北京力控華康科技有限公司

2010年10月份伊朗核電站的“震網(wǎng)”（Stuxnet）病毒，為工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘?，F(xiàn)在，國(guó)內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了重要日程。石化行業(yè)不僅關(guān)系到企業(yè)的發(fā)展，更與我國(guó)國(guó)民經(jīng)濟(jì)緊密相連，作為國(guó)家的戰(zhàn)略性新產(chǎn)業(yè)，石化行業(yè)的工業(yè)控制安全防護(hù)是重中之重。

1 現(xiàn)代石化企業(yè)自動(dòng)化與信息化的融合

在中國(guó)，自動(dòng)化和信息化的融合——“兩化融合”已成為一種發(fā)展趨勢(shì)。其中堪稱表率的當(dāng)數(shù)石化行業(yè)。中國(guó)石油和化學(xué)工業(yè)聯(lián)合會(huì)剛剛出版的《2011中國(guó)石油和化工行業(yè)兩化融合發(fā)展報(bào)告

集》指出，信息技術(shù)應(yīng)用已經(jīng)融入到了石油化工行業(yè)的各個(gè)領(lǐng)域，兩化融合基礎(chǔ)已基本就緒，單項(xiàng)應(yīng)用覆蓋率逐步提高，行業(yè)“兩化”正逐漸向深度融合方向發(fā)展。

石化行業(yè)是應(yīng)用信息技術(shù)最早的行業(yè)之一。中國(guó)石油和化學(xué)工業(yè)聯(lián)合會(huì)最新調(diào)研數(shù)據(jù)顯示，企業(yè)規(guī)模越大，兩化融合水平普遍越高。到目前，石化行業(yè)重點(diǎn)企業(yè)的辦公自動(dòng)化（OA）應(yīng)用比例達(dá)到82%、財(cái)務(wù)管理系統(tǒng)應(yīng)用比例達(dá)到95%，生產(chǎn)企業(yè)底層自動(dòng)化比例達(dá)到93%。石化行業(yè)大中型企業(yè)生產(chǎn)過(guò)程已經(jīng)基本實(shí)現(xiàn)了較高水平的自動(dòng)化信息管理。同時(shí)一批專業(yè)特色明顯、智能化、信息化水平較高的中小企業(yè)也在不斷加入。當(dāng)前國(guó)內(nèi)油田涵蓋勘探、開(kāi)發(fā)、經(jīng)營(yíng)管理的全油田生產(chǎn)運(yùn)營(yíng)數(shù)字一體化集成的整體水平正接近國(guó)際水平，領(lǐng)先石油化工企業(yè)的信息化工作也已進(jìn)入建用并重、系統(tǒng)集成的階段。

2 控制系統(tǒng)和控制網(wǎng)絡(luò)的開(kāi)放性

石化主流控制系統(tǒng)主要是DCS，由DCS、PLC和SCADA等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)，在過(guò)去幾十年的發(fā)展中呈現(xiàn)出整體開(kāi)放的趨勢(shì)。

目前DCS已經(jīng)進(jìn)入了第四代，新一代DCS呈現(xiàn)的一個(gè)突出特點(diǎn)就是開(kāi)放性的提高。過(guò)去的DCS廠商基本上是以自主開(kāi)發(fā)為主，提供的系統(tǒng)也是自己的系統(tǒng)。當(dāng)今的DCS廠商更強(qiáng)調(diào)開(kāi)放系統(tǒng)集成性。各DCS廠商不再把開(kāi)發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù)，而是紛紛把DCS的各個(gè)組成部分采用第三方集成方式或OEM方式。例如，多數(shù)DCS廠商自己不再開(kāi)發(fā)組態(tài)軟件平臺(tái)，而轉(zhuǎn)入采用其它專業(yè)公司的通用組態(tài)軟件平臺(tái)，或其它公司提供的軟件平臺(tái)。這一思路的轉(zhuǎn)變使得現(xiàn)代DCS的操作站完全呈現(xiàn)PC化與Windows化的趨勢(shì)。在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術(shù)架構(gòu)。

