今日頭條
官方微信
官方抖音
資訊頻道1 項(xiàng)目簡(jiǎn)介
1.1 項(xiàng)目背景
在大量采用DCS控制現(xiàn)代化的石化裝置中,控制回路占總回路數(shù)的80%~90%。DCS(Distributed Control System)集散控制系統(tǒng),它是一個(gè)由過(guò)程控制級(jí)和過(guò)程監(jiān)控級(jí)組成的以通信網(wǎng)絡(luò)為紐帶的多級(jí)計(jì)算機(jī)系統(tǒng),其基本思想是分散控制、集中操作、分級(jí)管理、配置靈活、組態(tài)方便,取得了令人矚目的成就。PLC(Programmer Logic Controller)稱(chēng)為可編程序邏輯控制器,它是按照成熟而有效的繼電器控制概念和設(shè)計(jì)思想,利用不斷發(fā)展的新技術(shù)、新電子器件,逐步形成了具有特色的各種系列產(chǎn)品,是一種數(shù)字運(yùn)算操作的專(zhuān)用電子計(jì)算機(jī)。根據(jù)我國(guó)具體情況而言,石油化工領(lǐng)域DCS系統(tǒng),霍尼韋爾、橫河、艾默生、ABB等國(guó)外廠(chǎng)商占據(jù)50%以上份額,浙江中控、和利時(shí)等國(guó)內(nèi)廠(chǎng)商主要活躍在中小化工行業(yè);我國(guó)大中型PLC市場(chǎng)被羅克韋爾自動(dòng)化、施耐德電氣和西門(mén)子等國(guó)外廠(chǎng)商占據(jù)99%以上份額。
南通星辰主要生產(chǎn)裝置DCS控制系統(tǒng)建設(shè)情況如下:PBT裝置DCS系統(tǒng)為橫河CENTUM-CS3000;雙酚A裝置DCS系統(tǒng)為橫河CENTUM-CS3000;環(huán)氧樹(shù)脂裝置DCS系統(tǒng)為浙大中控ECS100;動(dòng)力裝置共用5套西門(mén)子S7-300PLC系統(tǒng),分別用于供熱站、冷凍站、循環(huán)水站、熱煤站以及環(huán)氧三效;其余輔助生產(chǎn)裝置還用了歐姆龍、ABB、三菱電機(jī)自動(dòng)化、和利時(shí)等PLC。綜上所述,南通星辰的工業(yè)控制系統(tǒng)是中國(guó)化工集團(tuán),乃至中國(guó)化工行業(yè)的縮影:生產(chǎn)裝置均采用DCS和PLC數(shù)字化控制手段,但鑒于項(xiàng)目建設(shè)配套工藝包中相關(guān)要求,DCS和PLC的品牌多種多樣、五花八門(mén)。
南通星辰化工生產(chǎn)控制系統(tǒng)安全防護(hù)項(xiàng)目還具有極強(qiáng)的示范意義和示范效果。以南通星辰所屬的中國(guó)藍(lán)星(集團(tuán))股份有限公司為例,其DCS規(guī)模和品牌占有率很高,通過(guò)完成南通星辰DCS和PLC控制系統(tǒng)安全防護(hù)示范工程,由于其所涉及的日本橫河DCS、浙大中控DCS和西門(mén)子PLC系統(tǒng)在中國(guó)藍(lán)星乃至中國(guó)化工集團(tuán)占據(jù)了半壁江山,因此在系統(tǒng)內(nèi)具有極強(qiáng)的推廣價(jià)值。同時(shí),在中國(guó)的石油化工領(lǐng)域,橫河、浙江中控、和利時(shí)和西門(mén)子的DCS與PLC工業(yè)控制系統(tǒng)占據(jù)較大市場(chǎng)份額,項(xiàng)目的研究成果還能夠進(jìn)一步推廣至全國(guó)石化領(lǐng)域。
1.2 項(xiàng)目目標(biāo)及規(guī)模內(nèi)容
1.2.1 項(xiàng)目目標(biāo)
