石化行业工控安全解决方案.pdf

石化行业工控安全解决方案石化行业工控安全解决方案龙国东Page 2威努特—工控安全专家 石油石化中工业信息化网络的应用石油和化工企业的信息化分为三层结构：第一层以PCS(Process Control System，过程控制系统)为代表的生产过程基础自动化层第二层以MES(Manufacturing Execution System，制造执行系统)为代表的生产过程运行优化层；第三层以ERP(Enterprise Resource Planning，企业资源计划)为代表的生产过程经营优化层信息化带动工业化，工业化促进信息化”是中国的国策Page 3威努特—工控安全专家 工业信息化网络面临的挑战Page 4威努特—工控安全专家 石油石化行业工控网络的安全问题与风险A生产控制网络缺乏自身全面的安全性设计我国石油石化行业生产控制系统安全防护滞后于系统的建设速度，生产控制系统缺乏自身的 安全性设计在信息安全意识、策略、机制、法规标准等方面都存在不少问题B工控网络存在一定的脆弱性（1）已建项目主要软硬件多为进口，可能存有后门 （2）油气开采、管道储运广泛使用无线通信，易被野外搭线监听、窃密和干扰 （3）部分网络借用公共电信网络和互联网组网，增加了网络接入风险C工控网络面临着现实和潜在的威胁现实威胁：U盘滥用、病毒肆虐、软件乱装、违规操作、缺少有效的访问控制手段 潜在威胁：攻击石油石化行业工控系统技术门槛越来越低，易被信息战攻击D工控网络安全防护体系尚未形成（1）关键资产底数不清楚 （2）严重漏洞难以及时处理，系统软件补丁管理困难，难以应对APT攻击 （3）两化融合加速了网络安全风险的暴露Page 5威努特—工控安全专家石油石化行业生产控制系统信息安全主要目标可用性完整性保密性1 1 2 2 3 3保护工控系统免受病毒等恶意代码的侵袭。

避免工控系统遭受人为恶意或者无意的违规操作防范外部、内部的网络攻击在不利条件下维护生产系统功能安全事件发生后能迅速定位找出问题根源Page 6威努特—工控安全专家构筑工控网络安全“白环境”监控防护体系只有可信任的 设备，才允许接入控制网络；只有可信任的 命令，才能在网络上传输；只有可信任的 软件，才能在主机上执行；1.2.3.核心理念运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用 大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模 型，进而构筑工业控制系统的网络 “安全白环境”创新的“软可信”计算技术，降低方案成本，提高实用性；机器自学习“白环境”智能建模技术，降低维护成本，提高易用性；1.2.高速工控协议深度包解析技术，具备高安全性，低时延影响；3.核心技术Page 7威努特—工控安全专家 白名单机制“白名单”主动防御技术是通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播白名单”安全机制是一种安全管理规范，不仅应用于防火墙软件的设置规则，也是在实际管理中要遵循的原则，例如在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘等，管理人员只信任可识别的身份，未经授权的行为将被拒绝。

Page 8威努特—工控安全专家纵深防御解决方案1、网络分层分区，边界访问控制， 避免无授权设备对区域的访问2、自学习建立工控系统及网络 正常工作的安全模型 （安全白环 境）和安全基线3. 基于通信“白环境”边界和区 域的攻击防御和过滤4. 基于通信“白环境”建立全网 异常检测体系，实时检测恶意网 络攻击，蠕虫扩散等5. 终端安全：包括主机安全和 DCS等工控设备安全6. 统一安全管理和审计：响应异 常，分析、审计攻击事件7、动态安全：新攻击手段、防 护方案、兼容性和影响进行验证8. 符合国际电工委员会（IEC）制 定的工控安全防护62443标准Page 9威努特—工控安全专家 边界防护1、安全分区：建立功能分区，划 分安全区与非安全区2、边界访问控制：工业边界防 火墙通过对工业专有协议的深 度解析，智能学习工控操作指 令和参数建立网络和通讯“白 环境”，阻止来自3、2、等层 之间的越权访问，病毒、蠕虫 恶意软件扩散和入侵攻击，保 护控制系统安全运行3、纵向边界深度攻击防护：工业 通信协议白名单，通信关系模型；4. 可以解决：非授权访问；蠕虫 病毒网络间扫描、传播；工业病 毒针对DCS的定向攻击（利用漏 洞，协议）Page 10威努特—工控安全专家 区域防护1、区域划分：控制系统复杂 多样，但依据生产车间或装置 可进行功能分区2、区域访问控制；工业防 火墙通过对工业专有协议的 深度解析，智能学习工控操 作指令和参数建立网络和通 讯“白环境”，阻止来自区 域之间的越权访问，病毒、 蠕虫恶意软件扩散和入侵攻 击，保护控制系统安全运行。

实现横向逻辑隔离，将危险 源控制在有限范围内3.工业协议的安全检查3.机架式防火墙适于工业机柜 内安装 ，硬件设计符合工业 环境Page 11威努特—工控安全专家 主机应用白名单防护1、学习建立系统软件和工业 软件白名单基线2. 主机加固：通用操作系统 完整性；注册表文件；配置 文件；专用工程软件3. 阻止恶意软件执行4. 避免人员未授权随意安装 软件5. 管理U盘的使用： 安全U 盘，和普通U盘的读写控制Page 12威努特—工控安全专家 实时监测1、网络异常检测：忠实 记录工控协议通信记录， 自学习建立正常通信行 为基线模型，对偏离基 线异常操作行为进行告 警上报；2、网络攻击检测：识别 并检测工控协议攻击、 TCP/IP攻击、网络风暴、 参数阈值检测； 3、关键事件检测：例对 工程师站组态并更、操控 指令变更、PLC程序下装 以及负载变更等关键事件 告警：4、工业网络可视化：提 供多维度网络流量视图， 统计视图；5、为售后服务、运维服 务提供指导Page 13威努特—工控安全专家 统一管理1、集中管理安全设备： 如工业防火墙、可信卫 士、工控安全检测与审 计系统，实现工控网络 的拓扑管理、安全配置 及安全策略管理、设备 状态监控、告警日志等。

2、全局安全防护管理；3、全网异常攻击检测和 审计；4、统一主机安全管理；5、集中的安全日志审计；6、工作站终端异常实时报 警；7、分级分权限管理；Page 14威努特—工控安全专家 行业案例—新疆XX油田工作站可信卫士保护工作站免受病毒侵袭可信边界网关进行数采协议OPC的只读防护；可信区域网关进行各采油井之间的网络隔离，访问控制以及丏用工控协议的控制；客户价值Page 15威努特—工控安全专家 行业案例—陕西XX煤化工Page 16威努特—工控安全专家工控安全 迫在眉睫！。