網(wǎng)絡(luò)技術(shù)開(kāi)放性體現(xiàn)在DCS可以從多個(gè)層面與第三方系統(tǒng)互聯(lián)，同時(shí)支持多種網(wǎng)絡(luò)協(xié)議。目前在與企業(yè)管理層信息平臺(tái)互聯(lián)時(shí)，大多采用基于TCP(UDP)/IP協(xié)議的以太網(wǎng)通信技術(shù)，使用OPC等開(kāi)放接口標(biāo)準(zhǔn)。

工業(yè)控制網(wǎng)絡(luò)的外聯(lián)和開(kāi)放，使其遭受惡意攻擊、病毒入侵和信息泄露的風(fēng)險(xiǎn)加大，工業(yè)控制系統(tǒng)面臨的安全嚴(yán)峻日益嚴(yán)峻。

3 石化控制系統(tǒng)目前的安全現(xiàn)狀

3.1 石化企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)分析（如圖1所示）

石化企業(yè)普遍采用基于ERP/SCM、MES和PCS三層架構(gòu)的的管控一體化信息模型，MES處于企業(yè)信息系統(tǒng)ERP/SCM和過(guò)程控制系統(tǒng)的中間位置。MES系統(tǒng)在整個(gè)信息系統(tǒng)中主要擔(dān)當(dāng)了兩個(gè)方面的重要作用：一是數(shù)據(jù)雙向通道的作用。即通過(guò)MES系統(tǒng)的實(shí)施，可以有效彌補(bǔ)企業(yè)PCS層及ERP/SCM層之間的數(shù)據(jù)間隙，由下至上，通過(guò)對(duì)底層PCS層數(shù)據(jù)的搜集、存儲(chǔ)及校正，建立過(guò)程控制數(shù)據(jù)層次上的數(shù)字化工廠，結(jié)合生產(chǎn)調(diào)度層次上的調(diào)度事件信息數(shù)據(jù)等，為上層ERP/SCM計(jì)劃管理層提供準(zhǔn)確統(tǒng)一的生產(chǎn)數(shù)據(jù)；由上至下，通過(guò)對(duì)實(shí)時(shí)生產(chǎn)數(shù)據(jù)的總結(jié)，上層ERP/SCM層可以根據(jù)未來(lái)訂單及現(xiàn)階段生產(chǎn)狀況調(diào)整生產(chǎn)計(jì)劃，下發(fā)MES層進(jìn)行計(jì)劃的分解及產(chǎn)生調(diào)度指令，有效指導(dǎo)企業(yè)生產(chǎn)活動(dòng)。因此，MES系統(tǒng)在數(shù)據(jù)層面上，起到了溝通PCS層和ERP/SCM層的橋梁作用，并保證了生產(chǎn)數(shù)據(jù)、調(diào)度事件等信息的一致性及準(zhǔn)確性。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)示意圖

企業(yè)出口由于對(duì)通訊速率及帶寬的需求，采用IT防火墻進(jìn)行網(wǎng)絡(luò)邊界防護(hù)，通過(guò)策略制定，保障企業(yè)辦公網(wǎng)絡(luò)用戶對(duì)互聯(lián)網(wǎng)資源的合法訪問(wèn)，以及阻止來(lái)自互聯(lián)網(wǎng)未經(jīng)授權(quán)對(duì)企業(yè)辦公網(wǎng)絡(luò)的非法訪問(wèn)。

3.2 通信協(xié)議及網(wǎng)絡(luò)設(shè)備漏洞

“兩化融合”和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP、OPC等通用協(xié)議及通用的交換路由設(shè)備被越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，隨之而來(lái)的漏洞威脅也日益突出。表現(xiàn)為：

