福建某石化企業(yè)工控網(wǎng)絡(luò)安全防護(hù)項(xiàng)目順利完工
2023-01-11
隨著工業(yè)網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大,信息系統(tǒng)應(yīng)用的迅速擴(kuò)展,網(wǎng)上信息流量越來越大,重要的生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)越來越多,系統(tǒng)安全、網(wǎng)絡(luò)管理等問題越來越突出。
為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國(guó)發(fā)〔2016〕28號(hào)),結(jié)合“等保2.0”基本要求及工信部制定并印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全,福建某石化企業(yè)為了加強(qiáng)對(duì)數(shù)采網(wǎng)絡(luò)運(yùn)行情況的有效監(jiān)控,確??刂凭W(wǎng)絡(luò)的安全穩(wěn)定,在控制系統(tǒng)網(wǎng)絡(luò)邊界增加Guard工業(yè)防火墻設(shè)備部署。
福建某石化公司基于安全薄弱環(huán)節(jié)防護(hù)及功能網(wǎng)絡(luò)邊界部署,達(dá)到多層面分重點(diǎn)的網(wǎng)絡(luò)安全防護(hù)目的角度,提出如下要求:
1、控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)
工業(yè)防火墻對(duì)控制器進(jìn)行安全防護(hù),主要從如下三個(gè)角度進(jìn)行展開:
通過對(duì)源、目的IP地址間點(diǎn)對(duì)點(diǎn)通信控制,僅允許工程師站和操作員站訪問控制器,且對(duì)關(guān)鍵控制點(diǎn)的讀寫權(quán)限加以嚴(yán)格限制,保障資源的可信與可控;
通過對(duì)端口服務(wù)的控制,拒絕所有的有意或無意的攻擊;
通過“白名單”機(jī)制,僅允許OPC等工控協(xié)議通過,阻斷所有非工控協(xié)議TCP訪問,從而達(dá)到對(duì)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的目的。
2、網(wǎng)絡(luò)邊界防護(hù)
既達(dá)到了對(duì)OPC Server進(jìn)行防護(hù),也對(duì)采集到的數(shù)據(jù)在傳輸中不被篡改及刪除,將生產(chǎn)管理系統(tǒng)MES所在數(shù)采網(wǎng)與控制網(wǎng)隔離,保證兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信,有效的防止數(shù)采網(wǎng)絡(luò)中或者控制網(wǎng)絡(luò)中節(jié)點(diǎn)感染病毒后,在數(shù)采網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間相互傳播。
基于該石化公司多層面分重點(diǎn)的網(wǎng)絡(luò)安全防護(hù)需求,結(jié)合其網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的大背景,海天煒業(yè)工控網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì)提出如下解決思路:
1、在網(wǎng)絡(luò)中部署Guard工業(yè)防火墻,替換原有IT防火墻。Guard工業(yè)防火墻除了具有傳統(tǒng)防火墻的主要功能外,最突出的一點(diǎn)是內(nèi)置工業(yè)通訊協(xié)議的過濾模塊,支持各種工業(yè)協(xié)議識(shí)別及過濾,彌補(bǔ)IT防火墻不支持工控協(xié)議過濾的不足。
2、通過Guard工業(yè)防火墻進(jìn)行網(wǎng)絡(luò)邊界防護(hù)。Guard工業(yè)防火墻將控制網(wǎng)分成不同的安全區(qū)域,控制安全區(qū)域之間的訪問,并深度過濾各區(qū)域間的流量數(shù)據(jù),以阻止區(qū)域間安全風(fēng)險(xiǎn)的擴(kuò)散。
3、Guard防火墻通過point-to-point、point-to-net、net-to-net,阻止非業(yè)務(wù)端口的訪問與非法操作指令,記錄關(guān)鍵設(shè)備的所有訪問與操作記錄,實(shí)現(xiàn)對(duì)關(guān)鍵設(shè)備的安全防護(hù),保證常態(tài)工作需求正常進(jìn)行,實(shí)現(xiàn)控制系統(tǒng)網(wǎng)絡(luò)和關(guān)鍵設(shè)備防護(hù)目的。
經(jīng)過近一周的施工,在雙方的工程師的共同努力下,4套Guard工業(yè)防火墻從設(shè)備安裝、安全策略組態(tài)下裝、實(shí)時(shí)數(shù)據(jù)測(cè)試等工作順利完成。海天煒業(yè)技術(shù)工程師嚴(yán)格遵守項(xiàng)目實(shí)施操作流程,規(guī)范施工,保質(zhì)保量并如期完成了對(duì)控制網(wǎng)絡(luò)的安全防護(hù)工作,得到相關(guān)領(lǐng)導(dǎo)及現(xiàn)場(chǎng)工作人員的高度認(rèn)可。