隨著兩化融合日益深入,工業控制系統由單機走向互聯、從封閉走向開放、從自動化走向智能化,在帶來生產效益提升的同時,由于工業控制系統本身的脆弱性,如工業協議、控制設備及操作系統、應用軟件本身的漏洞、移動介質的安全管控等問題,給工業控制系統帶來了嚴重的網絡安全問題,使得網絡空間存在極大的安全隱患,安全問題日益突出。
匡安網絡石油化工行業網絡安全整體解決方案基于等級保護2.0的基本要求并參照《工業控制系統信息安全防護指南》(工信部網安〔2024〕14號)相關要求設計安全防護技術框架。
按照“一個中心,三重防護”的基本思路對工業控制系統分區分域后進行網絡區域邊界防護,并對終端主機進行安全加固及接口防護,同時重點建立運維管控、接口管控、網絡監測、統一管理的網絡安全保障體系。
根據“橫向分區、縱向分層”思想及工業控制系統組成,將工業控制系統分為生產運行管理層、操作監控層、過程控制層,在各層之間的區域邊界部署工業防火墻,實現各區域的邏輯隔離,從而規避來自外部系統的非法訪問,保障內部系統的穩定運行。
(1)運維管控
工業控制系統需要經常開展運維工作,當運維工作不受控時,將嚴重影響工控系統的安全問題運行,通過部署主站運維網關及便攜式運維網關,實現對系統內部運維資產、運維用戶的統一管理,并細化運維過程細粒度監管,從而對運維事前事中進行有效管控及事后可追溯,保障運維過程安全。
(2)設備接口管控
工控系統經常需要插入U盤或者終端主機開展工作,當接入行為不可控時,就會給工控系統帶來違規外聯、違規接入的安全風險。通過部署設備接口安全管控系統,配合終端主機上部署的USB接口管控裝置,并接入局域網各交換機,實現對工控系統設備接口(USB接口、網絡接口)的統一集中管控,從而有效降低風險。
(3)統一安全管理
通過部署匡安工業安全管理平臺,接入控制系統內部的網絡安全設備,對設備進行統一管理、統一策略調整下發、統一日志收集分析、統一實時的監控,簡化安全管理流程。
(1)安全加固
對系統內的各終端主機計算環境進行安全防護,通過部署工控工業主機衛士,通過掃描上位機程序和進程,構建白名單安全基線,只允許部署可信應用軟件,對非可信軟件進行阻斷與攔截。
(2)接口防護
對系統內的各終端主機外設接口進行安全防護,通過部署USB接口管控裝置,從根源上杜絕違規外聯、非授權接入的問題。
以鏡像引流方式旁路部署工控監測與審計系統,通過基于工業協議深度解析各區域網絡流量,智能監測和識別網絡中的入侵攻擊、異常操作、生產數據、重要操作等行為,并進行統計和分析。
安全效益:從運維、接入、主機防護、邊界防護、網絡監測等緯度有效提升工控系統網絡安全防護水平,使工控系統安全能控、可控、在控。
管理效益 :有效規避管理性違章,滿足國家、行業合規性要求,同時提升管理水平及管理效率。
匡安微信公眾號
