北京威努特陜西榆林能源化工廠成功案例
1.1 項(xiàng)目背景
隨著榆林能源化工廠生產(chǎn)業(yè)務(wù)規(guī)模的不斷擴(kuò)大,工業(yè)信息化的需求也越來(lái)越迫切。工業(yè)信息化的發(fā)展不僅僅是信息化網(wǎng)絡(luò)的擴(kuò)建,工業(yè)信息安全建設(shè)也是信息化建設(shè)中至關(guān)重要的一方面,信息安全是信息化網(wǎng)絡(luò)和工業(yè)化網(wǎng)絡(luò)安全可靠運(yùn)行的保障。因此,針對(duì)榆林能源化工有限公司這樣一個(gè)標(biāo)桿性企業(yè)來(lái)說(shuō),工業(yè)信息安全建設(shè)具有十分重要的意義。
然而,榆林能源化工廠工業(yè)控制網(wǎng)絡(luò)的安全現(xiàn)狀存在如下安全隱患:
生產(chǎn)網(wǎng)和辦公網(wǎng)無(wú)網(wǎng)絡(luò)隔離裝置,辦公網(wǎng)隨意進(jìn)出生產(chǎn)網(wǎng),互聯(lián)網(wǎng)可以辦公網(wǎng)為跳板入侵生產(chǎn)網(wǎng);
各工作站之間無(wú)隔離措施,某工作站遭病毒入侵受控后在工作站之間“串染”;
廠級(jí)服務(wù)器上無(wú)安全防護(hù)措施,辦公網(wǎng)隨意訪問(wèn),對(duì)服務(wù)器造成巨大威脅;
未對(duì)生產(chǎn)現(xiàn)場(chǎng)的工程師站、操作員站進(jìn)行保護(hù),工程師站、操作員站可對(duì)生產(chǎn)系統(tǒng)任意指令下發(fā);
整個(gè)生產(chǎn)控制網(wǎng)絡(luò)未建立安全審計(jì)監(jiān)控平臺(tái),出現(xiàn)安全問(wèn)題不能及時(shí)定位問(wèn)題原因和解決問(wèn)題。
1.2 解決方案
在生產(chǎn)系統(tǒng)各區(qū)域出口處和服務(wù)器出口各部署一套威努特可信區(qū)域網(wǎng)關(guān),生產(chǎn)網(wǎng)和辦公網(wǎng)之間部署一臺(tái)可信邊界網(wǎng)關(guān),在各工作站的操作員站、工程師站主機(jī)上和服務(wù)器上部署威努特可信衛(wèi)士,生產(chǎn)網(wǎng)核心交換旁路部署威努特工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)和威努特工控安全統(tǒng)一管理平臺(tái),部署示意圖及現(xiàn)場(chǎng)施工圖如下:
該方案具有以下特點(diǎn):
在生產(chǎn)網(wǎng)和辦公網(wǎng)之間部署可信邊界網(wǎng)關(guān)做訪問(wèn)控制、病毒木馬防護(hù);有效隔離服務(wù)器和生產(chǎn)現(xiàn)場(chǎng),保護(hù)服務(wù)器的生產(chǎn)數(shù)據(jù),隔離來(lái)自辦公網(wǎng)的病毒侵?jǐn)_;
生產(chǎn)網(wǎng)每個(gè)工作站出口部署可信區(qū)域網(wǎng)關(guān),隔離各個(gè)工作站生產(chǎn)安全,防止惡意病毒木馬在工作站之間“串染”;
在主機(jī)上部署可信衛(wèi)士,保護(hù)服務(wù)器免受外界利用系統(tǒng)漏洞非法讀寫(xiě)數(shù)據(jù)的侵害,有效阻斷工程師站和操作員站上對(duì)生產(chǎn)控制系統(tǒng)的惡意指令下發(fā)和主機(jī)自身保護(hù);
實(shí)時(shí)掌握系統(tǒng)中所有主機(jī)的是否有安全隱患,通過(guò)可信衛(wèi)士對(duì)主機(jī)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控和掃描,檢查是否存在安全隱患,是否有系統(tǒng)補(bǔ)丁未完全修復(fù);
對(duì)于全網(wǎng)用戶的訪問(wèn)行為和操作行為需要做實(shí)時(shí)的記錄,為事后審計(jì)和事件定位提供依據(jù),并定位和追溯事件源,協(xié)助管理員快速解決安全事件;
在安全防護(hù)設(shè)備部署相對(duì)完善后,為了降低企業(yè)的運(yùn)維成本和管理統(tǒng)一性,在二層PMCC網(wǎng)絡(luò)部署工控網(wǎng)絡(luò)統(tǒng)一安全管理平臺(tái),對(duì)工控網(wǎng)絡(luò)中的重要的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的日志信息進(jìn)行統(tǒng)一管理、統(tǒng)一分析,并通過(guò)對(duì)收集上來(lái)的日志進(jìn)行關(guān)聯(lián)分析得出整個(gè)工控網(wǎng)絡(luò)的安全態(tài)勢(shì),從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在威脅。
1.3 客戶價(jià)值
通過(guò)日志看到威努特可信邊界防火墻多次阻斷了來(lái)自辦公網(wǎng)的病毒威脅,有效保護(hù)生產(chǎn)控制網(wǎng)絡(luò)的安全;
為事中事后審計(jì)提供完整的事件呈現(xiàn);
統(tǒng)一管理整個(gè)生產(chǎn)控制系統(tǒng)設(shè)備,節(jié)省客戶人力;
降低網(wǎng)絡(luò)運(yùn)維人員故障處理壓力;
幫助客戶實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全保全工作,提升企業(yè)整體安全生產(chǎn)能力和業(yè)務(wù)整體競(jìng)爭(zhēng)力;
提交
工業(yè)控制系統(tǒng)滲透測(cè)試淺析
未雨綢繆,工控安全培訓(xùn)正當(dāng)時(shí)
你的車安全嗎-車聯(lián)網(wǎng)工控系統(tǒng)安全隱患排查
典型SCADA系統(tǒng)安全防護(hù)案例分享
第三屆工業(yè)控制系統(tǒng)安全研討會(huì)在京勝利召開(kāi)