針對(duì)南通星辰工業(yè)控制系統(tǒng)種類(lèi)多品牌雜、總線(xiàn)協(xié)議復(fù)雜多樣和實(shí)時(shí)性要求高的現(xiàn)狀,基于工控信息安全等級(jí)保護(hù)的思想,以化工生產(chǎn)裝置的安全、穩(wěn)定、可靠運(yùn)行為核心,綜合運(yùn)用邊界防護(hù)、訪(fǎng)問(wèn)控制、主機(jī)安全等技術(shù)手段,有效整合不同層面的安全技術(shù),建成一個(gè)符合等保三級(jí)的信息安全技術(shù)防護(hù)體系。基于所建立的信息安全技術(shù)防護(hù)體系,制定一套工控安全管理制度,形成一套化工領(lǐng)域工控系統(tǒng)安全標(biāo)準(zhǔn)。最終,南通星辰化工生產(chǎn)控制系統(tǒng)安全防護(hù)示范工程將使該企業(yè)的工控信息安全防護(hù)等級(jí)達(dá)到等保三級(jí)的主要要求,從而為化工行業(yè)生產(chǎn)控制系統(tǒng)提供一套信息安全防護(hù)解決方案,并起到相應(yīng)的示范作用。
1.2.2 項(xiàng)目?jī)?nèi)容
基于上述所制定的項(xiàng)目目標(biāo),南通星辰化工生產(chǎn)控制系統(tǒng)安全防護(hù)示范工程將完成以下內(nèi)容:
(1)南通星辰化工生產(chǎn)裝置控制系統(tǒng)安全防護(hù)實(shí)施方案、設(shè)備選型和集成方案論證;
(2)測(cè)試環(huán)境下的邊界防護(hù)與訪(fǎng)問(wèn)控制;
(3)測(cè)試環(huán)境下的主機(jī)應(yīng)用安全;
(4)南通星辰化工生產(chǎn)控制系統(tǒng)邊界防護(hù)與訪(fǎng)問(wèn)控制;
(5)南通星辰化工生產(chǎn)控制系統(tǒng)主機(jī)應(yīng)用安全;
(6)建立南通星辰化工生產(chǎn)控制系統(tǒng)安全管理平臺(tái);
(7)建立基于生產(chǎn)執(zhí)行系統(tǒng)(MES)、管理系統(tǒng)與工業(yè)控制系統(tǒng)相結(jié)合的安全防護(hù)體系;
(8)制定化工行業(yè)內(nèi)相關(guān)生產(chǎn)控制系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)。
上述項(xiàng)目?jī)?nèi)容將涉及目前南通星辰公司PBT裝置、雙酚A裝置、環(huán)氧樹(shù)脂裝置和動(dòng)力車(chē)間共涉及生產(chǎn)線(xiàn)30余條,通過(guò)15套DCS系統(tǒng)和20套PLC控制系統(tǒng)進(jìn)行控制,包括:150余套控制站,20套現(xiàn)場(chǎng)總線(xiàn)系統(tǒng),20套工業(yè)以太網(wǎng),100余套工業(yè)交換機(jī),10套實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器,35套工程師站,100余套操作員站。通過(guò)該項(xiàng)目的實(shí)施和工程應(yīng)用,實(shí)現(xiàn)對(duì)上述工業(yè)過(guò)程控制系統(tǒng)安全防護(hù)。
2 項(xiàng)目建設(shè)的必要性和需求分析
2.1 項(xiàng)目建設(shè)的必要性
石油化工領(lǐng)域DCS系統(tǒng),被霍尼韋爾、橫河、艾默生、ABB等國(guó)外廠(chǎng)商占據(jù)50%以上份額。2011年工信部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全管理的通知》,明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,對(duì)連接、組網(wǎng)、配置、設(shè)備選擇與升級(jí)、數(shù)據(jù)、應(yīng)急等管理方面提出了明確要求。
隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,工業(yè)控制系統(tǒng)不再是一個(gè)自我封閉的孤島,南通星辰工業(yè)控制系統(tǒng)通過(guò)工業(yè)以太網(wǎng)與MES系統(tǒng)、ERP系統(tǒng)和企業(yè)集團(tuán)管理系統(tǒng)相連,工業(yè)控制系統(tǒng)已經(jīng)成為整個(gè)網(wǎng)絡(luò)世界的一個(gè)“子站”。綜上所述,南通星辰在其化工生產(chǎn)裝置DCS/PLC系統(tǒng)以及即將新建的先進(jìn)控制系統(tǒng)(APC)均需要對(duì)信息安全進(jìn)行防護(hù),信息安全是實(shí)現(xiàn)裝置“安、穩(wěn)、長(zhǎng)、滿(mǎn)、優(yōu)”運(yùn)行的必要手段,是保障站點(diǎn)重大危險(xiǎn)源處于絕對(duì)安全可控狀態(tài)的重要手段。
2.2 項(xiàng)目建設(shè)需求分析
2.2.1 南通星辰化工生產(chǎn)控制系統(tǒng)現(xiàn)狀
南通星辰所擁有的生產(chǎn)規(guī)模位居亞洲第一的6萬(wàn)噸/年P(guān)BT樹(shù)脂和4萬(wàn)噸/年改性工程塑料生產(chǎn)裝置、9萬(wàn)噸/年雙酚A生產(chǎn)裝置和產(chǎn)量位居全國(guó)第一的5萬(wàn)噸/年環(huán)氧樹(shù)脂生產(chǎn)裝置均具有復(fù)雜的生產(chǎn)工藝和流程。其控制系統(tǒng)包括:
(1)分布式控制系統(tǒng)(DCS)
南通星辰生產(chǎn)裝置DCS系統(tǒng)特點(diǎn)如下:
· 開(kāi)放的網(wǎng)絡(luò)結(jié)構(gòu):采用Windows XP標(biāo)準(zhǔn)操作系統(tǒng),支持DDE/OPC;
· 高可靠性:采用了4CPU冗余容錯(cuò)技術(shù)的現(xiàn)場(chǎng)控制站,實(shí)現(xiàn)了在任何故障及隨機(jī)錯(cuò)誤產(chǎn)生的情況下進(jìn)行糾錯(cuò)與連續(xù)不間斷地控制;
· 高速的控制總線(xiàn):CS3000采用橫河公司的V-NET/IP控制總線(xiàn),該控制總線(xiàn)速度可高達(dá)1Gbps;
· 現(xiàn)場(chǎng)控制站的高效性:控制站FCS采用高速RISC處理器VR5432,可進(jìn)行64位浮點(diǎn)運(yùn)算,具有強(qiáng)大的運(yùn)算和處理功能,可以實(shí)現(xiàn)多變量控制,模型預(yù)測(cè)控制,模糊邏輯等多種高級(jí)控制功能;
· 高效的工程化方法:CENTUM CS3000采用ControlDrawing圖進(jìn)行軟件設(shè)計(jì)及組態(tài),使方案設(shè)計(jì)及軟件組態(tài)同步進(jìn)行,最大限度地簡(jiǎn)化了軟件開(kāi)發(fā)流程;
· 可擴(kuò)展性:具有構(gòu)造大型實(shí)時(shí)過(guò)程信息網(wǎng)的拓?fù)浣Y(jié)構(gòu),可以構(gòu)成多工段,多集控單元,全廠(chǎng)綜合管理與控制綜合信息自動(dòng)化系統(tǒng)。
(2)可編程邏輯控制器(PLC)
PLC系統(tǒng)完成動(dòng)力裝置的所有過(guò)程控制、工藝參數(shù)顯示、設(shè)備運(yùn)行狀態(tài)監(jiān)測(cè)及故障報(bào)警、生產(chǎn)數(shù)據(jù)存儲(chǔ)及分析、報(bào)表打印等功能。PLC具有穩(wěn)定可靠、價(jià)格便宜、功能齊全、應(yīng)用靈活方便、操作維護(hù)方便的優(yōu)點(diǎn),這是它能持久的占有市場(chǎng)的根本原因。
2.2.2 南通星辰信息化建設(shè)和應(yīng)用現(xiàn)狀