（1）缺乏對(duì)用戶身份的鑒別；

（2）缺乏對(duì)路由協(xié)議的鑒別認(rèn)證；

（3）TCP/UDP自身缺陷。

OPC Classic 協(xié)議(OPC DA, OPC HAD 和OPC A&E) 基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的，極易受到攻擊，并且OPC 通訊采用不固定的端口號(hào)，導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的IT 防火墻來(lái)確保其安全性。因此必須使用有效專用的工業(yè)協(xié)議管控設(shè)備，確保使用OPC 等通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性。

3.3 控制系統(tǒng)安全隱患分析

“兩化”融合的推進(jìn)和以太網(wǎng)技術(shù)在工業(yè)控制系統(tǒng)中的大量應(yīng)用，使工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多越多地采用通用協(xié)議，市場(chǎng)上具有以太網(wǎng)接口和TCP/IP協(xié)議的工控設(shè)備日益增多。然而，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設(shè)計(jì)基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒(méi)有隔離功能，因此在工控系統(tǒng)開(kāi)放的同時(shí)，也減弱了控制系統(tǒng)與外界的隔離，使控制系統(tǒng)的安全面臨更加嚴(yán)峻的考驗(yàn)，尤其是來(lái)自Internet和工廠管理信息網(wǎng)絡(luò)的黑客攻擊、信息阻塞、病毒，嚴(yán)重威脅工業(yè)控制網(wǎng)絡(luò)的安全導(dǎo)致控制網(wǎng)絡(luò)的工作異?；虬c瘓，使控制系統(tǒng)運(yùn)行速度下降或控制器處于失控狀態(tài)，嚴(yán)重威脅裝置的生產(chǎn)安全。

DCS、SCADA等生產(chǎn)控制系統(tǒng)逐漸與互聯(lián)網(wǎng)或辦公網(wǎng)直接或間接地互聯(lián)互通，這給黑客透過(guò)互聯(lián)網(wǎng)破壞石油、石化生產(chǎn)裝置提供了可能的機(jī)會(huì)。

有關(guān)安全專家已經(jīng)開(kāi)始預(yù)警，未來(lái)恐怖分子和其他犯罪分子會(huì)利用新發(fā)現(xiàn)的軟件安全漏洞對(duì)聯(lián)合站、輸油管道、電站等基礎(chǔ)設(shè)施進(jìn)行大規(guī)模攻擊，而DCS、SCADA等自動(dòng)控制系統(tǒng)正是他們所要攻擊的目標(biāo)。

4 力控華康的整體安全部署方案

4.1 應(yīng)用背景

某石化企業(yè)為了適用不斷變化的市場(chǎng)需求，及時(shí)調(diào)整生產(chǎn)策略，也為了便于全廠生產(chǎn)的統(tǒng)一調(diào)度、加強(qiáng)企業(yè)內(nèi)部管理，在其二分廠率先實(shí)踐了PIMS生產(chǎn)管理系統(tǒng)。該廠有2套控制系統(tǒng)，全部采用浙大中控的大型DCS系統(tǒng)ECS-100。該P(yáng)IMS需要集成的DCS點(diǎn)數(shù)多達(dá)一萬(wàn)點(diǎn)，并完全通過(guò)Web方式實(shí)現(xiàn)：生產(chǎn)實(shí)時(shí)數(shù)據(jù)的管理、實(shí)時(shí)流程查看、實(shí)時(shí)趨勢(shì)瀏覽、報(bào)警的記錄與查看、開(kāi)關(guān)量變位的記錄與查看、歷史趨勢(shì)查看、生產(chǎn)過(guò)程報(bào)表生成、生產(chǎn)統(tǒng)計(jì)報(bào)表生成等功能。

