石化行业工业网络信息安全防护方案-解决方案-西安天佑恒达机械设备有限公司-plc控制系统 plc控制柜 plc销售 plc控制箱 plc安装调试 plc触摸屏 工业自动化 非标自动化

全国咨询热线18165297660
栏目导航
解决方案
联系我们
服务热线
029-86037715
邮箱:2164507256@qq.com
地址:陕西省西安市高陵区姬家管委会泾吴村五组
当前位置:首页>>解决方案
石化行业工业网络信息安全防护方案
浏览:1151 发布日期:2017-11-14 16:08:11

伴随国家工业化、信息化的两化融合,石化企业提出管控一体化规划,基于实时数据库应用的MES系统在各大企业得到大力推广。实时数据库的建立是以采集过程控制系统的数据为前提,这就需要MES的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联,基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。


网络拓扑图

系统说明及隐患分析
       石化行业系统结构通常分为三层,自上而下分别是办公网、数采网和控制网。办公网和数采网是物理上隔离的;数采网采用OPC标准从控制网采集数据,数采机或OPC Server采用双网卡结构与控制网进行了隔离;工程师站通常需要接入第三方设备(U盘、笔记本电脑等),系统存在以下信息安全隐患:

1、数采网与控制网之间的病毒相互感染隐患。虽然通过Buffer数采机或OPC Server的双网卡结构对数采网与控制网进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等,这种配置并不起作用,病毒仍会在数采网和控制网之间互相传播。另外OPC通讯使用动态端口,无法使用常规防火墙进行防护。
2、来自工程师站的病毒扩散隐患。工程师站通常接入设备U盘、笔记本电脑等第三方,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。
3、网络攻击事件无法追踪。网络中缺乏对网络进行实时监控的工具,一旦出现问题后,无法进行原因查找、分析和故障点查询。

解决方案

1、 网络分区
       针对石化行业网络当前的安全隐患,根据系统网络结构和安全要求,可以将整个网络分为办公网、数采网、控制网和工程师站四大区域。

2、 通讯管控
      在控制网和数采网之间部署Tofino工业防火墙,通过OPC Enforcer软插件自动跟踪OPC通讯的动态端口,并对其通讯内容进行深度检查,保障数采通讯安全;此外,在工程师站前端部署Tofino工业防火墙,对工程师站进行隔离防护,防止病毒扩散。

3、 集中管理
       在网络中部署CMP配置管理平台,用于配置、管理、监测网络中所有的Tofino工业防火墙,并接收来自防火墙的网络报警信息。无需停车,Tofino工业防火墙特有的“测试”模式允许在线配置防火墙策略。

 

4、 预警分析
       在企业办公网部署SMP安全管理平台,捕获并分析现场所有安装Tofino防火墙的通讯“管道”中的攻击,一方面可以实现对整个生产网络的实时监控,另一方面也可以及时发现病毒、非法入侵以及各类威胁并迅速解决,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠的依据。