• 炼化行业工业控制网络安全解决方案

    行业背景

    安全需求

    •        边界防护措施不足
    •        疏漏的网络分割设计,不同层级之间存在相互间安全威胁互侵。缺乏分区保护,容易受到信息网络和相邻系统的安全影响。

    •       系统缺乏有效监控手段
    •       没有对生产网/数采网的网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源。

    •        工作主机无防控措施
    •        生产控制系统中的终端(如服务器、工程师站、操作员站等),无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

    •        多网络接入点
    •        无法保证多网络接入点安全,保证对主机和应用系统资源的合法使用和用户身份的合法性。
    •        无法高效统一监管
    •        全厂并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。

       

       

    方案内容

    •            对于炼化行业当前现状,在管理网、数采网、控制层区域边界部署防火墙作隔离;在制造执行层MES的重要主机系统部署主机安全防护系统进行主机防护;数采网部署审计和入侵平台进行监测;各层级用户和外来的访问控制通过网络准入实现接入安全;最终数采网相关区域通过安全监管对网络状态实时监控、智能分析。设计的工控网络安全防护体系具体如下:

           工业控制系统已广泛应用于国内重大的基础设施中,在我国炼化行业中,主要控制功能都是由DCS系统来完成的,其他系统的集中控制在某种程度上可以完全由DCS系统监控。DCS系统含有大量的数据接口,是构建企业信息化的数据来源与执行机构。除DCS系统外的其他系统一般对外并没有数据接口(无生产数据),且相对独立,网络结构简单。炼化行业控制系统的网络安全问题,关系到国家经济命脉、人民生活水平、以及社会繁荣发展。

           本方案的设计和实施主要依据如下:

           ◉  《中华人民共和国网络安全法》;

           ◉  《信息安全技术 网络安全等级保护基本要求第5部分》;

           ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

           ◉  《关于加强工业控制系统安全防护的指导意见》中国石化生(2017)292号;

           ◉  GB/T 30976.1~2-2014《工业控制系统信息安全》评估规范及验收规范;

           ◉  IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》。

     

  • 油气管道行业工业控制网络安全解决方案

    •         对于油气管道当前现状,在主(备)控、场站边界及作业区区域边界部署隔离设备或防火墙作隔离;在备控中心的重要主机系统部署主机安全防护系统进行主机防护;备控中心、场站端部署审计和入侵平台进行监测;各层级用户和外来的访问控制通过网络准入实现接入安全;最终备控中心相关区域通过安全监管对网络状态实时监控、智能分析,设计的工控网络安全防护体系具体如下:

     

    •  
    •  

    方案内容

    •         缺少边界防护措施

            疏漏的网络分割设计,不同层级之间存在相互间安全威胁互侵。缺乏分区保护,容易受到信息网络和相邻系统的安全影响。

    •         系统缺乏有效监控手段

            没有对生产控制大区的网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源。

    •        工作主机无防控措施

           生产控制系统中的终端(如服务器、工程师站、操作员站等),无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

    •        多网络接入点

           无法保证多网络接入点安全,保证对主机和应用系统资源的合法使用和用户身份的合法性。

    •        无法高效统一监管

           全网并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。

    •  
    •  

    安全需求

         工业控制系统已广泛应用于国内重大的基础设施中,在我国油气管道行业中,主要工业控制系统包括管网监控和数据采集(SCADA)系统,并结合国家标准和行业法规,通过威胁评估、部署工控安全产品等手段,解决油气管道工控网存在的现实安全隐患,满足工控网的现实生产环境对工控安全产品的功能要求,及时发现工控网中的存在脆弱性,感知工控环境中的未知风险。

          本方案的设计和实施主要依据如下:

                ◉  《中华人民共和国网络安全法》;

                ◉  《信息安全技术 网络安全等级保护基本要求第5部分》;

                ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

                ◉  《关于加强工业控制系统安全防护的指导意见》中国石化生(2017)292号;

                ◉  IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》。

    •  
    •  

    行业背景

    •         对于油田当前现状,在采油厂、场站油井边界及作业区区域边界部署工控防火墙作隔离;在采油厂、场站油井的重要主机系统部署主机安全防护系统进行主机防护;采油厂、场站油井部署审计和入侵平台进行监测;各层级用户和外来的访问控制通过网络准入实现接入安全;最终作业区办公网相关区域通过安全监管对网络状态实时监控、智能分析。设计的工控网络安全防护体系具体如下:

     

    •  
    •  
    •         缺少边界防护措施

            疏漏的网络分割设计,不同层级之间存在相互间安全威胁互侵。缺乏分区保护,容易受到信息网络和相邻系统的安全影响。

    •        系统缺乏有效监控手段

            没有对采油厂及场站的网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源。

    •         工作主机无防控措施

            生产控制系统中的终端(如服务器、工程师站、操作员站等),无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

    •         多网络接入点

            无法保证多网络接入点安全,保证对主机和应用系统资源的合法使用和用户身份的合法性。

    •         无法高效统一监管

            全厂并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。

    •  
    •  

    石油行业工业控制网络安全解决方案

    方案内容

    安全需求

    行业背景

           工业控制系统已广泛应用于国内重大的基础设施中,在我国石油行业中,主要工业控制系统包括集散控制系统(DCS)、安全仪表系统(SIS)、压缩机控制系统(CCS)、可燃气报警系统(GDS)、各种可编程逻辑器件(PLC),在工厂运行中发挥着巨大的作用。石油行业控制系统的网络安全问题,关系到国家经济命脉、人民生活水平、以及社会繁荣发展。

           本方案的设计和实施主要依据如下:

                  ◉  《中华人民共和国网络安全法》;

                  ◉  《信息安全技术 网络安全等级保护基本要求第5部分》;

                  ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

                  ◉  《关于加强工业控制系统安全防护的指导意见》中国石化生(2017)292号;

                  ◉  IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》。

    •  
    •