解决方案
solution
守护工业命脉 保障关键安全
油气田开采 智能制造 石油化工 电力行业 城市轨道交通 煤矿 城市物联网
石油化工
solution
网藤科技,解决方案
安全防护依据
Basis for safety protection

《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

《GB/T 22239-2008信息安全等级保护基本要求》

中国石油天然气集团《“护网2018”行动安全防护指南》

中国石油天然气集团《炼化企业工业控制系统信息安全等级保护及定级指导意见》

中国石油化工集团《关于加强工业控制系统安全防护的指导意见》


安全防护原则
Principles of safety protection
- 安全分区

对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。

- 安全审计

对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。

- 边界防护

根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。

工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。

- 恶意代码防范

对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。

典型部署
Typical deployment


- 工业防火墙
生产装置的DCS系统服务器与信息管理网络MES系统通过OPC协议进行数据传输,为保证生产网络向信息管理网络数据的单向传输,在OPC服务器与通讯前置BUFFER机之间部署工业安全隔离网关进行有效隔离。


- 工控安全审计系统
在各个生产装置DCS网络核心交换机镜像口分别部署一套工控安全审计系统,负责对本区域网络中的异常流量、违规操作、非法入侵等行为进行实时安全监控与审计。并且审计系统可以与部署在CCR的工控行为追溯系统进行数据共享,通过行为追溯系统分析已经发生的疑似网络攻击行为,定位到具体的操作用户和行为类型。
- 工业入侵监测系统
在CCR核心交换机位置部署网御高级持续威胁检测预警系统,不仅可以检测生产网络边界的入侵行为,还可以通过虚拟沙箱技术,检测分析来自网络的未知威胁。
- 账号集中管理与审计系统
在CCR集中部署一套账号集中管理与审计系统,可以实现对操作用户、运维用户账号的集中管理,并对日常操作工作和工程师运维过程进行实时的操作审计,此外可以实现对系统运维操作工程的多重身份认证。
- USB安全隔离装置
在各生产装置的外操作室各部署一台USB安全隔离装置,在CCR统一部署1套USB安全隔离装置,可以在多个操作区内移动使用。USB安全隔离装置可以对通过USB接口接入的移动存储设备进行病毒查杀,并且对通过U盘等类型的移动介质从工业主机上拷贝数据或文件的权限、类型、大小等方面进行白名单机制的授权管理,保证了通过USB接口与工业主机的数据传输过程的安全性。
咨询热线
400 670 6183
传真: 010-63743370
邮箱: SUPPORT@WANGTENGTECH.COM
公司地址:北京市丰台科技城海鹰路8号院3号楼A座301
关注我们
follow
扫一扫关注网藤科技