福建某石化企业工控网络安全防护项目顺利完工
2023-01-11
随着工业网络规模的日益扩大,信息系统应用的迅速扩展,网上信息流量越来越大,重要的生产经营数据越来越多,系统安全、网络管理等问题越来越突出。
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),结合“等保2.0”基本要求及工信部制定并印发的《工业控制系统信息安全防护指南》,保障工业企业工业控制系统信息安全,福建某石化企业为了加强对数采网络运行情况的有效监控,确保控制网络的安全稳定,在控制系统网络边界增加Guard工业防火墙设备部署。
福建某石化公司基于安全薄弱环节防护及功能网络边界部署,达到多层面分重点的网络安全防护目的角度,提出如下要求:
1、控制系统网络安全防护
工业防火墙对控制器进行安全防护,主要从如下三个角度进行展开:
通过对源、目的IP地址间点对点通信控制,仅允许工程师站和操作员站访问控制器,且对关键控制点的读写权限加以严格限制,保障资源的可信与可控;
通过对端口服务的控制,拒绝所有的有意或无意的攻击;
通过“白名单”机制,仅允许OPC等工控协议通过,阻断所有非工控协议TCP访问,从而达到对控制系统网络安全防护的目的。
2、网络边界防护
既达到了对OPC Server进行防护,也对采集到的数据在传输中不被篡改及删除,将生产管理系统MES所在数采网与控制网隔离,保证两个区域网络间的通信,有效的防止数采网络中或者控制网络中节点感染病毒后,在数采网络和控制网络之间相互传播。
基于该石化公司多层面分重点的网络安全防护需求,结合其网络结构复杂的大背景,海天炜业工控网络安全服务团队提出如下解决思路:
1、在网络中部署Guard工业防火墙,替换原有IT防火墙。Guard工业防火墙除了具有传统防火墙的主要功能外,最突出的一点是内置工业通讯协议的过滤模块,支持各种工业协议识别及过滤,弥补IT防火墙不支持工控协议过滤的不足。
2、通过Guard工业防火墙进行网络边界防护。Guard工业防火墙将控制网分成不同的安全区域,控制安全区域之间的访问,并深度过滤各区域间的流量数据,以阻止区域间安全风险的扩散。
3、Guard防火墙通过point-to-point、point-to-net、net-to-net,阻止非业务端口的访问与非法操作指令,记录关键设备的所有访问与操作记录,实现对关键设备的安全防护,保证常态工作需求正常进行,实现控制系统网络和关键设备防护目的。
经过近一周的施工,在双方的工程师的共同努力下,4套Guard工业防火墙从设备安装、安全策略组态下装、实时数据测试等工作顺利完成。海天炜业技术工程师严格遵守项目实施操作流程,规范施工,保质保量并如期完成了对控制网络的安全防护工作,得到相关领导及现场工作人员的高度认可。
