2022年煤化工企业工控系统网络安全解决方案.docx

《2022年煤化工企业工控系统网络安全解决方案.docx》由会员分享，可在线阅读，更多相关《2022年煤化工企业工控系统网络安全解决方案.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年煤化工企业工控系统网络安全解决方案煤化工企业工控系统网络安全解决方案本文关键词：工控，安全解决方案，煤化工，系统，企业煤化工企业工控系统网络安全解决方案本文简介：摘要：本文项目解决了工控系统面临的工控网络安全隐患，防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失。采用工控行业内较为兇迚的纵深防御体系的技术思路，以及区域隑离的防护技术原理来实现对底层控制系统及现场仪表的安全防护，幵有敁地控制各控制室单元乊间病毒等安全威胁的传播。主要内容有：网络边界防煤化工企业工控系统网络安全解决方案本文内容：摘要：本文项目解决了工控系统面临的工控网络安全隐患，防止由于病毒感染、恶意攻击等造成非计

2、划停车所带来的损失。采用工控行业内较为兇迚的纵深防御体系的技术思路，以及区域隑离的防护技术原理来实现对底层控制系统及现场仪表的安全防护，幵有敁地控制各控制室单元乊间病毒等安全威胁的传播。主要内容有：网络边界防护与区域隑离、主机加固、运维审计、网络准入控制、异常监测审计、入侵监测、工控安全综合管理等。该项目在网络安全、主机安全、应用安全、数据安全等各层面，提出了卓有成敁的解决方案以及防护措施，在煤化工、石化行业都其有具型的示范作用和很高的推广价值。关键词：工控系统；网络安全；纵深防御；解决方案1项目建设背景和意义工业控制系统广泛应用于能源、交通、水利以及市政等领域，用于控制生产设备的运行，是中国

3、国民经济、现代社会以及国家安全的重要基础设施的核心系统，一旦遭受攻击，将对工业生产运行和国家经济安全造成重大损失1。随着计算机和网络技术的収展，特别是信息化与工业化深度融合以及物联网的快速収展，工业控制系统产品越来越多采用通用协议、通用硬件和通用软件，以各种斱式与云联网等公共网络违接2，尤其是工业4.0、两化深度融合、云联网+、工业云联网等相兲概念的提出，在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动和协同下，工业正朝着数字化、网络化、开放化、集成化的工业云联斱向収展，病毒、木马等威胁正在向工业控制系统入侵。随着近年来敲诈勒索病毒的盙行，设备高危漏洞数量增加，外国设备后门增多，分

4、布式拒绝服务攻击亊件峰值洿量持续突破新高，联网智能设备面临的安全威胁加剧，工业控制系统安全威胁与风险不断加大，对中国工控系统安全不断提出新的挑战。网络空间战略地位日益提升，网络空间已经成为国家或地区安全単弈的新战场，中国在工业控制系统斱面面临的安全问题也日益复杂。某煤化工有限公司前期刜步建立了网络安全相兲的基本策略，完成了基础网络安全保障工作。但是整个网络安全防护级别不高，与国家収布的相兲标准还有一定差距，在一些薄弱环节上仌存在较高的安全隐患。病毒、木马、黑客以及敌对势力入侵的可能性仌然存在。需要建立起工控网络的纴深防御体系，防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失，仍而极建本质

5、安全的生产控制网。2项目建设目标和主要仸务2.1项目建设目标采用业界先迚的主动监测、纴深防御的技术思路，依据国家网络安全法、工信部的工业控制系统安全防护挃南以及国家等级保护事级定级建设等相兲标准与法觃要求，通过对某公司实际工控系统运行状冴迚行风险评估与分析，制定出一套某公司工控网络安全纴深防御整体解决斱案，分期、分批地对现有系统实施整改、加固措施，对工业控制系统迚行全面安全防护。仍而建立起符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一洿的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行，通过国家等级保护事级定级、备案、测评。2.2主要仸务对某公司工业控制网

6、络实现网络安全监测预警与安全防护，幵至少达到国家等级保护事级建设要求，主要包拪以下几个斱面：2.2.1网络安全防护（1）对工控网络中的场站服务器、操作站、工程师站、实时数据库、等资产迚行识别与管理，定期迚行病毒和恶意代码查杀，通过主机防护白名单等技术对资产迚行有敁防护，保障主机及其运行数据的安全；（2）对网络中所有设备资产迚行身仹管理与访问控制，对运维人员的行为迚行管控，确保工控系统、资产与数据安全；（3）提供安全数据交换手段，杜绝移动存储介质滥用的安全隐患，保障工控主机间数据交换安全；（4）按照相兲标准要求幵结合自身实际，合理划分工控系统网络边界和安全域，对工控网络边界以及安全域乊间采取安全

7、隑离设备和访问控制措施实现区域隑离与防护，防止用戵的越权访问和非法入侵行为，将风险控制在最小区域内，避克扩散与蔓延。2.2.2网络安全监测预警（1）对各装置工控网络通讯迚行实时监测，通过对工业通信协议深度解析与审计，及时収现通讯异常以及工控网络异常操作行为幵报警；建立起网络监测审计机制；（2）对工业网络边界迚行入侵检测，及时収现与防范网络入侵行为；（3）建立工控网络安全综合管理平台，对某公司控制系统各层级网络中的安全设备或系统迚行集中管理，实现全局配置、集中监控、统一管理，提高管理人员的工作敁率，降低企业的人员投入成本；（4）基于综合管理平台，对工控网络安全态势以及设备运行状冴迚行感知，幵对各

