石油石化企業普遍采用基于信息網、管理網和控制網三層架構的的管控一體化信息模型，MES系統處于管理網，在信息網ERP系統和控制網PLC控制器、控制設備中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用：一是數據雙向通道的作用。即通過MES系統的實施，可以有效彌補企業信息網與控制網之間的數據間隙，由下至上，通過對底層控制設備數據的搜集、存儲及校正，建立管理網數據層次上的數字化工廠，為信息網提供準確統一的生產數據；由上至下，通過對實時生產數據的總結，信息網ERP可以根據未來訂單及現階段生產狀況調整生產計劃，下發管理網MES系統進行計劃的分解及產生調度指令，有效指導企業生產活動。因此，MES系統在數據層面上，起到了溝通信息網和控制網的橋梁作用，并保證了生產數據、調度事件等信息的一致性及準確性。

石油石化煉化工控系統拓撲圖：

（1） 控制網中缺少安全防護：控制網中，上位機與PLC控制設備直接通信，使控制網沒有相應安全防護，在上位機可輸入非法指令或錯誤參數使現場設備出現問題；

（2） 控制網中區域劃分不明確：在控制網各系統之間區域劃分不明確，可導致病毒擴散；

（3） 管理網與控制網之間沒有防護：MES系統與控制網之間存在病毒相互感染的隱患，缺少防護控制策略；

（4） 管理網與信息網之間缺少安全防護：在信息網絡中使用人員、網絡結構、應用服務及系統的復雜性且與互聯網相聯，受病毒攻擊和入侵的概率很大，存在較高的安全隱患。

從石油石化行業總體結構上看，系統網絡可分為三層次：信息網、管理網和控制網。

企業管理者通過從信息網ERP系統中提取有關生產數據用于制定綜合管理決策；從管理網MES系統中層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能。控制網負責通過組態設汁，完成數據采集、A/D 轉換、數字濾波、溫度壓力補償、PID 控制等各種功能。系統的每一個安全漏洞都會導致嚴重后果，所以將它們單獨隔離防護十分必要。

同時結合企業的具體情況將企業系統結構劃分成不同的區域可以幫助企業有效地建立“縱深防御”策略，如下圖：

在信息網與管理網之間部署力控華康ISG工業防火墻進行安全防護，通過對工業協議的深度過濾及訪問控制策略，從而確保信息網到管理網之間的數據安全。

在管理網與控制網之間部署力控華康PSL工業安全隔離網關主要起到在工業控制網絡同企業管理網絡之間隔離，安全隔離網關采用物理單向隔離，有效地把內外部網絡隔離開來，實現了對基于TCP/IP協議體系攻擊的徹底阻斷，而且可實現了工控數據的單向上傳。

控制網中，在上位機與各PLC控制設備之間部署力控華康ISG工業防火墻進行安全防護，通過對工業協議的深度過濾從而確保各PLC控制設備的安全。

在石油石化行業中，各區間網絡防護解決方案描述如下：

（1） 控制網中安全防護：在控制網絡中各工控主機（上位機）與PLC控制設備之間部署華康工業防火墻，對工控專有協議進行深度分析，避免非法指令或錯誤參數下發到各PLC控制設備，確保現場設備正常運行，把風險降到較低，做到安全可控，實現工控網絡的深度防護；

（2） 控制網中各區域劃分：在控制網各工控系統出口處部署華康工業防火墻產品，對工控專有協議進行深度分析，加強了區域劃分，避免了各工控系統交叉影響；

（3） 管理網與控制網之間安全防護：在管理網MES系統與控制網之間部署華康工業隔離網關，使用工業數據單向傳輸到上層信息網，同時避免來自上層系統網絡的病毒傳播及攻擊；

（4） 信息網與管理網之間安全防護：在信息網ERP系統和管理網MES系統之間增加工業防火墻，只允許相關工業協議的授權訪問，防止病毒擴散，保證了管理網的通訊安全。