官網熱線:400-100-0298
案例背景
江蘇某化工企業是中國石油和化學工業500強企業,公司依靠自身的科技研發能力和技術創新能力,創造了多個國內產品、技術和生產裝置的第一,鑄造了公司值得驕傲的輝煌業績。在兩化融合的背景下,企業已構建起開放而全球化的工業網絡,在帶來便利之時也引入了安全風險。
案例需求
近年來,國內石化行業涉危涉爆事故接連發生,化工行業安全事件層出不窮,暴露出化工企業安全防護不到位。從網絡安全角度,化工企業無論是技術和管理方面都存在諸多脆弱性。
(1)管理方面脆弱性。
化工企業從業人員主要關注生產安全,對軟件、網絡等信息安全重視程度仍有待提高。一是缺乏涉及規劃、建設、運維、廢止全生命周期的信息安全需求和管理體系;二是應急響應機制尚不健全,缺乏應急響應組織和標準化的事件處理流程,響應能力不高;三是信息安全從業人員技術和管理能力不足以及人員安全意識有待提高。
(2)技術方面脆弱性。
一是安全區域未劃分。各子系統間未進行有效隔離,系統邊界不清晰,邊界訪問控制策略缺失;二是層間通信安全隱患。在化工行業現場控制層與過程監控層間多采用OPC數據采集機進行通信,但在實現上仍存在安全隱患;三是先進控制系統(APC系統)易感染病毒;四是操作員站存在嚴重安全隱患;五是監控審計能力薄弱;六是工程師站認證機制缺乏。工程師站缺少身份認證和接入控制策略,且操作權限大,致使便攜式工程師站成為重大隱患;七是外設介質管理不善,易引入病毒及黑客攻擊程序等威脅生產系統。
解決方案
結合化工企業網絡特點,針對工業網絡存在的脆弱性,從安全風險評估、安全分區分域、網絡實時監測、安全計算環境、安全集中管理等五個方面建立企業工控安全防護體系,解決方案能夠全面覆蓋等保2.0工控三級以上要求。
“安全風險評估”
通過部署工控漏洞掃描系統,對化工企業DCS網絡中的設備、軟件、協議進行脆弱性分析和發現系統存在的漏洞,掌握DCS網絡安全風險底數。
2.通過劃分安全邊界及功能區域,部署工控防火墻對生產控制層、過程監控層進行訪問控制,防止系統某一節點出現病毒、木馬蔓延至整個網絡的現象發生。部署工業安全隔離網閘有效阻斷企業管理網絡的攻擊行為滲透到工控網絡。
3.“網絡實時監測”
工控網絡核心交換機旁路部署工控安全審計系統、工控入侵檢測系統等系統實現對工控網絡內部全流量、多業務的分析,對計算環境內異常行為與攻擊前兆特征進行預警并上報。
4.“安全計算環境”
在工控網絡工程師站、操作員站部署工控主機衛士,以白名單的技術方式,全方位地保護主機的資源使用以及監控本地設備安全基線配置。根據白名單的配置,工控主機衛士會禁止非法進程的運行,禁止非法網絡的訪問連接,禁止非法USB設備的接入,從而切斷病毒和木馬的傳播與破壞路徑。
5.“安全集中管理”
通過部署工業安全管理平臺對工控安全產品及第三方設備進行統一監控、日志采集、安全分析、策略下發,為工控網絡安全運營提供決策支持,加強安全事件響應速度與安全運維能力,提升工控網絡整體信息安全水平。
效益評估
1、顯著提升工控網絡安全防護水平
通過優化結構,強化邊界防護,減少對威脅的暴露面,降低脆弱性的可利用性,設置多道防線,重點防護實時控制系統。在確保結構安全的前提下,采取身份認證、主機加固、入侵檢測等措施,創建層次清晰、手段豐富的安全防護體系,提高系統整體安全防護能力,保證工業控制系統運行及重要數據的安全。
2、滿足國家標準及行業規范要求
滿足國家標準(等級保護2.0)、政策法規(工控安全防護指南等)、行業規范(中國石化工業儀表控制系統安全防護實施規定)等要求,符合化工行業自動化、網絡化、智能化等新趨勢、新技術的發展要求,能夠深度結合實際業務應用,解決系統存在的高風險項,降低安全運營風險,起到體制增效的效果。
聯系方式:400-100-0298轉1