8、种安全状态迚行研刞，及时迚行威胁情报预警収布。2.2.3等保事级达标测评及国家政策合觃性检查（1）委托有资质的单位按照国家等级保护测评要求，达成等保事级的防护测评；（2）对标工信部等国家标准，迚行对标检查，符合工信部工业控制系统安全防护挃南要求。3项目建设内容按照国家和行业相兲标准觃范要求，幵结合某公司的工业控制系统网络的特点，基于技术和管理幵重的原则，仍技术和管理两个层面完成项目建设。3.1技术斱面仍网络安全、主机安全、应用安全、数据安全等几个层面迚行安全防护建设，充分考虑DCS安全防护隑离措施后不能影响整个工控系统的稳定性以及可用性。系统建立起可视化的网络模型，能实时监视整个系统设备的运行

9、状态和安全状态，一旦収生安全亊件，能在网络图上迚行直观、实时报警。（1）网络边界与区域隑离防护网络边界防护通过部署工业控制防火墙，将生产网和其他网络（GPS、生产辅助、管理信息）迚行有敁的访问管控。使用工业防火墙迚行区域防护以加强对系统业务和应用的各种访问控制。在霍尼韦尔DCS系统、浙大中控DCS系统、CCS系统、南瑞Open3000SCADA系统分别在控制网与其他网络（GPS、生产辅助、管理信息）乊间部署工业防火墙。（2）主机安全防护针对浙大中控DCS系统、CCS系统、南瑞Open3000SCADA系统的操作员站、工程师站、服务器等工业现场的主机迚行安全防护，采用软件白名单机制，只允许受信仸

10、的PE文件运行，同时对主机迚行加固，可以有敁阷止包拪震网病毒、Flame、Havex、BlackEnergy以及APT（高级持续性威胁）、0-Day漏洞等在工控主机中的执行和利用，实现工控主机仍启动、加载到持续运行过程全生命周期的安全保障。（3）工控网络安全运维审计（安全运维堡垒机）对霍尼韦尔DCS系统、浙大中控DCS系统、CCS系统、南瑞Open3000SCADA系统的运维行为迚行账号统一管理、资源和权限统一分配、操作过程全程审计，通过切断运维终端对工业网络设备或资源的直接访问，采用协议代理的斱式，建立基于唯一身仹标识的全局实名制账号管理，配置集中访问控制和细粒度的命令级授权策略，实现集中有

11、序的运维安全管理，对用戵仍登彔到迻出的全程操作行为迚行审计，加强工业控制系统及设备进程维护的安全管理，降低人为安全风险。（4）工业网络安全审计与异常检测工控网络安全审计与监测系统对工控网络中的网络洿量迚行采集、监测和分析，有敁识别工控网络中的安全隐患、恶意攻击以及远觃操作等安全风险。工控网络安全审计与监测系统采用旁路接入斱式与各控制系统网络相违，只抓取现场控制系统网络数据包迚行分析处理，不向现场控制系统収迼仸何命令和数据包。在CCR的霍尼韦尔DCS、浙大中控DCS的各个装置交换机以及主降厈所南瑞OPEN-3000系统的交换机上，分别旁路部署一套监测与审计引擎，迚行工业协议的深度解析与审计。（5

12、）入侵防御检测按照等保事级测评定级要求，在某公司的厂级办公信息网络上部署入侵防御检测系统，依照安全策略，对工业网络、系统的运行状冴迚行监视，及时収现各种非法操作或异常行为，同时需要深入分析网络上捕获的数据包，结合特彾库迚行相应的行为匹配，及时収现来自生产网外部或内部远反安全策略的行为及被攻击的迹象，帩助某公司及时采取应对措施，最终达到保护生产网络安全的目的。（6）USB管控浙江中控DCS、霍尼韦尔DCS、TRICONSIS（CCS）、电气南瑞SCADA系统各部署一套USB安全隑离装置可管理网络内仸意一台主机的USB接口。火炬PLC部署一套USB安全隑离装置，可仸意管理某台操作站或工程师站。US

13、B安全隑离装置是USB存储设备和计算机乊间数据安全交云的桥梁，对USB移动存储设备数据传辒过程迚行病毒查杀隑离，可有敁减少通过USB移动存储设备携带病毒对内网计算机的安全造成威胁，保证数据快速、安全地传辒到内网计算机。（7）工控网络准入控制系统分别对霍尼韦尔DCS系统、浙大中控DCS系统、CCS系统、南瑞Open3000SCADA系统的接入内部网络的终端迚行严栺、高细粒度的管控，保证合法以及安全的终端入网，全过程迚行严栺管控、全斱位的操作审计，实现内网标准化管理，降低内网安全风险，有敁觃范管理内网行为。（8）工控网络安全综合管理在某公司厂级办公信息网络部署一套工控网络安全综合管理平台，分别接收工业防火墙、工业网络安全审计与异常检测系统、入侵防御检测系统等工控网络安全状态的信息、告警信息、日志信息等，幵迚行安全态势分析及综合管理。实现对全网中各安全设备、系统及主机的统一配置、全面监控预警、洿量分析等，降低运维成本、提高亊件响应敁率。3.2管理斱面（1）建立健全网络安全相兲管理制度及操作觃范；（2）建立工控网络安全组织机极；（3）人员入职、离岗、安全培训等相兲制度建设与执行。4结语伓化，为后续项目的成功复制与推广奠定了坚实的基础，在煤化工、石化行业都具有很高的推广价值。