海天炜业Guard工业防火墙保障江苏某石化工控网络安全
近日,海天炜业的工程师团队赴江苏某石化有限责任公司进行了工控网络安全项目实施。江苏某石化历史悠久,控制系统品牌、类型多,网络结构复杂。本项目通过Guard防火墙的部署,实现了用户工控网络关键设备节点以及网络边界的有效防护,整体提升了用户系统的网络安全保障能力。
项目概况:MES系统建设带来的生产网络安全防护需求
前期,江苏某石化已完成基于实时数据库应用的MES系统建设。实时数据库的建立是以采集过程控制系统的数据为前提,这就需要MES 的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联。
MES 系统实施后,生产网络与管理网及办公网之间有着大量数据的读取、控制指令的下置、计划排产的下发。生产网与外网的互联互通是一种趋势也是一种必需,但办公网及外网的应用复杂,多样性强。感染病毒及恶意程序的机率大,生产网的开放,势必对 PI 数据库的数据完整性、保密性、安全性形成挑战,对DCS、PLC控制系统形成严重的安全威胁,如果系统受到攻击或感染病毒后,使得DCS或PLC控制发生故障,压力、温度、流量、液位、计量等指示失效,检测系统连锁报警失效,或各类仪表电磁阀制动空气及电源无供给后,一旦重大危险源处于失控状态,后果不堪设想,将危急现场操作人员甚至工厂附近人群的生命安全。
所以,江苏某石化启动了对控制系统及生产网络的安全防护项目。
解决方案:基于网络安全、网路安全、关键设备安全需要的解决方案
针对江苏某石化的网络结构及要求,海天炜业分别在如下几个安全薄弱环节及功能网络边界部署工业网络安全产品,达到多层面分重点的网络安全防护目的。
1、控制系统网络安全防护
在控制器入口端部署控制器防护设备,能够识别针对控制器的操控服务指令(包括组态服务、数据上传服务、数据下载服务、读服务、写服务、控制程序下载服务、操控指令服务等),并能够根据安全策略要求对非法的服务请求进行报警和自动阻断。使用工业防火墙对控制器进行安全防护,一方面通过对源、目的地址的控制,仅允许工程师站和操作员站可访问控制器,且对关键控制点的读写权限加以严格限制,保障了资源的可信与可控,另一方面,通过对端口服务的控制,杜绝了一切有意或无意的攻击,最后使用“白名单”机制,仅允许OPC 等专有协议通过,阻断一切 TCP 及其它访问,从而确保控制器的安全。
2、网路边界防护
在OPC Server与数据采集服务器之间加装Guard防火墙,对OPC Server进行防护,保护采集到的数据在传输中不被病毒篡改及删除。在OPC Server与数据采集服务器之间加装Guard防火墙,对OPC Server进行防护,保护采集到的数据在传输中不被病毒篡改及删除;将生产管理系统MES所在数采网与控制网隔离,Guard工业防火墙插件能够过滤两个区域网络间的通信,防止数采网或者控制网中节点感染病毒后,在数采网和控制网之间互相传播。
3、关键设备防护
在控制网内部,操作站安装的操作系统为Windows系统,工程师站、操作站与DCS控制器使用OPC协议进行通讯,一旦感染针对OPC协议的病毒,将极易导致DCS控制器误动作或出现故障,危险性较大。如果工程师站、操作站感染了普通的网络病毒也会造成控制系统网络拥堵或崩溃。因此在控制网内部,重点对工程师站、操作站进行安全防护,对进入和出去的访问行为进行有效的控制,防止非授权行为的任意接入,避免发生网络恶意行为对工程师站、操作员等关键系统的破坏性和非法操作。
项目方案如下图所示(示意图):
项目实施:高效、规范施工
在中控室现场,海天炜业的工程师严格遵守项目实施流程,规范施工。经过短短三天的紧张实施,终于完工。
实施内容包括:
将Guard工业防火墙部署在OPC服务器与数采接口机之间,Buffer机通过工业防火墙与OPC服务器进行通讯,采集来自控制网络的数据,有效的隔离了信息网络与控制网络,在保证OPC通讯正常进行的同时将其它通讯端口全部关闭,最大化防止了病毒的传播。
使用中央管理平台,实现数采网络通讯的统一管控和报警信息,完成所列装置的安全隔离工作。主要内容包括:安装中央管理平台、Guard工业防火墙的部署、配置与组态。
在策略组态过程中,海天炜业工程师充分考虑了客户的具体需求,对于符合标准OPC协议的装置,配置OPC Classic-TCP协议并下装;对于WINCC SERVER等服务器,鉴于其客户端较多,涉及几个生产子网,因此没有采用以往根据数采机IP地址建立一对一通讯关系的做法,代之以配置相关工控通讯协议并精准开放部分端口的方式。
现场装置
海天炜业Guard工业防火墙
Guard工业防火墙是海天炜业联合中科院软件所共同推出的一款自主工控网络安全防护产品,也是首批荣获国家发改委资金支持的工业防火墙,属于新一代工业协议增强型防火墙,通过区域隔离、通讯管控、实时报警,为工业通讯提供独特的、工业级的专业隔离防护解决方案。能深层保障工业通讯安全,有效防止蠕虫、病毒的传播和扩散,从而创建“本质安全”的生产控制网。
Guard工业防火墙通过了公安部检测,取得了EAL3、ISCCC等认证和销售许可证,适用于企业办公网络与生产网络的隔离、保护控制系统的安全。广泛应用于石油石化、电力、烟草、冶金、化工、管道以及水处理等多个行业。在产品性能、自身安全性等方面均处于业界领先水平,是一款能真正有效保护工业控制系统网络安全的设备。