石油化工控制系统网络安全解决方案

1.行业现状

1.1.行业背景

随着两化融合日益深入,工业控制系统由单机走向互联、从封闭走向开放、从自动化走向智能化,在带来生产效益提升的同时,由于工业控制系统本身的脆弱性,如工业协议、控制设备及操作系统、应用软件本身的漏洞、移动介质的安全管控等问题,给工业控制系统带来了严重的网络安全问题,使得网络空间存在极大的安全隐患,安全问题日益突出。

1.2.政策依据


中华人民共和国网络安全法
关键信息基础设施安全保护条例
网络安全等级保护实施指南
网络安全等级保护基本要求
工业控制系统信息安全防护指南(工信部网安〔2024〕14号)
工业控制系统信息安全第1部分:评估规范
工业控制系统信息安全第2部分:验收规范
工业控制网络安全风险评估规范



2.解决方案

2.1.技术框架

匡安网络石油化工行业网络安全整体解决方案基于等级保护2.0的基本要求并参照《工业控制系统信息安全防护指南》(工信部网安〔2024〕14号)相关要求设计安全防护技术框架。图片1.png

2.2.方案内容

按照“一个中心,三重防护”的基本思路对工业控制系统分区分域后进行网络区域边界防护,并对终端主机进行安全加固及接口防护,同时重点建立运维管控、接口管控、网络监测、统一管理的网络安全保障体系。图片2.png

(一)边界防护

根据“横向分区、纵向分层”思想及工业控制系统组成,将工业控制系统分为生产运行管理层、操作监控层、过程控制层,在各层之间的区域边界部署工业防火墙,实现各区域的逻辑隔离,从而规避来自外部系统的非法访问,保障内部系统的稳定运行。

(二)安全管理中心

(1)运维管控

工业控制系统需要经常开展运维工作,当运维工作不受控时,将严重影响工控系统的安全问题运行,通过部署主站运维网关及便携式运维网关,实现对系统内部运维资产、运维用户的统一管理,并细化运维过程细粒度监管,从而对运维事前事中进行有效管控及事后可追溯,保障运维过程安全。

(2)设备接口管控

工控系统经常需要插入U盘或者终端主机开展工作,当接入行为不可控时,就会给工控系统带来违规外联、违规接入的安全风险。通过部署设备接口安全管控系统,配合终端主机上部署的USB接口管控装置,并接入局域网各交换机,实现对工控系统设备接口(USB接口、网络接口)的统一集中管控,从而有效降低风险。

(3)统一安全管理

通过部署匡安工业安全管理平台,接入控制系统内部的网络安全设备,对设备进行统一管理、统一策略调整下发、统一日志收集分析、统一实时的监控,简化安全管理流程。

(三)主机防护

(1)安全加固

对系统内的各终端主机计算环境进行安全防护,通过部署工控工业主机卫士,通过扫描上位机程序和进程,构建白名单安全基线,只允许部署可信应用软件,对非可信软件进行阻断与拦截。

(2)接口防护

对系统内的各终端主机外设接口进行安全防护,通过部署USB接口管控装置,从根源上杜绝违规外联、非授权接入的问题。

(四)网络监测

以镜像引流方式旁路部署工控监测与审计系统,通过基于工业协议深度解析各区域网络流量,智能监测和识别网络中的入侵攻击、异常操作、生产数据、重要操作等行为,并进行统计和分析。

3.客户价值

安全效益:从运维、接入、主机防护、边界防护、网络监测等纬度有效提升工控系统网络安全防护水平,使工控系统安全能控、可控、在控。

管理效益 :有效规避管理性违章,满足国家、行业合规性要求,同时提升管理水平及管理效率。