1.行業(yè)現(xiàn)狀
1.1.行業(yè)背景
隨著兩化融合日益深入���,工業(yè)控制系統(tǒng)由單機(jī)走向互聯(lián)、從封閉走向開放����、從自動(dòng)化走向智能化�,在帶來生產(chǎn)效益提升的同時(shí),由于工業(yè)控制系統(tǒng)本身的脆弱性,如工業(yè)協(xié)議����、控制設(shè)備及操作系統(tǒng)�����、應(yīng)用軟件本身的漏洞、移動(dòng)介質(zhì)的安全管控等問題,給工業(yè)控制系統(tǒng)帶來了嚴(yán)重的網(wǎng)絡(luò)安全問題����,使得網(wǎng)絡(luò)空間存在極大的安全隱患���,安全問題日益突出。
1.2.政策依據(jù)
-
中華人民共和國(guó)網(wǎng)絡(luò)安全法
-
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例
-
網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南
-
網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
-
工業(yè)控制系統(tǒng)信息安全防護(hù)指南(工信部網(wǎng)安〔2024〕14號(hào))
-
工業(yè)控制系統(tǒng)信息安全第1部分:評(píng)估規(guī)范
-
工業(yè)控制系統(tǒng)信息安全第2部分:驗(yàn)收規(guī)范
-
工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范
2.解決方案
2.1.技術(shù)框架
匡安網(wǎng)絡(luò)石油化工行業(yè)網(wǎng)絡(luò)安全整體解決方案基于等級(jí)保護(hù)2.0的基本要求并參照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(工信部網(wǎng)安〔2024〕14號(hào))相關(guān)要求設(shè)計(jì)安全防護(hù)技術(shù)框架�����。
2.2.方案內(nèi)容
按照“一個(gè)中心���,三重防護(hù)”的基本思路對(duì)工業(yè)控制系統(tǒng)分區(qū)分域后進(jìn)行網(wǎng)絡(luò)區(qū)域邊界防護(hù)���,并對(duì)終端主機(jī)進(jìn)行安全加固及接口防護(hù)����,同時(shí)重點(diǎn)建立運(yùn)維管控、接口管控�����、網(wǎng)絡(luò)監(jiān)測(cè)�����、統(tǒng)一管理的網(wǎng)絡(luò)安全保障體系����。
(一)邊界防護(hù)
根據(jù)“橫向分區(qū)����、縱向分層”思想及工業(yè)控制系統(tǒng)組成,將工業(yè)控制系統(tǒng)分為生產(chǎn)運(yùn)行管理層���、操作監(jiān)控層、過程控制層�����,在各層之間的區(qū)域邊界部署工業(yè)防火墻���,實(shí)現(xiàn)各區(qū)域的邏輯隔離�����,從而規(guī)避來自外部系統(tǒng)的非法訪問,保障內(nèi)部系統(tǒng)的穩(wěn)定運(yùn)行�����。
(二)安全管理中心
(1)運(yùn)維管控
工業(yè)控制系統(tǒng)需要經(jīng)常開展運(yùn)維工作�,當(dāng)運(yùn)維工作不受控時(shí),將嚴(yán)重影響工控系統(tǒng)的安全問題運(yùn)行�����,通過部署主站運(yùn)維網(wǎng)關(guān)及便攜式運(yùn)維網(wǎng)關(guān)�����,實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)部運(yùn)維資產(chǎn)����、運(yùn)維用戶的統(tǒng)一管理,并細(xì)化運(yùn)維過程細(xì)粒度監(jiān)管�����,從而對(duì)運(yùn)維事前事中進(jìn)行有效管控及事后可追溯���,保障運(yùn)維過程安全�����。
(2)設(shè)備接口管控
工控系統(tǒng)經(jīng)常需要插入U(xiǎn)盤或者終端主機(jī)開展工作,當(dāng)接入行為不可控時(shí)����,就會(huì)給工控系統(tǒng)帶來違規(guī)外聯(lián)����、違規(guī)接入的安全風(fēng)險(xiǎn)���。通過部署設(shè)備接口安全管控系統(tǒng)�����,配合終端主機(jī)上部署的USB接口管控裝置���,并接入局域網(wǎng)各交換機(jī)��,實(shí)現(xiàn)對(duì)工控系統(tǒng)設(shè)備接口(USB接口、網(wǎng)絡(luò)接口)的統(tǒng)一集中管控,從而有效降低風(fēng)險(xiǎn)。
(3)統(tǒng)一安全管理
通過部署匡安工業(yè)安全管理平臺(tái),接入控制系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全設(shè)備���,對(duì)設(shè)備進(jìn)行統(tǒng)一管理、統(tǒng)一策略調(diào)整下發(fā)、統(tǒng)一日志收集分析���、統(tǒng)一實(shí)時(shí)的監(jiān)控,簡(jiǎn)化安全管理流程。
(三)主機(jī)防護(hù)
(1)安全加固
對(duì)系統(tǒng)內(nèi)的各終端主機(jī)計(jì)算環(huán)境進(jìn)行安全防護(hù),通過部署工控工業(yè)主機(jī)衛(wèi)士�����,通過掃描上位機(jī)程序和進(jìn)程��,構(gòu)建白名單安全基線,只允許部署可信應(yīng)用軟件�����,對(duì)非可信軟件進(jìn)行阻斷與攔截�。
(2)接口防護(hù)
對(duì)系統(tǒng)內(nèi)的各終端主機(jī)外設(shè)接口進(jìn)行安全防護(hù),通過部署USB接口管控裝置�����,從根源上杜絕違規(guī)外聯(lián)����、非授權(quán)接入的問題。
(四)網(wǎng)絡(luò)監(jiān)測(cè)
以鏡像引流方式旁路部署工控監(jiān)測(cè)與審計(jì)系統(tǒng)�����,通過基于工業(yè)協(xié)議深度解析各區(qū)域網(wǎng)絡(luò)流量�����,智能監(jiān)測(cè)和識(shí)別網(wǎng)絡(luò)中的入侵攻擊����、異常操作����、生產(chǎn)數(shù)據(jù)�����、重要操作等行為,并進(jìn)行統(tǒng)計(jì)和分析。
3.客戶價(jià)值
安全效益:從運(yùn)維��、接入����、主機(jī)防護(hù)���、邊界防護(hù)��、網(wǎng)絡(luò)監(jiān)測(cè)等緯度有效提升工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平�,使工控系統(tǒng)安全能控�、可控、在控�。
管理效益 :有效規(guī)避管理性違章�����,滿足國(guó)家、行業(yè)合規(guī)性要求�����,同時(shí)提升管理水平及管理效率���。
