<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

          厚積薄發  安全賦能

          依托過去在工控安全的技術積累,厚積薄發,推出適用于不同工業場景的解決方案,
          賦能工控系統安全。


          煉化企業工業控制安全解決方案

          概述:石油煉化工控網絡的工業控制系統(ICS)已廣泛應用,主要工業控制系統包括:集散控制系統(DCS)、安全儀表系統(SIS)、可編程邏輯控制器(PLC)、可燃氣體和有毒氣體檢測系統(GDS)、安防視頻監控系統、工業機房門禁控制系統、火災報警系統(FAS)等,這些系統在石化公司運行中發揮著巨大的作用。

          與傳統的基于TCP/IP 協議的網絡信息系統的安全相比,ICS的安全防護水平明顯偏低。一方面大多數ICS在開發時,由于傳統ICS技術的計算資源有限,在設計時只考慮到效率和實時性,而很少考慮安全問題;另一方面,面向未來的新技術(云計算、大數據、物聯網、人工智能、5G等)大量應用于工業控制系統,帶來了新的安全問題。

          常ICS安全問題入系統終端平臺脆弱性,系統配置和軟件安全漏洞、工控協議安全問題、私有協議的安全問題,隱藏的后門和未知漏洞、用戶非法權限控制的接入、網絡安全邊界模糊以及非授權用戶等安全問題。

          智能生產使生產制造執行系統(MES)與DCS控制網絡實現了管控一體化,工業控制網絡也變得更加開放,工業控制系統可以通過互聯網、移動終端等直接或間接地訪問,增加了潛在的網絡安全威脅。

          隨著煉化調度一體化、網絡化的發展,工業控制系統安全成為保證煉化生產平穩運行的關鍵因素,直接影響石油工業生產運行乃至國家經濟命脈安全。因此,落實《網絡安全法》、《工信部安全防護指南》、《信息系統安全等級保護2.0》以及《中國石化工業儀表控制系統安全防護實施規定》、《中國石油煉化企業工業控制系統信息安全等級保護及定級指導意見》對于工控安全要求,對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義。

          需求分析

          煉化生產控制系統信息安全管理,主要問題及需求分析如下:

          (1)生產裝置DCS系統TS服務器網絡(提供遠程訪問功能)與工廠廣域辦公網系統互聯通過獨立網卡及傳統IT防火墻進行網絡隔離,傳統IT防火墻并不是專為工業網絡應用設計的產品,同時安全策略基于“黑名單”規則,且配置復雜,一旦配置不當,存在一些不必要的端口和協議沒有關閉的情況,將導致網絡攻擊、病毒傳播等安全風險,需要引入基于“白名單”安全策略的工業環境邊界防護設備,采用“白名單”規則,只允許需要地址和協議通過,更好的滿足工業生產網絡的要求。 

          (2)生產控制網絡與工廠廣域辦公網邊界缺少入侵檢測手段,無法識別和檢測來自生產控制區外的惡意代碼入侵和網絡攻擊行為,尤其是針對一些高級持續性威脅的有效檢測,容易以辦公網為跳板對生產控制系統內部發動攻擊;需要采取有效的入侵檢測手段,對異常訪問、病毒、木馬入侵行為的檢測和告警。

          (3)生產裝置DCS控制網絡中未部署針對工業網絡安全監測設備,無法對控制網絡中存在的違規操作、越權操作、異常流量、網絡威脅等行為及時發現、報告并處理,需要采取有效的網絡安全審計措施,便于事件追蹤溯源。

          (4)DCS上位操作主機(操作站、工程師站)對USB接口使用沒有有效的技術防護與權限控制措施,且對于臨時接入生產網絡的移動存儲設備(U盤,移動硬盤等)沒有病毒查殺機制,存在病毒、木馬通過USB移動存儲介質進入工業控制系統的風險,需要采取有效措施對移動U盤等外設的使用進行管理,阻止惡意代碼傳播,保證生產穩定有序進行;

