金隅水泥在运营中已经应用分布式控制系统(DCS)和信息管理系统(MIS),属于工控自动化系统。因水泥企业的规模和产能不一,网络建设情况也不同,不同情况存在分布式网络结构、环网结构及虚拟化系统等。
传统的网络安全防护产品只能针对传统安全事件生效,而基于工业控制协议的安全事件则完全成为盲区,具有较大的风险隐患。金隅水泥需要从网络层、主机层、系统层、应用层和管理制度等多方面建立工业生产系统的网络信息安全防护体系,提高系统整体风险防御等级,保证整个智能制造系统稳定有序的运行。
工控网络安全防护项目建成后,能够全面提升企业工控网络的整体安全性,确保设备、系统、网络的可靠性、稳定性,减少人员的工作量,提高安全生产管理水平、工作效率和管理效率。
此次安全防护建设整体符合国家相关政策和标准要求,可实现管理区和生产区的纵向边界防护及控制系统区域间的隔离,有效避免来自信息网络的安全隐患对生产控制网络的威胁,主要实现:
Ø实现生产区域内各业务系统之间横向逻辑隔离和安全防护,阻止来自区域之间的越权访问,入侵攻击和非法访问;
Ø安全加固上位机、工程师站、各系统服务器系统,通过白名单机制构建安全基线,防止病毒木马、恶意软件对系统的破坏;
Ø实现整体网络的安全审计,及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象;
Ø提高工控网络整体防护能力:通过工控网络的安全体系建设,使工控生产网络可以有效防护内部、外部、恶意代码、ATP等攻击,安全风险降低到可控范围内,减少安全事件的发生,保护生产网络能够高效、稳定运行,减少因为系统停机带来的生产损失;
Ø安全保护重要信息财产:通过工控网络安全体系建设,可以对工控网络内重要信息的流转进行管理,禁止未授权的存储介质接入和使用,保护重要信息、文件、图纸不会被随意拷贝和流转,降低工控网络的泄密风险;
Ø统一管理所有工控安全防护设备及系统,降低运维管理成本;
Ø工控安全整体规划建设,可以使企业生产控制网络更加安全,通过定期持续的安全建设可以不断降低残余风险,有利地保障企业工业生产控制系统安全稳定运行。
根据承德金承德金隅水泥整体网络架构,对工控网络实施全方位的网络安全防护。
建设内容:
(1)企业数据仓与工业控制网部署工业安全隔离网关,实现数据信息层与控制系统之间的安全隔离。
(2)在各DCS系统的操作员站、工程师站、OPC服务器上安装工控主机卫士,实现对工控主机的安全防护,使其免受病毒、木马等威胁。
(3)部署工控审计系统,实现对控制网络的异常流量、异常操作等提供安全审计。
l边界隔离
在各DCS系统网络出口,部署工业安全隔离网关,既改善了网络架构,实现分层分区域,又实现各DCS系统安全域之间的安全防护。
l安全审计
工控安全审计系统的部署可以为承德金隅水泥工控安全提供事前监控、事中记录、事后审计。为承德金隅水泥工控网络安全事件的追踪、定位提供有效依据。
工控安全审计系统正是专门为工业控制网络量身打造的工控网络安全产品。实时监测工控网络的状态,检测工控网络中入侵行为,根据用户定义的审计策略,追踪工控网络安全事件,并对工控网络的数据进行留存,支持多种工控协议(OPC、Siemens S7、Modbus、IEC104、DNP3 等)的深度解析(DPI)。采用旁路方式部署,对生产过程“零影响”。
l安全计算环境
承德金隅水泥的DCS系统中工程师站/操作员站/服务器上部署工控主机卫士,采用了高效、稳定、兼容、易于设置的终端安全防护技术,只允许系统操作或运行受信任的对象(如只允许系统运行白名单内的可执行程序,只允许系统加载白名单内的动态链接库、驱动等,只允许使用白名单内的移动存储介质)。它可以很好地适应工控环境相对固定的计算环境,并将非法程序(已知和未知的木马、病毒等)隔离在可信的计算环境外。通过签名证书的白名单,它又能确保经过签名的可信应用程序正常升级、加载和扩展,避免因软件升级导致应用无法运行的情况发生。工控主机安全卫士还能对特定的对象(关键文件目录及应用程序、动态链接库、驱动文件等)提供保护,有效阻止恶意程序通过不同途径对关键对象的恶意改变,工控主机卫士可以有效解决上述传统IT杀毒软件解决不了的问题。
京公网安备11010802042889号