金隅水泥在運營中已經(jīng)應(yīng)用分布式控制系統(tǒng)(DCS)和信息管理系統(tǒng)(MIS),屬于工控自動化系統(tǒng),。因水泥企業(yè)的規(guī)模和產(chǎn)能不一,網(wǎng)絡(luò)建設(shè)情況也不同,,不同情況存在分布式網(wǎng)絡(luò)結(jié)構(gòu)、環(huán)網(wǎng)結(jié)構(gòu)及虛擬化系統(tǒng)等,。
傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品只能針對傳統(tǒng)安全事件生效,而基于工業(yè)控制協(xié)議的安全事件則完全成為盲區(qū),,具有較大的風(fēng)險隱患。金隅水泥需要從網(wǎng)絡(luò)層,、主機(jī)層、系統(tǒng)層,、應(yīng)用層和管理制度等多方面建立工業(yè)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)體系,,提高系統(tǒng)整體風(fēng)險防御等級,保證整個智能制造系統(tǒng)穩(wěn)定有序的運行,。
工控網(wǎng)絡(luò)安全防護(hù)項目建成后,,能夠全面提升企業(yè)工控網(wǎng)絡(luò)的整體安全性,,確保設(shè)備、系統(tǒng),、網(wǎng)絡(luò)的可靠性,、穩(wěn)定性,減少人員的工作量,,提高安全生產(chǎn)管理水平,、工作效率和管理效率。
此次安全防護(hù)建設(shè)整體符合國家相關(guān)政策和標(biāo)準(zhǔn)要求,,可實現(xiàn)管理區(qū)和生產(chǎn)區(qū)的縱向邊界防護(hù)及控制系統(tǒng)區(qū)域間的隔離,,有效避免來自信息網(wǎng)絡(luò)的安全隱患對生產(chǎn)控制網(wǎng)絡(luò)的威脅,,主要實現(xiàn):
?實現(xiàn)生產(chǎn)區(qū)域內(nèi)各業(yè)務(wù)系統(tǒng)之間橫向邏輯隔離和安全防護(hù),,阻止來自區(qū)域之間的越權(quán)訪問,,入侵攻擊和非法訪問,;
?安全加固上位機(jī),、工程師站,、各系統(tǒng)服務(wù)器系統(tǒng),,通過白名單機(jī)制構(gòu)建安全基線,,防止病毒木馬、惡意軟件對系統(tǒng)的破壞,;
?實現(xiàn)整體網(wǎng)絡(luò)的安全審計,及時發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象,;
?提高工控網(wǎng)絡(luò)整體防護(hù)能力:通過工控網(wǎng)絡(luò)的安全體系建設(shè),,使工控生產(chǎn)網(wǎng)絡(luò)可以有效防護(hù)內(nèi)部、外部,、惡意代碼、ATP等攻擊,,安全風(fēng)險降低到可控范圍內(nèi),減少安全事件的發(fā)生,,保護(hù)生產(chǎn)網(wǎng)絡(luò)能夠高效、穩(wěn)定運行,,減少因為系統(tǒng)停機(jī)帶來的生產(chǎn)損失;
?安全保護(hù)重要信息財產(chǎn):通過工控網(wǎng)絡(luò)安全體系建設(shè),,可以對工控網(wǎng)絡(luò)內(nèi)重要信息的流轉(zhuǎn)進(jìn)行管理,,禁止未授權(quán)的存儲介質(zhì)接入和使用,,保護(hù)重要信息、文件,、圖紙不會被隨意拷貝和流轉(zhuǎn),,降低工控網(wǎng)絡(luò)的泄密風(fēng)險,;
?統(tǒng)一管理所有工控安全防護(hù)設(shè)備及系統(tǒng),,降低運維管理成本,;