          (5)對過程監控設備(操作站、工程師站、服務器等)的登錄、應用服務資源(例如TS 服務器)訪問等過程中沒有嚴格使用身份認證管理防護措施;存在登錄賬戶及密碼使用默認口令或弱口令,沒有定期更新口令;需要制定用戶登陸認證管理制度,保障賬戶安全。

          (6)缺乏工業監測審計系統對工業控制系統日常運維人員的操作行為的統一審計管理,對于因人為原因造成的生產業務異常事件無法溯源,也無法找到事件發生的根本原因,影響對事件的定性分析,需要重點管控維護過程中的關鍵操作行為并對所有操作行為進行取證。

          (7)缺乏工業安全統一監管平臺對現有網絡安全產品的實時監測安全設備狀態、采集設備產生的日志、事件、流量、下發安全策略的統一管理,從而實現安全產品的高效管理。


          解決方案

          石化工業控制系統網絡信息安全解決方案建設考慮到工業控制系統的特性,結合煉化生產生產控制系統的實際情況,從外到內構成“縱深防御、分區防護”體系。按照“一個中心,三重防護”的原則,從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等層面加以實現:

          安全通信網絡

          工控網絡采用獨立組網,并根據業務特點劃分不同網絡安全區域,并在不同網絡安全區域之間進行網絡隔離;對關鍵網絡設備和線路實現冗余備份,對廣域網傳輸的數據采用加密技術確保傳輸信息的保密性等。

          安全區域邊界

          對工控網絡內部各安全域之間以及工控網絡與非工控網絡的數據訪問進行控制,只允許授權訪問通過邊界保護設備;對工控網絡協議進行分析監測,對網絡攻擊、病毒等安全事件進行檢測,及時發現網絡中的威脅事件。

          安全計算環境

          加強服務器、工程師站等工業主機的身份鑒別和訪問控制措施,嚴格限制用戶訪問權限;保證工控應用系統身份認證數據和業務數據完整性和保密性,防止非授權操作、誤操作或信息泄露;并根據需要實現數據定時備份或實時備份功能,保證數據可用性。

          安全管理中心

          加強網絡設備和安全設備集中認證和審計日志的集中統一管理;加強對網絡運行狀況的集中監控;實現系統管理員、安全管理員、審計管理員的權限分離、身份鑒別以及操作過程的監控審計等功能。

          具體解決方案實現的具體步驟如下:

          邊界防護

          對工控協議的深度解析,抵御已知安全風險,保障通信數據的合法性,實現對工業控制網絡的深度防護。

          行為審計

          在各生產裝置DCS系統之間、TS服務器外聯網絡和工廠廣域辦公網相連的邊界網絡給設備上旁路個部署一套工業監控審計系統及入侵防范系統,對入侵工控網絡的威脅源進行有效檢測及檢測審計;

          主機加固

          對所有工控網絡中的電腦或服務器全部部署USB防御系統及工業安全衛士。對主機的USB接口安全使用進行有效管理及對主機病毒和安全進程防護。

          終端防護

          在所有工控網絡中的電腦或服務器等終端安裝部署USB防御系統及工業安全衛士。對主機的USB接口安全使用進行有效管理和對主機病毒和安全進程防護,抵御網絡攻擊,提升防病毒入侵能力,給予終端計算機全生命周期的安全防護。

          入侵檢測

          在DCS系統的TS服務器外聯網絡,與工廠廣域辦公網相連的邊界網絡設備上旁路各部署一套工業監控審計系統和工業入侵檢測系統,快速識別系統中存在的非法操作、異常事件等外部攻擊,并實時監測、告警。

          日志審計

          在生產網絡部署日志審計系統對日志的采集、集中存儲管理、合規審計、實時監控及安全告警等功能,為安全事件的分析、溯源提供了有力的支撐。

          集中管理

          在生產網絡部署統一安全管理平臺,對管控中心CCR等工控網絡內的所有網絡安全節點進行統一管理、統一配置,審計信息統一存儲、統一分析,從而構建工控系統的整體安全防御體系。

          部署說明

          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>