除生產(chǎn)控制系統(tǒng)外,南通星辰基于美國(guó)OSIsoft公司實(shí)時(shí)數(shù)據(jù)庫(kù)軟件產(chǎn)品PI System建立了生產(chǎn)運(yùn)營(yíng)管理系統(tǒng)。通過(guò)實(shí)時(shí)采集各DCS生產(chǎn)控制系統(tǒng)和PLC系統(tǒng)的生產(chǎn)數(shù)據(jù),建立統(tǒng)一、安全穩(wěn)定、開(kāi)放集成的實(shí)時(shí)數(shù)據(jù)庫(kù)平臺(tái),在獲得精確、實(shí)時(shí)數(shù)據(jù)的基礎(chǔ)上,企業(yè)能夠?qū)崟r(shí)監(jiān)控設(shè)備運(yùn)行,動(dòng)態(tài)掌握生產(chǎn)過(guò)程,在線(xiàn)模擬流程和過(guò)程優(yōu)化,及提高應(yīng)急響應(yīng)速度等,也能夠?qū)崿F(xiàn)總部對(duì)企業(yè)的遠(yuǎn)程監(jiān)控,協(xié)調(diào)和指揮,從而大大提高生產(chǎn)管理的智能化程度,為精細(xì)化管理和運(yùn)營(yíng)管控提供堅(jiān)實(shí)基礎(chǔ)。
處于辦公網(wǎng)的生產(chǎn)運(yùn)營(yíng)管理系統(tǒng)所需采集生產(chǎn)網(wǎng)數(shù)據(jù),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖所示,為了保證數(shù)據(jù)安全,目前辦公網(wǎng)與生產(chǎn)網(wǎng)使用一臺(tái)防火墻進(jìn)行隔離。生產(chǎn)運(yùn)營(yíng)管理系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。
整大小 化工11530688285113573.jpg "調(diào)整大小 化工11530688285113573.jpg")
圖1 南通星辰生產(chǎn)運(yùn)營(yíng)管理系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖
2.2.3 南通星辰存在信息安全問(wèn)題描述
目前對(duì)于工業(yè)控制網(wǎng)絡(luò)常用的攻擊手段如圖2所示,通過(guò)偵測(cè)網(wǎng)絡(luò)、掃描端口、枚舉協(xié)議漏洞等一系列手段,最終通過(guò)病毒破壞工控系統(tǒng)中的各類(lèi)操作站(普通PC或服務(wù)器)的操作系統(tǒng),甚至感染工控系統(tǒng)中的控制單元(PLC)。將前述南通星辰PBT裝置、雙酚A裝置、環(huán)氧樹(shù)脂裝置的DCS系統(tǒng)和動(dòng)力車(chē)間PLC系統(tǒng)進(jìn)行抽象,再結(jié)合目前工控網(wǎng)絡(luò)與其他信息系統(tǒng)集成應(yīng)用的實(shí)際情況,形成如圖3所示的南通星辰可能面臨的網(wǎng)絡(luò)攻擊和存在的信息安全隱患。
整大小 化工21530688463138265.jpg "調(diào)整大小 化工21530688463138265.jpg")
圖2 對(duì)于工業(yè)控制網(wǎng)絡(luò)常用的攻擊手段
整大小 化工31530688484355399.jpg "調(diào)整大小 化工31530688484355399.jpg")
圖3 南通星辰面臨的潛在信息安全風(fēng)險(xiǎn)整體分析
綜上所述,工業(yè)控制網(wǎng)絡(luò)安全是信息化推進(jìn)中出現(xiàn)的新問(wèn)題,只能在發(fā)展的過(guò)程中用發(fā)展的方式加以解決。不能簡(jiǎn)單地通過(guò)不上網(wǎng)、不共享、不互聯(lián)互通來(lái)保安全,或者片面強(qiáng)調(diào)建專(zhuān)網(wǎng)。這樣做的結(jié)果只能是造成不必要的重復(fù)建設(shè),大量網(wǎng)絡(luò)資源得不到充分利用,增加信息化的成本,降低信息化效益,失去發(fā)展機(jī)遇。這種“懶政”思維必須破除。要努力實(shí)現(xiàn)技術(shù)創(chuàng)新和體制機(jī)制創(chuàng)新,不斷形成維護(hù)網(wǎng)絡(luò)安全的新思路、新方法、新舉措、新本領(lǐng)。
