某煤企業工廠控制網絡安全防護
文章推薦指數: 80 %
某煤企業工廠控制網絡安全區域分析及風險識別
根據現場交流調研,目前我們工廠網絡劃分為5個大區,示意圖如下:
1.公司辦公管理網絡區:上層PMCC網絡;
2.工廠實時資料庫網絡區:中央控制室二層PMCC網絡;
3.DCS控制系統網絡區:Honeywell PKS系統控制網絡;
4.SIS安全儀表系統網絡區:Triconex的SIS安全儀表系統網絡。
防護區域劃分示意圖
風險設別:
1.從縱向上來看,DCS控制網絡可能會遭受來自辦公管理網絡的蠕蟲、病毒擴散及其它攻擊:
2.從橫向上來看,一旦一個UCR控制室單元中感染蠕蟲、病毒,就可能向其它的UCR控制區進行擴散,造成全面風險威脅;
來自DCS操作站惡意軟體對安全儀表控制器的威脅,
1.來自DCS操作站惡意軟體對安全儀表控制器的威脅,每個裝置的安全儀表控制器通過網線連接到DCS網絡控制核心交換機Csico 2960,然後通過Modbus TCP協議與同一區域的DCS控制器進行Peer to Peer通訊,如果DCS操作站感染惡意軟體,存在向SIS儀表安全系統發送錯誤指令的風險,可導致生產控制停車。
2.需要增加工程師站、操作站層面的主動防禦-可信計算安全平台;
4.2 針對工控網絡風險點的解決方案
1. 每個UCR和二層PMCC的Buffer機之間部署OPC工業防火牆
OPC工業防火牆的優勢:
> 在OPC工業協議上最先應用「連接跟蹤技術」 ;
> 『Sanity Check』 檢查功能,可攔阻任何不符合OPC標準格式的DCE/RPC 訪問;
>OPC通訊權限管理,OPC協議深度檢查,管控通訊安全;
> 只在所跟蹤的TCP埠有需要時,防火牆才短暫地打開;
> 可支持多個 OPC 客戶端和伺服器同時使用;
>簡單易用,在OPC伺服器或客戶端上並不需要做任何變化和改動只是在通訊網線中間加入即可;
>可支持OPC DA, HDA 和 A&E 標準;
> 實現區域防護和病毒隔離,阻擋惡意攻擊;
> 可實現單向、雙向讀寫的管控;
>得到OPC基金會的大力推薦。
2. 在每個裝置的SIS控制器和DCS網絡接口位置部署Modbus工業防火牆
Modbus工業防火牆的優勢:
> 提供基於被保護對象的訪問控制;
> 實現Modbus數據包合法性深度檢查,阻擋非法畸形報文攻擊 ;
> 提供Modbus功能碼防護功能;
> Modbus協議深度檢查,管控訪問寄存器;
> 可支持多個 Modbus Master和Slave同時使用;
> 簡單易用,網絡上並不需要做任何變化和改動只是在通訊網線中間加入即可;
> 實現區域防護和病毒隔離,阻擋惡意攻擊;
> 可實現讀寫的管控;
3.需要增加工程師站、操作站層面的主動防禦-可信計算安全平台;
3.在二層PMCC部署中央管理平台和安全管理平台伺服器
中央管理平台配置管理平台的優勢:
>分布式統一管理接口,可以全面管理部署在同一網絡中的所有設備;
> 軟體內置工業模型及工業協議,方便工程師組態;
>圖形化、拖拽式配置,易於使用;
>實時報警畫面展示;
>防火牆維護簡單,更換設備後,同步即可。
安全管理平台報警管理平台的優勢:
>利用內置的「工業控制網絡通訊行為模型庫」核心模塊,智能監控、分析控制網絡行為,及時檢測工業網絡中出現的工業攻擊、非法入侵、設備異常等情況 ;
>應用資料庫存儲、分析和挖掘技術,對危及系統網絡安全的因素做出智能預警分析,給管理者提供決策支持;
>以總攬大局的方式為工廠網絡信息安全故障的及時排查、分析提供了可靠的依據;
智能製造中的工控信息安全框架設計
摘要:面向全產業鏈環節,綜合應用現代傳感技術、網絡技術、自動化技術、智能化技術和管理技術等先進技術,與現有生產過程的工藝和設備運行技術高度集成的新型工廠,以實現複雜環境下生產運營的高效、節能和可...
WNCRYP爆發世界兩大工業控制系統入侵事件,做好防禦工作!
本期導讀:伊朗布希爾核電站開車之際為何1/5的離心機報廢?烏克蘭西部伊萬諾-弗蘭科夫斯克地區為何突然30座變電站下線,使得超過23萬名居民陷入無電可用的困境?你的工控系統是在「裸奔」嗎?拿什麼手...
目前工廠控制系統網絡防護分析
3.1工廠網絡情況概述伴隨國家工業化、信息化的兩化融合,石化企業提出管控一體化規劃,基於實時資料庫應用的MES系統在各大企業得到大力推廣。實時資料庫的建立是以採集過程控制系統的數據為前提,這就需...
如何打造可信可控的物聯網工業環境?
電腦病毒是每個人都熟悉的概念,而在工控安全領域這種威脅依然存在,且防護難度大,危害面積廣。工控上位機(工程師站和操作員站)是SCADA、DCS系統軟硬體組態的操作介面,承擔數據服務站的角色,負責...
你所不知道的工業控制系統安全有多嚴重
據權威工業安全事件信息庫RISI統計,截止到2011年10月,全球已發生200餘起針對工業控制系統的攻擊事件。2001年後,通用開發標準與網際網路技術的廣泛使用,使針對工業控制系統(ICS)的...
某石化企業工控安全案例
2.公司工業控制網絡結構現狀2.1 公司控制系統網絡拓撲基本結構伴隨工廠信息化的不斷深入,我公司在生產管理上建立了基於實時資料庫應用的MES系統。實時資料庫的建立是以採集過程控制系統的數據為前提...