某煤企業工廠控制網絡安全防護

某煤企業工廠控制網絡安全區域分析及風險識別

根據現場交流調研，目前我們工廠網絡劃分為5個大區，示意圖如下：

1.公司辦公管理網絡區：上層PMCC網絡；

2.工廠實時資料庫網絡區：中央控制室二層PMCC網絡；

3.DCS控制系統網絡區：Honeywell PKS系統控制網絡；

4.SIS安全儀表系統網絡區：Triconex的SIS安全儀表系統網絡。

防護區域劃分示意圖

風險設別：

1.從縱向上來看，DCS控制網絡可能會遭受來自辦公管理網絡的蠕蟲、病毒擴散及其它攻擊：

2.從橫向上來看，一旦一個UCR控制室單元中感染蠕蟲、病毒，就可能向其它的UCR控制區進行擴散，造成全面風險威脅；

來自DCS操作站惡意軟體對安全儀表控制器的威脅，

1.來自DCS操作站惡意軟體對安全儀表控制器的威脅，每個裝置的安全儀表控制器通過網線連接到DCS網絡控制核心交換機Csico 2960，然後通過Modbus TCP協議與同一區域的DCS控制器進行Peer to Peer通訊，如果DCS操作站感染惡意軟體，存在向SIS儀表安全系統發送錯誤指令的風險，可導致生產控制停車。

2.需要增加工程師站、操作站層面的主動防禦-可信計算安全平台；

4.2 針對工控網絡風險點的解決方案

1. 每個UCR和二層PMCC的Buffer機之間部署OPC工業防火牆

OPC工業防火牆的優勢：

> 在OPC工業協議上最先應用「連接跟蹤技術」 ；

> 『Sanity Check』 檢查功能，可攔阻任何不符合OPC標準格式的DCE/RPC 訪問；

>OPC通訊權限管理，OPC協議深度檢查，管控通訊安全；

> 只在所跟蹤的TCP埠有需要時，防火牆才短暫地打開；

> 可支持多個 OPC 客戶端和伺服器同時使用；

>簡單易用，在OPC伺服器或客戶端上並不需要做任何變化和改動只是在通訊網線中間加入即可；

>可支持OPC DA, HDA 和 A&E 標準；

> 實現區域防護和病毒隔離，阻擋惡意攻擊；

> 可實現單向、雙向讀寫的管控；

>得到OPC基金會的大力推薦。

2. 在每個裝置的SIS控制器和DCS網絡接口位置部署Modbus工業防火牆

Modbus工業防火牆的優勢：

> 提供基於被保護對象的訪問控制；

> 實現Modbus數據包合法性深度檢查，阻擋非法畸形報文攻擊 ；

> 提供Modbus功能碼防護功能；

> Modbus協議深度檢查，管控訪問寄存器；

> 可支持多個 Modbus Master和Slave同時使用；

> 簡單易用，網絡上並不需要做任何變化和改動只是在通訊網線中間加入即可；

> 實現區域防護和病毒隔離，阻擋惡意攻擊；

> 可實現讀寫的管控；

3.需要增加工程師站、操作站層面的主動防禦-可信計算安全平台；

3.在二層PMCC部署中央管理平台和安全管理平台伺服器

中央管理平台配置管理平台的優勢：

>分布式統一管理接口，可以全面管理部署在同一網絡中的所有設備；

> 軟體內置工業模型及工業協議，方便工程師組態；

>圖形化、拖拽式配置，易於使用；

>實時報警畫面展示；

>防火牆維護簡單，更換設備後，同步即可。

安全管理平台報警管理平台的優勢：

>利用內置的「工業控制網絡通訊行為模型庫」核心模塊，智能監控、分析控制網絡行為，及時檢測工業網絡中出現的工業攻擊、非法入侵、設備異常等情況 ；

>應用資料庫存儲、分析和挖掘技術，對危及系統網絡安全的因素做出智能預警分析，給管理者提供決策支持；

>以總攬大局的方式為工廠網絡信息安全故障的及時排查、分析提供了可靠的依據；