一���、項目概況
金隅水泥在運營中已經(jīng)應(yīng)用分布式控制系統(tǒng)(DCS)和信息管理系統(tǒng)(MIS),屬于工控自動化系統(tǒng)����。因水泥企業(yè)的規(guī)模和產(chǎn)能不一,網(wǎng)絡(luò)建設(shè)情況也不同����,不同情況存在分布式網(wǎng)絡(luò)結(jié)構(gòu)�����、環(huán)網(wǎng)結(jié)構(gòu)及虛擬化系統(tǒng)等�。
傳統(tǒng)的網(wǎng)絡(luò)安全防護產(chǎn)品只能針對傳統(tǒng)安全事件生效����,而基于工業(yè)控制協(xié)議的安全事件則完全成為盲區(qū),具有較大的風(fēng)險隱患���。金隅水泥需要從網(wǎng)絡(luò)層����、主機層�、系統(tǒng)層、應(yīng)用層和管理制度等多方面建立工業(yè)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)信息安全防護體系����,提高系統(tǒng)整體風(fēng)險防御等級�����,保證整個智能制造系統(tǒng)穩(wěn)定有序的運行��。
工控網(wǎng)絡(luò)安全防護項目建成后,能夠全面提升企業(yè)工控網(wǎng)絡(luò)的整體安全性����,確保設(shè)備、系統(tǒng)��、網(wǎng)絡(luò)的可靠性�����、穩(wěn)定性����,減少人員的工作量,提高安全生產(chǎn)管理水平�����、工作效率和管理效率���。
此次安全防護建設(shè)整體符合國家相關(guān)政策和標準要求����,可實現(xiàn)管理區(qū)和生產(chǎn)區(qū)的縱向邊界防護及控制系統(tǒng)區(qū)域間的隔離,有效避免來自信息網(wǎng)絡(luò)的安全隱患對生產(chǎn)控制網(wǎng)絡(luò)的威脅���,主要實現(xiàn):
?實現(xiàn)生產(chǎn)區(qū)域內(nèi)各業(yè)務(wù)系統(tǒng)之間橫向邏輯隔離和安全防護��,阻止來自區(qū)域之間的越權(quán)訪問���,入侵攻擊和非法訪問;
?安全加固上位機���、工程師站��、各系統(tǒng)服務(wù)器系統(tǒng)����,通過白名單機制構(gòu)建安全基線����,防止病毒木馬、惡意軟件對系統(tǒng)的破壞�;
?實現(xiàn)整體網(wǎng)絡(luò)的安全審計,及時發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象����;
?提高工控網(wǎng)絡(luò)整體防護能力:通過工控網(wǎng)絡(luò)的安全體系建設(shè),使工控生產(chǎn)網(wǎng)絡(luò)可以有效防護內(nèi)部����、外部、惡意代碼����、ATP等攻擊,安全風(fēng)險降低到可控范圍內(nèi)�,減少安全事件的發(fā)生,保護生產(chǎn)網(wǎng)絡(luò)能夠高效�、穩(wěn)定運行,減少因為系統(tǒng)停機帶來的生產(chǎn)損失���;
?安全保護重要信息財產(chǎn):通過工控網(wǎng)絡(luò)安全體系建設(shè)����,可以對工控網(wǎng)絡(luò)內(nèi)重要信息的流轉(zhuǎn)進行管理���,禁止未授權(quán)的存儲介質(zhì)接入和使用�����,保護重要信息�����、文件�、圖紙不會被隨意拷貝和流轉(zhuǎn),降低工控網(wǎng)絡(luò)的泄密風(fēng)險�����;
?統(tǒng)一管理所有工控安全防護設(shè)備及系統(tǒng)�����,降低運維管理成本�;
