搜索
搜索

關于

/
/
能源界乘風破浪的“大哥”,石化企業如何做好網絡安全防護?
全部分類

能源界乘風破浪的“大哥”,石化企業如何做好網絡安全防護?

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-06-24 09:59
  • 訪問量:

【概要描述】網御星云石化企業安全防護建設思路

能源界乘風破浪的“大哥”,石化企業如何做好網絡安全防護?

【概要描述】網御星云石化企業安全防護建設思路

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-06-24 09:59
  • 訪問量:
詳情
作為能源界乘風破浪的“大哥”,石化企業對經濟的貢獻可謂功不可沒,那么,當“大哥”石化企業為我們提供能源保障的同時,又該怎樣確保它自身的安全呢~今天我們就來聊聊石化企業的網絡安全防護建設該怎么做~
 
首先,來看看“大哥”石化企業曾經發生了哪些安全事件:
 
2004年,美國某化工廠的一個DCS控制系統被震蕩波蠕蟲病毒通過連接在防火墻的445端口入侵,該系統因被感染而失去控制超過5小時。
 
2017年5月13日凌晨,某石油公司在北京、上海、重慶和成都等多個城市的部分加油站因為勒索病毒的突然攻擊而斷網,無法使用支付寶、微信和銀聯卡等聯網支付方式,只能用現金。
 
2020年5月,據報道,某些石油、汽油和天然氣公司接連受到黑客攻擊,使其IT和計算機系統關閉,加油站無法訪問用于管理收入記錄的數字平臺。
 
石油石化領域的網絡安全事件層出不窮,要想做好全方位的安全防護,先要了解石化企業網絡架構是什么樣子~
 
通常石化企業網絡劃分為管理網、數采網、工控網三個網段。
 
1. 工控網。石化企業的工業控制系統大多采用 DCS,對于控制器之間的網絡傳輸協議每個廠家通常采用自己的專用協議。DCS 與 MES 和先進控制(APC)等系統的數據庫統一通過 OPC 接口傳輸。
 
2. 數采系統。石化企業使用 OPC 協議采集的方式,將數據向上單向傳輸,涉及的主機操作系統大都為 Windows 系統。一般放在控制網絡中的 OPC Server 端采集工業控制系統數據,OPC Client 端在生產管理端,連接 OPC Server 獲取生產現場數據。
 
3. APC 和實時優化(RT-OPT)。APC 和 RT-OPT 的數據來源于 DCS 的實時數據庫,一般具有數據雙向傳輸的要求。通過采用先進控制和實時優化控制策略,改進過程控制品質、優化生產操作、提高裝置的穩定性,同時可使裝置具備卡邊運行的能力,提高了裝置的處理量,優化了產品收率和質量,降低了能耗、物耗,實現了裝置經濟效益最大化。
 
理清了網絡架構,那么,石化企業面臨的網絡安全威脅來自于哪些方面?
 
威脅來源一:硬件方面
 
網絡中存在大量廣播信息易造成廣播風暴。蠕蟲病毒正是利用了這一點,可占用計算機的系統資源和網絡帶寬,使程序無法響應系統的要求,造成系統堵塞,甚至崩潰。
 
威脅來源二:軟件方面
 
對于石化企業來說,工控系統國內外的軟件品牌眾多,很難形成統一的防護規范策略應對安全問題。另外,當軟件面向網絡應用時,就必須開放端口,一旦被惡意攻擊和利用后果不堪設想。
 
威脅來源三:使用方面
 
網絡的使用者由于經驗不足等原因造成的網絡口令丟失、權限分配失策和系統被入侵等情況,也會造成機密數據丟失、泄露和系統癱瘓等故障。
 
威脅來源四:非法授權使用
 
石化企業系統普遍存在訪問制度和權限管理等問題。權限管理漏洞造成的非授權使用或來自外部的黑客攻擊有可能獲取系統權限,訪問敏感數據,致使工控系統誤操作,甚至造成系統癱瘓。
 
