石油炼化行业工控安全解决方案
行业现状
随着工业控制技术的长足发展,传统的IT技术越来越多的应用到工控网络当中。“两化融合”、“中国制造2025”、“工业4.0”等具有重大意义的工业理念持续推进,使得工业网络与传统的IT网络深度融合,在提高炼化企业生产效率、管理效率的同时也带来了新的安全隐患。
网络攻击正快速向工控网络系统蔓延,针对工控系统的安全研究已成为当前网络安全的研究热点。炼化工业作为能源行业重要组成部分,且由于其生产装置及过程的复杂性、产品的特殊性、工艺的高危险性,使得炼化生产的工控系统安全变得更为重要。
安全隐患
结合目前各炼化企业的网络系统现状并结合其发展趋势,炼化企业工业控制系统主要存在以下安全风险:
遵循标准
•《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
•《GB/T 22239网络安全等级保护基本要求》
•《关于加强工业控制系统信息安全管理的通知》(工信部〔2011〕451号)
解决方案
•物理隔离
在生产控制网与企业信息网之间部署工业网闸进行物理隔离。通过“2+1”物理结构、私有安全协议以及基于Linux操作系统开发的OPC采集和转发功能和工控协议应用层指令级“4S”深度防护技术,实现多种工业协议、数据的安全可信转发。
•边界隔离
在生产监控网络、光纤环网与过程控制网之间部署工业防火墙,利用“4s”安全防护技术以及“白名单”机制,对工控指令、数据进行深度检测和过滤,及时发现可疑指令和恶意数据,保障控制指令及生产数据安全,实现网络分层分区,边界访问控制,阻断恶意软件、非法访问的传播途径。
•区域隔离
各生产车间(如原油蒸馏、热裂化、催化裂化、加氢裂化、延迟焦化、催化重整)之间以及车间内各工艺区域之间部署工业防火墙,实现基于区域和功能的网络划分及隔离,对工业专有协议进行深度解析,阻止区域间的越权访问,病毒、蠕虫扩散和入侵,将危险源控制在有限范围内。
•重要设备隔离
在PLC等工控设备或系统前端部署工业防火墙,对PLC等工控设备或系统进行重点防护,对重要设备工控协议、数据的完整性、功能码、地址范围和工艺参数范围进行深度解析,发现异常指令、告警可疑操作、隔离威胁数据,同时阻止操作员或工程师有意无意的非法操作。
•主机安全防护
采用工业安全主机卫士,对工业主机软件运行以及系统配置进行安全加固,阻止非法软件的滋生与传播。
•运维安全审计
在工业控制网络核心交换机部署工业运维审计系统,对本地及第三方运维行为进行安全审计,防止病毒、木马以及恶意攻击通过运维过程带入工业网络,对工业业务产生影响。
•工控网络监测与审计
分别在生产监控网核心交换机和过程控制区域交换机处部署工业安全审计监测系统,进行全局监测和区域监测,实现从区域到全局的分层、分级监控体系,及时发现各种违规行为和病毒、黑客的攻击行为。
•统一安全管理
通过工业安全管理平台实现对工业安全设备的集中管理、拓扑管理、设备状态监控、安全告警、安全配置及安全策略管理,并通过安全威胁、事件归一化处理和关联分析,实现对全局工控安全的事件追溯、态势感知和动态响应。