?工控安全整體規(guī)劃建設(shè),可以使企業(yè)生產(chǎn)控制網(wǎng)絡(luò)更加安全�,通過定期持續(xù)的安全建設(shè)可以不斷降低殘余風(fēng)險,有利地保障企業(yè)工業(yè)生產(chǎn)控制系統(tǒng)安全穩(wěn)定運行�����。
二��、項目結(jié)構(gòu)
根據(jù)承德金承德金隅水泥整體網(wǎng)絡(luò)架構(gòu)����,對工控網(wǎng)絡(luò)實施全方位的網(wǎng)絡(luò)安全防護����。
建設(shè)內(nèi)容:
(1)企業(yè)數(shù)據(jù)倉與工業(yè)控制網(wǎng)部署工業(yè)安全隔離網(wǎng)關(guān)��,實現(xiàn)數(shù)據(jù)信息層與控制系統(tǒng)之間的安全隔離����。
(2)在各DCS系統(tǒng)的操作員站�����、工程師站��、OPC服務(wù)器上安裝工控主機衛(wèi)士��,實現(xiàn)對工控主機的安全防護�����,使其免受病毒����、木馬等威脅。
(3)部署工控審計系統(tǒng)��,實現(xiàn)對控制網(wǎng)絡(luò)的異常流量、異常操作等提供安全審計�����。
三���、項目成果
l邊界隔離
在各DCS系統(tǒng)網(wǎng)絡(luò)出口����,部署工業(yè)安全隔離網(wǎng)關(guān)��,既改善了網(wǎng)絡(luò)架構(gòu),實現(xiàn)分層分區(qū)域,又實現(xiàn)各DCS系統(tǒng)安全域之間的安全防護。
l安全審計
工控安全審計系統(tǒng)的部署可以為承德金隅水泥工控安全提供事前監(jiān)控����、事中記錄、事后審計���。為承德金隅水泥工控網(wǎng)絡(luò)安全事件的追蹤、定位提供有效依據(jù)。
工控安全審計系統(tǒng)正是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品��。實時監(jiān)測工控網(wǎng)絡(luò)的狀態(tài),檢測工控網(wǎng)絡(luò)中入侵行為,根據(jù)用戶定義的審計策略��,追蹤工控網(wǎng)絡(luò)安全事件�����,并對工控網(wǎng)絡(luò)的數(shù)據(jù)進行留存,支持多種工控協(xié)議(OPC、Siemens S7�����、Modbus��、IEC104�����、DNP3 等)的深度解析(DPI)���。采用旁路方式部署���,對生產(chǎn)過程“零影響”�。
l安全計算環(huán)境
承德金隅水泥的DCS系統(tǒng)中工程師站/操作員站/服務(wù)器上部署工控主機衛(wèi)士�����,采用了高效���、穩(wěn)定、兼容����、易于設(shè)置的終端安全防護技術(shù),只允許系統(tǒng)操作或運行受信任的對象(如只允許系統(tǒng)運行白名單內(nèi)的可執(zhí)行程序,只允許系統(tǒng)加載白名單內(nèi)的動態(tài)鏈接庫、驅(qū)動等����,只允許使用白名單內(nèi)的移動存儲介質(zhì))����。它可以很好地適應(yīng)工控環(huán)境相對固定的計算環(huán)境����,并將非法程序(已知和未知的木馬��、病毒等)隔離在可信的計算環(huán)境外��。通過簽名證書的白名單�����,它又能確保經(jīng)過簽名的可信應(yīng)用程序正常升級�、加載和擴展�,避免因軟件升級導(dǎo)致應(yīng)用無法運行的情況發(fā)生����。工控主機安全衛(wèi)士還能對特定的對象(關(guān)鍵文件目錄及應(yīng)用程序���、動態(tài)鏈接庫�����、驅(qū)動文件等)提供保護,有效阻止惡意程序通過不同途徑對關(guān)鍵對象的惡意改變,工控主機衛(wèi)士可以有效解決上述傳統(tǒng)IT殺毒軟件解決不了的問題。
京公網(wǎng)安備11010802042889號