新闻中心
详情
作为能源界乘风破浪的“大哥”,石化企业对经济的贡献可谓功不可没,那么,当“大哥”石化企业为我们提供能源保障的同时,又该怎样确保它自身的安全呢~今天我们就来聊聊石化企业的网络安全防护建设该怎么做~
首先,来看看“大哥”石化企业曾经发生了哪些安全事件:
2004年,美国某化工厂的一个DCS控制系统被震荡波蠕虫病毒通过连接在防火墙的445端口入侵,该系统因被感染而失去控制超过5小时。
2017年5月13日凌晨,某石油公司在北京、上海、重庆和成都等多个城市的部分加油站因为勒索病毒的突然攻击而断网,无法使用支付宝、微信和银联卡等联网支付方式,只能用现金。
2020年5月,据报道,某些石油、汽油和天然气公司接连受到黑客攻击,使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台。
石油石化领域的网络安全事件层出不穷,要想做好全方位的安全防护,先要了解石化企业网络架构是什么样子~
通常石化企业网络划分为管理网、数采网、工控网三个网段。
1. 工控网。石化企业的工业控制系统大多采用 DCS,对于控制器之间的网络传输协议每个厂家通常采用自己的专用协议。DCS 与 MES 和先进控制(APC)等系统的数据库统一通过 OPC 接口传输。
2. 数采系统。石化企业使用 OPC 协议采集的方式,将数据向上单向传输,涉及的主机操作系统大都为 Windows 系统。一般放在控制网络中的 OPC Server 端采集工业控制系统数据,OPC Client 端在生产管理端,连接 OPC Server 获取生产现场数据。
3. APC 和实时优化(RT-OPT)。APC 和 RT-OPT 的数据来源于 DCS 的实时数据库,一般具有数据双向传输的要求。通过采用先进控制和实时优化控制策略,改进过程控制品质、优化生产操作、提高装置的稳定性,同时可使装置具备卡边运行的能力,提高了装置的处理量,优化了产品收率和质量,降低了能耗、物耗,实现了装置经济效益最大化。
理清了网络架构,那么,石化企业面临的网络安全威胁来自于哪些方面?
威胁来源一:硬件方面
网络中存在大量广播信息易造成广播风暴。蠕虫病毒正是利用了这一点,可占用计算机的系统资源和网络带宽,使程序无法响应系统的要求,造成系统堵塞,甚至崩溃。
威胁来源二:软件方面
对于石化企业来说,工控系统国内外的软件品牌众多,很难形成统一的防护规范策略应对安全问题。另外,当软件面向网络应用时,就必须开放端口,一旦被恶意攻击和利用后果不堪设想。
威胁来源三:使用方面
网络的使用者由于经验不足等原因造成的网络口令丢失、权限分配失策和系统被入侵等情况,也会造成机密数据丢失、泄露和系统瘫痪等故障。
威胁来源四:非法授权使用
石化企业系统普遍存在访问制度和权限管理等问题。权限管理漏洞造成的非授权使用或来自外部的黑客攻击有可能获取系统权限,访问敏感数据,致使工控系统误操作,甚至造成系统瘫痪。
威胁来源五:病毒攻击
石化企业之前有过被勒索病毒攻击的事件,计算机病毒在整个网络系统内的传播造成多个计算机的性能下降甚至瘫痪,造成生产系统局部功能的丧失。
在网络安全威胁的影响下,石化企业的网络安全防护呈现出一定的问题,具体体现在:
未进行安全区域划分,区域间未设置访问控制措施
石化企业生产系统随着信息系统及工业系统的集成化越来越高,呈现统一管理、集中监控的趋势,系统的互联程度大幅提高。但是各子系统之间没有进行有效地隔离,系统边界不清楚,边界访问控制策略缺失,一旦发生安全问题,存在迅速蔓延的可能性。
工作主机存在互相感染的隐患
石化生产系统中大部分工作主机是基于Windows平台,版本包括NT4.0、Win2000、 XP、 Win7和 Server2003等,Windows平台固有的脆弱性很容易被病毒黑客利用。并且大部分企业无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。一旦发生安全事件,病毒则会迅速传播,危害整个生产业务系统,2017年某石油公司勒索病毒事件就是实例。
缺少信息安全风险监控
由于缺乏风险监控,不能及时发现信息安全问题,出现问题主要依靠运维人员经验进行排查,这种做法既耗费了大量的人力成本和时间成本,也可能无法及时确定问题所在,不能排查到故障点,最终形成安全隐患。
应急响应机制不健全
发生信息安全事件后,石化企业的运维人员通常依靠经验判断问题,多采用直接断网的方式进行处理,缺少应急机制,无法定位攻击点,无法评估攻击事件的设备和影响范围。
聊了这么多威胁和问题,石化企业的安全防护建设究竟该如何做?别急,网御星云整体安全防护思路来了~我们以某石化企业安全防护案例来进行分析
综上所述,系统面临的主要安全威胁来自于黑客攻击、病毒蠕虫等恶意代码、非授权接入、移动介质、弱口令、操作系统漏洞、误操作和业务异常等越权访问,因此,安全防护建设应该从以下几个方面进行完善:入侵检测及防御、恶意代码防护、内部网络异常行为的检测、边界访问控制和系统访问控制策略、系统开发与维护的安全、身份认证和行为审计、账号唯一性和口令安全、尤其是管理员账号和口令的管理、操作站操作系统安全、移动存储介质的标记、权限控制和审计、设备物理安全。
基于此,网御星云在保证系统可用性的前提下,对该石化企业信息系统及工业控制系统进行综合防护实现“垂直分层、水平分区、边界控制、内部监测”全方位的安全防护建设。
“垂直分层、水平分区”
即对石化企业生产及管理系统垂直方向化分为集团管理层、企业管理层、生产管理层、生产调度层、现场控制层及现场设备层;水平分区指各信息管理系统之间,工业控制系统之间从网络上隔离开,处于不同的安全区。
“边界控制、内部监测”
即对系统边界即各工作站、应用服务器、信息系统、工业控制系统连接处和无线网络等要进行边界防护和准入控制;对生产办公网络及工业控制系统内部监测网络流量数据,以发现入侵、业务异常、访问关系异常和流量异常等问题。
具体实施方案如下:
整体来看,网御星云基于该石化公司生产网信息安全现状,以国家及行业相关信息安全建设规范为指导,解决企业当前生产阶段迫切的需求,为企业构建了全面、完整、高效的生产网信息安全保障体系,从而提升分公司生产网的整体安全等级,为该企业生产网提供坚实的信息安全保障。
目前,网御星云已在工控领域形成了完善的整体解决方案和专业的安全服务能力,能够帮助用户建立全生命周期安全管理,实现网络安全可知、可防、可测。未来,网御星云还锐意进取、开拓创新
以先进的技术和工控领域的优势,携手用户共同打造协同共生时代的工业互联网安全!
关键词:
扫二维码用手机看
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 