海天煒業(yè)Guard工業(yè)防火墻保障江蘇某石化工控網(wǎng)絡(luò)安全
近日,海天煒業(yè)的工程師團(tuán)隊(duì)赴江蘇某石化有限責(zé)任公司進(jìn)行了工控網(wǎng)絡(luò)安全項(xiàng)目實(shí)施。江蘇某石化歷史悠久,控制系統(tǒng)品牌、類型多,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。本項(xiàng)目通過(guò)Guard防火墻的部署,實(shí)現(xiàn)了用戶工控網(wǎng)絡(luò)關(guān)鍵設(shè)備節(jié)點(diǎn)以及網(wǎng)絡(luò)邊界的有效防護(hù),整體提升了用戶系統(tǒng)的網(wǎng)絡(luò)安全保障能力。
項(xiàng)目概況:MES系統(tǒng)建設(shè)帶來(lái)的生產(chǎn)網(wǎng)絡(luò)安全防護(hù)需求
前期,江蘇某石化已完成基于實(shí)時(shí)數(shù)據(jù)庫(kù)應(yīng)用的MES系統(tǒng)建設(shè)。實(shí)時(shí)數(shù)據(jù)庫(kù)的建立是以采集過(guò)程控制系統(tǒng)的數(shù)據(jù)為前提,這就需要MES 的信息網(wǎng)絡(luò)必須要實(shí)現(xiàn)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換,控制網(wǎng)絡(luò)不再以一個(gè)獨(dú)立的網(wǎng)絡(luò)運(yùn)行,而要與信息網(wǎng)絡(luò)互通、互聯(lián)。
MES 系統(tǒng)實(shí)施后,生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計(jì)劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢(shì)也是一種必需,但辦公網(wǎng)及外網(wǎng)的應(yīng)用復(fù)雜,多樣性強(qiáng)。感染病毒及惡意程序的機(jī)率大,生產(chǎn)網(wǎng)的開(kāi)放,勢(shì)必對(duì) PI 數(shù)據(jù)庫(kù)的數(shù)據(jù)完整性、保密性、安全性形成挑戰(zhàn),對(duì)DCS、PLC控制系統(tǒng)形成嚴(yán)重的安全威脅,如果系統(tǒng)受到攻擊或感染病毒后,使得DCS或PLC控制發(fā)生故障,壓力、溫度、流量、液位、計(jì)量等指示失效,檢測(cè)系統(tǒng)連鎖報(bào)警失效,或各類儀表電磁閥制動(dòng)空氣及電源無(wú)供給后,一旦重大危險(xiǎn)源處于失控狀態(tài),后果不堪設(shè)想,將危急現(xiàn)場(chǎng)操作人員甚至工廠附近人群的生命安全。
所以,江蘇某石化啟動(dòng)了對(duì)控制系統(tǒng)及生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)項(xiàng)目。
解決方案:基于網(wǎng)絡(luò)安全、網(wǎng)路安全、關(guān)鍵設(shè)備安全需要的解決方案
針對(duì)江蘇某石化的網(wǎng)絡(luò)結(jié)構(gòu)及要求,海天煒業(yè)分別在如下幾個(gè)安全薄弱環(huán)節(jié)及功能網(wǎng)絡(luò)邊界部署工業(yè)網(wǎng)絡(luò)安全產(chǎn)品,達(dá)到多層面分重點(diǎn)的網(wǎng)絡(luò)安全防護(hù)目的。
1、控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)
在控制器入口端部署控制器防護(hù)設(shè)備,能夠識(shí)別針對(duì)控制器的操控服務(wù)指令(包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、讀服務(wù)、寫(xiě)服務(wù)、控制程序下載服務(wù)、操控指令服務(wù)等),并能夠根據(jù)安全策略要求對(duì)非法的服務(wù)請(qǐng)求進(jìn)行報(bào)警和自動(dòng)阻斷。使用工業(yè)防火墻對(duì)控制器進(jìn)行安全防護(hù),一方面通過(guò)對(duì)源、目的地址的控制,僅允許工程師站和操作員站可訪問(wèn)控制器,且對(duì)關(guān)鍵控制點(diǎn)的讀寫(xiě)權(quán)限加以嚴(yán)格限制,保障了資源的可信與可控,另一方面,通過(guò)對(duì)端口服務(wù)的控制,杜絕了一切有意或無(wú)意的攻擊,最后使用“白名單”機(jī)制,僅允許OPC 等專有協(xié)議通過(guò),阻斷一切 TCP 及其它訪問(wèn),從而確??刂破鞯陌踩?。
2、網(wǎng)路邊界防護(hù)
在OPC Server與數(shù)據(jù)采集服務(wù)器之間加裝Guard防火墻,對(duì)OPC Server進(jìn)行防護(hù),保護(hù)采集到的數(shù)據(jù)在傳輸中不被病毒篡改及刪除。在OPC Server與數(shù)據(jù)采集服務(wù)器之間加裝Guard防火墻,對(duì)OPC Server進(jìn)行防護(hù),保護(hù)采集到的數(shù)據(jù)在傳輸中不被病毒篡改及刪除;將生產(chǎn)管理系統(tǒng)MES所在數(shù)采網(wǎng)與控制網(wǎng)隔離,Guard工業(yè)防火墻插件能夠過(guò)濾兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信,防止數(shù)采網(wǎng)或者控制網(wǎng)中節(jié)點(diǎn)感染病毒后,在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。
