一����、項(xiàng)目概況
金隅水泥在運(yùn)營(yíng)中已經(jīng)應(yīng)用分布式控制系統(tǒng)(DCS)和信息管理系統(tǒng)(MIS),屬于工控自動(dòng)化系統(tǒng)�。因水泥企業(yè)的規(guī)模和產(chǎn)能不一���,網(wǎng)絡(luò)建設(shè)情況也不同,不同情況存在分布式網(wǎng)絡(luò)結(jié)構(gòu)��、環(huán)網(wǎng)結(jié)構(gòu)及虛擬化系統(tǒng)等����。
傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品只能針對(duì)傳統(tǒng)安全事件生效�,而基于工業(yè)控制協(xié)議的安全事件則完全成為盲區(qū)���,具有較大的風(fēng)險(xiǎn)隱患。金隅水泥需要從網(wǎng)絡(luò)層���、主機(jī)層���、系統(tǒng)層��、應(yīng)用層和管理制度等多方面建立工業(yè)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)體系���,提高系統(tǒng)整體風(fēng)險(xiǎn)防御等級(jí)�,保證整個(gè)智能制造系統(tǒng)穩(wěn)定有序的運(yùn)行。
工控網(wǎng)絡(luò)安全防護(hù)項(xiàng)目建成后�����,能夠全面提升企業(yè)工控網(wǎng)絡(luò)的整體安全性,確保設(shè)備��、系統(tǒng)�����、網(wǎng)絡(luò)的可靠性�、穩(wěn)定性�����,減少人員的工作量����,提高安全生產(chǎn)管理水平�、工作效率和管理效率。
此次安全防護(hù)建設(shè)整體符合國(guó)家相關(guān)政策和標(biāo)準(zhǔn)要求�,可實(shí)現(xiàn)管理區(qū)和生產(chǎn)區(qū)的縱向邊界防護(hù)及控制系統(tǒng)區(qū)域間的隔離����,有效避免來自信息網(wǎng)絡(luò)的安全隱患對(duì)生產(chǎn)控制網(wǎng)絡(luò)的威脅����,主要實(shí)現(xiàn):
?實(shí)現(xiàn)生產(chǎn)區(qū)域內(nèi)各業(yè)務(wù)系統(tǒng)之間橫向邏輯隔離和安全防護(hù),阻止來自區(qū)域之間的越權(quán)訪問�����,入侵攻擊和非法訪問�����;
?安全加固上位機(jī)、工程師站�、各系統(tǒng)服務(wù)器系統(tǒng)����,通過白名單機(jī)制構(gòu)建安全基線���,防止病毒木馬、惡意軟件對(duì)系統(tǒng)的破壞����;
?實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全審計(jì)����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象;
?提高工控網(wǎng)絡(luò)整體防護(hù)能力:通過工控網(wǎng)絡(luò)的安全體系建設(shè)����,使工控生產(chǎn)網(wǎng)絡(luò)可以有效防護(hù)內(nèi)部、外部、惡意代碼�、ATP等攻擊,安全風(fēng)險(xiǎn)降低到可控范圍內(nèi),減少安全事件的發(fā)生���,保護(hù)生產(chǎn)網(wǎng)絡(luò)能夠高效����、穩(wěn)定運(yùn)行�,減少因?yàn)橄到y(tǒng)停機(jī)帶來的生產(chǎn)損失��;
?安全保護(hù)重要信息財(cái)產(chǎn):通過工控網(wǎng)絡(luò)安全體系建設(shè),可以對(duì)工控網(wǎng)絡(luò)內(nèi)重要信息的流轉(zhuǎn)進(jìn)行管理�,禁止未授權(quán)的存儲(chǔ)介質(zhì)接入和使用,保護(hù)重要信息��、文件��、圖紙不會(huì)被隨意拷貝和流轉(zhuǎn)�����,降低工控網(wǎng)絡(luò)的泄密風(fēng)險(xiǎn)�����;
?統(tǒng)一管理所有工控安全防護(hù)設(shè)備及系統(tǒng)���,降低運(yùn)維管理成本����;
?工控安全整體規(guī)劃建設(shè)��,可以使企業(yè)生產(chǎn)控制網(wǎng)絡(luò)更加安全,通過定期持續(xù)的安全建設(shè)可以不斷降低殘余風(fēng)險(xiǎn)�����,有利地保障企業(yè)工業(yè)生產(chǎn)控制系統(tǒng)安全穩(wěn)定運(yùn)行。
