福建某石化企業工控網絡安全防護項目順利完工
2023-01-11
隨著工業網絡規模的日益擴大,信息系統應用的迅速擴展,網上信息流量越來越大,重要的生產經營數據越來越多,系統安全、網絡管理等問題越來越突出。
為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號),結合“等保2.0”基本要求及工信部制定并印發的《工業控制系統信息安全防護指南》,保障工業企業工業控制系統信息安全,福建某石化企業為了加強對數采網絡運行情況的有效監控,確??刂凭W絡的安全穩定,在控制系統網絡邊界增加Guard工業防火墻設備部署。
福建某石化公司基于安全薄弱環節防護及功能網絡邊界部署,達到多層面分重點的網絡安全防護目的角度,提出如下要求:
1、控制系統網絡安全防護
工業防火墻對控制器進行安全防護,主要從如下三個角度進行展開:
通過對源、目的IP地址間點對點通信控制,僅允許工程師站和操作員站訪問控制器,且對關鍵控制點的讀寫權限加以嚴格限制,保障資源的可信與可控;
通過對端口服務的控制,拒絕所有的有意或無意的攻擊;
通過“白名單”機制,僅允許OPC等工控協議通過,阻斷所有非工控協議TCP訪問,從而達到對控制系統網絡安全防護的目的。
2、網絡邊界防護
既達到了對OPC Server進行防護,也對采集到的數據在傳輸中不被篡改及刪除,將生產管理系統MES所在數采網與控制網隔離,保證兩個區域網絡間的通信,有效的防止數采網絡中或者控制網絡中節點感染病毒后,在數采網絡和控制網絡之間相互傳播。
基于該石化公司多層面分重點的網絡安全防護需求,結合其網絡結構復雜的大背景,海天煒業工控網絡安全服務團隊提出如下解決思路:
1、在網絡中部署Guard工業防火墻,替換原有IT防火墻。Guard工業防火墻除了具有傳統防火墻的主要功能外,最突出的一點是內置工業通訊協議的過濾模塊,支持各種工業協議識別及過濾,彌補IT防火墻不支持工控協議過濾的不足。
2、通過Guard工業防火墻進行網絡邊界防護。Guard工業防火墻將控制網分成不同的安全區域,控制安全區域之間的訪問,并深度過濾各區域間的流量數據,以阻止區域間安全風險的擴散。
3、Guard防火墻通過point-to-point、point-to-net、net-to-net,阻止非業務端口的訪問與非法操作指令,記錄關鍵設備的所有訪問與操作記錄,實現對關鍵設備的安全防護,保證常態工作需求正常進行,實現控制系統網絡和關鍵設備防護目的。
經過近一周的施工,在雙方的工程師的共同努力下,4套Guard工業防火墻從設備安裝、安全策略組態下裝、實時數據測試等工作順利完成。海天煒業技術工程師嚴格遵守項目實施操作流程,規范施工,保質保量并如期完成了對控制網絡的安全防護工作,得到相關領導及現場工作人員的高度認可。