3、關(guān)鍵設(shè)備防護(hù)
在控制網(wǎng)內(nèi)部,操作站安裝的操作系統(tǒng)為Windows系統(tǒng),工程師站、操作站與DCS控制器使用OPC協(xié)議進(jìn)行通訊,一旦感染針對(duì)OPC協(xié)議的病毒,將極易導(dǎo)致DCS控制器誤動(dòng)作或出現(xiàn)故障,危險(xiǎn)性較大。如果工程師站、操作站感染了普通的網(wǎng)絡(luò)病毒也會(huì)造成控制系統(tǒng)網(wǎng)絡(luò)擁堵或崩潰。因此在控制網(wǎng)內(nèi)部,重點(diǎn)對(duì)工程師站、操作站進(jìn)行安全防護(hù),對(duì)進(jìn)入和出去的訪問(wèn)行為進(jìn)行有效的控制,防止非授權(quán)行為的任意接入,避免發(fā)生網(wǎng)絡(luò)惡意行為對(duì)工程師站、操作員等關(guān)鍵系統(tǒng)的破壞性和非法操作。
項(xiàng)目方案如下圖所示(示意圖):
項(xiàng)目實(shí)施:高效、規(guī)范施工
在中控室現(xiàn)場(chǎng),海天煒業(yè)的工程師嚴(yán)格遵守項(xiàng)目實(shí)施流程,規(guī)范施工。經(jīng)過(guò)短短三天的緊張實(shí)施,終于完工。
實(shí)施內(nèi)容包括:
將Guard工業(yè)防火墻部署在OPC服務(wù)器與數(shù)采接口機(jī)之間,Buffer機(jī)通過(guò)工業(yè)防火墻與OPC服務(wù)器進(jìn)行通訊,采集來(lái)自控制網(wǎng)絡(luò)的數(shù)據(jù),有效的隔離了信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò),在保證OPC通訊正常進(jìn)行的同時(shí)將其它通訊端口全部關(guān)閉,最大化防止了病毒的傳播。
使用中央管理平臺(tái),實(shí)現(xiàn)數(shù)采網(wǎng)絡(luò)通訊的統(tǒng)一管控和報(bào)警信息,完成所列裝置的安全隔離工作。主要內(nèi)容包括:安裝中央管理平臺(tái)、Guard工業(yè)防火墻的部署、配置與組態(tài)。
在策略組態(tài)過(guò)程中,海天煒業(yè)工程師充分考慮了客戶的具體需求,對(duì)于符合標(biāo)準(zhǔn)OPC協(xié)議的裝置,配置OPC Classic-TCP協(xié)議并下裝;對(duì)于WINCC SERVER等服務(wù)器,鑒于其客戶端較多,涉及幾個(gè)生產(chǎn)子網(wǎng),因此沒(méi)有采用以往根據(jù)數(shù)采機(jī)IP地址建立一對(duì)一通訊關(guān)系的做法,代之以配置相關(guān)工控通訊協(xié)議并精準(zhǔn)開(kāi)放部分端口的方式。
現(xiàn)場(chǎng)裝置
海天煒業(yè)Guard工業(yè)防火墻
Guard工業(yè)防火墻是海天煒業(yè)聯(lián)合中科院軟件所共同推出的一款自主工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品,也是首批榮獲國(guó)家發(fā)改委資金支持的工業(yè)防火墻,屬于新一代工業(yè)協(xié)議增強(qiáng)型防火墻,通過(guò)區(qū)域隔離、通訊管控、實(shí)時(shí)報(bào)警,為工業(yè)通訊提供獨(dú)特的、工業(yè)級(jí)的專業(yè)隔離防護(hù)解決方案。能深層保障工業(yè)通訊安全,有效防止蠕蟲(chóng)、病毒的傳播和擴(kuò)散,從而創(chuàng)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。
Guard工業(yè)防火墻通過(guò)了公安部檢測(cè),取得了EAL3、ISCCC等認(rèn)證和銷售許可證,適用于企業(yè)辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)的隔離、保護(hù)控制系統(tǒng)的安全。廣泛應(yīng)用于石油石化、電力、煙草、冶金、化工、管道以及水處理等多個(gè)行業(yè)。在產(chǎn)品性能、自身安全性等方面均處于業(yè)界領(lǐng)先水平,是一款能真正有效保護(hù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的設(shè)備。
提交
中國(guó)化學(xué)品安全協(xié)會(huì)關(guān)于舉辦第六期安全儀表系統(tǒng)功能安全培訓(xùn)班的通知
海天煒業(yè)順利完成山東某石化2017年控制系統(tǒng)檢修工作
典型案例 | 海天煒業(yè)為某煤化工企業(yè)排除運(yùn)行故障
中國(guó)特檢院“石油化工裝置維護(hù)保運(yùn)工程師(控制系統(tǒng))培訓(xùn)班”在海天煒業(yè)開(kāi)班
江蘇吳江某化纖廠PKS檢修圓滿竣工