现状分析
客户案例
CASE
某煤化公司工业网络安全体系部署方案
煤化工工业控制系统主要有集散控制系统(DCS)、安全仪表系统(SIS)、可燃/有毒气体检测报警系统(FGS)、可编程逻辑控制器(PLC)、机组专用检测和控制系统(ITCC)、管理信息系统(MIS)和工业电视监控系统(CCTV)等。
所属分类:
详细描述
煤化公司是一家集煤、油、化、电综合转化利用的大型能源企业。从事煤制甲醇、醋酸、乙醇等煤化工产品的生产、加工和销售。该公司有多个生产中心和职能部门,并管理多个下属单位,化工规模不断扩大。
煤化公司生产控制网络纵向划分为 4 层,网络结构为:公司办公管理网络区、工厂实时数据网络区:中央控制室管理控制网络、工业生产DCS 控制系统信息网络、SIS 安全仪表系统信息网络。整体生产装置采用控制分散、操作和管理集中、多层分级、合作自治的结构形式,系统间的互联和通信采用冗余技术 AB 网结构。生产装置区分为完整的煤化工生产控制系统和公用工程工业控制系统。该煤化公司工业信息系统运行情况主要问题体现有:
1. 工业网络设施可以保证日常生产运行,但欠缺专业信息安全防护设备,生产系统内暂无部署针对工业安全防护和监测的基础设施,存在一定的工业网信息安全隐患,为后续等保测评及智能工厂建设带来风险;
2. 由于现有各装置建设周期和选用设备不同,各系统之间存在多种品牌控制器,设备的漏洞防护和评估较滞后;
3. 除生产基础数据实时采集外,设备的静态与动态数据未实现信息化,对设备资产管理存在重大挑战:
4. 为维护网络安全,全面推进工控信息系统网络安全建设工作,落实国家网络安全要求和企业安全责任和避免网络安全隐患和网络安全事件发生,以及对关键信息基础设施的安全自查工作,须明确问题,制定网络安全建设整体规划,计划对办公网、工业主机、工业网络和工控系统进行有效的安全防护/改造建设,使其满足相关国家法规及《工业控制系统信息安全指南》《信息安全技术 网络安全等级保护基本要求》等标准文件对工业控制系统网络安全建设要求。
方案简述
基于企业信息化安全和煤化行业工业控制系统信息安全防护的实际需求出发,参照信息安全等级保护的思想,以工业互联网、化工生产装置的安全、稳定、可靠运行为核心,综合运用边界防护、访问控制、主机安全等技术手段,有效整合不同层面的安全技术,为该厂信息网络系统设计和建设标准的安全防护体系。
遵照“安全分区、纵深防护、统一监控、态势感知”的综合防御体系概念,利用工业防火墙、工业审计、工业主机系统防护软件、监管平台、隔离网闸、态势感知系统等安全隔离和科学运维设备,针对煤化公司的信息网络结构,设计安全防护方案实现网络接入、现场工业网络边界和域间安全防护与隔离、运维管理手段。
- 部署边界隔离网闸,做好内部生产装置网络和数据的安全防护,避免非法访问和恶意攻击;保护生产网与办公网的边界,阻止来自安全区域外的安全威胁。
- 部署区域隔离防火墙,做好区域隔离,保护安全区域的边界,阻止来自安全区域外的安全威胁,避免非法访问和工业漏洞防护。
- 部署工业主机防护软件,保护工业上位机,下位机,服务器、接口机等系统的保护和USB 存储管理,有效阻止病毒、木马等恶意进程执行。
- 部署工业审计系统,实现工业网数据实时监测、入侵检测、实时告警、安全审计、异常记录和事件回溯分析等
- 部署工业监管平台,对工业网安全设备统一管理、配置、部署,检测工业网的通信流量和安全事件,威胁分析消除安全孤岛。
- 部署态势感知系统,有效完成工业数据安全态势分析、安全资产管理、安全态势监测预警、威胁实时告警、追踪溯源、综合分析等。
该方案满足《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)防护要求的通用要求及工业控制系统扩展要求中对网络架构、通信传输、边界防护、访问控制、入侵防范等内容的要求。
案例价值
通过网络安全防护系统的建设,建立网络安全防护体系,并达到《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019 标准文件对工控网络防护建设要求,帮助企业通过等级保护测评并建立安全防护体系制度。提高煤化公司的网络与信息安全防护水平,降低企业信息安全风险。
相关案例
在线留言
注:请正确填写以上信息,以便我们能第一时间将处理结果反馈给您!
关注我们