一、 案例概述
某国有大型石化企业下辖的多个炼油厂及石油化工厂,其生产网络长期处于完全无任何安全防护措施的状态,尤其是涉及炼化装置控制的DCS系统,完全暴露在高风险环境中,一旦遇到恶意入侵,轻则装置停产造成经济损失,重则会有发生安全生产责任事故的风险。
六方云在能源化工行业长远布局,持续关注工业互联网和关键信息基础设施的安全保护工作,并坚持强化技术创新,立足工业互联网安全防护技术,基于纵深防御思想思想,为行业构建下一代工业安全防护体系,保障石油化工企业工控安全不受侵犯。
二、 风险分析
1. 工控网络DCS各装置间可相互访问但缺乏隔离措施,任一装置遭到攻击极有可能扩散到其他装置区域;
2. OPC数采网络缺乏纵向隔离措施,数据库服务器、BUFFER服务器、装置通讯接口机之间存在攻击蔓延风险;
3. 整个工控系统所在网络缺乏监测手段,无法及时发现恶意代码等风险,无法对协议指令进行审计和回溯;
4. 系统主机缺乏有效的主机安全防护,没有对外设进行管控;
5. 生产网络缺乏集中运维管理机制,安全事件无告警、安全日志无留存、安全运维工作无法有效开展;
6. 无法应对未知威胁和0Day漏洞;
三、 解决方案
1. 在炼化装置DCS系统和SCADA数采系统BUFFER服务器之间部署工业防火墙,实现针对装置DCS系统的逻辑隔离防护;
2. 在SCADA数采系统PHD服务器和办公网之间部署工业网闸,实现生产网和办公网的物理隔离防护;
3. 在数采系统BUFFER服务器和PHD服务器上部署工业卫士软件,实现工控主机安全防护;
4. 部署监管平台系统、日志审计和堡垒机,满足统一运维管理和日志分析需求;
5. 在炼化装置接入交换机和数采系统汇聚交换机旁路部署工业审计系统,实现针对生产网流量的安全监测和行为审计;
6. 部署态势感与运营平台和威胁检测与回溯产品,对未知威胁、高级威胁进行检测,并做出应急响应和预判。
四、 应用效果
1. 通过多种手段提高炼化装置DCS系统和数采SCADA系统的整体网络的安全性,覆盖炼化装置DCS和数采系统工业控制系统整个生命周期;
2. 实现了整体网络纵深防御、安全防护的整体协同,保护核心数据,确保工控网络稳定性和可靠性。
3. 建立起了一套完善的集中运维管控平台,使后续运维工作能够有效、高效开展;
4. 通过神探系统建立起了应对未知威胁的防护能力;
5. 满足等级保护2.0工业控制系统安全扩展要求,为能源关键基础设施保驾护航。
