2021青岛信息化优秀解决方案评选活动

首页 > 网络安全类 > 病毒防护 安全防护类

基于等保2.0的能源企业工控网络安全技术防护应用解决方案

注册地所在区市:崂山区

申报单位简介

青岛海天炜业过程控制技术股份有限公司致力于工控网络安全、自动化控制系统集成与运维、功能安全、工厂智能化四大业务领域的整体解决方案建设,为石油、石化、电力、油气、冶金、制药、水处理、轻工、烟草、轨道交通、军工等行业提供“互联网+”时代的“全厂工控系统一站式服务”。

解决方案简介

根据工业控制网络安全基础,结合网络安全等级保护基本要求,应用云计算、物联网、人工智能、大数据等技术,从网络层、系统层出发,通过风险评估掌握网络安全现状。安全防护设计在Defence-In-Depth的防御思想下,根据“网络安全分层”、“业务安全分域”原则,实现终端安全防护和网络边界防护。配置异常监测以提升工控系统及网络的监测预警能力,配置统一安全管理平台,建设安全管理专网,加强动态防御能力。

解决方案描述

近年来频繁的工控安全事件给能源企业敲醒了警钟。在网络安全等级保护制度及关键信息基础设施保护制度下,本方案从终端安全防护、安全监测、安全审计、统一管理等不同功能方向,结合采用功能安全与信息安全全生命周期安全防护,应用不同层次、不同方面工控网络和安全防护。具体建设实施内容包括: 1)网络安全分层分区 通过工业防火墙实现管理网与生产网的隔离,并保证数据传输需求;根据业务划分安全区域,对跨装置之间存在操作站互联的情况,在操作站之间加装工业防火墙,实现安全域之间的安全通信;通过防火墙对控制系统进行防护,保护下装控制器的数据在传输中不被病毒篡改及删除,防止控制网中节点感染病毒。 2)主机可信安全 工控主机(服务器、工程师站、操作站)安装主机安全防护白名单软件,白名单防护方案是通过对工控上位机与服务器安装配置主机安全防御平台对其实现全面的安全防护,包括计算机进程管理、可信特征库生成、主机USB接口管理、控制策略配置、白名单运行控制、自身完整性保护等功能。 3) 网络监测、审计与运维 通过异常检测系统实现网络非法操作、异常事件、外部攻击并实时告警;通过审计系统对网络中存在的所有活动提供协议审计、行为审计、内容审计、流量审计;通过运维系统可以切断运维终端对工业网络设备或资源的直接访问,采用协议代理的方式,建立基于唯一身份标识的全局实名制账号管理,配置集中访问控制和细粒度的命令级授权策略,实现集中有序的运维安全管理,对用户从登录到退出的全程操作行为进行审计,加强工业控制系统及设备远程维护的安全管理。 4)数据备份系统 针对生产数据、文件以及系统进行保护,定期备份。在灾难事件发生时,可将数据以及操作系统恢复至最新备份时间点,以保证生产业务的快速恢复。并可为后期实施数据中心或灾备建立基础。 5)建设安全管理专网,搭建统一安全管理平台 统一管理工业控制的系统设备、安全设备及日志信息,将多个设备日志信息关联分析,对所有工控安全设备的事件统一展示并分析。这是等保2.0安全管理中心的具体体现。 6)建立网络安全管理体系,完善制度规范 按网络安全等级保护要求,本次项目在完成技术防护措施基础上,配合企业,建立了安全管理体系,应用了安全管理制度,包括组织人员、物理及环境、应急预案、运维管理等,以保障安全管理制度对运维工作的可靠性,保障工控系统有完整的保护措施。

解决方案应用成功案例简介

项目覆盖近百余套终端,根据业务应用特性,对工业控制系统网络进行了梳理与划分,配置工业防火墙,细化强化通讯策略;针对工业主机终端部署可信白名单安全防护,抵御漏洞风险,避免网络病毒感染传播风险;部署网络监测、安全审计、安全运维系统,实现网络整体安全态势的把控,溯源分析,以及通过安全的通道进行运维操作。部署的统一安全管理中心,则将单点单方向的安全防护纳入到一个集成平台,进行综合的安全管理控制。

解决方案或其应用案例获奖情况

本方案的实施,有效地提升了企业的安全管理能力和抵御网络安全风险的水平,避免各种网络安全突发事件对企业生产系统的影响,保障了生产连续性,避免财产损失、安全损失以及名誉损失。