解决方案
Shanxi TianKe Information Security Technology Co., Ltd.

焦化工业控制系统安全防护解决方案

一、背景情况

焦化企业普遍采用基于信息网、管理网和控制网三层架构的的管控一体化信息模型,焦化企业是典型的资金和技术密集型企业,生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用DCS等先进的控制系统,且以国外厂商为主。经过多年的发展,焦化行业信息化建设已经有了较好的基础,企业在管理层的指挥、协调和监控能力在实时性、完整性和一致性上都有了很大的提升,相应的网络安全防护也有了较大提高。随着焦化企业管控一体化的实现,越来越多的控制网络系统通过信息网络连接到互联上,潜在的威胁就越来越大。

二、安全分析

1)控制网络与管理网络互联,存在来自上层网络的安全威胁存在。

2)存在来自工作站(接入U盘、便携设备等)的病毒传染隐患。

3)网络中没有设置安全监控平台,无法对网络安全事故进行预警和分析,影响问题识别和系统修复效率。

4)控制系统缺少分级、分区的安全防护,容易受到信息网络及相邻系统的潜在威胁。

5)对违规操作缺乏控制和审计。

三、焦化行业工控系统安全防护解决方案

防护原则

(1)安全分区

对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。

(2)安全审计

对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。

(3)边界防护

根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。

(4)恶意代码防范

对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。

具体方案

1)根据焦化行业的网络拓扑图,结合相关标准及技术规范与要求,将整个网络划分为操作管理层、现场监控层、生产控制层和生产执行层四个区域。

2)在现有网络架构下,协同部署工控系统安全防护产品,******防护包括OPC数据采集、控制设备和工程师工作站的安全。

3)采用工控网络隔离网关设备隔离内外网,提供内外网数据交换安全通道,阻止来自上层网络的非法访问、病毒及恶意代码的传播。

4)部署分布式工业防火墙和工控安全监控平台,深度解析多种工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙工作状态,实时获取工控网络安全事件日志和报警任务。

5)在工作站应用工控安全主机防护系统,防范非法程序、应用以及未经授权的任何行为,给予终端计算机全生命周期的安全防护。

6)在操作管理层部署审计平台和堡垒机,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏。

四、解决方案拓扑图



山西天科信息安全科技有限公司
联系  Contact
13835183891
地 址:山西综改示范区太原学府园区开拓巷12号10幢创业大楼B座
邮 编:030006
电话:13835183891  高先生
电话:13903466384  苏先生
企业邮箱:sxtk_mail@163.com
留言  Message
版权所有:山西天科信息安全科技有限公司 电话:13903466384 备案号:晋ICP备18011408号
top