工控網(wǎng)首頁
>

新聞中心

>

業(yè)界動態(tài)

>

海天煒業(yè)Guard工業(yè)防火墻保障江蘇某石化工控網(wǎng)絡安全

海天煒業(yè)Guard工業(yè)防火墻保障江蘇某石化工控網(wǎng)絡安全

近日,海天煒業(yè)的工程師團隊赴江蘇某石化有限責任公司進行了工控網(wǎng)絡安全項目實施。江蘇某石化歷史悠久,控制系統(tǒng)品牌、類型多,網(wǎng)絡結(jié)構(gòu)復雜。本項目通過Guard防火墻的部署,實現(xiàn)了用戶工控網(wǎng)絡關鍵設備節(jié)點以及網(wǎng)絡邊界的有效防護,整體提升了用戶系統(tǒng)的網(wǎng)絡安全保障能力。

項目概況:MES系統(tǒng)建設帶來的生產(chǎn)網(wǎng)絡安全防護需求

前期,江蘇某石化已完成基于實時數(shù)據(jù)庫應用的MES系統(tǒng)建設。實時數(shù)據(jù)庫的建立是以采集過程控制系統(tǒng)的數(shù)據(jù)為前提,這就需要MES 的信息網(wǎng)絡必須要實現(xiàn)與控制網(wǎng)絡之間的數(shù)據(jù)交換,控制網(wǎng)絡不再以一個獨立的網(wǎng)絡運行,而要與信息網(wǎng)絡互通、互聯(lián)。

MES 系統(tǒng)實施后,生產(chǎn)網(wǎng)絡與管理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢也是一種必需,但辦公網(wǎng)及外網(wǎng)的應用復雜,多樣性強。感染病毒及惡意程序的機率大,生產(chǎn)網(wǎng)的開放,勢必對 PI 數(shù)據(jù)庫的數(shù)據(jù)完整性、保密性、安全性形成挑戰(zhàn),對DCS、PLC控制系統(tǒng)形成嚴重的安全威脅,如果系統(tǒng)受到攻擊或感染病毒后,使得DCS或PLC控制發(fā)生故障,壓力、溫度、流量、液位、計量等指示失效,檢測系統(tǒng)連鎖報警失效,或各類儀表電磁閥制動空氣及電源無供給后,一旦重大危險源處于失控狀態(tài),后果不堪設想,將危急現(xiàn)場操作人員甚至工廠附近人群的生命安全。

所以,江蘇某石化啟動了對控制系統(tǒng)及生產(chǎn)網(wǎng)絡的安全防護項目。

解決方案:基于網(wǎng)絡安全、網(wǎng)路安全、關鍵設備安全需要的解決方案

針對江蘇某石化的網(wǎng)絡結(jié)構(gòu)及要求,海天煒業(yè)分別在如下幾個安全薄弱環(huán)節(jié)及功能網(wǎng)絡邊界部署工業(yè)網(wǎng)絡安全產(chǎn)品,達到多層面分重點的網(wǎng)絡安全防護目的。

1、控制系統(tǒng)網(wǎng)絡安全防護

在控制器入口端部署控制器防護設備,能夠識別針對控制器的操控服務指令(包括組態(tài)服務、數(shù)據(jù)上傳服務、數(shù)據(jù)下載服務、讀服務、寫服務、控制程序下載服務、操控指令服務等),并能夠根據(jù)安全策略要求對非法的服務請求進行報警和自動阻斷。使用工業(yè)防火墻對控制器進行安全防護,一方面通過對源、目的地址的控制,僅允許工程師站和操作員站可訪問控制器,且對關鍵控制點的讀寫權限加以嚴格限制,保障了資源的可信與可控,另一方面,通過對端口服務的控制,杜絕了一切有意或無意的攻擊,最后使用“白名單”機制,僅允許OPC 等專有協(xié)議通過,阻斷一切 TCP 及其它訪問,從而確??刂破鞯陌踩?/p>

2、網(wǎng)路邊界防護

在OPC Server與數(shù)據(jù)采集服務器之間加裝Guard防火墻,對OPC Server進行防護,保護采集到的數(shù)據(jù)在傳輸中不被病毒篡改及刪除。在OPC Server與數(shù)據(jù)采集服務器之間加裝Guard防火墻,對OPC Server進行防護,保護采集到的數(shù)據(jù)在傳輸中不被病毒篡改及刪除;將生產(chǎn)管理系統(tǒng)MES所在數(shù)采網(wǎng)與控制網(wǎng)隔離,Guard工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡間的通信,防止數(shù)采網(wǎng)或者控制網(wǎng)中節(jié)點感染病毒后,在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。

