安全防护依据

● 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

● 《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

● 《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

● 中国石油天然气集团《炼化企业工业控制系统信息安全等级保护及定级指导意见》

● 中国石油化工集团《关于加强工业控制系统安全防护的指导意见》

● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

● GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

● T/CESA 1188-2022《信息安全技术 石油炼化工业控制系统信息安全防护能力要求》

安全防护原则
典型部署

生产装置的DCS系统服务器与信息管理网络MES系统通过OPC协议进行数据传输,为保证生产网络向信息管理网络数据的单向传输,在OPC服务器与通讯前置BUFFER机之间部署工业安全隔离网关进行有效隔离。

● 在各个生产装置DCS网络核心交换机镜像口分别部署工控安全审计系统,负责对本区域网络中的异常流量、违规操作、非法入侵等行为进行实时安全监控与审计。并且审计系统可以与部署在CCR的工控行为追溯系统进行数据共享,通过行为追溯系统分析已经发生的疑似网络攻击行为,定位到具体的操作用户和行为类型。

● 在CCR核心交换机位置分别部署入侵检测系统,实现生产网络中可能发生的网络入侵行为和恶意代码进行有效检测。

● 在CCR集中部署账号集中管理与审计系统,可以实现对操作用户、运维用户账号的集中管理,并对日常操作工作和工程师运维过程进行实时的操作审计,此外可以实现对系统运维操作工程的多重身份认证。

● 在各生产装置的外操作室各部署USB安全隔离装置,在CCR统一部署USB安全隔离装置,可以在多个操作区内移动使用。USB安全隔离装置可以对通过USB接口接入的移动存储设备进行病毒查杀,并且对通过U盘等类型的移动介质从工业主机上拷贝数据或文件的权限、类型、大小等方面进行白名单机制的授权管理,保证了通过USB接口与工业主机的数据传输过程的安全性。

● 在各主机终端部署主机防护系统,实现终端进程的可信管理,将各种访问控制及安全性检测技术综合应用于设备主机系统安全性加固,阻止所有非网络管理员允许的软件或程序运行。即使由于各种不可预测的原因导致管理员密码被窃取,或入侵者通过某种特殊渠道进入操作系统也无法运行任何后门及木马程序,从根本上提高了工控主机的安全性。

● 在CCR核心交换机分别部署日志审计系统,实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析,帮助一线管理人员从海量日志中迅速、精准地识别安全事件,及时对安全事件进行追溯或干预,满足国家标准规范中关于日志审计的相关要求。

● 在CCR集中部署漏洞扫描系统,对工业控制系统快速、精确、高效的进行网络安全风险合规巡检。

单独组建安全管理网络,对网络中所有安全设备进行集中管理,并对生产网络的安全态势进行集中监控与分析,通过安全管理平台进行统一显示。