石油化工行業(yè)業(yè)務(wù)板塊介紹
石油化工企業(yè)完成油氣從勘探到加工成品最終面向用戶(hù)銷(xiāo)售的整個(gè)生產(chǎn)過(guò)程�,由油氣田��、油氣輸送����、煉化加工�����、油氣儲(chǔ)運(yùn)和油氣銷(xiāo)售板塊組成完整生態(tài)鏈。需要多個(gè)專(zhuān)業(yè)的相互配合和協(xié)作�����,是中國(guó)重要的資金與技術(shù)密集型企業(yè)��。
石油化工行業(yè)信息化系統(tǒng)介紹
在石油化工行業(yè)中�����,傳統(tǒng)的研究���、生產(chǎn)及管理系統(tǒng)導(dǎo)致軟件��、數(shù)據(jù)和計(jì)算資源分散部署在各單位����,形成獨(dú)立的系統(tǒng)、數(shù)據(jù)庫(kù)和工作流程�,導(dǎo)致本來(lái)應(yīng)環(huán)環(huán)相扣的各項(xiàng)業(yè)務(wù)無(wú)法有效結(jié)合。隨著油氣業(yè)務(wù)的發(fā)展����,研究、生產(chǎn)及管理人員分布在全國(guó)多個(gè)地區(qū)��,而多數(shù)單位都有異地協(xié)同���、研究�����、辦公的需求����。如在油氣田領(lǐng)域通過(guò)對(duì)多個(gè)業(yè)務(wù)的集成協(xié)同���,實(shí)現(xiàn)對(duì)油藏���、井����、鉆���、管網(wǎng)�����、設(shè)備等生產(chǎn)對(duì)象的實(shí)時(shí)狀態(tài)的全面感知���,實(shí)現(xiàn)對(duì)決策過(guò)程�����、經(jīng)營(yíng)體系����、生產(chǎn)流程及資產(chǎn)價(jià)值的全過(guò)程分析優(yōu)化;在管網(wǎng)運(yùn)行領(lǐng)域��,利用機(jī)器數(shù)據(jù)��、信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)及仿真數(shù)據(jù)加強(qiáng)管網(wǎng)實(shí)時(shí)狀態(tài)、重點(diǎn)設(shè)備工況和能耗等分析工作�����;在煉化領(lǐng)域分析設(shè)備運(yùn)行數(shù)據(jù)�����,提高設(shè)備故障維修效率�,節(jié)約成本;在產(chǎn)品銷(xiāo)售領(lǐng)域進(jìn)行成品油銷(xiāo)量預(yù)測(cè)�、客戶(hù)流失分析、促銷(xiāo)量?jī)r(jià)分析��,對(duì)未來(lái)銷(xiāo)售趨勢(shì)進(jìn)行預(yù)判���,實(shí)現(xiàn)精準(zhǔn)營(yíng)銷(xiāo)等�����。所以���,一體化已成為當(dāng)今油氣生產(chǎn)的發(fā)展方向。
石油化工行業(yè)工業(yè)控制系統(tǒng)介紹
在石油化工行業(yè)中�,工業(yè)控制系統(tǒng)主要包括集散控制系統(tǒng)(DCS)���、安全儀表系統(tǒng)(SIS)、壓縮機(jī)控制系統(tǒng)(CCS)�����、可燃?xì)鈭?bào)警系統(tǒng)(GDS)���、各種可編程控制器(PLC)��,并已成為石油化工行業(yè)重大的基礎(chǔ)設(shè)施����。隨著近年來(lái)智能制造的推動(dòng)以及物聯(lián)網(wǎng)的快速發(fā)展��,工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議��、通用硬件和通用軟件��,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接�����,病毒��、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散�����,工業(yè)控制系統(tǒng)信息安全問(wèn)題日益突出���。并且行業(yè)普遍存在信息安全管理制度不健全����,相關(guān)標(biāo)準(zhǔn)規(guī)范缺失�����,技術(shù)防護(hù)措施不到位�����,安全防護(hù)能力和應(yīng)急處置能力不高等問(wèn)題����。
石油化工行業(yè)兩化融合介紹
在“兩化”融合的行業(yè)發(fā)展需求下,現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面:信息化與工業(yè)化的深度融合����,為了提高生產(chǎn)高效運(yùn)行���、生產(chǎn)管理效率,石油化工行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化����,集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強(qiáng)��,工控網(wǎng)絡(luò)與辦公網(wǎng)��、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系���。
