福建某石化企業(yè)工控網(wǎng)絡(luò)安全防護項目順利完工
2023-01-11
隨著工業(yè)網(wǎng)絡(luò)規(guī)模的日益擴大,信息系統(tǒng)應(yīng)用的迅速擴展,網(wǎng)上信息流量越來越大,重要的生產(chǎn)經(jīng)營數(shù)據(jù)越來越多,系統(tǒng)安全、網(wǎng)絡(luò)管理等問題越來越突出。
為貫徹落實《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國發(fā)〔2016〕28號),結(jié)合“等保2.0”基本要求及工信部制定并印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護指南》,保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全,福建某石化企業(yè)為了加強對數(shù)采網(wǎng)絡(luò)運行情況的有效監(jiān)控,確??刂凭W(wǎng)絡(luò)的安全穩(wěn)定,在控制系統(tǒng)網(wǎng)絡(luò)邊界增加Guard工業(yè)防火墻設(shè)備部署。
福建某石化公司基于安全薄弱環(huán)節(jié)防護及功能網(wǎng)絡(luò)邊界部署,達到多層面分重點的網(wǎng)絡(luò)安全防護目的角度,提出如下要求:
1、控制系統(tǒng)網(wǎng)絡(luò)安全防護
工業(yè)防火墻對控制器進行安全防護,主要從如下三個角度進行展開:
通過對源、目的IP地址間點對點通信控制,僅允許工程師站和操作員站訪問控制器,且對關(guān)鍵控制點的讀寫權(quán)限加以嚴(yán)格限制,保障資源的可信與可控;
通過對端口服務(wù)的控制,拒絕所有的有意或無意的攻擊;
通過“白名單”機制,僅允許OPC等工控協(xié)議通過,阻斷所有非工控協(xié)議TCP訪問,從而達到對控制系統(tǒng)網(wǎng)絡(luò)安全防護的目的。
2、網(wǎng)絡(luò)邊界防護
既達到了對OPC Server進行防護,也對采集到的數(shù)據(jù)在傳輸中不被篡改及刪除,將生產(chǎn)管理系統(tǒng)MES所在數(shù)采網(wǎng)與控制網(wǎng)隔離,保證兩個區(qū)域網(wǎng)絡(luò)間的通信,有效的防止數(shù)采網(wǎng)絡(luò)中或者控制網(wǎng)絡(luò)中節(jié)點感染病毒后,在數(shù)采網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間相互傳播。
基于該石化公司多層面分重點的網(wǎng)絡(luò)安全防護需求,結(jié)合其網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的大背景,海天煒業(yè)工控網(wǎng)絡(luò)安全服務(wù)團隊提出如下解決思路:
1、在網(wǎng)絡(luò)中部署Guard工業(yè)防火墻,替換原有IT防火墻。Guard工業(yè)防火墻除了具有傳統(tǒng)防火墻的主要功能外,最突出的一點是內(nèi)置工業(yè)通訊協(xié)議的過濾模塊,支持各種工業(yè)協(xié)議識別及過濾,彌補IT防火墻不支持工控協(xié)議過濾的不足。
2、通過Guard工業(yè)防火墻進行網(wǎng)絡(luò)邊界防護。Guard工業(yè)防火墻將控制網(wǎng)分成不同的安全區(qū)域,控制安全區(qū)域之間的訪問,并深度過濾各區(qū)域間的流量數(shù)據(jù),以阻止區(qū)域間安全風(fēng)險的擴散。
3、Guard防火墻通過point-to-point、point-to-net、net-to-net,阻止非業(yè)務(wù)端口的訪問與非法操作指令,記錄關(guān)鍵設(shè)備的所有訪問與操作記錄,實現(xiàn)對關(guān)鍵設(shè)備的安全防護,保證常態(tài)工作需求正常進行,實現(xiàn)控制系統(tǒng)網(wǎng)絡(luò)和關(guān)鍵設(shè)備防護目的。
經(jīng)過近一周的施工,在雙方的工程師的共同努力下,4套Guard工業(yè)防火墻從設(shè)備安裝、安全策略組態(tài)下裝、實時數(shù)據(jù)測試等工作順利完成。海天煒業(yè)技術(shù)工程師嚴(yán)格遵守項目實施操作流程,規(guī)范施工,保質(zhì)保量并如期完成了對控制網(wǎng)絡(luò)的安全防護工作,得到相關(guān)領(lǐng)導(dǎo)及現(xiàn)場工作人員的高度認(rèn)可。