基于實(shí)現(xiàn)先進(jìn)過(guò)程控制的相關(guān)要求,圖4是南通星辰先進(jìn)控制系統(tǒng)的部署方案。通過(guò)實(shí)施先進(jìn)控制,可以改善過(guò)程動(dòng)態(tài)控制的性能,減少過(guò)程變量的波動(dòng)幅度,使之能更接近其優(yōu)化目標(biāo)值,從而將生產(chǎn)裝置推至更接近其約束邊界條件下運(yùn)行,最終達(dá)到增強(qiáng)裝置運(yùn)行的穩(wěn)定性和安全性、保證產(chǎn)品質(zhì)量的均勻性、提高目標(biāo)產(chǎn)品收率、增加裝置處理量、降低運(yùn)行成本、減少環(huán)境污染等目的。
整大小 化工41530688509127339.jpg "調(diào)整大小 化工41530688509127339.jpg")
圖4 南通星辰先進(jìn)過(guò)程控制系統(tǒng)部署方案
2.2.4 項(xiàng)目示范的主要內(nèi)容和目的
基于上述對(duì)南通星辰存在的信息安全問(wèn)題的詳細(xì)分析,項(xiàng)目示范的主要內(nèi)容包括:
· 根據(jù)南通星辰的DCS、PLC控制系統(tǒng)具體分布及應(yīng)用情況,根據(jù)DCS、PLC設(shè)備的功能屬性及安全屬性將控制系統(tǒng)劃分成不同的安全區(qū)域,構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系;
· 面向中國(guó)藍(lán)星南通星辰控制環(huán)境,在DCS/PLC系統(tǒng)中進(jìn)行防火墻、端點(diǎn)主機(jī)(操作站、工程師站、服務(wù)器等)入侵防御系統(tǒng)、入侵檢測(cè)系統(tǒng)、攻擊行為跟蹤分析系統(tǒng)、DCS/PLC網(wǎng)絡(luò)空間預(yù)警系統(tǒng)、安全態(tài)勢(shì)系統(tǒng)等系列安全可控產(chǎn)品的試點(diǎn)應(yīng)用;
· 通過(guò)強(qiáng)化分區(qū)、隔離防護(hù)、協(xié)議管控、入侵防御、可信計(jì)算、PKI/CA及安全審計(jì)等技術(shù)手段構(gòu)建“縱深”安全防御體系,確保生產(chǎn)現(xiàn)場(chǎng)DCS、PLC等控制設(shè)備的本質(zhì)安全;
· 驗(yàn)證上述信息安全產(chǎn)品對(duì)DCS/PLC系統(tǒng)軟件、應(yīng)用軟件、現(xiàn)場(chǎng)總線(xiàn)、工業(yè)以太網(wǎng)的技術(shù)影響,形成化工生產(chǎn)工業(yè)控制系統(tǒng)有針對(duì)性的有效安全防護(hù)策略,并制定化工行業(yè)內(nèi)相關(guān)生產(chǎn)控制系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)。綜上所述,加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的脆弱性的合作研究,提供有針對(duì)性的解決方案和安全保護(hù)措施,從而達(dá)到以下示范目的:
· 源頭控制;
· 分析檢測(cè)及防護(hù);
· 漏洞庫(kù)管理;
· 自主知識(shí)產(chǎn)權(quán)安全產(chǎn)品驗(yàn)證。
驗(yàn)證以上工業(yè)控制安全產(chǎn)品對(duì)工業(yè)控制系統(tǒng)DCS/PLC保護(hù)能力,為化工生產(chǎn)領(lǐng)域常用的DCS/PLC系統(tǒng)的安全防護(hù)提供具有針對(duì)性的解決方案,建立工業(yè)過(guò)程控制系統(tǒng)安全標(biāo)準(zhǔn)體系,制定工業(yè)過(guò)程控制系統(tǒng)安全標(biāo)準(zhǔn)。
