現(xiàn)狀分析
客戶案例
CASE
某煉油廠工控系統(tǒng)安全加固
石油化工企業(yè)是典型的資金和技術(shù)密集型企業(yè),生產(chǎn)的連續(xù)性很強,裝置和重要設備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失,因此生產(chǎn)過程控制大多采用DCS 等先進的控制系統(tǒng)。
所屬分類:
詳細描述
石油化工企業(yè)是典型的資金和技術(shù)密集型企業(yè),生產(chǎn)的連續(xù)性很強,裝置和重要設備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失,因此生產(chǎn)過程控制大多采用DCS 等先進的控制系統(tǒng)。石化企業(yè)信息化與其它行業(yè)相比有一個突出特點,就是以管控一體化為重點這是由石化行業(yè)自身的特點決定的,并具有一定的時代特點。
目前,某煉油廠工業(yè)控制環(huán)境系統(tǒng)包含廠區(qū)和分廠區(qū)。各廠的信息化建設已經(jīng)有了較好的基礎,企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力,生產(chǎn)執(zhí)行的實時性、完整性和一致性都有一定的基礎,已經(jīng)建立并實現(xiàn)了三層架構(gòu)的管控一體化信息體系。
基于該廠當前的這種結(jié)構(gòu),控制網(wǎng)絡采用基于TCP(UDP)/IP協(xié)議的以太網(wǎng)通信技術(shù),使用OPC等開放接口組成數(shù)據(jù)采集網(wǎng)。當前的生產(chǎn)環(huán)境的先進性毋庸置疑但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加了。工控系統(tǒng)存在的安全問題主要有:
1.不同業(yè)務系統(tǒng)之間未做邊界隔離防護。
此數(shù)采網(wǎng)中各個系統(tǒng)與骨干傳輸網(wǎng)之間、數(shù)據(jù)傳輸網(wǎng)與數(shù)據(jù)中心機房之間未做未做到有效隔離。并且,由于傳輸距離大的問題,中繼和接口轉(zhuǎn)換的需求數(shù)據(jù)傳輸?shù)母删€上存在多個不同型號的交換機和光電轉(zhuǎn)換設備;為了實現(xiàn)連接的便利,匯聚交換交叉連接,一旦網(wǎng)中的一個子系統(tǒng)或者主機感染病毒或木馬,可能迅速感染整個工控網(wǎng)及數(shù)據(jù)中心機房,進而影響到整個網(wǎng)絡的安全運行。
2.分區(qū)不合理。
工業(yè)系統(tǒng)中各個區(qū)域必須明確分工,緊密合作,如果安全分區(qū)不合理,雖然可能在生產(chǎn)控制流程上可以實現(xiàn),但很可能因此出現(xiàn)一些非必要的連接存在,會導致病毒、木馬等通過這些非必要連接進行跨區(qū)域、跨業(yè)務的傳染,且難以進行故障定位和排查。
3.系統(tǒng)各個控制站之間的互相感染隱患。
DCS、PLC的工程師站兼OPC服務、操作員站、都在同一個網(wǎng)絡中,一般與上層數(shù)采網(wǎng)無隔離防護,如果僅僅從管理角度,采取通過規(guī)章制度限制移動介質(zhì)接入而減少外部感染,不在網(wǎng)絡內(nèi)部采取有效防護措施的話,控制系統(tǒng)內(nèi)部控制站之間可能會相互感染,甚至導致系統(tǒng)停運。
4.工作站主機未做安全防護。
控制系統(tǒng)的操作站和OPC服務器采用了Windows 7或XP操作系統(tǒng),工業(yè)計算機先天的環(huán)境限制,系統(tǒng)長期不更新導致大量漏洞存在,但相關人員并不掌握,也無嚴格的U盤管控,導致可能通過U盤傳入病毒,存在較高的安全隱患。
方案簡述
基于當前的實際情況,建議煉油廠工控網(wǎng)系統(tǒng)安全防護的方法如下:
1.在各系統(tǒng)邊界、調(diào)控中心匯聚節(jié)點上設置有效的防護措施,實現(xiàn)邊界隔離。
2.系統(tǒng)關鍵工控系統(tǒng)之間加裝合理有效的安全防護措施,實現(xiàn)域間隔離。
