没有合适的资源?快使用搜索试试~ 我知道了~
钢铁企业工控安全解决方案V1.0.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 60 浏览量
2023-06-30
18:11:32
上传
评论
收藏 134KB DOCX 举报
温馨提示
试读
26页
行业工控安全解决方案,浩二日常工作文档,做了脱敏,非常有实践参考价值,供需要的朋友使用。
资源推荐
资源详情
资源评论
1
钢铁企业工控安全
解决方案
2023 年 2 月
2
目录
1. 背景...............................................................................................................................................................4
2. 需求分析......................................................................................................................................................5
2.1. 工控软件本身安全性设计缺陷 ...............................................................................................5
2.2. 工控协议安全性欠缺 .................................................................................................................6
2.3. 视频网络安全隐患......................................................................................................................6
2.4. 网络边界缺乏访问控制措施....................................................................................................6
2.5. 移动存储介质缺少管控.............................................................................................................6
2.6. 新型的 APT 攻击,无法阻挡...................................................................................................7
3. 设计依据......................................................................................................................................................7
4. 方案设计......................................................................................................................................................9
4.1. 总体设计 ........................................................................................................................................9
4.2. 详细设计......................................................................................................................................10
4.2.1. 工业网闸 ........................................................................................................................10
4.2.2. 工业防火墙....................................................................................................................11
4.2.3. 工业安全审计系统......................................................................................................12
4.2.4. 防病毒.............................................................................................................................12
4.2.5. 堡垒机.............................................................................................................................13
4.2.6. 日志审计 ........................................................................................................................13
4.2.7. 安管平台(态势感知).............................................................................................14
4.2.8. 主机卫士 ........................................................................................................................15
4.2.9. 数据库审计....................................................................................................................15
4.2.10. 终端安全........................................................................................................................16
