东森平台智慧炼化工控系统宁静解决方案
作者:东森平台
2020-11-17
前言:
智慧炼化在提升生产效率的同时����,也面临着严峻的网络宁静威胁与挑战���。为了应对日趋严峻的网络宁静形势����,及时洞悉工控系统和设备面临的宁静风险����,研判分析、精准预测整体宁静状况����,保障业务宁静����,本文从智慧炼化工控系统宁静现状、网络结构以及业务流程特点进行详细分析����,推出东森平台智慧炼化工控系统网络宁静主动防御技术设计方案����,为智慧炼化的工控网络宁静建设保驾护航���。
随着智慧炼化进程的生长����,极大地提升了炼化企业的生产效率���。同时也面临着严峻的网络宁静威胁与挑战����,一旦遭受攻击����,将会影响国民经济生长和社会安宁���。
智慧炼化工控系统网络宁静现状分析
目前����,智慧炼化工控系统大量接纳国外厂商的设备����,极度缺乏对国外设备内生宁静性的深度了解����,难以发现针对工控系统与设备的漏洞、恶意代码、内置后门等宁静隐患����,且重要领域的工控系统已成为国内外敌对势力重点攻击的目标����,面临巨大的宁静风险���。
1) 病毒通过网络、USB口或服务商运维过程等方式人为侵入工控系统�����;
2) 敌对势力、非法分子等通过远程修改控制计谋及测控参数����,恶意植入危险秩序����,造成工艺装置发生事故及停产损失�����;
3) 工控生产网络非法内外联及热点部署等����,导致界限宁静无法控制�����;
4) 企业重要信息被恶意窃取����,影响企业经营及国家利益等���。
而相对关闭的工控网络环境与应用场景����,又导致企业对网络隔离过度自信����,认为风险很小����,并在智慧炼化“高实时、高可用、资源受限”特殊环境下也发生了种种误区���。
1) 过度自信使用区域和界限的层级防御����,而忽视差异防御产物的特性和宁静配置的合理性�����;
2) 重宁静防护����,轻宁静监控����,容易忽视绕过界限防护设备的未知威胁�����;
3) 过度依赖接纳网络隔离或者物理隔离的方式����,而新局势下的网络攻击往往逾越了物理连线�����;
4) 工控网络宁静设计存在重资产、轻运维的问题����,导致大量在线设备存在过时配置����,错误配置或宁静脆弱性配置���。
东森平台智慧炼化工控系统宁静解决方案
鉴于目前智慧炼化工控系统宁静现状、网络结构特点及误区����,东森平台凭据《工业控制系统信息宁静防护指南》、《GB/T22239-2019》等规范����,通过风险评估����,在不滋扰过程控制业务的前提下����,针对差异性质的宁静威胁����,分条理、系统地在智慧炼化过程控制系统中部署高宁静性的防护措施����,确保智慧炼化过程控制系统的稳定可靠运行、防止来自内外部网络攻击���。
东森平台智慧炼化工控系统宁静架构设计
? 优化网络结构与宁静设计
通过优化网络结构和区域划分来梳理、控制企业管理系统和工控系统之间及工控系统内部各系统之间的访问关系����,设置生产控制区(监控区和监测区)、生产执行区和办公区���。通过网络与界限的防护控制����,增强各区域网络的访问管理与控制力度和控制系统内部的宁静防护���。
? 控制设施宁静防护设计
智慧炼化的工控系统具有实时闭环控制的特性����,收罗、传输、控制等业务����?榻幽傻乩砘蚩占湮恢蒙系氖枭⒉渴鸱绞�����,生产过程的实时性越高����,其漫衍性越强����,实施宁静防护设计必须满足其可用性、可靠性的要求���。
1)主机宁静防护:通过部署主机宁静防护软件����,加强主机恶意代码防范能力����,优化宁静配置����,实现操作系统、制止监控软件漏洞被利用的情况发生���。
2)控制设备防护:在监控区内上位机和控制器之间部署宁静防护装置����,在控制设备接入网络的接口处部署逻辑隔离装置����,实现对报文异常的快速处置���。在控制区内部署防护平台����,基于工控业务配景、攻击时机和系统风险构建工控网络宁静态势����,监控工控网络内部的敏感操作行为���。
3)移动介质宁静防护:对于生产监控区和监测区主机上因管理和维护需要����,通过专用USB防护设备实现对移动介质的纯硬件防护����,制止在主机上安装软件而影响主机专业应用系统法式运行���。
? 工控诱捕系统设计
非法分子经常利用协议未认证漏洞实现远程操作或信息截取����,入侵智慧炼化的工控系统����,由于工控诱捕系统的漏洞多于正常服务器����,越发容易吸引非法分子的交互����,从而可以������;ふ媸档墓た叵低����。
