福建某石化企業工控網絡安全防護項目順利完工
2023-01-11
隨著工業網絡規模的日益擴大,信息係統應用的迅速擴展,網上信息流量越來越大,重要的生產經營數據越來越多,係統安全、網絡管理等問題越來越突出。
為貫徹落實《國務院關於深化製造業與互聯網融合發展的指導意見》(國發〔2016〕28號),結合“等保2.0”基本要求及工信部製定並印發的《工業控製係統信息安全防護指南》,保障工業企業工業控製係統信息安全,福建某石化企業為了加強對數采網絡運行情況的有效監控,確保控製網絡的安全穩定,在控製係統網絡邊界增加Guard工業防火牆設備部署。
福建某石化公司基於安全薄弱環節防護及功能網絡邊界部署,達到多層麵分重點的網絡安全防護目的角度,提出如下要求:
1、控製係統網絡安全防護
工業防火牆對控製器進行安全防護,主要從如下三個角度進行展開:
通過對源、目的IP地址間點對點通信控製,僅允許工程師站和操作員站訪問控製器,且對關鍵控製點的讀寫權限加以嚴格限製,保障資源的可信與可控;
通過對端口服務的控製,拒絕所有的有意或無意的攻擊;
通過“白名單”機製,僅允許OPC等工控協議通過,阻斷所有非工控協議TCP訪問,從而達到對控製係統網絡安全防護的目的。
2、網絡邊界防護
既達到了對OPC Server進行防護,也對采集到的數據在傳輸中不被篡改及刪除,將生產管理係統MES所在數采網與控製網隔離,保證兩個區域網絡間的通信,有效的防止數采網絡中或者控製網絡中節點感染病毒後,在數采網絡和控製網絡之間相互傳播。
基於該石化公司多層麵分重點的網絡安全防護需求,結合其網絡結構複雜的大背景,yl8cc永利工控網絡安全服務團隊提出如下解決思路:
1、在網絡中部署Guard工業防火牆,替換原有IT防火牆。Guard工業防火牆除了具有傳統防火牆的主要功能外,最突出的一點是內置工業通訊協議的過濾模塊,支持各種工業協議識別及過濾,彌補IT防火牆不支持工控協議過濾的不足。
2、通過Guard工業防火牆進行網絡邊界防護。Guard工業防火牆將控製網分成不同的安全區域,控製安全區域之間的訪問,並深度過濾各區域間的流量數據,以阻止區域間安全風險的擴散。
3、Guard防火牆通過point-to-point、point-to-net、net-to-net,阻止非業務端口的訪問與非法操作指令,記錄關鍵設備的所有訪問與操作記錄,實現對關鍵設備的安全防護,保證常態工作需求正常進行,實現控製係統網絡和關鍵設備防護目的。
經過近一周的施工,在雙方的工程師的共同努力下,4套Guard工業防火牆從設備安裝、安全策略組態下裝、實時數據測試等工作順利完成。yl8cc永利技術工程師嚴格遵守項目實施操作流程,規範施工,保質保量並如期完成了對控製網絡的安全防護工作,得到相關領導及現場工作人員的高度認可。
