说明:
现状与挑战工业控制系统如SCADA系统、DCS系统和PLC等目前已广泛应用于工业基础设施的各个领域,是工业自动化的核心组成部分,工业自动化的中枢神经。然而,工业控制系统自身也存在较多的安全漏洞与隐患,并可能被利用,一旦发生安全事件,直接造成的影响是生产停滞或设备损坏,给企业或市政机关带来较大的经济损失,更严重的还可能对生产人员的生命、健康产生危害。2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),强调加强工业信息安全的重要性、紧迫性,并明确了重点领域工业控制系统信息安全的管理要求。方案描述目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性并不现实,需要针对目前工业控协议的脆弱性以及安全防护关键点进行风险分析,并部署相应的安全防护技术措施和安全产品,辅之以工控网安全管理和运维手段的提升,来进一步提高工业控制系统整体安全水平。通过在工业控制网络中部署捷普工业防火墙、可信工业控制安全网关、可信主机安全防护平台、网络与数据库操作行为审计等安全设备,综合防御来自企业信息网以及监控管理层的安全威胁,保障监控中心关键设施及数据信息的安全,其中,可信工业控制安全网关能够对工业以太网环境下工业控制协议的深度协议解析与攻击防护,能够保障监控管理层和过程控制层之间数据访问与控制指令的安全性。方案优势通过本方案的建设与实施,帮助行业用户建立起工业基础设施安全保障体系,增强安全风险防范能力,促进工业控制系统安全、稳定运行,并满足行业监管机构的合规要求。该方案目前已在河南中烟新郑卷烟厂、漯河卷烟厂、新郑州卷烟厂、中国化工、华北油田等行业用户中得到很好应用,并将广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等涉及国计民生的工业基础设施安全建设...
说明:
现状与挑战近年来,信息技术的广泛应用已经对烟草行业的发展产生了越来越深刻的影响和促进,信息化建设以成为烟草管理上水平的重要手段和重要组成部分,随着网络规模不断地增加,它的危险系数也在逐渐变大,一些不法分子利用黑客技术进入网络内部窃取数据、修改内容,给烟草局带来很大的麻烦。方案描述根据国家局的要求,各省烟草专卖局、中烟进行了信息安全技术和管理方面的部署,在充分了解业务安全需求的基础上,针对烟草的网络的风险评估工作,对安全现状进行了深入分析,提出了捷普分布式解决方案。本方案在烟草的网络中部署捷普的防火墙、入侵检测系统及网络脆弱性智能评估系统。通过监视事件日志、系统受到攻击后的行为,及时作出反应。这样,网络脆弱性智能评估系统就能分析整个网络的安全漏洞,发现重点隐患,以便更好的做出安全决策。方案优势捷普分布式解决方案的整体安全性、整体可控性、整体有效性和资源共享在烟草局得到了充分体现,在网络安全日志分析、防火墙、IDS、网络防杀毒软件等其他安全措施的帮助下,黑客的攻击被成功地阻止了。
说明:
电力行业作为工控安全标准规范建设的排头兵,其政策法规的针对性及专业性已经相对完善、从发改委第14号令、国家能源局36 号文、工信部《工业控制系统信息安全防护指南》到《网络安全法》,从顶层站位确定了其法律地位,2018 年《电力信息系统安全检查规范》、《关于加强电力行业网络安全工作的指导意见》、《电力监控系统网络安全防护导则》、《电力信息系统安全等级保护实施指南》进一步细化,在体现国家重视程度与行动决心的同时为电力生产监控系统信息安全防护做出了指导。行业隐患■ 更多数据上传链路及外部业务接口的出现使得生产控制大区暴露程度显著增加,分区、分域、分层的隔离防护需要重视起来。■ 重要终端(操作员站、工程师站、服务器)常年处于无补丁、无加固、无防护的“裸奔”状态,高危漏洞、恶意代码、移动存储介质等风险持续威胁主机安全。■ 在远程管理、第三方运维、升级调整等“低可视度”接入行为中,缺少必要的权限控制及行为审计,给生产控制系统输入额外风险。■ 缺少必要的网络审计、日志审计等常规审计监测手段,发生违规行为、病毒传播、黑客入侵问题后难定位、难追溯、难处理,致使生产监控系统安全状态处于“黑匣子”状态。■ 生产控制系统网络信息面临的安全威胁日益严重,全厂并无统一的信息安全管理策略。解决方案● 在生产监控系统各区之间部署工业防火墙,实现逻辑隔离、报文过滤、访问控制等功能。● 在生产控制大区的非控制区网络中部署工业入侵检测系统,设置合理的检测策略,检测发现隐藏于流经网络边界正常信息流中的入侵行为。● 在生产控制大区的控制区网络中部署工业监测审计平台,对网络流量进行安全审计,及时发现网络中各种违规行为以及病毒和黑...
