行业背景

 

化工行业渗透社会经济发展各个方面，是国民经济中不可或缺的重要组成部分，是我国的支柱产业部门之一。近年来，在“两化”融合的行业发展需求下，国内化工企业为了提高生产效率，大力推进工业控制系统自身的集成化、集中化管理，系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。越来越多的工控系统采用通用硬件和通用软件，导致工控系统被攻击的可能性增高。而化工企业均为连续性生产，一旦有工控安全事件发生，装置和重要设备的意外停车都会导致巨大的安全事故和经济损失，工控系统网络安全问题直接威胁到生产运行的安全、稳定。

 

需求分析

 

随着信息技术的不断发展，两化融合的契机，特别是不断地在工业控制领域的推广，原本封闭孤岛式的化工DCS工业控制系统变成了开放的形式。很多企业将生产环境转变为网络自动化形式，在给化工企业工业生产带来增产提效和便利的同时，随之而来的也会给未进行安全防护的工业控制系统带来安全风险。

 

·操作系统漏洞

 

化工企业多数SCADA系统工作站采用Windows操作系统且未进行升级，不法人员可以轻易利用系统漏洞通过入侵、控制主机，进行破坏和窃取机密信息。

 

·应用系统漏洞

 

SCADA系统的应用软件种类众多且来源于不同厂家，要形成统一的安全防护规范面临巨大的难度。

 

·控制设备安全风险

 

现场DCS、PLC、终端、RTU等控制设备大部分使用国外的控制组件，存在后门风险。

 

·工业协议漏洞

 

在化工系统中大量采用OPC协议通信，而OPC通信协议基于DCOM技术采用变化的端口进行通信，该协议通信极易受到攻击，且传统的防火墙还无法设置策略来对其进行防护，难以保障系统的安全性。

 

化工行业工控系统网络安全解决方案
 

化工企业的工控系统网络安全防护建设工作贯彻落实国家网络安全等级保护制度，遵循“分层分域、区域隔离、综合防护”基本原则。从安全管理中心到计算环境防护、边界隔离防护、通信网络防护，实现事前预警、事中防范和事后取证等安全能力。

 

·边界防护采用工业防火墙，以串接方式接入网络，部署在工控网与企业管理网之间、工厂的不同区域之间，通过对工控协议的深度检测对边界进行保护。

 

·网络审计采用工控安全审计设备，使用镜像接口分析化工控制系统的网络流量，不影响工控系统的运行。工控安全审计通过对交换机数据流量的实时解析，与内部黑白名单等策略的匹配，确定是否存在异常行为，并将安全事件上传到管理平台。

 

·主机防护采用主机加固软件，对化工系统中的上位机、服务器等部署主机加固软件，实现对主机的恶意代码防范，并对移动存储介质的使用进行管理，有效抵御未知威胁，实现安全防护。

 

·针对工业控制现场主机、服务器、网络设备、安全设备等工业资产，部署集中管理平台，对化工企业工控安全态势进行多维度的展示，形成对安全威胁、风险隐患的动态持续态势感知。