1、用户介绍
某石油库区企业是一家国有控股企业,该企业主要面象全国市场,主营范围包括汽油、煤油、柴油批发、化工产品,仓储运输等。
2、安全风险
● 库区生产网络、视频监控网络、集团内网存在混用的问题,且没有访问控制设备;
● 生产网络中缺少对非法入侵、非授权访问、违规操作、异常流量、恶意代码等威胁的检测与审计手段;
● 生产控制网络的不同安全域边界缺少访问控制的防护设备;
● 缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能,无法对恶意代码攻击进行有效检测和阻断;
● 缺少对工程师站运维过程的授权管理与审计手段。
3、解决方案
● 区域隔离:在实时库服务器、历史库服务器与办公网络连接的边界处,泵房、自动发油、罐区监控与监控层部署工业防火墙,实现不同安全域之间的安全隔离;
● 安全审计:在监控层交换机通过镜像口旁路部署工控安全审计系统,实现对生产网络内部的非法入侵、非授权访问、违规操作、异常流量等行为的实时监控。在监控层网络中部署一套日志审计,能够实时控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;
● 威胁监测:在监控层网络核心交换机镜像口旁路部署入侵检测系统,实现对来自外部网络的入侵行为、恶意代码等威胁的检测分析功能;
● 运维管理:在监控层安全管理中心部署一套账号集中管理与审计系统,可以对网络中所有用户的账号进行集中管理、运维操作的身份鉴别,以及对运维过程的全程监控与审计功能;
● USB安全管控:在泵房、自动发油、罐区监控的操作站、监控中心操作站区域分别部署一套USB安全隔离装置,实现对上位主机USB接口使用过程的授权管理,对临时接入工控网络的移动介质进行病毒查杀;
● 主机防护:在各主机终端部署主机防护系统,实现终端进程的可信管理,只允许需要的业务软件运行,其他病毒、恶意程序,以及与业务无关的软件都无法运行,提供极高的安全性;在监控层安全管理中心配置一台主机防护管理端对主机防护系统进行统一管理;
● 集中管理:在监控层安全管理中心部署1套工控安全管理平台对安全设备的分析数据进行集中展示与预警。
4、客户价值
● 安全价值
通过对工控系统网络的安全防护,实现对生产网络、系统、设备运行状况的综合监控于管理,帮助企业及时掌握生产网络安全态势。
● 管理价值
通过对工控系统安全防护建设,形成了一套完整的工控安全防护技术保障体系,提高了工业系统生产控制网络本身的安全防护等级,从“被动查改”升级为“主动提升”,极大推进了企业工控系统信息安全防护工作的进程。
● 社会价值
作为工控安全试点项目,将作为企业安全示范项目进行推广,是切实落实国家网信办、工信部、公安部针对工控安全发布的一系列政策法规的重要工作,具有重大行业创新示范效益和社会效益。