2.3 項(xiàng)目效果及應(yīng)用
通過(guò)該示范應(yīng)用工程,完成生產(chǎn)調(diào)度管理中心、主控系統(tǒng)(DCS/PLC)、監(jiān)控系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)的安全防護(hù)應(yīng)用示范。通過(guò)本項(xiàng)目的建設(shè):
· 提高南通公司DCS/PLC系統(tǒng)的抗攻擊能力、威脅預(yù)警能力;
· 直觀(guān)的DCS/PLC系統(tǒng)安全態(tài)勢(shì)展現(xiàn),提高系統(tǒng)的安全管理能力;
· 對(duì)DCS/PLC系統(tǒng)的安全事件、程序行為等關(guān)聯(lián)分析;
· 掌握攻擊威脅發(fā)起的地點(diǎn)、攻擊的類(lèi)型、攻擊的目的;
· 保障DCS/PLC系統(tǒng)應(yīng)急處置安全事件提供準(zhǔn)確的決策依據(jù);
· 建立工業(yè)過(guò)程控制系統(tǒng)安全標(biāo)準(zhǔn)體系,制定工業(yè)過(guò)程控制系統(tǒng)安全標(biāo)準(zhǔn)。
3 項(xiàng)目建設(shè)方案
基于前述對(duì)于南通星辰化工生產(chǎn)控制系統(tǒng)現(xiàn)狀、信息化建設(shè)和應(yīng)用現(xiàn)狀以及目前企業(yè)在信息安全存在問(wèn)題的詳細(xì)分析,南通星辰化工生產(chǎn)控制系統(tǒng)安全防護(hù)示范工程項(xiàng)目建設(shè)方案總體設(shè)計(jì)如圖5所示。
整大小 化工51530688541469046.jpg "調(diào)整大小 化工51530688541469046.jpg")
圖5 示范工程項(xiàng)目建設(shè)方案總體設(shè)計(jì)
3.1 設(shè)計(jì)思路
根據(jù)南通星辰的DCS、PLC控制系統(tǒng)及信息化生產(chǎn)運(yùn)行管理流程,從縱向上根據(jù)功能屬性劃分四個(gè)層,確保生產(chǎn)現(xiàn)場(chǎng)DCS、PLC等控制設(shè)備的本質(zhì)安全,框架如圖6所示。
整大小 化工61530688565968645.jpg "調(diào)整大小 化工61530688565968645.jpg")
圖6 安全設(shè)計(jì)框架
為實(shí)現(xiàn)上述目標(biāo),參照“等保”三級(jí)相關(guān)要求,在項(xiàng)目實(shí)施過(guò)程中具體要求采取的手段包括以下幾個(gè)方面:
(1)脆弱性分析與風(fēng)險(xiǎn)評(píng)估識(shí)別系統(tǒng)的脆弱性、存在的安全威脅及安全風(fēng)險(xiǎn);
(2)通過(guò)建立網(wǎng)絡(luò)邊界區(qū)域隔離手段,構(gòu)筑DCS、PLC控制系統(tǒng)安全的第一道防線(xiàn);
(3)通過(guò)硬件隔離產(chǎn)品對(duì)生產(chǎn)網(wǎng)與管理網(wǎng)進(jìn)行單向傳輸、物理隔離,徹底阻斷外網(wǎng)基于以太網(wǎng)的攻擊;
(4)在生產(chǎn)網(wǎng)絡(luò)內(nèi)部,不同的控制系統(tǒng)之間,在橫向上使用硬件隔離進(jìn)行安全防護(hù),確保控制系統(tǒng)的獨(dú)立性,從而構(gòu)筑控制系統(tǒng)安全的第三道防線(xiàn)。
(5)現(xiàn)場(chǎng)控制設(shè)備防護(hù),通過(guò)工業(yè)防火墻協(xié)議過(guò)濾,只允許指定的工業(yè)控制協(xié)議(如OPC、Modbus、DNP3等)及控制指令通過(guò),建立協(xié)議的專(zhuān)用控制,構(gòu)筑針對(duì)現(xiàn)場(chǎng)設(shè)備控制設(shè)備第四道防線(xiàn);
