新闻中心
联系我们

总机:  010-8250-9710

热线:  400-1066-819

邮箱:  support@icssla.com
地址:  北京市海淀区上地东路1号院华控大厦7层

典型案例 | 华北某石油企业油库工艺及消防设施改造项目

返回

2024-05-30 公司原创

1、项目背景

随着物联网、云计算等技术的迅猛发展,工业控制系统(简称工控系统)已成为现代工业生产的核心驱动力。然而,工控系统在设计之初主要关注于实现各种实时控制功能,对于安全防护方面的考虑相对不足。随着网络互联的普及,工控系统被暴露在外部网络上,给关键基础设施和重要系统带来了巨大的安全风险和隐患。

 

某石油企业为提升企业自身安全防护能力,通过本项目开展工控系统的整体安全防护建设,实现工控系统内部的稳定运转与风险规避,提高关键业务数据的可用性、机密性、完整性。

 

2、项目介绍

某石油企业作为国资委直属央企的二级单位,总部设在北京,业务范围遍及京津翼地区及上海、广州、福州等地。其工控系统网络为AB网链路,涵盖两套PLC系统、多台工控主机及一个服务器区。目前,内网各生产线间的网络边界缺乏安全隔离措施,且工控主机、服务器为Windows操作系统,尚未安装专业的安全防护软件。

 

鉴于此,本项目旨在构建一个全面、高效的安全防护体系,确保用户内网的稳定运行。通过引入工业防火墙、安全隔离系统、下一代防火墙、入侵检测系统、日志审计与漏洞扫描技术,强化网络边界安全、远端加密访问,并加固终端主机,以全面提升工控网络的安全防护能力。

 

3、项目目标

本项目旨在帮助某石油企业应对当前的安全挑战,提升安全防护能力,实现以下核心目标:

 

1)确保工控系统内部稳定运行,防止因安全漏洞或攻击导致的生产中断或事故。

2)有效规避潜在安全风险,包括外部攻击和内部误操作,确保生产环境的安全稳定。

3)提高关键业务数据的可用性、机密性和完整性,防止数据泄露、篡改等安全事件的发生。

 

4、解决方案

珞安科技作为国内工控安全领域的优秀企业,凭借先进的技术实力和深厚的行业经验,针对某石油企业的工控系统展开全面的实地勘察,提供一站式解决方案,确保生产线的稳定运行和数据安全,并辅以专业的技术支持和售后服务。严格遵循《中华人民共和国网络安全法》以及一系列与石油行业网络安全密切相关的国家标准和政策文件,包括《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《工业控制系统网络安全防护指南》(工信部网安[2024]14号文)、《石油天然气工业控制系统安全防护规范》(GB/T 35273-2017)、《石油石化行业信息系统安全保护等级定级指南》(GB/T 31168-2014)以及《石油天然气工业用信息安全技术导则》(SY/T 6604-2016)等相关政策标准,确保工控网络系统的安全防护达到国家及行业规定的高标准。

 

针对用户现场内网环境各生产线的问题,我司经过深入分析与研究,提出以下安全规划方案:

 

区域边界安全加固:

结合用户需求的基础上考虑到各生产线之间的网络边界安全至关重要,在PLC系统与内网核心交换机连接处串联部署工业防火墙,以强化网络层的访问控制和状态监控能力。同时,在办公网络与内网之间串联部署工业安全隔离与信息交换系统,确保在保障数据交换的同时,实现有效的安全隔离,防止病毒、木马等恶意代码在网络之间传播。

远端加密访问支持:

为了满足用户在外地远程办公的需求,并保障远程访问企业内部资源的安全性,在内网核心网络交换机部署下一代防火墙(存在NAT策略)。这款防火墙不仅具备传统防火墙的控制和监控能力,还集成了SSLVPN与IPsecVPN技术功能。通过创建加密隧道用户,可以远程安全地访问和交互数据,从而满足用户的远程办公需求。

攻击入侵监测:

响应用户需求增加网络安全监测手段,在内网核心网络交换机旁路部署工控入侵检测系统,及时发现并应对潜在的网络攻击。该系统能够智能关联分析工控网络中实时传输的数据,提升信息安全状态和预警手段,为改善现场工控网络的风险控制环境提供决策依据。

日志审计与留存:

因用户现场缺乏日志收集留存与分析手段,故为确保网络活动的可追溯性和合规性,在内网核心网络交换机旁路部署日志审计与分析系统。该系统支持多种日志采集方式,能够智能识别各种设备和软件产生的日志信息。通过全面的日志采集和智能分析,满足等级保护建设的日志合规性要求,为安全事件的调查和分析提供有力支持。

漏洞风险检测:

为了及时发现并修复工控系统中的漏洞和风险,在内网核心网络交换机旁路部署工控漏洞扫描系统。该系统具备全面的漏洞扫描功能,包括基础系统漏扫、WEB漏扫、弱口令检测等。通过定期漏洞扫描和风险评估,可以确保工控系统的安全性得到有效保障。

终端主机加固:

针对工业主机和服务器等终端设备的安全问题,在运行部工业主机部署工程师站、操作员站安装主机安全加固系统。该加固系统通过一系列防护措施,包括未知病毒免疫、身份认证、进程管理、移动存储设备管理等功能,弥补传统杀毒设备在工控现场的安全短板,完美解决了用户内网主机病毒库更新不及时的问题,通过加固系统的部署和应用,提升工控网络中终端和服务器的安全保护能力,确保生产线的稳定运行和数据安全。

 

 

综上所述,我司为用户构建一个全面、高效的安全防护体系,确保用户现场内网环境的安全性和稳定性。同时还提供专业的技术支持和售后服务,确保安全方案的顺利实施和长期稳定运行。

 

5、项目价值

本项目安全规划方案结合了技术、管理和架构等多个维度,展现了一套完整且高效的闭环处理措施,从风险发现到风险限制,确保了用户现场内网环境的安全性和稳定性。

 

在风险发现方面,通过部署工控漏洞扫描系统、入侵检测系统和日志审计与分析系统,能够全面、实时地监测和分析内网环境中的潜在安全风险。还能够通过智能分析和关联,揭示出隐藏的安全威胁,为及时响应和处置提供了有力的支持。

 

在风险限制方面,通过部署工业防火墙、安全隔离与信息交换系统以及主机加固系统,构筑起了多层次的防御体系,在有效过滤和阻挡恶意流量前提下,实现了必要的数据交换,保护关键业务系统的安全。主机加固系统则通过一系列加固措施,提升了终端主机的安全防护能力。

 

 

这种多维度、全方位的安全防护策略,使得该方案不仅适用于现场的内网环境,也值得同类型工控系统在构建和完善自身安全防护体系时加以借鉴和应用。

联系我们

珞安科技微信公众号

版权所有 北京珞安科技有限责任公司 公安备案号 11010802029860    京ICP备17012858号-1