背景概述
解決方案
SOLUTION
煤炭
煤炭行業解決方案
——
煤炭行業是中國能源工業發展的主要支柱,它主要涉及煤炭的開采、加工、運輸和使用等環節。開采方式采用煤炭掘進機、皮帶以及其他技術將煤炭從地下運出,然后將原煤輸送到選煤廠,利用煤炭和矸石物理、化學性質差異,將煤和雜質分離出來,加工成商品煤,最終輸送到電廠、化工廠、鋼廠等進行有效的應用。目前煤礦生產系統逐步實現數字化礦山的改造和建設,但是網絡安全建設依舊沒有跟上信息化建設的步伐。現場工業網絡目前可以實現正常的通訊,滿足基本生產運行,但工控安全防護設備較少,一旦出現問題,可能會影響生產運行,后果不堪設想。
解決方案
安全管理體系方面,通過制定和完善工控網絡安全管理制度,形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度保障體系,做到有章可循、有法可依、人人有責的工控網絡和系統安全建設格局。安全制度管理結合煤炭企業網絡安全管理工作現狀,制定工控安全管理制度。
技術設計和網絡防護方面:
(1) 進行安全隔離:
在控制層與生產執行層之部署工業防火墻。煤礦現場控制層可能受到非法的網絡訪問和惡意代碼的入侵,影響控制器的正常工作。在煤礦控制層與生產執行層間部署能夠識別工控協議的工業防火墻產品,將煤礦控制層與生產執行層進行邏輯隔離,并設置嚴格的訪問控制策略,通基于IP、端口、協議等的訪問控制設置,杜絕控制系統的非法訪問,隔離網絡攻擊和病毒(包含工業病毒)的跨區域的串擾,保護工業網的安全運行。邊界在防護產品通常以串接方式接入,部署在工控以太網與企業管理網絡之間、工廠的不同區域之間,或者控制層與現場設備層之間。通過一定的訪問控制策略,對工控系統邊界、工控系統內部區域邊界進行保護。
(2) 對數據進行檢測審計:
外部網絡流量需要由執行層進入控制層,進入控制層后沒有流量檢測裝置,無法判斷外部流量生產控制層的是否存在異常網絡攻擊、惡意代碼等。在控制層和生產執行層邊界交換機旁路部署工控審計,對進行控制系統的流量進行收集、分析和檢測,實時監測外部流入的流量是否存在可能導致控制系統異常的攻擊行為和惡意代碼。部署在過程監控層與過程控制層之間的交換機上的監測引擎通過鏡像接口分析DCS系統中的網絡流量,及時發現網絡流量或設備的異常情況并告警,通常不會主動阻斷通信,產品自身的故障不會直接影響工控系統的正常運行。
(3) 對主機端點做防護:
在煤礦控制系統的操作員站和工程師站部署主機防護軟件,使用“白名單”技術固化工程師站和操作員站所能夠運行的應用軟件,惡意代碼軟件、違規軟件無法在工程師站和操作員站運行,保護工程師站和操作員站不受惡意代碼的破壞,能夠安全穩定運行。通過對主機接口的管理,防止外設在主機上隨意使用。
(4) 進行統一管理:
在控制層部署統一監管平臺,對所使用的安全產品進行統一管理,主要包括數據監測、日志收集和報警展示,通過使用統一監管平臺可以大大降低運維管理的工作難度和工作量。
架構圖
客戶價值
煤炭企業通過對工控網絡進行安全防護,即滿足了信息安全技術防護體系,信息安全管理體系,《工業控制系統信息安全防護指南》和《信息安全技術網絡安全等級保護基本要求》等國家合規法律要求,也提高了企業的經濟效益,促進煤炭行業的科技進步和科技創新,推動行業的轉型升級。
關注我們