?工控安全整體規(guī)劃建設(shè),,可以使企業(yè)生產(chǎn)控制網(wǎng)絡(luò)更加安全,,通過定期持續(xù)的安全建設(shè)可以不斷降低殘余風(fēng)險,,有利地保障企業(yè)工業(yè)生產(chǎn)控制系統(tǒng)安全穩(wěn)定運行。
根據(jù)承德金承德金隅水泥整體網(wǎng)絡(luò)架構(gòu),,對工控網(wǎng)絡(luò)實施全方位的網(wǎng)絡(luò)安全防護(hù),。
建設(shè)內(nèi)容:
(1)企業(yè)數(shù)據(jù)倉與工業(yè)控制網(wǎng)部署工業(yè)安全隔離網(wǎng)關(guān),,實現(xiàn)數(shù)據(jù)信息層與控制系統(tǒng)之間的安全隔離,。
(2)在各DCS系統(tǒng)的操作員站,、工程師站,、OPC服務(wù)器上安裝工控主機(jī)衛(wèi)士,實現(xiàn)對工控主機(jī)的安全防護(hù),,使其免受病毒,、木馬等威脅。
(3)部署工控審計系統(tǒng),,實現(xiàn)對控制網(wǎng)絡(luò)的異常流量,、異常操作等提供安全審計,。
l邊界隔離
在各DCS系統(tǒng)網(wǎng)絡(luò)出口,部署工業(yè)安全隔離網(wǎng)關(guān),,既改善了網(wǎng)絡(luò)架構(gòu),,實現(xiàn)分層分區(qū)域,,又實現(xiàn)各DCS系統(tǒng)安全域之間的安全防護(hù),。
l安全審計
工控安全審計系統(tǒng)的部署可以為承德金隅水泥工控安全提供事前監(jiān)控、事中記錄,、事后審計,。為承德金隅水泥工控網(wǎng)絡(luò)安全事件的追蹤、定位提供有效依據(jù)。
工控安全審計系統(tǒng)正是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品,。實時監(jiān)測工控網(wǎng)絡(luò)的狀態(tài),,檢測工控網(wǎng)絡(luò)中入侵行為,,根據(jù)用戶定義的審計策略,,追蹤工控網(wǎng)絡(luò)安全事件,,并對工控網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行留存,,支持多種工控協(xié)議(OPC、Siemens S7,、Modbus,、IEC104、DNP3 等)的深度解析(DPI),。采用旁路方式部署,,對生產(chǎn)過程“零影響”,。
l安全計算環(huán)境
承德金隅水泥的DCS系統(tǒng)中工程師站/操作員站/服務(wù)器上部署工控主機(jī)衛(wèi)士,,采用了高效,、穩(wěn)定、兼容,、易于設(shè)置的終端安全防護(hù)技術(shù),,只允許系統(tǒng)操作或運行受信任的對象(如只允許系統(tǒng)運行白名單內(nèi)的可執(zhí)行程序,只允許系統(tǒng)加載白名單內(nèi)的動態(tài)鏈接庫,、驅(qū)動等,,只允許使用白名單內(nèi)的移動存儲介質(zhì)),。它可以很好地適應(yīng)工控環(huán)境相對固定的計算環(huán)境,,并將非法程序(已知和未知的木馬、病毒等)隔離在可信的計算環(huán)境外,。通過簽名證書的白名單,,它又能確保經(jīng)過簽名的可信應(yīng)用程序正常升級、加載和擴(kuò)展,,避免因軟件升級導(dǎo)致應(yīng)用無法運行的情況發(fā)生,。工控主機(jī)安全衛(wèi)士還能對特定的對象(關(guān)鍵文件目錄及應(yīng)用程序,、動態(tài)鏈接庫、驅(qū)動文件等)提供保護(hù),,有效阻止惡意程序通過不同途徑對關(guān)鍵對象的惡意改變,,工控主機(jī)衛(wèi)士可以有效解決上述傳統(tǒng)IT殺毒軟件解決不了的問題,。
訂閱號
力控小程序
京公網(wǎng)安備11010802042889號