1) 工業控制網絡體量龐大，結構複雜；

2) 工業控制網絡安全^[1]防禦等級低、無災備能力；

3) 依據《工業控制系統信息安全防護指南》的相關規定，在安全軟件選擇與管理、配置和補丁管理、邊界安全防護、身份認證、遠程安全訪問、安全監測和應急預案演練等方面都存在不足。

根據現場的具體安全問題，威努特採用以「白名單」為基礎的工業控制系統安全「白環境」構建理念，對作業區工業控制系統採取「垂直分層、水平分區、邊界控制、主機防護、內部審計」的設計方針。

「垂直分層」即對工業控制系統垂直方向化分為四層：現場儀表層、工業控制層、生產管理層、信息管理層。

「水平分區」指各工業控制系統之間應該按相同安全防護級別，並對相互信任的系統進行分區分域，使整個工業控制系統在信息安全防護建設過程中做到縱向多層防禦，橫向從點到面。

「邊界控制」即對系統邊界各操作站、工程師站、工業控制系統連接處要進行邊界防護和准入控制等。

「主機防護」即對工程師站、操作員站、OPC 服務器等主機系統進行安全防護。

「內部審計」即對工業控制系統內操作人員的操作行為進行事前監控、事中記錄、事後定位，最後將各層面的日誌統一收集起來，進行綜合分析，得出整個工業控制系統信息安全防護態勢，幫助信息安全管理人員對單位內部的安全狀況有個全面而細緻的了解。

1) 通過部署工業防火牆對作業區內的多個採油廠工控網絡進行區域隔離，配置不同的訪問控制策略，杜絕非法行為；

2) 在採油廠各工程師^[2]站、操作員站上部署工控主機衛士，通過白名單的方式，防止病毒對工業主機、工控網絡造成破壞。配合使用適配於工控主機衛士軟件的安全 U 盤實現數據的安全傳輸及信息防泄露；

3) 在核心交換機上旁路部署監測審計平台，對操作人員的行為進行審計和記錄，便於事後追蹤溯源；

4) 部署統一安全管理平台，對工業控制網絡部署的工業防火牆、監測審計平台和工控主機衛士進行統一的配置和管理，並對其日誌信息進行統一收集、分析和管理。