工控安全
- 187 -
控系统安全防护总体方案(国能安全〔2015〕36 号)
的相关规定,参照中国大唐集团有限公司企业标准
《工控系统网络信息安全技术监督标准》进行设计。
2.2 系统升级方案
根据目前全厂工业水控制系统存在的工控网络
安全问题,结合本系统的实际网络结构,在“安全
分区、网络专用、横向隔离、纵向认证、综合防护”
原则的基础上制定改造方案。
1、老旧交换机更换及 UPS 不间断电源技改
全厂工业水控制系统包括:水处理系统、综合
节水系统、废水零排放系统、无线数据采集系统和
1-4 单元小型水网系统(包括精处理、汽水取样、循
环水加药、旁流和制氢站)等,其中老旧交换机众
多,设备老化导致设备性能下降、极易出现故障,
存在很大的安全隐患。因此需要将这部分交换机进
行更换。UPS 不间断电源技改,消除安全隐患,保障
各信息网络系统稳定运行。
2、增加工控网络安全准入、
入侵检测和审计功能
全厂工业水控制系统部署具有网络准入、日志
审计、流量审计、安管平台、入侵检测等功能的设
备,实时监测生产过程中产生的所有流量,完全不
影响现有系统的生产运行。严格按照工业级硬件的
要求进行设计,能够满足各种工业现场的环境要求,
可广泛应用于各类网络应用环境。对操作系统、数
据库、业务应用的重要操作进行记录、分析,及时
发现各种违规行为以及病毒和黑客的攻击行为。
3、主机安全加固
为确保工控系统稳定性,全厂工业水控制系统
操作员站、工程师站、接口机等工控机一般采用具
有白名单防护技术的工控主机卫士用来加固,提高
主机的防护能力。具体为:将工控主机卫士以软件
形式安装客户端于工控机上,然后把现有系统使用
的所有合法可执行文件添加至白名单列表,并进行
固化。所有不在白名单列表内的可执行文件,均无
法在此系统上执行。另外,对 USB 接口进行管控,
禁止非法外接设备的接入。
4、划分安全隔离区
全厂工业水控制系统划分为多个工控安全域:
节水系统安全域、废水零排放系统安全域、水网系
统安全域、水处理系统安全域、全厂工业水控制系
统 DCS 系统安全域、综合节水处理系统安全域、全
厂工业水控制系统平台安全域等。
在各安全域与 DCS
系统互联之间根据安全需要工业部署边界防火墙,
合理配置安全策略,实现逻辑隔离、报文过滤、访
问控制等功能,加强边界之间的安全防护和监控。
5、等级保护备案及测评
根据国家网络安全等级保护制度,对全厂工业
水控制系统进行等级保护备案及测评工作,满足等
级保护 2.0 要求。
2.3 可行性分析
1、本系统划分为多个工控安全域,在各安全域
与 DCS 系统互联之间分别安装一台工业防火墙,合
理配置安全策略,实现逻辑隔离、报文过滤、访问
控制等功能,加强了边界之间的安全防护和监控。
2、本系统中的 DCS 核心交换机处部署具有网络
准入、日志审计、入侵检测等功能的设备,对操作
系统、数据库、业务应用的重要操作进行记录、分
析,及时发现各种违规行为以及病毒和黑客的攻击
行为。
3、本系统采用具有白名单防护技术的工控安全
主机卫士,来加固工控机,提高主机的防护能力。
根据升级方案,本系统更换老旧交换机及 UPS
不间断电源,消除安全隐患,保障各信息网络系统
稳定运行;通过部署等保一体机,具备了及时发现
各种违规行为以及病毒和黑客的攻击行为的能力;
通过安装工控安全主机卫士,提高主机的防护能力;
通过在各安全域网络出口处分别安装工业防火墙,
加强边界之间的安全防护和监控。升级方案实施后,
根据国家网络安全等级保护制度的要求,经过对全
厂工业水控制系统进行等级保护备案及测评工作,
本系统满足等级保护 2.0 要求。本项目建设符合全
厂工业水控制系统智慧化建设发展的需要。
随着智慧城市的进一步发展,国家工业互联网
打分:
0 星