二�����、項(xiàng)目結(jié)構(gòu)
根據(jù)承德金承德金隅水泥整體網(wǎng)絡(luò)架構(gòu),對(duì)工控網(wǎng)絡(luò)實(shí)施全方位的網(wǎng)絡(luò)安全防護(hù)���。
建設(shè)內(nèi)容:
(1)企業(yè)數(shù)據(jù)倉(cāng)與工業(yè)控制網(wǎng)部署工業(yè)安全隔離網(wǎng)關(guān)���,實(shí)現(xiàn)數(shù)據(jù)信息層與控制系統(tǒng)之間的安全隔離����。
(2)在各DCS系統(tǒng)的操作員站���、工程師站�、OPC服務(wù)器上安裝工控主機(jī)衛(wèi)士�����,實(shí)現(xiàn)對(duì)工控主機(jī)的安全防護(hù),使其免受病毒�、木馬等威脅。
(3)部署工控審計(jì)系統(tǒng)���,實(shí)現(xiàn)對(duì)控制網(wǎng)絡(luò)的異常流量���、異常操作等提供安全審計(jì)。
三、項(xiàng)目成果
l邊界隔離
在各DCS系統(tǒng)網(wǎng)絡(luò)出口,部署工業(yè)安全隔離網(wǎng)關(guān),既改善了網(wǎng)絡(luò)架構(gòu)���,實(shí)現(xiàn)分層分區(qū)域�����,又實(shí)現(xiàn)各DCS系統(tǒng)安全域之間的安全防護(hù)�。
l安全審計(jì)
工控安全審計(jì)系統(tǒng)的部署可以為承德金隅水泥工控安全提供事前監(jiān)控、事中記錄、事后審計(jì)。為承德金隅水泥工控網(wǎng)絡(luò)安全事件的追蹤�����、定位提供有效依據(jù)�。
工控安全審計(jì)系統(tǒng)正是專門為工業(yè)控制網(wǎng)絡(luò)量身打造的工控網(wǎng)絡(luò)安全產(chǎn)品�。實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的狀態(tài)���,檢測(cè)工控網(wǎng)絡(luò)中入侵行為���,根據(jù)用戶定義的審計(jì)策略�����,追蹤工控網(wǎng)絡(luò)安全事件,并對(duì)工控網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行留存��,支持多種工控協(xié)議(OPC����、Siemens S7、Modbus����、IEC104�、DNP3 等)的深度解析(DPI)。采用旁路方式部署����,對(duì)生產(chǎn)過程“零影響”。
l安全計(jì)算環(huán)境
承德金隅水泥的DCS系統(tǒng)中工程師站/操作員站/服務(wù)器上部署工控主機(jī)衛(wèi)士��,采用了高效�����、穩(wěn)定、兼容�����、易于設(shè)置的終端安全防護(hù)技術(shù)��,只允許系統(tǒng)操作或運(yùn)行受信任的對(duì)象(如只允許系統(tǒng)運(yùn)行白名單內(nèi)的可執(zhí)行程序��,只允許系統(tǒng)加載白名單內(nèi)的動(dòng)態(tài)鏈接庫���、驅(qū)動(dòng)等,只允許使用白名單內(nèi)的移動(dòng)存儲(chǔ)介質(zhì))�����。它可以很好地適應(yīng)工控環(huán)境相對(duì)固定的計(jì)算環(huán)境����,并將非法程序(已知和未知的木馬、病毒等)隔離在可信的計(jì)算環(huán)境外�。通過簽名證書的白名單,它又能確保經(jīng)過簽名的可信應(yīng)用程序正常升級(jí)�����、加載和擴(kuò)展,避免因軟件升級(jí)導(dǎo)致應(yīng)用無法運(yùn)行的情況發(fā)生�。工控主機(jī)安全衛(wèi)士還能對(duì)特定的對(duì)象(關(guān)鍵文件目錄及應(yīng)用程序、動(dòng)態(tài)鏈接庫��、驅(qū)動(dòng)文件等)提供保護(hù)��,有效阻止惡意程序通過不同途徑對(duì)關(guān)鍵對(duì)象的惡意改變�����,工控主機(jī)衛(wèi)士可以有效解決上述傳統(tǒng)IT殺毒軟件解決不了的問題�。
京公網(wǎng)安備11010802042889號(hào)