化纖行業工控安全解決方案檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

化纖行業工控安全解決方案近年來，工業控制系統信息安全事件不斷發生，「震網」、「火焰」、「毒區」、「Havex」等惡意軟件嚴重影響了關鍵工業基礎設施的穩定運行，充分反映了工業控制系統信息安全面臨的嚴峻形勢。

一、案例簡介

各個工業行業頻發的信息安全事故表明，一直以來被認為相對安全、相對封閉的工業控制系統已經成為不法組織和黑客的攻擊目標，黑客攻擊正在從開放的互聯網^[1]向封閉的工控網蔓延。在電力、化工、煤炭、交通、冶金等行業均遭受到了嚴峻的工業控制網絡安全威脅，急需加大在工業控制網絡安全方面的投入，防止工業企業受到針對工業控制系統的網絡攻擊行為。

由於起步較晚，我國工業控制系統信息安全保障能力方面存在較大不足。當前我國工業控制系統核心軟硬件設備的自主可控水平嚴重低下，基本的安全防護嚴重不足，網絡接入控制混亂，外包維護管理缺乏，有很多工控系統需要依賴廠商才能維護，在培訓教育和應急響應方面的力度也相當有限。面對複雜的工控安全形勢，我國加強工業控制系統信息安全的保障工作迫在眉捷。

港虹公司工控網絡安全^[2]建設項目能夠全面提升企業生產網絡的整體安全，確保設備、系統、網絡的可靠性、穩定性，減少人員的工作量，提高安全生產管理水平、工作效率和管理效率。

二、案例背景介紹

典型安全問題包括以下方面。

1、 工控網絡存在一定的脆弱性

（1）存在後門：已建項目主要軟硬件多為進口，可能存有後門；

（2）易被攻擊：廣泛使用無線通信，易被監聽、竊密和干擾；

（3）接入風險：部分網絡借用公共電信網絡和互聯網組網，增加了網絡接入風險。

2、 工控網絡面臨着現實和潛在的威脅

（1）現實威脅：U盤濫用、病毒肆虐、軟件亂裝、違規操作、缺少有效的訪問控制手；

（2）潛在威脅：攻擊化纖行業工控系統技術門檻越來越低，易被信息戰攻擊。

3、 工控網絡安全防護體系尚未形成

（1）資產混亂：關鍵資產底數不清楚；

（2）維護不當：嚴重漏洞難以及時處理，系統軟件補丁管理困難，難以應對APT攻擊；

（3）風險增加：工業化程度的深入推進加速了網絡安全風險的暴露。

三、案例應用詳情

1、 安全解決方案體系設計

（1）安全區域邊界

工業防火牆可以採用黑、白名單的安全策略，過濾一切非授權訪問，保證只有可信任的數據才允許通過，為控制網與管理信息網的連接、控制網內部各區域的連接提供安全保障。本次工控防火牆部署在各個生產車間接入交換機出口處以及關鍵設備前端，根據區域邊界數據交換規則通過檢查數據包的源地址、目的地址、傳輸層協議和請求的服務的基礎上，經過工控協議深度檢查，防病毒檢測、確定是否允許該數據包通過該區域邊界；根據區域邊界安全控制策略，通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等，確定是否允許該數據包進出受保護的區域邊界，以防範來自邊界的攻擊行為，當檢測到攻擊行為時採取相應動作並通知安全管理中心。

在（港虹公司）管理信息網與生產控制網之間部署工業安全網閘實現邏輯隔離與數據的安全傳輸，系統採用專用信息擺渡機制，解決了由於網絡隔離引起的數據交換問題，既保持了網絡之間隔離的特性，同時又提供了一種安全、有效的數據傳輸途徑，採用非標準協議構成安全隧道，保障了數據傳輸的安全性，徹底杜絕了因辦公網絡的接入使業務系統感染病毒、木馬的可能，消除了安全隱患。

工控安全監測審計系統

工控安全監測審計系統是針對工業控制網絡數據通信進行安全審計的平台。本次部署在匯聚層的三層交換機節點上，抓取網絡中的所有數據，通過實時動態分析、數據流監控、網絡行為審計等技術，快速識別工業控制網絡中存在的異常行為，對異常流量及時發出告警。

參考文獻