5. 等保技术要求合规性分析....................................................................................................................16
5.1. 等保二级技术要求合规性分析.............................................................................................16
5.2. 等保三级技术要求合规性分析.............................................................................................20
6. 产品选型....................................................................................................................................................27
3
1. 背景
近年来,我国钢铁企业在总结国内外先进钢铁企业信息化建设经验的基础上,
善于学习、敢于创新、勇于创造,突破性地解决了产销一体、管控衔接等重大关
键性技术难题,一批体现自主创新的信息化工程涌现。钢铁企业的发展战略中开
始纳入信息化内容,信息化的目标、方针、内容、任务、技术路线逐渐明晰,企
业信息化的管理体系逐步确立,企业最高决策层逐渐领衔信息化,信息资源的开
发利用水平得到提高;信息基础设施建设不断完善,网络信息安全防范意识增强;
信息产业队伍逐渐强大,系统集成与维护、软件设计能力不断增强,自主创新、
集成创新、引进消化吸收再创新的能力在信息化建设中得到提高;管理信息化建
设不断深化;生产过程自动化建设快速发展,信息技术广泛应用于生产经营管理
各个层面;信息化为推进钢铁企业实现精细化管理、优化业务流程提供了手段和
平台,生产过程自动化为实现柔性制造、敏捷生产提供了条件。
由于工业控制系统建设初始时多是基于自身可用性角度来进行设计开发,对
于后续多系统级联、开放性越来越强的生产控制系统网络的安全性如何保障以及
如何开展防护建设考虑甚少。钢铁行业的工业控制系统主要是由 PCS、DCS、
PLC、SCADA、智能仪表、机器人以及基于控制系统的高级应用等组成,在如今信
息技术发展的影响下,工控系统厂商越来越注重于系统的开放性设计,多采用第
三方集成,操作端 PC 化的方式,这一改进大大降低了用户的投资与维护成本。
对于钢铁行业工业控制系统来说,产生安全威胁的因素是多方面的,例如:
管理缺失、缺少安全管理机制、防护手段落后、安全意识薄弱、公开通用的通信
协议与操作系统、工业网络病毒、工控系统自身、外方设备漏洞或后门、持续性
威胁 APT、无线技术等等。
《网络安全法》明确了“国家实行网络安全等级保护制度”、“关键信息基
础设施,在网络安全等级保护制度的基础上,实行重点保护”等内容,为网络安
全等级保护工作赋予了新的内涵。为适应煤矿企业的网络安全建设的需求,规范
网络安全规划、设计与建设,依据《中华人民共和国网络安全法》、工信部《工
业控制系统信息安全防护指南》、《信息安全技术 网络安全等级保护基本要求》、
4
《油气生产物联网系统建设规范》等文件,结合煤矿企业各业务实际情况,最大
程度的降低生产安全风险的发生,按等级保护相关要求进行方案设计。
随着工业数字化、网络化、智能化加快发展,煤矿企业的工控安全面临安全
漏洞不断增多、攻击手段复杂多样等新的挑战。在“两化融合”管理体系大力推
进的背景下,工业控制系统安全发展速度却远远落后于建设速度,应用单位必须
着力提高工控系统安全应急处置能力,杜绝网络威胁攻击和远程控制失效的情况。
煤矿生产场景常见工控系统:
DCS:分布式控制系统(distribution control system),以计算机为基础,
在系统内部(组织内部)对生产过程进行分布控制、集中管理的系统。
PLC:可编程逻辑控制器(programmable logic controller),采用可编程存
储器,通过数字运算操作对工业生产装备进行控制的电子设备。
MES 系统:制造执行系统 (manufacturing execution system),为企业实
现生产计划管理、生产过程控制、产品质量管理、车间库存管理、项目看板管理
等,提高企业制造执行能力。
SCADA 系统:数据采集与监视控制系统(Supervisory Control And Data
Acquisition),是以计算机为基础的生产过程控制与调度自动化系统。
EMS 系统:能源管理系统(Engine Management System)是以帮助工业生产
企业在扩大生产的同时,合理计划和利用能源,降低单位产品能源消耗,提高经
济效益,降低 CO2 排放量为目的信息化管控系统。
2. 需求分析
2.1. 工控软件本身安全性设计缺陷
数据采集与监控子系统中,主要以 SCADA 系统进行油气生产物联网底层数据
的收集。SACDA 软件系统缺乏自身的安全性设计,生产控制系统安全防护滞后于
系统的建设速度,再加上相关人员安全意识不够、相关的管理制度缺失,使得系
统本身存在较大的脆弱性。
5
2.2. 工控协议安全性欠缺
专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用
性,对安全性普遍考虑不足:油气生产物联网中使用的 OPC 协议,利用系统的 DCOM
组件,使用 OLE 技术会在数据传输过程中开放 1024~65535 的动态端口,使用这
些端口缺少足够强度的认证、加密、授权等给数据的安全性和可靠性带来威胁。
尤其是工业控制系统中的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击。
2.3. 视频网络安全隐患
油气生产物联网实现了井场、站库等生产视频的采集与控制、视频展示、视
频分析报警功能。视频信息流贯穿于整个油气生产物联网,在数据采集于监控子
系统进行采集,在数据传输子系统进行视频流传输,生产管理子系统实现视频采
集与控制、视频展示、视频分析报警功能。视频流在生产管理子系统形成汇聚,
存在着从终端入侵感染整个油气生产物联网的高危风险。2014 年土耳其石油管
道爆炸事件正是由视频监控网络入侵,关闭石油输送管线的调度系统内的报警服
务,最终造成了重大的经济损失。
2.4. 网络边界缺乏访问控制措施
数据传输子系统以生产网内的通信网络建设为主。从油气田井场、站场(厂)
监控中心至作业区生产管理中心部署生产网,延伸至采油采气厂或油气田公司层
级,从作业区生产管理中心或采油采气厂生产调度中心至油气田公司生产指挥中
心部署办公网。整个油气生产物联网的的生产网与办公网络存在重叠,边界变得
很不清晰,并且生产网络和办公网络存在着实时数据库和关系数据库的关键业务
交互,缺少边界层面的访问控制措施,存在着安全隐患。
2.5. 移动存储介质缺少管控
因为油气生产物联网中的各类系统,如 SCADA 系统、示功图服务器、实时数
据库等系统存在着系统升级、数据备份的需求,使用 U 盘等可移动设备的情况变
剩余25页未读,继续阅读
资源评论
小正太浩二
- 粉丝: 196
- 资源: 5920
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功