護航關基民生、筑牢化企工控網安防線——西北某石化工控網絡安全加固項目順利完工
2023-10-20
近年來,隨著工業(yè)互聯網技術的飛速發(fā)展,工控網絡安全事故頻發(fā),國家、行業(yè)、各大工業(yè)控制系統(tǒng)應用廠家對關鍵基礎設施的網絡安全也愈加重視。為切實保障廠內生產設備的安全,西北某石化公司請海天煒業(yè)對其生產廠工控系統(tǒng)進行全面的網絡安全防護。
根據工信部《工業(yè)控制系統(tǒng)信息安全防護指南》(工信部信軟〔2016〕338 號)和中國石油集團公司《煉化企業(yè)工業(yè)控制系統(tǒng)信息安全等級保護及定級指導意見》要求,西北某石化公司提出了如下要求:
1)完善網絡架構,做好管理網與辦公網間安全控制,規(guī)劃并實施各網內分級分域防護架構;
2)建立生產控制網內漏洞掃描及補丁升級能力,開展漏洞和加固工作,提升主機自身安全防護能力;
3)在生產控制網內升級口令密碼強度和長度并定期更改和檢查;
4)加強數據安全的完整性管理,定期測試備份數據可用性,提升數據快速恢復的能力;
5)建立工控主機安全防御體系、通過白名單+可信驗證機制、確保工控主機安全;
6)建立安全監(jiān)控系統(tǒng)、網絡準入系統(tǒng)、日志系統(tǒng)、安全審計系統(tǒng),全面提升工控網絡安全監(jiān)控能力;
7)結合國家政策法規(guī)、國家工控網絡信息安全等相關標準,對安全儀表系統(tǒng)相關管理制度或內部技術規(guī)范、操作維護計劃和規(guī)程、應急預案等進行補充和完善,把網絡安全管理融入企業(yè)安全管理體系;
8) 每年至少進行一次整體風險評估。
海天煒業(yè)在項目前期,對項目進行了詳細的實地考察,根據等級保護2.0《基本要求》、《設計要求》,出具了安全需求分析、總體安全策略文件、安全測評報告和工業(yè)控制系統(tǒng)網絡安全防護可行性研究報告。
結合工業(yè)控制系統(tǒng)信息安全防護思路,海天煒業(yè)提供的安全防護體系主要包括如下幾個方面:
01、搭建工控系統(tǒng)安全管理專網,用于管理項目中所涉及的工控網絡安全產品;在DCS、SIS、PLC系統(tǒng)間部署工業(yè)防火墻,部署工控安全審計與異常檢測系統(tǒng),針對工業(yè)控制網絡設計的實時報警系統(tǒng),通過特定的安全策略,快速識別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊并實時報警。
02、通過部署InTrust工控主機防御平臺系統(tǒng)以及網絡安全防護設備、工控網絡安全統(tǒng)一管理平臺軟件,實時接收來自可信計算的日志,分析、組織、處理網絡環(huán)境內的報警、設備運行信息。
03、通過部署工控入侵檢測系統(tǒng),對內部網絡的終端進行嚴格、高細粒度的全過程進行嚴格管控,全方位的操作審計,及時發(fā)現非法行為及誤操作,保證合法以及安全的終端入網,滿足行業(yè)政策法規(guī)有關威脅檢測方面的技術要求,同時彌補一般防火墻產品無法檢測復雜協(xié)議、組合攻擊以及內部攻擊等行為的不足,通過及時通告有價值的報警信息,并提供威脅處置辦法,提高安全事件響應能力。有較完善的操作、點檢、維修三位一體的管理體制。
04、通過部署工控安全審計與異常檢測系統(tǒng),對網絡流量、網絡拓撲、網絡運行日志、操作系統(tǒng)運行狀況、安全設備運行狀態(tài)、安全設備操作日志等進行集中收集、自動分析,并生成報表及模型圖。運維人員通過報表或模型圖來分析當前設備運行狀況,能夠實時監(jiān)測工控網絡的狀態(tài),發(fā)現并對異常攻擊行為和流量進行告警,同時詳實記錄一切網絡通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為工業(yè)控制系統(tǒng)的安全事故調查提供堅實的基礎。
海天煒業(yè)工控網絡安全施工團隊經過近一個半月的現場施工,解決了網絡、主機、應用、數據等方面的信息安全隱患,有效、及時的避免突發(fā)病毒感染和惡意入侵,確保生產工藝能夠安全、穩(wěn)定、高效的運行,整體提高了企業(yè)的工控網絡安全保障能力。圓滿地完成了客戶提出的所有防護要求,獲得了廠領導的認可,對海天煒業(yè)工控網絡安全防護方案以及技術人員的專業(yè)度給予高度評價。
