1、用户介绍
某石化公司主要以石油炼制、石油助剂和石油化工为主,主要产品有汽油、煤油、柴油、石油液化气、聚丙烯产品等。
2、安全风险
● DCS网络的OPC服务器与MES网络之间没有部署工业防火墙或工业网闸等设备,不符合集团公司的文件要求;
● 没有针对DCS网络内部的威胁检测、安全审计、运维审计等技术手段;
● 缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能。
3、解决方案
● 各生产装置DCS网络核心交换机通过镜像口旁路部署工控安全审计系统,实现对非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;
● 各DCS网络单独配置双网卡OPC服务器,通过部署工业安全隔离网关,实现DCS网络与MES网络之间的访问控制;
● 在各主机终端部署主机防护系统,实现终端进程的可信管理,提供极高的安全性;
● 在各操作间上位操作机部署USB安全隔离装置,实现对上位主机USB接口使用过程的授权管理,对临时接入工控网络的移动介质进行病毒查杀;
● 在CCR集中调度中心统一部署一套入侵检测系统,实现生产网络中可能发生的网络入侵行为和恶意代码进行有效检测;
● 在CCR集中调度中心部署一套账号管理与审计系统,实现对工程师站的运维账号进行集中管理,对运维过程进行记录与审查,通过配置策略限制工程师的运维权限;
● 在集中调度中心部署1套日志审计系统满足国家标准规范中关于日志审计的相关要求;
● 在集中调度中心部署1套工控安全管理平台对安全设备的分析数据进行集中展示与预警。
4、客户价值
● 管理效益
通过对生产系统网络的安全加固,提升抵御网络攻击的防御能力,满足国家对工控系统信息安全防护要求的相关规定,以及集团公司的相关政策文件要求。
● 经济效益
通过网络安全项目建设,保障生产系统长期稳定运行,降低网络安全入侵事件的发生几率,从而减少企业在运维、检修工作上的投入。
● 社会效益
石油化工企业作为能源行业重要的组成部分,保证生产系统免受外部网络攻击,是保证社会稳定、经济稳步发展的基础。