比特币和比特币现金区别
解決方案
Shanxi Tian Ke Information Security Technology Co., Ltd.

焦化工業控制系統安全防護解決方案

一、背景情況

焦化企業普遍采用基于信息網、管理網和控制網三層架構的的管控一體化信息模型,焦化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,因此生產過程控制大多采用DCS等先進的控制系統,且以國外廠商為主。經過多年的發展,焦化行業信息化建設已經有了較好的基礎,企業在管理層的指揮、協調和監控能力在實時性、完整性和一致性上都有了很大的提升,相應的網絡安全防護也有了較大提高。隨著焦化企業管控一體化的實現,越來越多的控制網絡系統通過信息網絡連接到互聯上,潛在的威脅就越來越大。

二、安全分析

1)控制網絡與管理網絡互聯,存在來自上層網絡的安全威脅存在。

2)存在來自工作站(接入U盤、便攜設備等)的病毒傳染隱患。

3)網絡中沒有設置安全監控平臺,無法對網絡安全事故進行預警和分析,影響問題識別和系統修復效率。

4)控制系統缺少分級、分區的安全防護,容易受到信息網絡及相鄰系統的潛在威脅。

5)對違規操作缺乏控制和審計。

三、焦化行業工控系統安全防護解決方案

防護原則

(1)安全分區

對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。

(2)安全審計

對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。

(3)邊界防護

根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。

(4)惡意代碼防范

對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。

具體方案

1)根據焦化行業的網絡拓撲圖,結合相關標準及技術規范與要求,將整個網絡劃分為操作管理層、現場監控層、生產控制層和生產執行層四個區域。

2)在現有網絡架構下,協同部署工控系統安全防護產品,全面防護包括OPC數據采集、控制設備和工程師工作站的安全。

3)采用工控網絡隔離網關設備隔離內外網,提供內外網數據交換安全通道,阻止來自上層網絡的非法訪問、病毒及惡意代碼的傳播。

4)部署分布式工業防火墻和工控安全監控平臺,深度解析多種工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻工作狀態,實時獲取工控網絡安全事件日志和報警任務。

5)在工作站應用工控安全主機防護系統,防范非法程序、應用以及未經授權的任何行為,給予終端計算機全生命周期的安全防護。

6)在操作管理層部署審計平臺和堡壘機,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞。

四、解決方案拓撲圖



山西天科信息安全科技有限公司
聯系  Contact
13835183891
地 址:山西綜改示范區太原學府園區開拓巷12號10幢創業大樓B座
郵 編:030006
電話:13835183891  高先生
電話:13903466384  蘇先生
企業郵箱:[email protected]
留言  Message
版權所有:山西天科信息安全科技有限公司 電話:13903466384 備案號:晉ICP備18011408號
top
比特币和比特币现金区别 浙江快乐彩 北单比分sp值开奖澳客 卡五星麻将技巧口诀 竞彩nba篮球比分直播新浪 任选9场 捷报比分即时比分 吉吉林11选5开奖 安徽安庆麻将打法 双彩 188比分直播hi 竞彩比分串关中奖规则 女排联赛比分直播 奥瓦vs巴伊亚比分推荐 有好友房的棋牌游戏 黑龙江36选7 澳门比分即时赔率