• 化工行业工业控制网络安全解决方案

    行业背景

    安全需求

    •         化工行业中的SCADA、DCS、PSC等工业系统,由于担心操作系统的影响,不敢轻易对系统实施升级和漏洞补丁的操作;

              为了实现管控一体化,很多企业将工业控制网与企业管理网络甚至是与互联网进行了连接,且采取的防护措施也很简单,没有采取区域控制措施;

              操作员站和工程师站对于主机外设没有有效的控制手段,移动存储介质随意接入容易造成工控数据和配置文件外泄和病毒感染的可能;

              工业控制系统之间的操作指令缺少有效审计手段,无法检测异常流量,不能明确网络中通信数据的合法性与安全性;

              对操作员站和工程师站向DCS工控系统发生的操作指令的合规性缺乏有效审计措施,不利于事后问题的追溯和定位;

              工业网络病毒、工控设备高危漏洞、外委设备后门、无线技术应用的风险等诸多因素对工业控制系统的安全造成了极大的威胁。

    方案内容

    •        珞安科技根据上述系统需求、业务特性结合相关标准,通过现场调研和威胁评估系统对AFC系统进行风险评估,整体上掌握安全状态,并据此制定全面的安全方案。

             整体的安全保障体系包括管理和技术两大部分。

             管理方面:

             依据等级保护制度建立完善的安全管理体系,涉及安全管理制度、安全管理机构、安全管理人员和安全运维管理五个部分。

             技术方面:

    •        通过在LCC、ACC等系统或区域间部署工业控制防火墙保障网络架构安全;
    •        在主机和服务器上部署珞安卫士,通过白名单机制营造主机层可信环境,防止恶意代码和漏洞利用攻击的同时在技术层面提供介质管理,有效保障控制设备安全;
    •        通过部署工控网络安全审计设备,对网络流量和工控协议进行深度分析,及时发现网络攻击行为,并进行审计记录和告警;
    •        通过部署集中管理平台对珞安主机卫士、工业防火墙、工控网络安全审计进行统筹管理,构建联动防御机制,对网络攻击、非法外联等行为进行阻断,保障系统整体安全。
    •        具体部署如下图所示:

           化工行业在我国经济建设中占据重要地位,长期以来的发展受到诸多关注,是关乎国计民生的重要行业,随着工业自动化深入化工领域,其安全性关乎整个行业的安危,保障工业控制系统的安全、稳健运行成为当务之急。目前化工流程行业普遍运用数据采集与监控(SCADA)、布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统控制生产设备的运行。这些系统通信协议、操作系统、应用软件漏洞隐患严重,在工业病毒的威胁下,给整个生产系统带来了极大的风险。

           本方案的设计和实施主要依据如下:

                   《中华人民共和国网络安全法》;

                   ◉  GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;

                   ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

                   ◉  《工业控制系统信息安全第1部分:评估规范》GB/T 30976.1

                   ◉  《工业控制系统信息安全第2部分:验收规范》GB/T 30976.2

                   ◉  工业控制网络安全风险评估规范(GB/T26333-2010)。