圖2 縱深防御結(jié)構(gòu)圖

4.2 系統(tǒng)說(shuō)明

該P(yáng)IMS系統(tǒng)的結(jié)構(gòu)分為三層，自下而上依次為：過(guò)程控制層、工廠管理層、企業(yè)管理層。其中企業(yè)管理層完成管理者和各職能科室生產(chǎn)管理報(bào)表生成的任務(wù)；工廠管理層完成各職能科室實(shí)時(shí)監(jiān)控的任務(wù)，它對(duì)下連接現(xiàn)場(chǎng)控制層，對(duì)上通過(guò)網(wǎng)絡(luò)連接企業(yè)管理層，它不僅負(fù)責(zé)現(xiàn)場(chǎng)控制設(shè)備的實(shí)時(shí)數(shù)據(jù)采集，而且在系統(tǒng)中起到上傳下達(dá)的重要作用；過(guò)程控制層由DCS、PLC、智能儀表等控制器組成，是整個(gè)生產(chǎn)管理系統(tǒng)的基礎(chǔ)。

該廠出于安全因素考慮，將其DCS的運(yùn)行網(wǎng)絡(luò)劃分為單獨(dú)的生產(chǎn)控制網(wǎng)絡(luò)，相對(duì)封閉，與總廠的管理信息網(wǎng)絡(luò)完全分開(kāi)。而PIMS系統(tǒng)需要實(shí)現(xiàn)這兩個(gè)網(wǎng)絡(luò)的互通、互聯(lián)，以滿足PIMS對(duì)DCS數(shù)據(jù)的采集。

由于該企業(yè)為上市企業(yè)，面向東南亞的國(guó)際貿(mào)易業(yè)務(wù)往來(lái)頻繁，所以其總廠的管理信息網(wǎng)絡(luò)都是面向互聯(lián)網(wǎng)開(kāi)放的商業(yè)網(wǎng)絡(luò)，如果直接實(shí)現(xiàn)與DCS控制網(wǎng)絡(luò)的連通，商業(yè)網(wǎng)絡(luò)本身存在的各種安全隱患將直接威脅到控制網(wǎng)絡(luò)的安全。特別是隨著網(wǎng)絡(luò)攻擊復(fù)雜性的增加，即使在兩個(gè)網(wǎng)絡(luò)邊界中間使用傳統(tǒng)的網(wǎng)絡(luò)防火墻產(chǎn)品和攻擊檢測(cè)技術(shù)，也已經(jīng)難于保護(hù)網(wǎng)絡(luò)的安全。因?yàn)楝F(xiàn)代網(wǎng)絡(luò)安全威脅來(lái)自于商業(yè)網(wǎng)絡(luò)的各個(gè)層面，并且更多的是來(lái)自于網(wǎng)絡(luò)數(shù)據(jù)流量的應(yīng)用數(shù)據(jù)部分，這一特性決定了僅使用防火墻或入侵檢測(cè)系統(tǒng)，依靠檢查數(shù)據(jù)包的頭部，已經(jīng)越來(lái)越難發(fā)現(xiàn)諸如病毒、蠕蟲(chóng)、后門程序等高級(jí)復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在很多成功的攻擊案例中，黑客可以很快了解到網(wǎng)絡(luò)在應(yīng)用數(shù)據(jù)層面的安全漏洞，從而迅速使用后門、木馬、蠕蟲(chóng)或者其它攻擊行為，對(duì)控制網(wǎng)絡(luò)造成不同程度的損害。

4.3 力控華康安全方案部署

參照ANSI/ISA-99 標(biāo)準(zhǔn)，同時(shí)結(jié)合石化的具體情況將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略，如圖2所示。

在工業(yè)控制網(wǎng)絡(luò)同企業(yè)管理網(wǎng)絡(luò)之間采用必要的安全隔離設(shè)備，保證工業(yè)控制網(wǎng)絡(luò)同企業(yè)管理網(wǎng)絡(luò)之間隔離，安全隔離設(shè)備通過(guò)物理隔離和安全通道隔離，將以太網(wǎng)進(jìn)行物理級(jí)安全隔離，安全通道隔離即通過(guò)專用通信硬件和私有不可路由協(xié)議等安全機(jī)制來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，有效地把內(nèi)外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換。

