国内某油田公司工控安全项目

1、用户介绍

国内某油田公司经过多年的发展,已建设成为一个集石油及天然气勘探、开发、原油加工、机械制造、科研设计、后勤服务、多种经营、社会公益等多功能于一体的油气生产基地。开发建设了二十余个油气田,形成了年生产原油400余万吨、天然气近5亿立方米生产能力和250万吨原油加工能力。


2、安全风险

无法对恶意代码攻击进行有效检测和阻断;


生产控制网络的不同安全域边界缺少访问控制的防护设备;


缺少对网络内部非法入侵、非授权访问、违规操作、异常流量、恶意代码等威胁的检测与审计手段;


缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能,无法对恶意代码攻击进行有效检测和阻断;


缺少对工程师站运维过程的授权管理与审计手段。


3、解决方案

边界防护:在联合站、输油计量岗、脱水岗等生产区域的网络边界部署工业防火墙,在调度中心出口部署安全隔离网闸,实现不同生产区域网络的横向隔离;


安全审计:在联合站、输油计量岗、脱水岗等区域的生产网交换机通过镜像口旁路部署工控安全审计系统,实现对生产网络内部的非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;在调度中心部署日志审计系统,将工业控制网络中的日志信息进行统一地收集、处理和关联分析,满足国家标准规范中关于日志审计的相关要求;


威胁监测:在调度中心网络核心交换机镜像口旁路部署入侵检测系统,实现对来自外部网络的入侵行为、恶意代码等威胁的检测分析功能;


安全运维:在安全管理中心部署一套账号集中管理与审计系统,对工程师站的运维账号进行集中管理,对运维过程进行记录与审查,通过配置策略限制工程师的运维权限;


USB安全管控:在联合站、输油计量岗、脱水岗,以及调度中心的控制网络中分别接入USB安全隔离装置,实现对上位主机USB接口使用过程的授权管理,对临时接入工控网络的移动介质进行病毒查杀;


主机防护:在各主机终端部署主机防护系统,实现终端进程的可信管理,只允许需要的业务软件运行,其他病毒、恶意程序,以及与业务无关的软件都无法运行,提供极高的安全性;


集中管理:在安全管理中心部署1套工控安全管理平台对安全设备的分析数据进行集中展示与预警。

4、客户价值

安全效益

通过对工控系统网络的安全防护,全面提升生产网络整体的安全性,确保设备、系统、网络的可靠性、稳定性,提高了安全生产管理水平、管理效率。


管理效益

通过对生产系统网络的安全加固,符合集团总部针对工控系统安全防护的要求,同时也提高了工业系统生产控制网络本身的安全防护等级,极大推进了企业工控系统信息安全防护工作的进程。


社会效益

石油化工企业作为能源行业重要的组成部分,针对工业控制系统的安全防护,不仅是对工控系统的保护,更关系到了社会经济稳定发展。