金隅水泥在運(yùn)營(yíng)中已經(jīng)應(yīng)用分布式控制系統(tǒng)(DCS)和信息管理系統(tǒng)(MIS),屬于工控自動(dòng)化系統(tǒng),。因水泥企業(yè)的規(guī)模和產(chǎn)能不一,,網(wǎng)絡(luò)建設(shè)情況也不同,不同情況存在分布式網(wǎng)絡(luò)結(jié)構(gòu),、環(huán)網(wǎng)結(jié)構(gòu)及虛擬化系統(tǒng)等,。
傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品只能針對(duì)傳統(tǒng)安全事件生效,,而基于工業(yè)控制協(xié)議的安全事件則完全成為盲區(qū),,具有較大的風(fēng)險(xiǎn)隱患,。金隅水泥需要從網(wǎng)絡(luò)層、主機(jī)層,、系統(tǒng)層,、應(yīng)用層和管理制度等多方面建立工業(yè)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)體系,提高系統(tǒng)整體風(fēng)險(xiǎn)防御等級(jí),,保證整個(gè)智能制造系統(tǒng)穩(wěn)定有序的運(yùn)行,。
工控網(wǎng)絡(luò)安全防護(hù)項(xiàng)目建成后,能夠全面提升企業(yè)工控網(wǎng)絡(luò)的整體安全性,確保設(shè)備,、系統(tǒng),、網(wǎng)絡(luò)的可靠性、穩(wěn)定性,,減少人員的工作量,,提高安全生產(chǎn)管理水平,、工作效率和管理效率,。
此次安全防護(hù)建設(shè)整體符合國(guó)家相關(guān)政策和標(biāo)準(zhǔn)要求,可實(shí)現(xiàn)管理區(qū)和生產(chǎn)區(qū)的縱向邊界防護(hù)及控制系統(tǒng)區(qū)域間的隔離,,有效避免來(lái)自信息網(wǎng)絡(luò)的安全隱患對(duì)生產(chǎn)控制網(wǎng)絡(luò)的威脅,,主要實(shí)現(xiàn):
?實(shí)現(xiàn)生產(chǎn)區(qū)域內(nèi)各業(yè)務(wù)系統(tǒng)之間橫向邏輯隔離和安全防護(hù),阻止來(lái)自區(qū)域之間的越權(quán)訪問(wèn),,入侵攻擊和非法訪問(wèn),;
?安全加固上位機(jī)、工程師站,、各系統(tǒng)服務(wù)器系統(tǒng),,通過(guò)白名單機(jī)制構(gòu)建安全基線,防止病毒木馬,、惡意軟件對(duì)系統(tǒng)的破壞,;
?實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全審計(jì),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象,;
?提高工控網(wǎng)絡(luò)整體防護(hù)能力:通過(guò)工控網(wǎng)絡(luò)的安全體系建設(shè),,使工控生產(chǎn)網(wǎng)絡(luò)可以有效防護(hù)內(nèi)部、外部,、惡意代碼,、ATP等攻擊,安全風(fēng)險(xiǎn)降低到可控范圍內(nèi),,減少安全事件的發(fā)生,,保護(hù)生產(chǎn)網(wǎng)絡(luò)能夠高效、穩(wěn)定運(yùn)行,,減少因?yàn)橄到y(tǒng)停機(jī)帶來(lái)的生產(chǎn)損失,;
?安全保護(hù)重要信息財(cái)產(chǎn):通過(guò)工控網(wǎng)絡(luò)安全體系建設(shè),可以對(duì)工控網(wǎng)絡(luò)內(nèi)重要信息的流轉(zhuǎn)進(jìn)行管理,,禁止未授權(quán)的存儲(chǔ)介質(zhì)接入和使用,,保護(hù)重要信息、文件,、圖紙不會(huì)被隨意拷貝和流轉(zhuǎn),,降低工控網(wǎng)絡(luò)的泄密風(fēng)險(xiǎn);
?統(tǒng)一管理所有工控安全防護(hù)設(shè)備及系統(tǒng),降低運(yùn)維管理成本,;
?工控安全整體規(guī)劃建設(shè),,可以使企業(yè)生產(chǎn)控制網(wǎng)絡(luò)更加安全,通過(guò)定期持續(xù)的安全建設(shè)可以不斷降低殘余風(fēng)險(xiǎn),,有利地保障企業(yè)工業(yè)生產(chǎn)控制系統(tǒng)安全穩(wěn)定運(yùn)行,。