石油化工行業(yè)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)
影響石油化工企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的因素很多����,可能是有意的攻擊����,也可能是員工無(wú)意的操作,還可能是外來(lái)攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用�。入侵者不會(huì)是一般意義上的“黑客”,而很可能是恐怖組織甚至是敵對(duì)國(guó)家力量支撐的組織�;石油化工企業(yè)生產(chǎn)運(yùn)營(yíng)的系統(tǒng)及研究��、生產(chǎn)過(guò)程中的數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源;一旦出現(xiàn)安全問(wèn)題���,可能損害用戶(hù)�����、企業(yè)甚至是國(guó)家的利益���。
石油化工企業(yè)生產(chǎn)的產(chǎn)品大多為易燃、易爆�����、有毒以及強(qiáng)腐蝕性的物質(zhì)�����,其操作流程十分復(fù)雜�,各種高溫、高壓設(shè)備較多�����,對(duì)操作都有嚴(yán)格要求,一旦生產(chǎn)系統(tǒng)出現(xiàn)安全問(wèn)題����,生產(chǎn)現(xiàn)場(chǎng)可能出現(xiàn)火災(zāi)、爆炸�,進(jìn)而可能引起生產(chǎn)裝置的損壞,并可能造成人員傷亡��。事故導(dǎo)致生產(chǎn)原料的泄漏���、擴(kuò)散等�,可能在很大范圍內(nèi)長(zhǎng)時(shí)間地造成空氣���、水源��、土壤的污染����,給當(dāng)?shù)厝嗣裆詈椭苓叚h(huán)境帶來(lái)嚴(yán)重影響�����。
石油化工行業(yè)信息安全需求分析
威脅來(lái)源分析
對(duì)信息系統(tǒng)影響較大的安全威脅主要集中在以下五個(gè)方面�����。
1) 硬件方面���。網(wǎng)絡(luò)中存在大量廣播信息易造成廣播風(fēng)暴�。蠕蟲(chóng)病毒利用網(wǎng)絡(luò)傳播���,也可占用計(jì)算機(jī)的系統(tǒng)資源和網(wǎng)絡(luò)帶寬,容易使程序無(wú)法響應(yīng)系統(tǒng)的要求,造成系統(tǒng)的堵塞�,甚至崩潰��。
2) 軟件方面��。石油化工行業(yè)各單位信息系統(tǒng)眾多����,涉及范圍廣;工控系統(tǒng)國(guó)內(nèi)外的軟件品牌眾多�,很難形成統(tǒng)一的防護(hù)規(guī)范策略應(yīng)對(duì)安全問(wèn)題;另外當(dāng)軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)�����,就必須開(kāi)放端口����,一旦被惡意攻擊和利用后果不堪設(shè)想���。
3) 使用方面。網(wǎng)絡(luò)的使用者由于經(jīng)驗(yàn)不足等原因造成的網(wǎng)絡(luò)口令丟失,權(quán)限分配失策�、系統(tǒng)被人入侵等情況,也會(huì)造成機(jī)密數(shù)據(jù)丟失、泄漏�、系統(tǒng)癱瘓等故障。
4) 非法授權(quán)使用�。石油化工企業(yè)系統(tǒng)普遍存在訪問(wèn)制度和權(quán)限管理。權(quán)限管理的漏洞造成的非授權(quán)使用或來(lái)自外部的黑客攻擊有可能獲取系統(tǒng)權(quán)限����,訪問(wèn)敏感數(shù)據(jù);致使工控系統(tǒng)誤動(dòng)作,甚至造成系統(tǒng)癱瘓�。
5) 病毒攻擊。計(jì)算機(jī)病毒在整個(gè)網(wǎng)絡(luò)系統(tǒng)內(nèi)的傳播可能造成某個(gè)或多個(gè)計(jì)算機(jī)的性能下降甚至癱瘓,造成生產(chǎn)系統(tǒng)局部功能的喪失����。
石油化工行業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)點(diǎn)分析
1、信息安全管理方面的安全脆弱性
1) 信息安全管理制度流程欠完善?,F(xiàn)在大部分企業(yè)還未形成完整的制度政策,缺乏信息系統(tǒng)規(guī)劃���、建設(shè)�����、運(yùn)維��、廢止全生命周期的信息安全需求和設(shè)計(jì)管理����,欠缺配套的管理體系�、處理流程、人員責(zé)任等規(guī)定��。