说明:
石油石化行业是一个高技术性和高专业性的技术密集型的大型工业生产产业。石油化工企业一般有大量的且品牌种类多样的DCS、ESD、PLC 工控系统及设备,具有典型的连续性生产、工艺复杂、产品线长且复杂的特点,在发生安全事件的时候容易造成停产进而导致重大的经济损失。在“十五”至“十二五”期间,以中石化、中石油为代表的央企国企已完成以ERP、MES 为核心的企业生产信息管理系统的建设,大量的地炼企业的信息化建设也日趋完善。随着企业两化融合的高速发展,越来越多的控制网络系统通过信息网络连接到互联网,潜在的威胁也逐渐得到国家和企业的重视。2017 年中石化下发了《关于加强工业控制系统安全防护的指导意见》,对工信部的《工业控制系统信息安全防护指南》做了解读,同时对下属企业控制系统边界的安全防护、安全监测、主机加固等方面提出了安全要求。行业隐患■ 办公网与工控网之间,特别是数采业务系统未部署能够针对工业协议进行安全防护的安全隔离设备。■ 各厂区、装置缺少恶意代码监测、异常监测、安全审计等一系列的监测审计措施,不能及时发现进入工控网的安全威胁。■ 未对工程师站、操作站主机及服务器进行安全加固,不能有效的管理移动外设,工控主机作为上位机极易受到病毒及误操作的影响。■ 日常管理存在较多远程运维的情况,特别是外来技术人员在进行现场或远程远维时存在隐患。■ 未建立统一的安全管理监控系统,使得工控网络的安全状态不能及时监测,难以及时发现安全隐患。解决方案● 在OPC Server与OPC Client之间部署具有工业协议深度解析功能的工控防火墙。● 在各厂区边界进行安全监测,采用不影响原有网络环境的“轻接触”接入方式分析来自网络内外的入侵...
说明:
现代的油气田及输油气管道作为石油化工行业重要的组成部分,属于国家关键基础设施。目前,我国正在加快油气主干管网、区域性支线管网和配气管网建设。长期以来,SCADA 系统作为长输管线项目的核心中枢,对开放性、安全性、可靠性和稳定性都有极高的要求。天然气长输管线SCADA 系统一般由设在控制中心的主机/ 服务器、设在各站的远程控制终端(RTU)或智能控制设备(LED)、或可编程逻辑控制(PLC)和高性能的通信系统构成分布式控制系统。控制中心的计算机通过数据传输系统,不断采集各站的操作数据和状态信息,并向这些设备发出操作或调整设定值的指令,从而实现对整条长输管线的统一监视、控制和调度管理。行业隐患■ 在井口、无人值守阀室、站及偏远地区的场站大量使用无线仪表,如无线压力、温度传感器等,其数据接入作业区信息网无安全防护。■ 未对分散的各场站接入作业区监控中心之间进行隔离、恶意代码监测、异常监测、访问控制等一系列的防护措施,很容易发生病毒或攻击,影响全部作业区■ 未对操作站主机及服务器进行合规的安全配置,使得暴露的终端被攻击成功的可能性很高。■ 主要控制系统及设备仍旧依赖国外厂家,国产化率不高,第三方运维人员(尤其是国外的技术人员)在进行现场或远程运维时可能会泄露重要生产数据或文件。■ 未建立统一的安全管理监控系统,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案● 在各场站接入作业区的监控中心前部署具有工业协议深度解析功能的工业防火墙,实现两个区域间针对常规及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 在各场站进行区域工控网络的安全监测,采用不影响原有网络环境...
