1
项目背景
某化工企业建于2009年,位于某市工业新区,占地近百亩,年设计产量20万吨,是生产酚醛树脂、氯碱为主的专业厂家。公司产品广泛应用于耐火材料、摩擦材料、磨具磨料、保温材料等行业。公司拥有成熟的自动化生产设备和先进的生产工艺,由于较早建立的工控系统没有与外网进行信息交互的需求,建设之初较少考虑信息安全问题。随着"两化融合"、"互联网+"、"工业4.0"等概念的推进,工控系统与互联网的信息交互变得越来越密切,系统中隐藏的风险、漏洞日益显著,给企业的安全生产带来了巨大挑战。
2
项目介绍
该化工企业的工业生产控制系统主要包括:电石装置系统、变电综合自动化系统、氯碱电解系统、氯碱聚合、氯碱氯乙烯DCS系统、树脂烧碱DCS系统、树脂聚合DCS系统、糊树脂DCS系统、树脂氯乙烯DCS系统等11套综合自动化系统。
目前工控系统亟待解决问题:
1.工业控制系统与外网通信面临外部攻击入侵风险,工业控制系统间通信存在病毒外溢和蔓延风险。
2.工控主机、服务器无法抵御黑客、病毒、恶意代码对工控网络与应用系统的破坏和攻击。
3.各工业系统之间可以任意访问,对核心技术和工艺缺乏保护。
4.工控系统网络单链路架构在遭受攻击和破坏后无法保障业务正常运行。
5.各系统联动联调能力不足、数据无法实现协同,容易形成“孤岛”。
3
项目目标
珞安科技依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》等政策标准以及客户对工业控制网络系统的安全建设的需求,进行工控网络的整改建设,使工控网络系统安全防护得到提升,同时达到《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)等级保护3级相关要求。
通过对企业生产控制系统进行整体安全防护建设,实现抵御黑客、病毒、恶意代码对工控网络与应用系统的破坏和攻击,阻止内部人员的非法访问,在遭受攻击和破坏后能及时恢复系统的能力,提高关键业务数据的可用性、机密性、完整性。
4
解决方案
区域边界安全
网络边界部署工业防火墙,运用工控威胁特征识别技术、机器自学习与可信白名单技术,深度识别S7、Modbus、DNP3等工控协议,建立安全检测模型,并提供对常规的攻击防护和访问控制功能,有效抵御各类针对工控系统的网络攻击和恶意破坏。
流量安全审计
部署工控安全审计系统,通过黑名单、白名单、自定义规则等多种安全策略,深度解析Modbus TCP、OPC、Siemens S7等工控协议,实时监测工控网络中违规访问的异常行为,为事后取证和溯源分析提供依据。
运维操作审计
部署运维安全审计系统,运用技术手段监控和记录运维人员对服务器、网络设备、安全设备、数据库等设备的操作行为,实现单点登录和运维操作审计,解决账号共享、授权模糊的问题,提升运维管理手段。
安全集中管控
部署工控集中安全管理系统,对工业防火墙、工控安全审计系统、主机安全加固等设备和软件进行集中管理,提供统一的策略配置接口,监控设备的运行状态、收集事件记录和威胁日志等关键信息,对工控网络内的安全威胁进行分析,消除安全孤岛,从整体视角进行安全事件分析、安全攻击溯源。
终端主机加固
部署主机安全加固系统,通过白名单一键固化,全盘扫描可执行程序并形成白名单库,对未知病毒免疫,另结合身份认证、进程管理、移动存储设备管理功能,弥补传统杀毒设备在工控现场的安全短板,提升工控网络中终端、服务器的安全保护能力。
5
方案价值
5.1
高度适配—确保主机安全
满足主流操作系统,广泛工业应用组件的高度适配与兼容,确保主机加固软件更好地保护业务主机安全运行。
5.2
双链路运行—保障业务稳定
解决网络单链路问题,保障网络可靠性,避免单点故障风险,提升网络容灾能力。
5.3
资产梳理—消除潜在风险
资产梳理,识别潜在风险,对系统的安全漏洞进行修复、消除配置隐患。
原文始发于微信公众号(珞安科技):典型案例 |某化工企业工控网络安全加固项目
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论