案例背景
江蘇某化工企業(yè)是中國(guó)石油和化學(xué)工業(yè)500強(qiáng)企業(yè),公司依靠自身的科技研發(fā)能力和技術(shù)創(chuàng)新能力,創(chuàng)造了多個(gè)國(guó)內(nèi)產(chǎn)品、技術(shù)和生產(chǎn)裝置的第一,鑄造了公司值得驕傲的輝煌業(yè)績(jī)。在兩化融合的背景下,企業(yè)已構(gòu)建起開放而全球化的工業(yè)網(wǎng)絡(luò),在帶來(lái)便利之時(shí)也引入了安全風(fēng)險(xiǎn)。
案例需求
近年來(lái),國(guó)內(nèi)石化行業(yè)涉危涉爆事故接連發(fā)生,化工行業(yè)安全事件層出不窮,暴露出化工企業(yè)安全防護(hù)不到位。從網(wǎng)絡(luò)安全角度,化工企業(yè)無(wú)論是技術(shù)和管理方面都存在諸多脆弱性。
(1)管理方面脆弱性。
化工企業(yè)從業(yè)人員主要關(guān)注生產(chǎn)安全,對(duì)軟件、網(wǎng)絡(luò)等信息安全重視程度仍有待提高。一是缺乏涉及規(guī)劃、建設(shè)、運(yùn)維、廢止全生命周期的信息安全需求和管理體系;二是應(yīng)急響應(yīng)機(jī)制尚不健全,缺乏應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)化的事件處理流程,響應(yīng)能力不高;三是信息安全從業(yè)人員技術(shù)和管理能力不足以及人員安全意識(shí)有待提高。
(2)技術(shù)方面脆弱性。
一是安全區(qū)域未劃分。各子系統(tǒng)間未進(jìn)行有效隔離,系統(tǒng)邊界不清晰,邊界訪問控制策略缺失;二是層間通信安全隱患。在化工行業(yè)現(xiàn)場(chǎng)控制層與過程監(jiān)控層間多采用OPC數(shù)據(jù)采集機(jī)進(jìn)行通信,但在實(shí)現(xiàn)上仍存在安全隱患;三是先進(jìn)控制系統(tǒng)(APC系統(tǒng))易感染病毒;四是操作員站存在嚴(yán)重安全隱患;五是監(jiān)控審計(jì)能力薄弱;六是工程師站認(rèn)證機(jī)制缺乏。工程師站缺少身份認(rèn)證和接入控制策略,且操作權(quán)限大,致使便攜式工程師站成為重大隱患;七是外設(shè)介質(zhì)管理不善,易引入病毒及黑客攻擊程序等威脅生產(chǎn)系統(tǒng)。
解決方案
結(jié)合化工企業(yè)網(wǎng)絡(luò)特點(diǎn),針對(duì)工業(yè)網(wǎng)絡(luò)存在的脆弱性,從安全風(fēng)險(xiǎn)評(píng)估、安全分區(qū)分域、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)、安全計(jì)算環(huán)境、安全集中管理等五個(gè)方面建立企業(yè)工控安全防護(hù)體系,解決方案能夠全面覆蓋等保2.0工控三級(jí)以上要求。
“安全風(fēng)險(xiǎn)評(píng)估”
通過部署工控漏洞掃描系統(tǒng),對(duì)化工企業(yè)DCS網(wǎng)絡(luò)中的設(shè)備、軟件、協(xié)議進(jìn)行脆弱性分析和發(fā)現(xiàn)系統(tǒng)存在的漏洞,掌握DCS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)底數(shù)。
2.通過劃分安全邊界及功能區(qū)域,部署工控防火墻對(duì)生產(chǎn)控制層、過程監(jiān)控層進(jìn)行訪問控制,防止系統(tǒng)某一節(jié)點(diǎn)出現(xiàn)病毒、木馬蔓延至整個(gè)網(wǎng)絡(luò)的現(xiàn)象發(fā)生。部署工業(yè)安全隔離網(wǎng)閘有效阻斷企業(yè)管理網(wǎng)絡(luò)的攻擊行為滲透到工控網(wǎng)絡(luò)。
3.“網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)”
工控網(wǎng)絡(luò)核心交換機(jī)旁路部署工控安全審計(jì)系統(tǒng)、工控入侵檢測(cè)系統(tǒng)等系統(tǒng)實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)內(nèi)部全流量、多業(yè)務(wù)的分析,對(duì)計(jì)算環(huán)境內(nèi)異常行為與攻擊前兆特征進(jìn)行預(yù)警并上報(bào)。
4.“安全計(jì)算環(huán)境”
在工控網(wǎng)絡(luò)工程師站、操作員站部署工控主機(jī)衛(wèi)士,以白名單的技術(shù)方式,全方位地保護(hù)主機(jī)的資源使用以及監(jiān)控本地設(shè)備安全基線配置。根據(jù)白名單的配置,工控主機(jī)衛(wèi)士會(huì)禁止非法進(jìn)程的運(yùn)行,禁止非法網(wǎng)絡(luò)的訪問連接,禁止非法USB設(shè)備的接入,從而切斷病毒和木馬的傳播與破壞路徑。
5.“安全集中管理”
通過部署工業(yè)安全管理平臺(tái)對(duì)工控安全產(chǎn)品及第三方設(shè)備進(jìn)行統(tǒng)一監(jiān)控、日志采集、安全分析、策略下發(fā),為工控網(wǎng)絡(luò)安全運(yùn)營(yíng)提供決策支持,加強(qiáng)安全事件響應(yīng)速度與安全運(yùn)維能力,提升工控網(wǎng)絡(luò)整體信息安全水平。
效益評(píng)估
1、顯著提升工控網(wǎng)絡(luò)安全防護(hù)水平
通過優(yōu)化結(jié)構(gòu),強(qiáng)化邊界防護(hù),減少對(duì)威脅的暴露面,降低脆弱性的可利用性,設(shè)置多道防線,重點(diǎn)防護(hù)實(shí)時(shí)控制系統(tǒng)。在確保結(jié)構(gòu)安全的前提下,采取身份認(rèn)證、主機(jī)加固、入侵檢測(cè)等措施,創(chuàng)建層次清晰、手段豐富的安全防護(hù)體系,提高系統(tǒng)整體安全防護(hù)能力,保證工業(yè)控制系統(tǒng)運(yùn)行及重要數(shù)據(jù)的安全。
2、滿足國(guó)家標(biāo)準(zhǔn)及行業(yè)規(guī)范要求
滿足國(guó)家標(biāo)準(zhǔn)(等級(jí)保護(hù)2.0)、政策法規(guī)(工控安全防護(hù)指南等)、行業(yè)規(guī)范(中國(guó)石化工業(yè)儀表控制系統(tǒng)安全防護(hù)實(shí)施規(guī)定)等要求,符合化工行業(yè)自動(dòng)化、網(wǎng)絡(luò)化、智能化等新趨勢(shì)、新技術(shù)的發(fā)展要求,能夠深度結(jié)合實(shí)際業(yè)務(wù)應(yīng)用,解決系統(tǒng)存在的高風(fēng)險(xiǎn)項(xiàng),降低安全運(yùn)營(yíng)風(fēng)險(xiǎn),起到體制增效的效果。
聯(lián)系方式:400-100-0298轉(zhuǎn)1