管理網(wǎng)絡(luò)與信息網(wǎng)絡(luò)及控制網(wǎng)絡(luò)內(nèi)部OPC Server等服務(wù)器，與DCS控制系統(tǒng)及控制設(shè)備之間，可通過(guò)對(duì)工業(yè)協(xié)議的深度過(guò)濾從而確保管理網(wǎng)絡(luò)及DCS系統(tǒng)及控制設(shè)備的安全。

在工業(yè)網(wǎng)絡(luò)布署ISC工業(yè)漏洞掃描系統(tǒng)，定期對(duì)工業(yè)網(wǎng)絡(luò)設(shè)備、系統(tǒng)及PLC等控制設(shè)備進(jìn)行安全檢測(cè)，讓安全管理人員及時(shí)了解工業(yè)網(wǎng)絡(luò)安全和運(yùn)行的應(yīng)用服務(wù)情況，及時(shí)發(fā)現(xiàn)安全漏洞，更新漏洞補(bǔ)丁，從而避免因此而帶來(lái)的風(fēng)險(xiǎn)威脅。

圖3 安全系統(tǒng)拓?fù)鋱D

為了從根本上解決DCS控制網(wǎng)絡(luò)的安全可靠運(yùn)行，力控華康在該P(yáng)IMS系統(tǒng)中加入工業(yè)隔離網(wǎng)關(guān)pSafetyLink作為DCS控制網(wǎng)絡(luò)的安全防護(hù)裝置。

力控華康工業(yè)隔離網(wǎng)關(guān)pSafetyLink是專為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的安全防護(hù)裝置，用于解決工業(yè)SCADA控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)（外網(wǎng)）的問(wèn)題。它與防火墻等網(wǎng)絡(luò)安全設(shè)備本質(zhì)不同的地方是它阻斷網(wǎng)絡(luò)的直接連接，只完成特定工業(yè)應(yīng)用數(shù)據(jù)的交換。由于沒(méi)有了網(wǎng)絡(luò)的連接，攻擊就沒(méi)有了載體，如同網(wǎng)絡(luò)的“物理隔離”。由于目前的安全技術(shù)，無(wú)論防火墻、UTM等防護(hù)系統(tǒng)都不能保證攻擊的徹底阻斷，入侵檢測(cè)等監(jiān)控系統(tǒng)也不能保證入侵行為完全被捕獲，所以最安全的方式就是物理的分開(kāi)。

pSafetyLink通過(guò)內(nèi)部的雙獨(dú)立主機(jī)系統(tǒng)，分別接入到控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)，雙主機(jī)之間通過(guò)專用硬件裝置連接，從物理層上斷開(kāi)了控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接。同時(shí)pSafetyLink通過(guò)內(nèi)嵌的高性能OPC通信軟件，很好地解決了PIMS通過(guò)OPC接口采集DCS數(shù)據(jù)的通信問(wèn)題。另外，由于隔離網(wǎng)關(guān)內(nèi)部完全實(shí)現(xiàn)了通信協(xié)議的接口服務(wù)，因此可以實(shí)現(xiàn)針對(duì)測(cè)點(diǎn)一級(jí)的訪問(wèn)控制。例如：對(duì)于OPC可以控制到Item（項(xiàng)）一級(jí)的訪問(wèn)權(quán)限控制，通過(guò)設(shè)置為只讀屬性方式保證PIMS對(duì)DCS數(shù)據(jù)的訪問(wèn)是單向的，禁止數(shù)據(jù)回置操作。安全系統(tǒng)拓?fù)鋱D如圖3所示。