3、關鍵設備防護

在控制網(wǎng)內(nèi)部,操作站安裝的操作系統(tǒng)為Windows系統(tǒng),工程師站、操作站與DCS控制器使用OPC協(xié)議進行通訊,一旦感染針對OPC協(xié)議的病毒,將極易導致DCS控制器誤動作或出現(xiàn)故障,危險性較大。如果工程師站、操作站感染了普通的網(wǎng)絡病毒也會造成控制系統(tǒng)網(wǎng)絡擁堵或崩潰。因此在控制網(wǎng)內(nèi)部,重點對工程師站、操作站進行安全防護,對進入和出去的訪問行為進行有效的控制,防止非授權行為的任意接入,避免發(fā)生網(wǎng)絡惡意行為對工程師站、操作員等關鍵系統(tǒng)的破壞性和非法操作。

項目方案如下圖所示(示意圖):

項目實施:高效、規(guī)范施工

在中控室現(xiàn)場,海天煒業(yè)的工程師嚴格遵守項目實施流程,規(guī)范施工。經(jīng)過短短三天的緊張實施,終于完工。

實施內(nèi)容包括:

將Guard工業(yè)防火墻部署在OPC服務器與數(shù)采接口機之間,Buffer機通過工業(yè)防火墻與OPC服務器進行通訊,采集來自控制網(wǎng)絡的數(shù)據(jù),有效的隔離了信息網(wǎng)絡與控制網(wǎng)絡,在保證OPC通訊正常進行的同時將其它通訊端口全部關閉,最大化防止了病毒的傳播。

使用中央管理平臺,實現(xiàn)數(shù)采網(wǎng)絡通訊的統(tǒng)一管控和報警信息,完成所列裝置的安全隔離工作。主要內(nèi)容包括:安裝中央管理平臺、Guard工業(yè)防火墻的部署、配置與組態(tài)。

在策略組態(tài)過程中,海天煒業(yè)工程師充分考慮了客戶的具體需求,對于符合標準OPC協(xié)議的裝置,配置OPC Classic-TCP協(xié)議并下裝;對于WINCC SERVER等服務器,鑒于其客戶端較多,涉及幾個生產(chǎn)子網(wǎng),因此沒有采用以往根據(jù)數(shù)采機IP地址建立一對一通訊關系的做法,代之以配置相關工控通訊協(xié)議并精準開放部分端口的方式。

現(xiàn)場裝置

海天煒業(yè)Guard工業(yè)防火墻

Guard工業(yè)防火墻是海天煒業(yè)聯(lián)合中科院軟件所共同推出的一款自主工控網(wǎng)絡安全防護產(chǎn)品,也是首批榮獲國家發(fā)改委資金支持的工業(yè)防火墻,屬于新一代工業(yè)協(xié)議增強型防火墻,通過區(qū)域隔離、通訊管控、實時報警,為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案。能深層保障工業(yè)通訊安全,有效防止蠕蟲、病毒的傳播和擴散,從而創(chuàng)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。

Guard工業(yè)防火墻通過了公安部檢測,取得了EAL3、ISCCC等認證和銷售許可證,適用于企業(yè)辦公網(wǎng)絡與生產(chǎn)網(wǎng)絡的隔離、保護控制系統(tǒng)的安全。廣泛應用于石油石化、電力、煙草、冶金、化工、管道以及水處理等多個行業(yè)。在產(chǎn)品性能、自身安全性等方面均處于業(yè)界領先水平,是一款能真正有效保護工業(yè)控制系統(tǒng)網(wǎng)絡安全的設備。

投訴建議

提交

查看更多評論
其他資訊

查看更多

中國化學品安全協(xié)會關于舉辦第六期安全儀表系統(tǒng)功能安全培訓班的通知

海天煒業(yè)順利完成山東某石化2017年控制系統(tǒng)檢修工作

典型案例 | 海天煒業(yè)為某煤化工企業(yè)排除運行故障

中國特檢院“石油化工裝置維護保運工程師(控制系統(tǒng))培訓班”在海天煒業(yè)開班

江蘇吳江某化纖廠PKS檢修圓滿竣工