概述化工行业渗透各个方面,是国民经济中不可或缺的重要组成部分,其安全健康发 展对于人类经济、社会发展具有重要的现实意义化工行业的安全影响较之其他行业, 存在危害大、范围广、影响时间长等特点,因此保证化工行业生产系统安全运行,特 别是保护工业控制系统不被非法破坏显得尤为重要典型安全问题(1) 办公网对生产网的入侵风险;(2) 对于误操作或非法行为等风险缺乏管控;(3) 上位机对各生产功能区的PLC和DCS等设备的越权访问、误操作等;(4) 缺乏事件追踪及调查取证技术手段解决方案(1) 对化工生产网络边界、各车间边界实施访问控制和病毒防护,对关键控 制系统进行有效保护,避免指令数据等被非法访问、窃取或篡改;(2) 对化工生产网重要主机进行安全防护,只允许“白名单”列表中的程序 执行,有效检测工作站、服务器上的违规、异常操作并加以阻止;(3) 采用技术手段,监测、记录化工生产网络中的异常行为并实时告警,为 用户制定安全防护策略提供技术支撑,同时为安全事件调查取证提供依据;(4) 对安全设备进行集中管理,实现对各安全设备系统及主机的统一配置、 全面监控等,杜绝由于事件分散,无法关联分析而导致的安全事件。
典型部署协色刖艮努斐FTP服骨斐应用眼名能工理IT真他场石彰关PLC图27煤化工企业工控安全方案拓扑图(1)边界、区域安全防护a) 在控制网控制器出口部署工业防火墙对不同区域控制器做逻辑隔离避免未经授权的命令下发至控制器,保护控制器的数据传输安全;b) 在控制网和数据监控网交换机之间部署工业防火墙阻止来自区域之间的入侵攻击和非法访问等,实现横向隔离,将危险源控制在区域内;c) 在MES交换机、工程师站、防病毒服务器前端部署工业防火墙实现边界安全 防护,阻止区域间的越权访问、入侵攻击和非法访问等2) 主机安全防护在工程师站、操作员站及应用服务器上部署工控主机卫士, 采用轻量级应用“白名单”机制有效阻止病毒、木马及0-day 漏洞的感染和被利用,保障工控主机安全3) 网络监测与审计在控制网和监控网汇聚交换机上旁路部署安全监测与审计平台,对整个生产控制网络中的流量进行全面无缝监控审 计,实现事后可追溯4) 集中管理在数据监控网中部署统一安全管理平台,对整个生产网络中安全设备和系统进行统一策略配置下发状态集中监控、网络 流量分析等,实时掌握工业控制网络运行状态,出现问题及时 溯源定位小结结合风险分析和案例技术分析,本解决方案具备如下特点:(1) 满足国家及行业政策法规及相关技术要求;(2) 提高企业整体安全防护水平,保障生产安全稳定运行;(3) 提供安全审计手段,协助管理员快速发现并解决安全问题;(4) 通过统一安全管理平台,有效提高工作效率,降低运维成本。