(6)通過(guò)安全監(jiān)測(cè)、入侵防御、審計(jì)分析等手段為南通星辰的工業(yè)生產(chǎn)保駕護(hù)航;
(7)通過(guò)SOC(安全管理中心)對(duì)生產(chǎn)監(jiān)控網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一安全管理、策略分發(fā)、統(tǒng)一監(jiān)管、預(yù)警分析。
綜上所述,系統(tǒng)所采用技術(shù)框架如圖7所示。
整大小 化工71530688594998552.jpg "調(diào)整大小 化工71530688594998552.jpg")
圖7 技術(shù)框架
3.2 建設(shè)目標(biāo)與主要建設(shè)內(nèi)容
根據(jù)南通星辰網(wǎng)絡(luò)結(jié)構(gòu)分為四個(gè)層次:生產(chǎn)管理層、MES層、監(jiān)控層、控制層(現(xiàn)場(chǎng)層),參照ANSI/ISA-99 、GB/17859、GB/T25070等相關(guān)要求,將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。區(qū)域與區(qū)域之間利用安全產(chǎn)品進(jìn)行策略控制,確保每個(gè)區(qū)域的相互獨(dú)立性,實(shí)現(xiàn)風(fēng)險(xiǎn)的最小化和可控。
3.2.1 風(fēng)險(xiǎn)與脆弱性評(píng)估
在項(xiàng)目中通過(guò)脆弱性評(píng)估及安全風(fēng)險(xiǎn)分析手段,識(shí)別系統(tǒng)脆弱性及安全威脅與風(fēng)險(xiǎn)來(lái)源:
(1)識(shí)別系統(tǒng)脆弱性
· 網(wǎng)絡(luò)邊界結(jié)構(gòu);
· 網(wǎng)絡(luò)區(qū)域邊界訪(fǎng)問(wèn)控制措施;
· 針對(duì)病毒、蠕蟲(chóng)等惡意程序的安全防護(hù)措施;
· 針對(duì)DCS、PLC設(shè)備、應(yīng)用的惡意操作;
· 安全事件監(jiān)控、管理及相應(yīng)機(jī)制。
(2)識(shí)別安全威脅與風(fēng)險(xiǎn)來(lái)源
· 未經(jīng)授權(quán)的訪(fǎng)問(wèn);
· 惡意代碼攻擊;
· 拒絕服務(wù)攻擊;
· 針對(duì)DCS、PLC系統(tǒng)通信攻擊;
· 內(nèi)部人員誤操作、惡意操作等。
3.2.2 邊界防護(hù)與訪(fǎng)問(wèn)控制
(1)生產(chǎn)管理網(wǎng)與MES網(wǎng)絡(luò)之間安全防護(hù);
(2)MES網(wǎng)絡(luò)與監(jiān)控網(wǎng)絡(luò)之間安全防護(hù);
(3)DCS系統(tǒng)安全防護(hù);
(4)PLC控制器安全防護(hù);
(5)DCS工程師站與現(xiàn)場(chǎng)控制站之間的防護(hù);
(6)入侵防御系統(tǒng);
(7)網(wǎng)絡(luò)準(zhǔn)入。
3.2.3 主機(jī)應(yīng)用安全
(1)終端防病毒;
(2)可信計(jì)算;
(3)審計(jì)系統(tǒng);
(4)工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)。
3.2.4 PKI/CA
