
该方案提高性能和可伸缩性：需要采用高端的硬件和软件技术，以支撑大规模复杂网络环境下的高效、稳定和可靠的数据传输。

方案基于国产化芯片的威胁检测：需要实现智能威胁检测与漏洞修复。可以帮助判断网络流量和识别异常行为等情况，实时进行威胁分析，并在最短的时间内给出响应策略。
方案基于国产化芯片的多重身份验证：应该支持多重身份验证方法，以确保网络访问的合法性。容易管理和操作：设计应该是简单易用的，管理员可以轻松配置和管理它。为了实现这个目标，应考虑实现一些流程自动化和智能分析技术来简化管理任务。可扩展性：需要具备更高的可扩展性，以便在未来方便地升级、扩展功能和增加新的安全策略等。
构建了能够支撑基于国产化芯片边界安全的APPOS操作系统，结合自研的智能安全引擎、病毒扫描引擎、应用识别引擎，实现防火墙、入侵检测、入侵防御、病毒过滤、VPN、上网行为管理、WEB过滤、垃圾邮件过滤、数据防泄密、流量控制和安全审计等功能。具备攻击检测/防御规则库、病毒库、应用识别库、URL分类库等丰富知识库，并具备专业威胁挖掘团队，实时更新库信息，在当前复杂的网络环境下，能够全方位深层次的防御安全威胁。
基于国产化芯片边界安全部署在多核国产高性能处理架构上，采用自研的系统与智能安全引擎，实现数据流的高速处理和转发。同时在此基础上具有多种功能、高性能的特点创新推出“一次解包，多次分析”的架构设计，它在协议处理不同层面一次性完成多种安全分析。传统UTM通常采用不同厂家的安全模块，比如防火墙、防病毒、IPS、应用识别都是不同厂家的软件模块。数据包经过多个安全模块进行处理时，需要多次解包和封包过程，浪费了大量宝贵的设备计算资源，增加了数据包的延时。
将与网络层相关的DDoS、防火墙、流量控制、VPN等功能在数据包状态检测过程完成。入侵检测、入侵防御、应用识别、应用流量都是与数据包内容有关的，统一在数据包内容分析中完成。而防病毒、WEB过滤、反垃圾邮件和安全审计需要对数据包进行重组，所以放在透明代理中完成。
方案减少对国外芯片的依赖，降低因进口芯片价格波动和贸易政策变化带来的采购成本。 国产化芯片在价格上可能具有一定优势，长期来看能节省大量的硬件采购费用。更可靠的边界安全防护减少因网络攻击、数据泄露等安全事件导致的生产中断和恢复时间，提高生产连续性和稳定性。保障企业信息化系统的正常运行，优化业务流程，从而提升整体生产效率和运营管理水平。方案加强石化行业的边界安全防护，有助于维护国家能源领域的关键基础设施安全，保障国家能源供应的稳定和可靠。方案减少对国外芯片的依赖，提高我国在信息安全领域的自主可控能力，降低潜在的信息安全风险，维护国家的信息主权和安全利益。

1. 生产网络与办公网络的隔离：
- 场景特点：石化企业的生产网络中运行着关键的生产控制系统，如DCS（分布式控制系统）、SCADA（监控与数据采集系统）等，这些系统对性、稳定性和安全性要求极高。而办公网络主要用于企业的日常管理、办公业务等，与生产网络的业务需求和安全级别存在较大差异。
- 防护需求：防止办公网络中的病毒、恶意软件、黑客攻击等威胁向生产网络蔓延，避免因办公网络的安全问题影响生产系统的正常运行。例如，通过方案在生产网络与办公网络之间建立安全隔离边界，对数据交换进行严格的访问控制和过滤，只允许经过授权的、安全的数据传输。
2. 生产装置与外部系统的数据交互：
- 场景特点：随着石化行业信息化的发展，生产装置需要与外部的MES（制造执行系统）、ERP（企业资源计划系统）、行业云平台等进行数据交互，以实现生产过程的优化、管理的精细化以及数据的共享和分析。
- 防护需求：在数据交互过程中，确保生产装置的关键生产数据安全地传输到外部系统，同时防止外部系统的非法访问和恶意攻击对生产装置造成影响。采用方案在实现数据的单向传输，保证生产数据只能从生产装置向外部系统传输，而外部系统无法反向写入数据，从而保障生产装置的安全。
3. 不同生产区域之间的安全隔离：
- 场景特点：石化企业的生产厂区通常包含多个不同的生产区域，如炼油区、化工区、罐区等，每个区域都有其独立的生产工艺和控制系统。这些生产区域之间可能存在一定的数据交互需求，但也需要进行安全隔离，以防止某个区域的安全问题扩散到其他区域。
- 防护需求：根据不同生产区域的安全级别和业务需求，划分相应的安全域，并在安全域之间实施方案，对跨区域的数据传输进行监控和管理。例如，对于涉及易燃易爆物质的罐区，需要加强与其他生产区域的隔离防护，防止因其他区域的安全事故引发罐区的连锁反应。
4. 供应链安全管理：
- 场景特点：石化企业的生产设备、软件系统、原材料等往往来自多个供应商，供应链的安全状况直接影响到企业的生产安全。供应商的设备和系统可能存在安全漏洞、恶意代码等安全风险，这些风险可能会通过供应链传递到石化企业。
- 防护需求：对供应商进行严格的安全评估和审核，确保供应商的产品和服务符合企业的安全要求。建立供应链安全管理机制，方案对供应商的设备和系统进行监控和管理，及时发现和处理供应链中的安全问题。