金隅水泥在運營中已經應用分布式控制系統(DCS)和信息管理系統(MIS),屬于工控自動化系統。因水泥企業的規模和產能不一,網絡建設情況也不同,不同情況存在分布式網絡結構、環網結構及虛擬化系統等。
傳統的網絡安全防護產品只能針對傳統安全事件生效,而基于工業控制協議的安全事件則完全成為盲區,具有較大的風險隱患。金隅水泥需要從網絡層、主機層、系統層、應用層和管理制度等多方面建立工業生產系統的網絡信息安全防護體系,提高系統整體風險防御等級,保證整個智能制造系統穩定有序的運行。
工控網絡安全防護項目建成后,能夠全面提升企業工控網絡的整體安全性,確保設備、系統、網絡的可靠性、穩定性,減少人員的工作量,提高安全生產管理水平、工作效率和管理效率。
此次安全防護建設整體符合國家相關政策和標準要求,可實現管理區和生產區的縱向邊界防護及控制系統區域間的隔離,有效避免來自信息網絡的安全隱患對生產控制網絡的威脅,主要實現:
?實現生產區域內各業務系統之間橫向邏輯隔離和安全防護,阻止來自區域之間的越權訪問,入侵攻擊和非法訪問;
?安全加固上位機、工程師站、各系統服務器系統,通過白名單機制構建安全基線,防止病毒木馬、惡意軟件對系統的破壞;
?實現整體網絡的安全審計,及時發現網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象;
?提高工控網絡整體防護能力:通過工控網絡的安全體系建設,使工控生產網絡可以有效防護內部、外部、惡意代碼、ATP等攻擊,安全風險降低到可控范圍內,減少安全事件的發生,保護生產網絡能夠高效、穩定運行,減少因為系統停機帶來的生產損失;
?安全保護重要信息財產:通過工控網絡安全體系建設,可以對工控網絡內重要信息的流轉進行管理,禁止未授權的存儲介質接入和使用,保護重要信息、文件、圖紙不會被隨意拷貝和流轉,降低工控網絡的泄密風險;
?統一管理所有工控安全防護設備及系統,降低運維管理成本;
?工控安全整體規劃建設,可以使企業生產控制網絡更加安全,通過定期持續的安全建設可以不斷降低殘余風險,有利地保障企業工業生產控制系統安全穩定運行。
根據承德金承德金隅水泥整體網絡架構,對工控網絡實施全方位的網絡安全防護。
建設內容:
(1)企業數據倉與工業控制網部署工業安全隔離網關,實現數據信息層與控制系統之間的安全隔離。
(2)在各DCS系統的操作員站、工程師站、OPC服務器上安裝工控主機衛士,實現對工控主機的安全防護,使其免受病毒、木馬等威脅。
(3)部署工控審計系統,實現對控制網絡的異常流量、異常操作等提供安全審計。
l邊界隔離
在各DCS系統網絡出口,部署工業安全隔離網關,既改善了網絡架構,實現分層分區域,又實現各DCS系統安全域之間的安全防護。
l安全審計
工控安全審計系統的部署可以為承德金隅水泥工控安全提供事前監控、事中記錄、事后審計。為承德金隅水泥工控網絡安全事件的追蹤、定位提供有效依據。
工控安全審計系統正是專門為工業控制網絡量身打造的工控網絡安全產品。實時監測工控網絡的狀態,檢測工控網絡中入侵行為,根據用戶定義的審計策略,追蹤工控網絡安全事件,并對工控網絡的數據進行留存,支持多種工控協議(OPC、Siemens S7、Modbus、IEC104、DNP3 等)的深度解析(DPI)。采用旁路方式部署,對生產過程“零影響”。
l安全計算環境
承德金隅水泥的DCS系統中工程師站/操作員站/服務器上部署工控主機衛士,采用了高效、穩定、兼容、易于設置的終端安全防護技術,只允許系統操作或運行受信任的對象(如只允許系統運行白名單內的可執行程序,只允許系統加載白名單內的動態鏈接庫、驅動等,只允許使用白名單內的移動存儲介質)。它可以很好地適應工控環境相對固定的計算環境,并將非法程序(已知和未知的木馬、病毒等)隔離在可信的計算環境外。通過簽名證書的白名單,它又能確保經過簽名的可信應用程序正常升級、加載和擴展,避免因軟件升級導致應用無法運行的情況發生。工控主機安全衛士還能對特定的對象(關鍵文件目錄及應用程序、動態鏈接庫、驅動文件等)提供保護,有效阻止惡意程序通過不同途徑對關鍵對象的惡意改變,工控主機衛士可以有效解決上述傳統IT殺毒軟件解決不了的問題。
京公網安備11010802042889號