根據(jù)承德金承德金隅水泥整體網(wǎng)絡(luò)架構(gòu),,對(duì)工控網(wǎng)絡(luò)實(shí)施全方位的網(wǎng)絡(luò)安全防護(hù),。
建設(shè)內(nèi)容:
(1)企業(yè)數(shù)據(jù)倉(cāng)與工業(yè)控制網(wǎng)部署工業(yè)安全隔離網(wǎng)關(guān),實(shí)現(xiàn)數(shù)據(jù)信息層與控制系統(tǒng)之間的安全隔離,。
(2)在各DCS系統(tǒng)的操作員站,、工程師站、OPC服務(wù)器上安裝工控主機(jī)衛(wèi)士,,實(shí)現(xiàn)對(duì)工控主機(jī)的安全防護(hù),,使其免受病毒、木馬等威脅,。
(3)部署工控審計(jì)系統(tǒng),,實(shí)現(xiàn)對(duì)控制網(wǎng)絡(luò)的異常流量、異常操作等提供安全審計(jì),。
l邊界隔離
在各DCS系統(tǒng)網(wǎng)絡(luò)出口,部署工業(yè)安全隔離網(wǎng)關(guān),,既改善了網(wǎng)絡(luò)架構(gòu),,實(shí)現(xiàn)分層分區(qū)域,又實(shí)現(xiàn)各DCS系統(tǒng)安全域之間的安全防護(hù),。
l安全審計(jì)
工控安全審計(jì)系統(tǒng)的部署可以為承德金隅水泥工控安全提供事前監(jiān)控,、事中記錄、事后審計(jì),。為承德金隅水泥工控網(wǎng)絡(luò)安全事件的追蹤,、定位提供有效依據(jù)。
工控安全審計(jì)系統(tǒng)正是專(zhuān)門(mén)為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品,。實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的狀態(tài),,檢測(cè)工控網(wǎng)絡(luò)中入侵行為,根據(jù)用戶定義的審計(jì)策略,,追蹤工控網(wǎng)絡(luò)安全事件,,并對(duì)工控網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行留存,支持多種工控協(xié)議(OPC,、Siemens S7,、Modbus,、IEC104、DNP3 等)的深度解析(DPI),。采用旁路方式部署,,對(duì)生產(chǎn)過(guò)程“零影響”。
l安全計(jì)算環(huán)境
承德金隅水泥的DCS系統(tǒng)中工程師站/操作員站/服務(wù)器上部署工控主機(jī)衛(wèi)士,,采用了高效,、穩(wěn)定、兼容,、易于設(shè)置的終端安全防護(hù)技術(shù),,只允許系統(tǒng)操作或運(yùn)行受信任的對(duì)象(如只允許系統(tǒng)運(yùn)行白名單內(nèi)的可執(zhí)行程序,只允許系統(tǒng)加載白名單內(nèi)的動(dòng)態(tài)鏈接庫(kù),、驅(qū)動(dòng)等,,只允許使用白名單內(nèi)的移動(dòng)存儲(chǔ)介質(zhì)),。它可以很好地適應(yīng)工控環(huán)境相對(duì)固定的計(jì)算環(huán)境,,并將非法程序(已知和未知的木馬、病毒等)隔離在可信的計(jì)算環(huán)境外,。通過(guò)簽名證書(shū)的白名單,,它又能確保經(jīng)過(guò)簽名的可信應(yīng)用程序正常升級(jí)、加載和擴(kuò)展,,避免因軟件升級(jí)導(dǎo)致應(yīng)用無(wú)法運(yùn)行的情況發(fā)生,。工控主機(jī)安全衛(wèi)士還能對(duì)特定的對(duì)象(關(guān)鍵文件目錄及應(yīng)用程序、動(dòng)態(tài)鏈接庫(kù),、驅(qū)動(dòng)文件等)提供保護(hù),,有效阻止惡意程序通過(guò)不同途徑對(duì)關(guān)鍵對(duì)象的惡意改變,工控主機(jī)衛(wèi)士可以有效解決上述傳統(tǒng)IT殺毒軟件解決不了的問(wèn)題,。
ForceCon+工業(yè)軟件賦能數(shù)字工業(yè)
訂閱號(hào)
力控小程序
京公網(wǎng)安備11010802042889號(hào)