工控安全
一、 遵循標準
l 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 第5部分:工業(yè)控制系統(tǒng)安全擴展要求》
l 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求 第5部分:工業(yè)控制系統(tǒng)安全擴展要求》
l 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求 第5部分:工業(yè)控制系統(tǒng)安全擴展要求》
l 《工業(yè)控制系統(tǒng)信息安全防護指南》
l 《GB/T26333-2010 工業(yè)控制網(wǎng)絡(luò)安全風險評估規(guī)范》
二、 解決方案
1、針對各層級和區(qū)域之間的網(wǎng)絡(luò),采取安全隔離和訪問控制措施,阻止病毒、蠕蟲惡意軟件擴散和入侵攻擊,防止用戶的越權(quán)訪問和非授權(quán)設(shè)備的接入,保護控制系統(tǒng)安全運行。
2、對工控網(wǎng)絡(luò)中的操作終端、場站服務(wù)器、WEB服務(wù)器、實時數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)等主機進行加固,保障主機及其運行數(shù)據(jù)的安全;
3、在場站、油井等使用無線生產(chǎn)網(wǎng)絡(luò)場所進行無線安全防護,防止非法用戶和非法設(shè)備進入工控生產(chǎn)網(wǎng)絡(luò),保證工控網(wǎng)絡(luò)運行安全;
4、提供安全數(shù)據(jù)交換介質(zhì),杜絕移動存儲介質(zhì)“濫用”的安全隱患,保障工控主機間數(shù)據(jù)交換安全;
5、提供工控網(wǎng)絡(luò)操作行為監(jiān)測審計,詳實記錄用戶操作行為、維護行為和網(wǎng)絡(luò)通信流量,幫助企業(yè)建立網(wǎng)絡(luò)監(jiān)測審計機制,避免發(fā)生工控安全事故;
6、對油田各層級網(wǎng)絡(luò)中的安全設(shè)備或系統(tǒng)進行集中管理,實現(xiàn)全局配置、集中監(jiān)控、統(tǒng)一管理,提高管理人員的工作效率,降低企業(yè)的人員投入成本。
三、 典型部署
1、區(qū)域邊界防護
在采油廠、作業(yè)區(qū)、場站油井邊界及作業(yè)區(qū)區(qū)域邊界位置串聯(lián)部署工業(yè)防火墻,對各層級用戶和外來的訪問進行控制,保障采油廠、作業(yè)區(qū)等重要生產(chǎn)區(qū)域網(wǎng)絡(luò)的可用性和安全性。
2、主機安全防護
在采油廠、作業(yè)區(qū)、場站油井的實時數(shù)據(jù)庫、關(guān)系數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)等重要主機系統(tǒng)部署工控主機衛(wèi)士。采用“白名單”防護機制,保證只有安全的軟件程序才能夠在主機系統(tǒng)中運行,同時對主機操作系統(tǒng)、注冊表等進行防護,杜絕信息非法竊取、數(shù)據(jù)和系統(tǒng)遭受非法破壞的行為發(fā)生。
3、無線網(wǎng)絡(luò)防護
在場站、油井無線局域網(wǎng)內(nèi)部部署無線安全防護系統(tǒng),掃除潛在的生產(chǎn)信號干擾風險,防止非法用戶的訪問,以及對傳輸數(shù)據(jù)的篡改和竊聽。
4、數(shù)據(jù)交換安全
采用安全U盤作為數(shù)據(jù)交換介質(zhì),避免不安全的移動存儲介質(zhì)進入工控網(wǎng)絡(luò)影響生產(chǎn)網(wǎng)絡(luò)的正常運行。
5、網(wǎng)絡(luò)監(jiān)測審計
在作業(yè)區(qū)的辦公網(wǎng)和生產(chǎn)網(wǎng)旁路部署監(jiān)測審計平臺,阻止誤操作、惡意操作和非授權(quán)設(shè)備,監(jiān)控和記錄用戶對數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)、采集服務(wù)器的違規(guī)操作、誤操作行為,為事后調(diào)查取證提供依據(jù)。
6、集中管理
在作業(yè)區(qū)的辦公網(wǎng)中部署統(tǒng)一管理平臺,對整個工控網(wǎng)絡(luò)中的安全設(shè)備和系統(tǒng)進行統(tǒng)一策略配置下發(fā)、狀態(tài)集中監(jiān)控、網(wǎng)絡(luò)流量分析。實時掌握工業(yè)控制網(wǎng)絡(luò)運行狀態(tài),便于出現(xiàn)問題及時溯源定位。