护航关基民生、筑牢化企工控网安防线——西北某石化工控网络安全加固项目顺利完工
2023-10-20
近年来,随着工业互联网技术的飞速发展,工控网络安全事故频发,国家、行业、各大工业控制系统应用厂家对关键基础设施的网络安全也愈加重视。为切实保障厂内生产设备的安全,西北某石化公司请海天炜业对其生产厂工控系统进行全面的网络安全防护。
根据工信部《工业控制系统信息安全防护指南》(工信部信软〔2016〕338 号)和中国石油集团公司《炼化企业工业控制系统信息安全等级保护及定级指导意见》要求,西北某石化公司提出了如下要求:
1)完善网络架构,做好管理网与办公网间安全控制,规划并实施各网内分级分域防护架构;
2)建立生产控制网内漏洞扫描及补丁升级能力,开展漏洞和加固工作,提升主机自身安全防护能力;
3)在生产控制网内升级口令密码强度和长度并定期更改和检查;
4)加强数据安全的完整性管理,定期测试备份数据可用性,提升数据快速恢复的能力;
5)建立工控主机安全防御体系、通过白名单+可信验证机制、确保工控主机安全;
6)建立安全监控系统、网络准入系统、日志系统、安全审计系统,全面提升工控网络安全监控能力;
7)结合国家政策法规、国家工控网络信息安全等相关标准,对安全仪表系统相关管理制度或内部技术规范、操作维护计划和规程、应急预案等进行补充和完善,把网络安全管理融入企业安全管理体系;
8) 每年至少进行一次整体风险评估。
海天炜业在项目前期,对项目进行了详细的实地考察,根据等级保护2.0《基本要求》、《设计要求》,出具了安全需求分析、总体安全策略文件、安全测评报告和工业控制系统网络安全防护可行性研究报告。
结合工业控制系统信息安全防护思路,海天炜业提供的安全防护体系主要包括如下几个方面:
01、搭建工控系统安全管理专网,用于管理项目中所涉及的工控网络安全产品;在DCS、SIS、PLC系统间部署工业防火墙,部署工控安全审计与异常检测系统,针对工业控制网络设计的实时报警系统,通过特定的安全策略,快速识别出系统中存在的非法操作、异常事件、外部攻击并实时报警。
02、通过部署InTrust工控主机防御平台系统以及网络安全防护设备、工控网络安全统一管理平台软件,实时接收来自可信计算的日志,分析、组织、处理网络环境内的报警、设备运行信息。
03、通过部署工控入侵检测系统,对内部网络的终端进行严格、高细粒度的全过程进行严格管控,全方位的操作审计,及时发现非法行为及误操作,保证合法以及安全的终端入网,满足行业政策法规有关威胁检测方面的技术要求,同时弥补一般防火墙产品无法检测复杂协议、组合攻击以及内部攻击等行为的不足,通过及时通告有价值的报警信息,并提供威胁处置办法,提高安全事件响应能力。有较完善的操作、点检、维修三位一体的管理体制。
04、通过部署工控安全审计与异常检测系统,对网络流量、网络拓扑、网络运行日志、操作系统运行状况、安全设备运行状态、安全设备操作日志等进行集中收集、自动分析,并生成报表及模型图。运维人员通过报表或模型图来分析当前设备运行状况,能够实时监测工控网络的状态,发现并对异常攻击行为和流量进行告警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
海天炜业工控网络安全施工团队经过近一个半月的现场施工,解决了网络、主机、应用、数据等方面的信息安全隐患,有效、及时的避免突发病毒感染和恶意入侵,确保生产工艺能够安全、稳定、高效的运行,整体提高了企业的工控网络安全保障能力。圆满地完成了客户提出的所有防护要求,获得了厂领导的认可,对海天炜业工控网络安全防护方案以及技术人员的专业度给予高度评价。