5 基于網(wǎng)絡(luò)隔離技術(shù)的隔離網(wǎng)關(guān)優(yōu)勢(shì)分析

基于網(wǎng)絡(luò)隔離技術(shù)的網(wǎng)絡(luò)隔離產(chǎn)品是互聯(lián)網(wǎng)時(shí)代的產(chǎn)物。最早出現(xiàn)在美國(guó)、以色列等國(guó)家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。在我國(guó)，最初的應(yīng)用也主要集中在政府、軍隊(duì)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國(guó)家安全、社會(huì)穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施。國(guó)內(nèi)的網(wǎng)絡(luò)隔離產(chǎn)品也由此應(yīng)運(yùn)而生。

由于是應(yīng)用在可能涉及國(guó)家安全的關(guān)鍵場(chǎng)合，為了統(tǒng)一規(guī)范網(wǎng)絡(luò)隔離類的技術(shù)標(biāo)準(zhǔn)，國(guó)家質(zhì)量監(jiān)督檢驗(yàn)總局及國(guó)家標(biāo)準(zhǔn)化管理委員及早制定了相應(yīng)的國(guó)家標(biāo)準(zhǔn)，目前最新國(guó)標(biāo)為GB/T 20279-2006和GB/T 20277-2006。

隨著以電力為首的工業(yè)行業(yè)對(duì)網(wǎng)絡(luò)安全提出了更高要求后，網(wǎng)絡(luò)隔離產(chǎn)品也開(kāi)始在工業(yè)領(lǐng)域逐漸得到應(yīng)用。目前，已經(jīng)在工業(yè)領(lǐng)域用于控制網(wǎng)絡(luò)安全防護(hù)的網(wǎng)絡(luò)隔離產(chǎn)品主要有網(wǎng)閘、安全隔離網(wǎng)關(guān)、工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)等產(chǎn)品。這些產(chǎn)品大部分都是基于最新的第五代隔離技術(shù)開(kāi)發(fā)出來(lái)了，其主要的技術(shù)原理是從OSI模型的七層上全面斷開(kāi)網(wǎng)絡(luò)連接，同時(shí)采用“2+1”的三模塊架構(gòu)，即內(nèi)置有兩個(gè)主機(jī)系統(tǒng)，和一個(gè)用于建立安全通道可交換數(shù)據(jù)的隔離單元。這種架構(gòu)可以實(shí)現(xiàn)連接到外網(wǎng)和內(nèi)網(wǎng)的兩主機(jī)之間是完全網(wǎng)絡(luò)斷開(kāi)的，從物理上進(jìn)行了網(wǎng)絡(luò)隔離，消除了數(shù)據(jù)鏈路的通信協(xié)議，剝離了TCP/IP協(xié)議，剝離了應(yīng)用協(xié)議，在安全交換后進(jìn)行了協(xié)議的恢復(fù)和重建。通過(guò)TCP/IP協(xié)議剝離和重建技術(shù)消除了TCP/IP協(xié)議的漏洞。在應(yīng)用層對(duì)應(yīng)用協(xié)議進(jìn)行剝離和重建，消除了應(yīng)用協(xié)議漏洞，并可針對(duì)應(yīng)用協(xié)議實(shí)現(xiàn)一些細(xì)粒度的訪問(wèn)控制。從TCP/IP的OSI數(shù)據(jù)模型的所有七層斷開(kāi)后，就可以消除目前TCP/IP存在的所有攻擊。

6 結(jié)語(yǔ)

近年來(lái)，我國(guó)石化企業(yè)發(fā)展迅猛，企業(yè)的改擴(kuò)建項(xiàng)目也越來(lái)越多，企業(yè)可以通過(guò)先進(jìn)石化工藝技術(shù)的應(yīng)用，安全生產(chǎn)管理的加強(qiáng)、安全防護(hù)產(chǎn)品的保護(hù)以及安全策略的制定，來(lái)進(jìn)一步加強(qiáng)石化企業(yè)的安全水平。