隨著兩化融合日益深入,工業(yè)控制系統(tǒng)由單機走向互聯(lián)、從封閉走向開放、從自動化走向智能化,在帶來生產(chǎn)效益提升的同時,由于工業(yè)控制系統(tǒng)本身的脆弱性,如工業(yè)協(xié)議、控制設(shè)備及操作系統(tǒng)、應(yīng)用軟件本身的漏洞、移動介質(zhì)的安全管控等問題,給工業(yè)控制系統(tǒng)帶來了嚴重的網(wǎng)絡(luò)安全問題,使得網(wǎng)絡(luò)空間存在極大的安全隱患,安全問題日益突出。
匡安網(wǎng)絡(luò)石油化工行業(yè)網(wǎng)絡(luò)安全整體解決方案基于等級保護2.0的基本要求并參照《工業(yè)控制系統(tǒng)信息安全防護指南》(工信部網(wǎng)安〔2024〕14號)相關(guān)要求設(shè)計安全防護技術(shù)框架。
按照“一個中心,三重防護”的基本思路對工業(yè)控制系統(tǒng)分區(qū)分域后進行網(wǎng)絡(luò)區(qū)域邊界防護,并對終端主機進行安全加固及接口防護,同時重點建立運維管控、接口管控、網(wǎng)絡(luò)監(jiān)測、統(tǒng)一管理的網(wǎng)絡(luò)安全保障體系。
根據(jù)“橫向分區(qū)、縱向分層”思想及工業(yè)控制系統(tǒng)組成,將工業(yè)控制系統(tǒng)分為生產(chǎn)運行管理層、操作監(jiān)控層、過程控制層,在各層之間的區(qū)域邊界部署工業(yè)防火墻,實現(xiàn)各區(qū)域的邏輯隔離,從而規(guī)避來自外部系統(tǒng)的非法訪問,保障內(nèi)部系統(tǒng)的穩(wěn)定運行。
(1)運維管控
工業(yè)控制系統(tǒng)需要經(jīng)常開展運維工作,當運維工作不受控時,將嚴重影響工控系統(tǒng)的安全問題運行,通過部署主站運維網(wǎng)關(guān)及便攜式運維網(wǎng)關(guān),實現(xiàn)對系統(tǒng)內(nèi)部運維資產(chǎn)、運維用戶的統(tǒng)一管理,并細化運維過程細粒度監(jiān)管,從而對運維事前事中進行有效管控及事后可追溯,保障運維過程安全。
(2)設(shè)備接口管控
工控系統(tǒng)經(jīng)常需要插入U盤或者終端主機開展工作,當接入行為不可控時,就會給工控系統(tǒng)帶來違規(guī)外聯(lián)、違規(guī)接入的安全風(fēng)險。通過部署設(shè)備接口安全管控系統(tǒng),配合終端主機上部署的USB接口管控裝置,并接入局域網(wǎng)各交換機,實現(xiàn)對工控系統(tǒng)設(shè)備接口(USB接口、網(wǎng)絡(luò)接口)的統(tǒng)一集中管控,從而有效降低風(fēng)險。
(3)統(tǒng)一安全管理
通過部署匡安工業(yè)安全管理平臺,接入控制系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全設(shè)備,對設(shè)備進行統(tǒng)一管理、統(tǒng)一策略調(diào)整下發(fā)、統(tǒng)一日志收集分析、統(tǒng)一實時的監(jiān)控,簡化安全管理流程。
(1)安全加固
對系統(tǒng)內(nèi)的各終端主機計算環(huán)境進行安全防護,通過部署工控工業(yè)主機衛(wèi)士,通過掃描上位機程序和進程,構(gòu)建白名單安全基線,只允許部署可信應(yīng)用軟件,對非可信軟件進行阻斷與攔截。
(2)接口防護
對系統(tǒng)內(nèi)的各終端主機外設(shè)接口進行安全防護,通過部署USB接口管控裝置,從根源上杜絕違規(guī)外聯(lián)、非授權(quán)接入的問題。
以鏡像引流方式旁路部署工控監(jiān)測與審計系統(tǒng),通過基于工業(yè)協(xié)議深度解析各區(qū)域網(wǎng)絡(luò)流量,智能監(jiān)測和識別網(wǎng)絡(luò)中的入侵攻擊、異常操作、生產(chǎn)數(shù)據(jù)、重要操作等行為,并進行統(tǒng)計和分析。
安全效益:從運維、接入、主機防護、邊界防護、網(wǎng)絡(luò)監(jiān)測等緯度有效提升工控系統(tǒng)網(wǎng)絡(luò)安全防護水平,使工控系統(tǒng)安全能控、可控、在控。
管理效益 :有效規(guī)避管理性違章,滿足國家、行業(yè)合規(guī)性要求,同時提升管理水平及管理效率。