比特币和比特币现金区别
解決方案
Shanxi Tian Ke Information Security Technology Co., Ltd.


冶金鋼鐵工業控制系統安全防護解決方案

一、背景情況

冶金鋼鐵行業工業以太網一般采用環網結構,為實時控制網,負責控制器、操作站和工程師站之間過程控制數據實時通訊,網絡上所有操作站、數采機和PLC都采用以太網接口,網絡中遠距離傳輸介質為光纜,本地傳輸介質為網線(如PLC與操作站之間)。生產監控主機利用雙網卡結構與管理網互聯。

二、安全分析

1)鋼鐵冶金企業沒有對其內部生產控制系統及網絡進行分區、分層,無法將惡意軟件、黑客攻擊、非法操作等行為控制在特定區域內,易發生全局性網絡安全風險。

2)分廠控制網絡采用同網段組網,PLCDCS等重要控制系統缺乏安全防護和訪問控制措施。

3)各分廠控制網與骨干環網之間無隔離防護措施。

4)鋼鐵冶金企業辦公網和生產監控網之間無物理隔離措施,導致病毒、木馬、黑客攻擊等極易以辦公網為跳板對生產控制系統發起攻擊。

5)由于鋼鐵冶金企業控制流程復雜、設備種類繁多、通信協議多樣,導致采集數據安全性無法得到保障。

6)鋼鐵冶金企業內部控制系統及網絡缺乏安全監測與審計措施,無法及時發現非法訪問、非法操作、惡意攻擊等行為。

7)鋼鐵冶金企業內部缺乏統一的安全管理平臺。

三、冶金鋼鐵行業工控系統安全防護解決方案

防護原則

(1)安全分區

對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。

(2)安全審計

對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。

(3)邊界防護

根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。

(4)惡意代碼防范

對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。

具體方案

1)部署工控安全監控系統和工業防火墻,對工控協議深度解析,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻工作狀態,實時獲取工控網安全事件日志和報警任務,保障PLC設備和各服務器安全。

2)在各高爐操作站和工程師站應用工控安全主機防護系統,防范非法程序和應用以及未經授權的任何行為。

3)部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞。

4)采用工控網絡隔離網關設備隔離生產控制網和控制子站環網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

四、解決方案拓撲圖



 


山西天科信息安全科技有限公司
聯系  Contact
13835183891
地 址:山西綜改示范區太原學府園區開拓巷12號10幢創業大樓B座
郵 編:030006
電話:13835183891  高先生
電話:13903466384  蘇先生
企業郵箱:[email protected]
留言  Message
版權所有:山西天科信息安全科技有限公司 電話:13903466384 備案號:晉ICP備18011408號
top
比特币和比特币现金区别 每日黑马股票推荐 足球nba比分直播 湖北麻将口诀 捷报比分即时电脑版 浙江6+1 四川成都麻将血战到底 新疆福彩35选7走势图 nba比分最接近的比赛 fiba篮球比分直播 优库乐影视网-在线观看最新热门影片 1zplay电竞比分直播网 河南南阳麻将怎么打 云南时时彩 足球捷报比分 11选5内蒙古 为什么nba比分那么高