金隅水泥在運營中已經(jīng)應(yīng)用分布式控制系統(tǒng)(DCS)和信息管理系統(tǒng)(MIS),,屬于工控自動化系統(tǒng),。因水泥企業(yè)的規(guī)模和產(chǎn)能不一,,網(wǎng)絡(luò)建設(shè)情況也不同,,不同情況存在分布式網(wǎng)絡(luò)結(jié)構(gòu),、環(huán)網(wǎng)結(jié)構(gòu)及虛擬化系統(tǒng)等,。
傳統(tǒng)的網(wǎng)絡(luò)安全防護產(chǎn)品只能針對傳統(tǒng)安全事件生效,,而基于工業(yè)控制協(xié)議的安全事件則完全成為盲區(qū),,具有較大的風險隱患,。金隅水泥需要從網(wǎng)絡(luò)層、主機層,、系統(tǒng)層,、應(yīng)用層和管理制度等多方面建立工業(yè)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)信息安全防護體系,提高系統(tǒng)整體風險防御等級,,保證整個智能制造系統(tǒng)穩(wěn)定有序的運行,。
工控網(wǎng)絡(luò)安全防護項目建成后,能夠全面提升企業(yè)工控網(wǎng)絡(luò)的整體安全性,,確保設(shè)備,、系統(tǒng),、網(wǎng)絡(luò)的可靠性、穩(wěn)定性,,減少人員的工作量,,提高安全生產(chǎn)管理水平、工作效率和管理效率,。
此次安全防護建設(shè)整體符合國家相關(guān)政策和標準要求,,可實現(xiàn)管理區(qū)和生產(chǎn)區(qū)的縱向邊界防護及控制系統(tǒng)區(qū)域間的隔離,有效避免來自信息網(wǎng)絡(luò)的安全隱患對生產(chǎn)控制網(wǎng)絡(luò)的威脅,,主要實現(xiàn):
?實現(xiàn)生產(chǎn)區(qū)域內(nèi)各業(yè)務(wù)系統(tǒng)之間橫向邏輯隔離和安全防護,,阻止來自區(qū)域之間的越權(quán)訪問,入侵攻擊和非法訪問,;
?安全加固上位機,、工程師站、各系統(tǒng)服務(wù)器系統(tǒng),,通過白名單機制構(gòu)建安全基線,,防止病毒木馬、惡意軟件對系統(tǒng)的破壞,;
?實現(xiàn)整體網(wǎng)絡(luò)的安全審計,,及時發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象;
?提高工控網(wǎng)絡(luò)整體防護能力:通過工控網(wǎng)絡(luò)的安全體系建設(shè),,使工控生產(chǎn)網(wǎng)絡(luò)可以有效防護內(nèi)部,、外部、惡意代碼,、ATP等攻擊,,安全風險降低到可控范圍內(nèi),減少安全事件的發(fā)生,,保護生產(chǎn)網(wǎng)絡(luò)能夠高效,、穩(wěn)定運行,減少因為系統(tǒng)停機帶來的生產(chǎn)損失,;
?安全保護重要信息財產(chǎn):通過工控網(wǎng)絡(luò)安全體系建設(shè),,可以對工控網(wǎng)絡(luò)內(nèi)重要信息的流轉(zhuǎn)進行管理,禁止未授權(quán)的存儲介質(zhì)接入和使用,,保護重要信息,、文件、圖紙不會被隨意拷貝和流轉(zhuǎn),,降低工控網(wǎng)絡(luò)的泄密風險,;
?統(tǒng)一管理所有工控安全防護設(shè)備及系統(tǒng),降低運維管理成本,;
?工控安全整體規(guī)劃建設(shè),,可以使企業(yè)生產(chǎn)控制網(wǎng)絡(luò)更加安全,通過定期持續(xù)的安全建設(shè)可以不斷降低殘余風險,,有利地保障企業(yè)工業(yè)生產(chǎn)控制系統(tǒng)安全穩(wěn)定運行,。
根據(jù)承德金承德金隅水泥整體網(wǎng)絡(luò)架構(gòu),,對工控網(wǎng)絡(luò)實施全方位的網(wǎng)絡(luò)安全防護,。
建設(shè)內(nèi)容:
(1)企業(yè)數(shù)據(jù)倉與工業(yè)控制網(wǎng)部署工業(yè)安全隔離網(wǎng)關(guān),實現(xiàn)數(shù)據(jù)信息層與控制系統(tǒng)之間的安全隔離,。
(2)在各DCS系統(tǒng)的操作員站,、工程師站、OPC服務(wù)器上安裝工控主機衛(wèi)士,,實現(xiàn)對工控主機的安全防護,,使其免受病毒、木馬等威脅,。
(3)部署工控審計系統(tǒng),,實現(xiàn)對控制網(wǎng)絡(luò)的異常流量、異常操作等提供安全審計,。
l邊界隔離
在各DCS系統(tǒng)網(wǎng)絡(luò)出口,部署工業(yè)安全隔離網(wǎng)關(guān),,既改善了網(wǎng)絡(luò)架構(gòu),,實現(xiàn)分層分區(qū)域,又實現(xiàn)各DCS系統(tǒng)安全域之間的安全防護,。
l安全審計
工控安全審計系統(tǒng)的部署可以為承德金隅水泥工控安全提供事前監(jiān)控,、事中記錄、事后審計,。為承德金隅水泥工控網(wǎng)絡(luò)安全事件的追蹤,、定位提供有效依據(jù)。
工控安全審計系統(tǒng)正是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品,。實時監(jiān)測工控網(wǎng)絡(luò)的狀態(tài),,檢測工控網(wǎng)絡(luò)中入侵行為,根據(jù)用戶定義的審計策略,,追蹤工控網(wǎng)絡(luò)安全事件,,并對工控網(wǎng)絡(luò)的數(shù)據(jù)進行留存,支持多種工控協(xié)議(OPC,、Siemens S7,、Modbus、IEC104,、DNP3 等)的深度解析(DPI),。采用旁路方式部署,,對生產(chǎn)過程“零影響”。
l安全計算環(huán)境
承德金隅水泥的DCS系統(tǒng)中工程師站/操作員站/服務(wù)器上部署工控主機衛(wèi)士,,采用了高效,、穩(wěn)定、兼容,、易于設(shè)置的終端安全防護技術(shù),,只允許系統(tǒng)操作或運行受信任的對象(如只允許系統(tǒng)運行白名單內(nèi)的可執(zhí)行程序,只允許系統(tǒng)加載白名單內(nèi)的動態(tài)鏈接庫,、驅(qū)動等,,只允許使用白名單內(nèi)的移動存儲介質(zhì))。它可以很好地適應(yīng)工控環(huán)境相對固定的計算環(huán)境,,并將非法程序(已知和未知的木馬,、病毒等)隔離在可信的計算環(huán)境外。通過簽名證書的白名單,,它又能確保經(jīng)過簽名的可信應(yīng)用程序正常升級,、加載和擴展,避免因軟件升級導(dǎo)致應(yīng)用無法運行的情況發(fā)生,。工控主機安全衛(wèi)士還能對特定的對象(關(guān)鍵文件目錄及應(yīng)用程序,、動態(tài)鏈接庫、驅(qū)動文件等)提供保護,,有效阻止惡意程序通過不同途徑對關(guān)鍵對象的惡意改變,,工控主機衛(wèi)士可以有效解決上述傳統(tǒng)IT殺毒軟件解決不了的問題。
訂閱號
力控小程序
京公網(wǎng)安備11010802042889號