石油化工行业网络安全解决方案--背景
石化工业在我国经济建设中发挥着重要作用,其发展长期以来受到关注。中石化工业的主要工业控制系统(ICS)包括分布式控制系统(DCS)、安全仪表系统(SIS)、压缩机控制系统(CCS)、火灾气体报警系统(GDS)、各种可编程逻辑器件(PLC)等。推动信息技术和加快工业化进程不仅极大地促进了工业生产,但也带来了ICS安全问题。
石油化工行业网络安全解决方案--详解
1、风险分析
(1) 通信协议漏洞
模块化软件、嵌入式PLC系统等在设计过程中主要考虑可用性和实时性,缺乏安全性考虑。
(2) 操作系统漏洞
大多数ICS工程师站、操作员站和服务器很难在正常运行的系统上安装相关补丁,这可能导致攻击和入侵。
(3) 应用程序漏洞
由于应用软件的多样性,很难形成针对安全问题的统一保护规范。
(4) 网络安全风险
在企业的实际应用环境中,许多控制网络是“开放的”。所有控制系统和区域边界都没有安全审计和入侵监控等有效的政策和机制,无法实时检测和响应系统内外的非法访问和恶意攻击。特别是对于基于OPC的工业控制网络、Modbus和其他开放通信协议,一旦黑客控制系统中的网络节点,生产运营将瘫痪。
2、模式概述
2.1、绝缘保护
沃思信安工业隔离设备部署在OPC服务器和数据挖掘层之间,实现分层安全保护,抵御已知威胁。
沃思信安工业安全隔离装置布置在管理网络/MES和生产网络之间,以防止管理网络/MES受到攻击后威胁生产网络。隔离是访问控制策略允许的目标设备上应用层(管理网络/MES)上的单向操作。基于管理网络/MES,禁用对底层系统或设备的写入。
2.2、网络保护系统
工程站与PLC/DCS之间采用沃思信安工业防火墙,深入分析特殊的工业控制协议,确保数据包的合法性,实现对工业控制网络的深度保护。访问行为由基于工业协议的身份控制。
2.3、网络安全测试
沃思信安工业安全审计系统和工业入侵检测系统用于生产网络安全管理中心,检测非法操作、异常事件、外部攻击等。在炼油企业管理系统中,可快速识别并提供实时警报。
2.4、主机安全
管理网络、生产网络和控制网络上的工程站、操作员站、OPC服务器和其他服务器可以防止用户受伤和故障,防止未知程序,并允许访问移动存储介质。有效提高工业控制网络的综合抗扰度。
2.5、安全操作和维护
沃思信安安全管理审计系统用于生产网络安全管理中心,为业务经理、运营经理和第三方服务人员实现系统运营管理和审计。实现运维人员的系统登录授权、系统密码生成和维护、操作说明限制、整个操作过程的屏幕记录审核等功能。
2.6、安全管理平台
生产网络安全管理中心使用沃思信安安全管理平台,完成实时设备信息采集,实时监控终端通信流量和安全事件。不断分析安全事件之间的相关性,形成强大的安全管控集成界面,以及透视和多维管理和态势感知透视图。
石油化工行业网络安全解决方案--价值
1、防止以黑客、病毒、恶意代码等非法操作形式对石化公司进行恶意攻击和破坏。防止石油化工企业生产网络瘫痪、失控及由此引发的网络安全事故。
2、采用工业网关、工业防火墙和入侵检测系统,加强气体处理系统的网络安全防护,实施严格的访问控制、恶意入侵预警和安全审计。
3、通过网络安全管理系统和网络安全产品进行全面的网络安全防护。从教育人员的安全意识入手,辅以安全管理体系,形成了符合石化行业的网络安全防护坚固堡垒。
