石油石化安全解決方案
方案概述
本方案主要是針對(duì)石油石化企業(yè)工控網(wǎng)與辦公網(wǎng)之間、公網(wǎng)與工控網(wǎng)之間以及工控網(wǎng)內(nèi)部等場(chǎng)景進(jìn)行安全防護(hù)。
石油石化安全解決方案

辦公網(wǎng)與工控網(wǎng)之間安全防護(hù)

辦公網(wǎng)與工控網(wǎng)之間增加工業(yè)網(wǎng)閘,僅允許辦公網(wǎng)的報(bào)表服務(wù)器和遠(yuǎn)程服務(wù)器以O(shè)PC協(xié)議以只讀的方式訪問(wèn)工控網(wǎng)內(nèi)的SCADA數(shù)據(jù)服務(wù)器,除OPC協(xié)議外所有網(wǎng)絡(luò)報(bào)文都不允許通過(guò),其余的任何計(jì)算機(jī)都不允許互相訪問(wèn)。

公網(wǎng)與工控網(wǎng)之間安全防護(hù)

公網(wǎng)與工控網(wǎng)之間增加工業(yè)網(wǎng)閘,僅允許規(guī)定的計(jì)算機(jī)和端口互相訪問(wèn),通過(guò)工業(yè)網(wǎng)閘的白名單策略,可以設(shè)置僅允許規(guī)定的計(jì)算機(jī)互相訪問(wèn),并且僅開放有限的端口,除此之外的主機(jī)和端口,均不允許訪問(wèn),從而保護(hù)工控網(wǎng)的安全。

安全區(qū)內(nèi)部綜合防護(hù)

1.在工控網(wǎng)內(nèi)部署入侵檢測(cè)系統(tǒng),對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)邊界的關(guān)鍵路徑信息進(jìn)行實(shí)時(shí)檢測(cè),實(shí)現(xiàn)安全事件的可發(fā)現(xiàn)、可追蹤、可審計(jì)。

2.在工控網(wǎng)內(nèi)部署運(yùn)維安全審計(jì)系統(tǒng)(堡壘主機(jī))全面禁止廠家通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維,通過(guò)運(yùn)維管控平臺(tái)集中運(yùn)維數(shù)據(jù)網(wǎng)設(shè)備和服務(wù)器設(shè)備,并對(duì)運(yùn)維人實(shí)名認(rèn)證,對(duì)運(yùn)維過(guò)程能實(shí)時(shí)監(jiān)控、實(shí)時(shí)阻斷、全面審計(jì),實(shí)現(xiàn)控制大區(qū)IT資源(EMS服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備)運(yùn)維過(guò)程符合等保、二次安防的要求。

3.在工控網(wǎng)內(nèi)建立安全審計(jì),全面收集、集中存儲(chǔ)生產(chǎn)控制大區(qū)各種業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、機(jī)房設(shè)施等的運(yùn)行日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)訪問(wèn)日志,并具備動(dòng)態(tài)監(jiān)視、故障分析、安全審計(jì)、事件預(yù)警及告警功能。




方案優(yōu)勢(shì)

隔離工控網(wǎng)與辦公網(wǎng),解決安全問(wèn)題

在工控網(wǎng)與辦公網(wǎng)之間增加工業(yè)網(wǎng)閘,僅允許特定的辦公網(wǎng)主機(jī)(報(bào)表服務(wù)器和遠(yuǎn)程服務(wù)器)訪問(wèn)特定的工控網(wǎng)主機(jī)(SCADA數(shù)據(jù)服務(wù)器),且僅允許OPC協(xié)議通過(guò),除此之外的任何主機(jī)、任何通信協(xié)議,均不允許通過(guò)。

辦公網(wǎng)內(nèi)主機(jī)僅能讀取OPC數(shù)據(jù),不能修改

辦公網(wǎng)內(nèi)的報(bào)表服務(wù)器和西安遠(yuǎn)程服務(wù)器,對(duì)工控網(wǎng)內(nèi)的SCADA數(shù)據(jù)服務(wù)器,僅能進(jìn)行OPC數(shù)據(jù)的只讀訪問(wèn),不能進(jìn)行任何寫操作,有效的防止了誤操作或者網(wǎng)絡(luò)攻擊導(dǎo)致對(duì)工控網(wǎng)的訪問(wèn),防止對(duì)實(shí)際生產(chǎn)造成巨大的經(jīng)濟(jì)損失。

隔離工控網(wǎng)與公網(wǎng),解決安全安全問(wèn)題

在工控網(wǎng)與公網(wǎng)之間增加工業(yè)網(wǎng)閘,僅允許特定的公網(wǎng)主機(jī)(遠(yuǎn)程數(shù)據(jù)采集服務(wù)器)與工控網(wǎng)主機(jī)之間的互相訪問(wèn),且僅允許特定的端口通過(guò),除此之外的任何主機(jī)、任何端口的報(bào)文,均不允許通過(guò),防止對(duì)公網(wǎng)上網(wǎng)絡(luò)攻擊者對(duì)工控網(wǎng)進(jìn)行非法攻擊。

基于網(wǎng)絡(luò)數(shù)據(jù)包級(jí)別的控制原理,對(duì)OPC進(jìn)行七級(jí)深度控制

我公司的工業(yè)網(wǎng)閘是基于網(wǎng)絡(luò)數(shù)據(jù)包級(jí)別的控制原理,非市面上的數(shù)據(jù)采集原理型產(chǎn)品,能夠達(dá)到七級(jí)深度OPC控制,包括MAC與IP綁定、TCP動(dòng)態(tài)連接判斷、OPC服務(wù)器訪問(wèn)控制、是否全部測(cè)點(diǎn)只讀、單測(cè)點(diǎn)是否可見、單測(cè)點(diǎn)是否只讀/讀寫、測(cè)點(diǎn)值寫范圍判斷。

隔離設(shè)備的安全性

OPC協(xié)議的處理屬于自主開發(fā),沒(méi)有基于商業(yè)庫(kù)開發(fā)所存在的漏洞問(wèn)題,安全性更高,硬件采用非x86的體系,產(chǎn)品自身安全性更高。


相關(guān)產(chǎn)品:


返回頂部