另外,該廠工業(yè)系統(tǒng)要通過等級保護評審需求,那么按照等保標準要求現(xiàn)有的控制系統(tǒng)應具備的基本安全保護能力要求(具體設計目標)如下:
應具有能夠?qū)箒碜源笮偷摹⒂薪M織的團體(如一個商業(yè)情報組織或犯罪組織等),擁有較為豐富資源(包括人員能力、計算能力等)的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難(災難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣(地區(qū)性)等)以及其它相當危害程度(內(nèi)部人員的惡意威脅、設備的較嚴重故障等)威脅的能力,并在威脅發(fā)生后,能夠較快恢復絕大部分功能。
煉油廠信息安全需求可以從管理層、物理層、網(wǎng)絡層、系統(tǒng)層、應用層等方面加以強化。
1.在安全管理方面,要考慮政策、法規(guī)、制度、管理權(quán)限、級別劃分、安全域劃分、責任認定、安全培訓等,制定切實有效的管理制度和運行維護機制,建設支撐安全管理的技術(shù)支撐體系;
2.在物理安全方面,要根據(jù)實際情況建立相應的安全防護機制;
3.在網(wǎng)絡安全方面,要解決石化企業(yè)的安全域劃分和邏輯隔離,實現(xiàn)縱深的防御體系;對各個安全域,要防范黑客入侵、身份冒充、非法訪問;要解決信息在安全域間傳輸時的完整性、可用性、保密性問題;要解決移動接入用戶身份鑒別和安全傳輸?shù)葐栴};
4.在系統(tǒng)安全方面,要解決終端設備系統(tǒng)安全、數(shù)據(jù)庫安全、病毒及惡意代碼防范等問題:
5.從應用安全需求進行分析,要實現(xiàn)全網(wǎng)統(tǒng)一的身份鑒別和授權(quán)訪問機制;要解決重要終端用戶敏感信息和數(shù)據(jù)的完整性、可用性、保密性問題,數(shù)據(jù)的訪問控制等問題。
案例價值
通過加強生產(chǎn)管理,可以實現(xiàn)管理與生產(chǎn)過程控制的融合,通過優(yōu)化調(diào)度、先進控制和優(yōu)化控制等手段,在保證生產(chǎn)平穩(wěn)的基礎上獲取更大的經(jīng)濟效益。在不同安全區(qū)之間部署工業(yè)防火墻,有效的過濾來在現(xiàn)場層的威脅,同時也防御傳輸?shù)闹欣^線路上的入侵,最重要的是實現(xiàn)了各 DCS 系統(tǒng)間的域間隔離。
相關案例
油煉化及石油化工行業(yè)是工業(yè)控制系統(tǒng)普及度較高的行業(yè)之一,同時也是對工業(yè)控制系統(tǒng)的穩(wěn)定性和控制策略復雜性要求很高的行業(yè)。
查看詳情
石油化工企業(yè)是典型的資金和技術(shù)密集型企業(yè),生產(chǎn)的連續(xù)性很強,裝置和重要設備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失,因此生產(chǎn)過程控制大多采用DCS 等先進的控制系統(tǒng)。
查看詳情
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,越來越多的工業(yè)控制系統(tǒng)進行數(shù)字化、信息化、網(wǎng)絡化改造,但由于工控設備的操作系統(tǒng)較為老舊,且升級更新周期長,眾多工控系統(tǒng)存在安全漏洞,易被惡意病毒或代碼感染,脆弱性高,工控安全防護急需加強。
查看詳情
電力工業(yè)控制系統(tǒng)作為國家關鍵基礎設施的一部分,其安全與否關系到國家安全和社會穩(wěn)定,對網(wǎng)絡入侵行為和網(wǎng)絡攻擊技術(shù)進行研究,也是確保電力工控系統(tǒng)網(wǎng)絡安全的關鍵。
查看詳情在線留言
注:請正確填寫以上信息,以便我們能第一時間將處理結(jié)果反饋給您!
關注我們
© COPYRIGHT 2024 西安創(chuàng)慧航天智能科技有限公司 | 網(wǎng)站建設:中企動力 西安
SAF Coolest v1.3 設置面板 VDOSD-ZGUU-SAASE-ZSQ
圖片ALT信息: 西安創(chuàng)慧航天智能科技有限公司
違禁詞: 第一,最,一流,領先,獨一無二,王者,龍頭,領導者,極致,
無數(shù)據(jù)提示
Sorry,當前欄目暫無內(nèi)容!
您可以查看其他欄目或返回 首頁