化纤行业工控安全解决方案查看源代码讨论查看历史

来自 搜狐网 的图片

化纤行业工控安全解决方案近年来，工业控制系统信息安全事件不断发生，“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行，充分反映了工业控制系统信息安全面临的严峻形势。

一、案例简介

各个工业行业频发的信息安全事故表明，一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标，黑客攻击正在从开放的互联网^[1]向封闭的工控网蔓延。在电力、化工、煤炭、交通、冶金等行业均遭受到了严峻的工业控制网络安全威胁，急需加大在工业控制网络安全方面的投入，防止工业企业受到针对工业控制系统的网络攻击行为。

由于起步较晚，我国工业控制系统信息安全保障能力方面存在较大不足。当前我国工业控制系统核心软硬件设备的自主可控水平严重低下，基本的安全防护严重不足，网络接入控制混乱，外包维护管理缺乏，有很多工控系统需要依赖厂商才能维护，在培训教育和应急响应方面的力度也相当有限。面对复杂的工控安全形势，我国加强工业控制系统信息安全的保障工作迫在眉捷。

港虹公司工控网络安全^[2]建设项目能够全面提升企业生产网络的整体安全，确保设备、系统、网络的可靠性、稳定性，减少人员的工作量，提高安全生产管理水平、工作效率和管理效率。

二、案例背景介绍

典型安全问题包括以下方面。

1、 工控网络存在一定的脆弱性

（1）存在后门：已建项目主要软硬件多为进口，可能存有后门；

（2）易被攻击：广泛使用无线通信，易被监听、窃密和干扰；

（3）接入风险：部分网络借用公共电信网络和互联网组网，增加了网络接入风险。

2、 工控网络面临着现实和潜在的威胁

（1）现实威胁：U盘滥用、病毒肆虐、软件乱装、违规操作、缺少有效的访问控制手；

（2）潜在威胁：攻击化纤行业工控系统技术门槛越来越低，易被信息战攻击。

3、 工控网络安全防护体系尚未形成

（1）资产混乱：关键资产底数不清楚；

（2）维护不当：严重漏洞难以及时处理，系统软件补丁管理困难，难以应对APT攻击；

（3）风险增加：工业化程度的深入推进加速了网络安全风险的暴露。

三、案例应用详情

1、 安全解决方案体系设计

（1）安全区域边界

工业防火墙可以采用黑、白名单的安全策略，过滤一切非授权访问，保证只有可信任的数据才允许通过，为控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障。本次工控防火墙部署在各个生产车间接入交换机出口处以及关键设备前端，根据区域边界数据交换规则通过检查数据包的源地址、目的地址、传输层协议和请求的服务的基础上，经过工控协议深度检查，防病毒检测、确定是否允许该数据包通过该区域边界；根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界，以防范来自边界的攻击行为，当检测到攻击行为时采取相应动作并通知安全管理中心。

在（港虹公司）管理信息网与生产控制网之间部署工业安全网闸实现逻辑隔离与数据的安全传输，系统采用专用信息摆渡机制，解决了由于网络隔离引起的数据交换问题，既保持了网络之间隔离的特性，同时又提供了一种安全、有效的数据传输途径，采用非标准协议构成安全隧道，保障了数据传输的安全性，彻底杜绝了因办公网络的接入使业务系统感染病毒、木马的可能，消除了安全隐患。

工控安全监测审计系统

工控安全监测审计系统是针对工业控制网络数据通信进行安全审计的平台。本次部署在汇聚层的三层交换机节点上，抓取网络中的所有数据，通过实时动态分析、数据流监控、网络行为审计等技术，快速识别工业控制网络中存在的异常行为，对异常流量及时发出告警。

参考文献