威脅來源五:病毒攻擊
 
石化企業之前有過被勒索病毒攻擊的事件,計算機病毒在整個網絡系統內的傳播造成多個計算機的性能下降甚至癱瘓,造成生產系統局部功能的喪失。
 
在網絡安全威脅的影響下,石化企業的網絡安全防護呈現出一定的問題,具體體現在:
 
未進行安全區域劃分,區域間未設置訪問控制措施
 
石化企業生產系統隨著信息系統及工業系統的集成化越來越高,呈現統一管理、集中監控的趨勢,系統的互聯程度大幅提高。但是各子系統之間沒有進行有效地隔離,系統邊界不清楚,邊界訪問控制策略缺失,一旦發生安全問題,存在迅速蔓延的可能性。
 
工作主機存在互相感染的隱患
 
石化生產系統中大部分工作主機是基于Windows平臺,版本包括NT4.0、Win2000、 XP、 Win7和 Server2003等,Windows平臺固有的脆弱性很容易被病毒黑客利用。并且大部分企業無移動存儲介質管理、工作主機軟件運行白名單管理、聯網控制、網絡準入控制的技術控制措施。一旦發生安全事件,病毒則會迅速傳播,危害整個生產業務系統,2017年某石油公司勒索病毒事件就是實例。
 
缺少信息安全風險監控
 
由于缺乏風險監控,不能及時發現信息安全問題,出現問題主要依靠運維人員經驗進行排查,這種做法既耗費了大量的人力成本和時間成本,也可能無法及時確定問題所在,不能排查到故障點,最終形成安全隱患。
 
應急響應機制不健全
 
發生信息安全事件后,石化企業的運維人員通常依靠經驗判斷問題,多采用直接斷網的方式進行處理,缺少應急機制,無法定位攻擊點,無法評估攻擊事件的設備和影響范圍。
 
聊了這么多威脅和問題,石化企業的安全防護建設究竟該如何做?別急,網御星云整體安全防護思路來了~我們以某石化企業安全防護案例來進行分析
 
綜上所述,系統面臨的主要安全威脅來自于黑客攻擊、病毒蠕蟲等惡意代碼、非授權接入、移動介質、弱口令、操作系統漏洞、誤操作和業務異常等越權訪問,因此,安全防護建設應該從以下幾個方面進行完善:入侵檢測及防御、惡意代碼防護、內部網絡異常行為的檢測、邊界訪問控制和系統訪問控制策略、系統開發與維護的安全、身份認證和行為審計、賬號唯一性和口令安全、尤其是管理員賬號和口令的管理、操作站操作系統安全、移動存儲介質的標記、權限控制和審計、設備物理安全。
 
基于此,網御星云在保證系統可用性的前提下,對該石化企業信息系統及工業控制系統進行綜合防護實現“垂直分層、水平分區、邊界控制、內部監測”全方位的安全防護建設。
 
“垂直分層、水平分區” 
 
即對石化企業生產及管理系統垂直方向化分為集團管理層、企業管理層、生產管理層、生產調度層、現場控制層及現場設備層;水平分區指各信息管理系統之間,工業控制系統之間從網絡上隔離開,處于不同的安全區。
 
 “邊界控制、內部監測” 
 
即對系統邊界即各工作站、應用服務器、信息系統、工業控制系統連接處和無線網絡等要進行邊界防護和準入控制;對生產辦公網絡及工業控制系統內部監測網絡流量數據,以發現入侵、業務異常、訪問關系異常和流量異常等問題。
 
具體實施方案如下:
 
 
 
 
整體來看,網御星云基于該石化公司生產網信息安全現狀,以國家及行業相關信息安全建設規范為指導,解決企業當前生產階段最迫切的需求,為企業構建了全面、完整、高效的生產網信息安全保障體系,從而提升分公司生產網的整體安全等級,為該企業生產網提供堅實的信息安全保障。
 
目前,網御星云已在工控領域形成了完善的整體解決方案和專業的安全服務能力,能夠幫助用戶建立全生命周期安全管理,實現網絡安全可知、可防、可測。未來,網御星云還銳意進取、開拓創新
以先進的技術和工控領域的領先優勢,攜手用戶共同打造協同共生時代的工業互聯網安全!
 
 
關鍵詞:

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网