由于南通星辰化工藝流程、生產(chǎn)配方、生產(chǎn)裝置以及特種產(chǎn)品數(shù)據(jù)的敏感性,所以布署一套PKI/CA系統(tǒng),一方面通過(guò)數(shù)字證書(shū)來(lái)進(jìn)行相應(yīng)權(quán)限分配,實(shí)現(xiàn)對(duì)DCS、PLC控制系統(tǒng)的分權(quán)管理及多因子驗(yàn)證,另一方面由于南通星辰化工PI數(shù)據(jù)中心與藍(lán)星總使用專(zhuān)網(wǎng)實(shí)時(shí)通訊,數(shù)據(jù)保密性和完整性得不到有效保障,通過(guò)PKI/CA系統(tǒng)對(duì)網(wǎng)絡(luò)上傳的數(shù)據(jù)信息進(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證。
3.2.5 無(wú)線(xiàn)安全接入
在相關(guān)測(cè)點(diǎn)處部署無(wú)線(xiàn)防火墻,根據(jù)AP或Station的安全屬性定制無(wú)線(xiàn)網(wǎng)絡(luò)準(zhǔn)入規(guī)則,通過(guò)射頻信號(hào)阻止非法用戶(hù)接入,建立射頻安全區(qū),提供具有物理安全、可信的無(wú)線(xiàn)網(wǎng)絡(luò)。
3.2.6 安全管理中心
在生產(chǎn)監(jiān)控層布署安全管理中心,對(duì)生產(chǎn)控制網(wǎng)絡(luò)搜集所有安全信息,并通過(guò)對(duì)收集到各種安全事件進(jìn)行深層的分析,統(tǒng)計(jì)和關(guān)聯(lián),及時(shí)反映被管理資產(chǎn)的安全基線(xiàn),定位安全風(fēng)險(xiǎn),對(duì)各類(lèi)安全時(shí)間及時(shí)提供處理方法和建議的安全解決方案。功能如下:
(1)面向業(yè)務(wù)的統(tǒng)一安全管理;
(2)全面的日志采集;
(3)智能化安全事件關(guān)聯(lián)分析;
(4)全面的脆弱性管理;
(5)主動(dòng)化的預(yù)警管理。
3.2.7 物理安全
(1)針對(duì)南通星辰高危、涉密場(chǎng)所(例如:原料罐區(qū)、機(jī)密工藝設(shè)計(jì)圖紙存儲(chǔ)場(chǎng)所等)部署手機(jī)及移動(dòng)終端無(wú)源探測(cè)系統(tǒng);
(2)機(jī)房、控制室出入口應(yīng)安排專(zhuān)人值守并配置電子門(mén)禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員;
(3)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng);
(4)對(duì)關(guān)鍵控制設(shè)備、關(guān)鍵區(qū)域要實(shí)施電磁屏蔽。
3.3 系統(tǒng)運(yùn)行
選擇南通星辰合成材料有限公司PBT、動(dòng)力車(chē)間DCS和PLC控制系統(tǒng)試點(diǎn)部署,進(jìn)行為期2個(gè)月的試運(yùn)行,廠(chǎng)家工程師實(shí)時(shí)跟蹤獲取確切數(shù)據(jù),確認(rèn)安全產(chǎn)品無(wú)干擾DCS和PLC控制系統(tǒng)實(shí)時(shí)性能和系統(tǒng)的安全性。
作者簡(jiǎn)介:
趙國(guó)新(1963-),男,遼寧鐵嶺人,教授,1985年7月畢業(yè)于遼寧工業(yè)大學(xué),主修工業(yè)自動(dòng)化專(zhuān)業(yè),獲得工學(xué)學(xué)士學(xué)位;1988年3月畢業(yè)于冶金部自動(dòng)化研究設(shè)計(jì)院,主修工業(yè)自動(dòng)化專(zhuān)業(yè),獲得工學(xué)碩士學(xué)位。現(xiàn)任北京石油化工學(xué)院自動(dòng)化系主任,主要研究方向是智能控制系統(tǒng)與工業(yè)大數(shù)據(jù)應(yīng)用,工業(yè)控制系統(tǒng)信息安全。
摘自《自動(dòng)化博覽》2018年6月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)