核心炼化系统由于工业生工业务相对牢固����,诱捕系统在正常网络流量下不会被访问操作����,但当泛起病毒、木马以及人为非法等操作时����,通过流量重新定向技术����,检测非法流量中访问的目标类型����,将对应非法流量导入诱捕系统����,模拟真实工控系统被入侵的真实反映����,记录入侵的访问时序和内容等并提供预警����,以此������;つ勘晗低澈土己盟菰醋饔����。在网络流量、主动探测、宁静日志等数据的基础上����,结合工控诱捕数据����,更能深入分析工控网络宁静态势����,形玉成方位的监测能力���。
? 异常监控与宁静评估设计
针对由外部攻击、内部误操作甚至恶意操作行为引起的宁静问题进行监控评估����,研究工控系统生工业务运行的信息物理特点����,分析生产流程所包罗的物料流、数据流和信息流的时空依赖关系����,构建颗粒度适中的宁静防御模型���。
1)异常监测审计:在监测区和监控区内部署异常监测审计设备����,通过合理设置检测规则����,检测网络数据包的恶意代码或漏洞攻击的迹象����,分析数据改动、伪造指令、实施欺骗、获取超级权限等潜在威胁并进行宁静审计���。
2)威胁评估:在生产执行区和控制区内部署威胁评估设备����,准确地识别工控网络中的种种工控系统、设备、软件以及其他运行中的服务器、数据库和网络设备����,智能生成网络拓扑����,结合专业的工控漏洞库、设备库、威胁特征库和全网威胁评分系统����,周期性地开展威胁评估����,进行详细的漏洞分析����,清晰界说种种设备和整体网络的宁静风险����,输出评估可量化的陈诉���。
3)漏洞挖掘:基于已知漏洞检测和未知漏洞挖掘相结合的方式����,对工控系统、设备(包罗宁静、网络设备)、工控软件的漏洞情况全面了解����,实现为主动宁静防御决策提供科学依据���。
? 工控业务流量宁静基线设计
通过利用工控网络流量、网络线路流量与速率、网络资产设备流量与速率、网络协议流量与速率等异常检测技术及机器自学习人工智能技术����,对智慧炼化工控系统网络流量中的合法行为进行学习����,形成白名单宁静基线模型����,实时发现藏匿在工控流量中的威胁����,为事后追溯、定位提供有力的证据����,资助维护人员快速定位事故点����,缩短系统恢复时间���。
? 工控宁静运营平台设计
工控系统网络宁静防护体系为各生工业务的稳定运行提供了技术保障����,让技术防护措施发挥最大效用����,更好地支撑企业工业控制系统的统一宁静监管����,对宁静防护设备实现统一管理与集成展示、宁静管理的监督检查与考核、工业控制系统的总体威胁感知与预警����,建设集中运营管控的支撑平台���。宁静运营支撑平台包罗宁静设备统一管控、宁静运维考核管理和工控系统威胁感知三大部门����,做到技术与管理的有机结合����,到达工控系吐洮续宁静运行的目标���。
客户收益
智慧炼化工控网络宁静主动防御体系设计的最终目标是保障炼化企业具备不停提升工控宁静管控的能力����,以应对不停变化的内外部宁静威胁���。通过借鉴工控网络宁静相关国际、国家尺度和专业的网络宁静合作伙伴的最佳实践理念和经验����,结合智慧炼化工控系统对网络宁静的特定需求����,统一规划、部署、建设和运营����,平衡宁静性和业务生长的矛盾����,真正地实现工控系统网络宁静为业务的开展���。
1) 全面提升智慧炼化工控系统网络宁静防护管理的合规性����,切合国家主管部门、行业监管部门的管理要求以及工控宁静防护要求�����;
2) 全面提升智慧炼化工控网络的整体宁静性����,确保设备、系统、网络的可靠性、稳定性和宁静性����,为保障民生保驾护航�����;
3) 全面革新智慧炼化业务人员的宁静水平和宁静意识����,提升宁静管理水平、事情效率和管理效率���。
作为信息宁静行业的领军企业����,东森平台从智慧炼化的工控网络特点、宁静防护需求和合规合法三方面入手����,以满足“可用性”技术理念为核心����,以解决等保2.0高危风险为方案脉络����,遵循“一其中心����,三重防护”的思想����,建立了统一宁静管理中心实现集中管理运维、宁静态势感知����,形成一套完整、动态、连续的防护体系����,为智慧炼化的工控网络宁静建设保驾护航���。
京公网安备11010802024551号