说明:
伴随着互联网信息技术、工业自动化技术的革命性突破和全球经济一体化的发展,工业互联网应运而生,工业互联网涵盖了六大重点领域:工业互联网网络、工业传感与控制、工业互联网软件、工业互联网平台、安全保障以及系统集成服务等。由于工业互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级持续性攻击等安全风险,对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保。行业隐患■ 大部分现场设备的操作系统陈旧,升级更新周期长,存在的大量漏洞极易被恶意病毒或代码感染,脆弱性高。■ 安全防护的建设速度远远落后于机械设备的数字化、信息化、网络化改造速度,越来越多的机械设备暴露于互联网中。■ 办公网络边界防护不清,存在大量安全漏洞,被不法分子利用跳板渗透工业系统控制层。■ 工业互联网的数据体重大、种类多、结构复杂,数据通信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。■ 在云平台中,作为底层支撑技术的虚拟化技术在带来效率提升和开销降低的同时,也带来了一系列由于物理的共享与逻辑隔离的冲突而导致的数据安全问题。 解决方案● 通过边界防护、入侵检测、安全审计、运维审计、未知威胁检测、容灾备份、恶意代码防护等技术手段形成对工业互联网安全的“监测、报警、处置、溯源、恢复、检查”工作闭环;● 在区域的交界处部署具有深度协议解析功能的工控防火墙,实现常规及工业协议的逻辑隔离、报文过滤访问控制等功能。● 针对各种病毒传输、攻击事件、可疑流量...
说明:
智能制造技术包括自动化、信息化、互联网和制造成型四个层面,产业链涵盖工业互联网、系统集成、工业软件、数据处理系统、高端数控机床和机器人等。2015 年5 月国务院印发《中国制造2025》,将智能制造作为工业现代化的主攻方向,而云计算、大数据、物联网等技术的发展为制造业转型升级提供了重大机遇的同时,也打破了ICS 的封闭环境,工控系统面临的安全形势将更为严峻,诸如更复杂的网络风险、更大量的数据上传、更开放的生产网络、更针对性的攻击入侵等问题将时刻敦促企业生产网络安全建设。行业隐患■ 生产管理网的DNC服务器在从生产控制网中采集生产数据时,使得生产控制网存在被恶意攻击、感染病毒的风险。■ 未对工业控制网络区域间进行隔离、恶意代码监测、异常监测、访问控制等一系列的防护措施,很容易一点发生病毒或攻击,影响全部车间甚至全公司。■ 未对操作站主机及服务器进行合规的安全配置,使得暴露的终端被攻击成功的可能性很高。■ 主要设备依赖国外品牌,第三方运维人员(尤其是国外的技术人员)在进行现场或者远程运维时可能会泄露重要生产数据或DNC文件。■ 未统一对设备及日志进行统一管理,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案 ● 在各系统区域的交界处部署具有深度协议解析功能的工业防火墙,实现两个区域间针对常规及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 针对目标网络中存在的各种病毒传输、攻击事件、可疑流量等进行实时监测,采用不影响原有网络环境的“轻接触”接入方式分析来自网络内外的入侵信号及APT攻击,做到早发现、早响应。● 依靠病毒治理...
说明:
钢铁冶金行业作为传统的生产制造型产业,近年来在国家对钢铁行业进行供给侧结构性改革的大背景下,钢铁企业为了应对日益激烈的市场竞争,积极响应国家“两化融合”的体系建设。国内大型的钢铁企业目前已经建成了生产经营管理一体的现代化钢铁生产厂,工业控制网络与企业管理信息网络高度融合,同时,随着节能减排、增产降耗带来的生产装置升级改造使得更多的工控设备暴露,外来运维人员及远程运维带来更多危险因素,为企业的安全生产带来了新的挑战。早在2016 年,钢铁协会就已下发了《关于做好防范PLC-Blaster 蠕虫病毒工作的通知》,针对工业控制系统及工控设备的安全防护已经迫在眉睫。行业隐患■ 现场控制层、过程控制层、生产管理层网络之间未部署能够针对工业协议进行安全防护的安全隔离设备。■ 各厂区缺少恶意代码监测、异常检测、安全审计等一系列的监测审计措施,不能及时发现进入工控网的安全威胁。■ 未对工程师站、操作站主机及服务器进行安全加固,不能有效的管理移动外设,工控主机作为上位机极易受到病毒及误操作的影响。■ 第三方运维人员(尤其是国外的技术人员)在进行现场或远程运维时对工业控制系统及网络会带来病毒、误操作等安全隐患。■ 未建立统一的安全管理监控系统,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案● 在过程控制层与生产管理层之间的关键位置部署具有工业协议深度解析功能的工业防火墙,实现针对工控网络及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 部署工业入侵检测系统,设置合理的检测策略,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。● ...