2) 應(yīng)急響應(yīng)機(jī)制欠健全��,需進(jìn)一步提高系統(tǒng)信息安全事件的應(yīng)對(duì)能力�����。發(fā)生信息安全事件后人員通常依靠經(jīng)驗(yàn)判斷�����,甚至逐個(gè)斷網(wǎng)等方式��,確定信息安全事件發(fā)生的設(shè)備和影響范圍��,對(duì)于被攻擊的程度,工藝是否受影響存在很多不明確的逐一進(jìn)行排查�����。
3) 人員信息安全培訓(xùn)不足���,技術(shù)和管理能力以及人員安全意識(shí)有待提高�。大部分行業(yè)有針對(duì)應(yīng)用系統(tǒng)的業(yè)務(wù)培訓(xùn)���,但是面向全員的信息安全意識(shí)宣傳����、信息安全技術(shù)和管理培訓(xùn)均比較缺乏����,需加強(qiáng)信息安全體系化宣傳和培訓(xùn)。
4) 尚需完善第三方人員管理體制。大部分的行業(yè)會(huì)將設(shè)備建設(shè)運(yùn)維工作外包給設(shè)備商或集成商,尤其針對(duì)國(guó)外廠商��,業(yè)主不了解網(wǎng)絡(luò)、應(yīng)用及安全設(shè)備的技術(shù)細(xì)節(jié),對(duì)于所有的運(yùn)維操作無(wú)控制、無(wú)審計(jì)��,留有安全隱患��。
2����、信息安全技術(shù)方面的安全脆弱性
1) 未進(jìn)行安全區(qū)域劃分,區(qū)域間未設(shè)置訪問(wèn)控制措施�����。隨著信息系統(tǒng)及工業(yè)系統(tǒng)的集成化越來(lái)越高�����,呈現(xiàn)統(tǒng)一管理��、集中監(jiān)控的趨勢(shì)����,系統(tǒng)的互聯(lián)程度大幅提高��。但是各子系統(tǒng)之間沒(méi)有進(jìn)行有效的隔離�,系統(tǒng)邊界不清楚,邊界訪問(wèn)控制策略缺失��,一旦發(fā)生安全問(wèn)題�,存在迅速蔓延的可能性���。
2) 工作主機(jī)存在互相感染的隱患。大部分工作主機(jī)是基于Windows平臺(tái)����,版本包括NT4.0,Win2000,XP,win7,Server2003等�,Windows平臺(tái)固有的脆弱性均可以被病毒黑客利用。并且大部分企業(yè)無(wú)移動(dòng)存儲(chǔ)介質(zhì)管理����、工作主機(jī)軟件運(yùn)行白名單管理、聯(lián)網(wǎng)控制��、網(wǎng)絡(luò)準(zhǔn)入控制的技術(shù)控制措施�����。
3) 缺少信息安全風(fēng)險(xiǎn)監(jiān)控技術(shù)���,不能及時(shí)發(fā)現(xiàn)信息安全問(wèn)題����,出現(xiàn)問(wèn)題后靠人員經(jīng)驗(yàn)排查。在網(wǎng)絡(luò)上普遍缺少信息安全監(jiān)控機(jī)制��,不能及時(shí)了解網(wǎng)絡(luò)狀況����,一旦發(fā)生問(wèn)題不能及時(shí)確定問(wèn)題所在,不能及時(shí)排查到故障點(diǎn)����,排查過(guò)程耗費(fèi)大量人力成本、時(shí)間成本�����。
4) 系統(tǒng)運(yùn)行后��,工作主機(jī)和服務(wù)器很少打補(bǔ)丁��,存在系統(tǒng)漏洞��,系統(tǒng)安全配置較薄弱�����,防病毒軟件安裝不全面�����。系統(tǒng)自身的安全策略未啟用或配置薄弱�����。防病毒軟件的安裝不全面�����,即使安裝后也不及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)�。
5) 存在使用移動(dòng)存儲(chǔ)介質(zhì)不規(guī)范問(wèn)題,易引入病毒及黑客攻擊程序�����。在系統(tǒng)運(yùn)維和使用過(guò)程中����,存在隨意使用U盤(pán)、光盤(pán)�����、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)現(xiàn)象���,有可能傳染病毒���、木馬等威脅生產(chǎn)系統(tǒng)���。
6) 第三方人員運(yùn)維生產(chǎn)系統(tǒng)無(wú)審計(jì)措施。出現(xiàn)問(wèn)題后無(wú)法及時(shí)準(zhǔn)確定位問(wèn)題原因��、影響范圍及追究責(zé)任�����。
7)上線(xiàn)前未進(jìn)行信息安全測(cè)試�����。系統(tǒng)在上線(xiàn)前未進(jìn)行安全性測(cè)試�,系統(tǒng)上線(xiàn)后存在大量安全風(fēng)險(xiǎn)漏洞,安全配置薄弱��,甚至有的系統(tǒng)帶毒工作�。
石油化工行業(yè)信息安全防護(hù)方案
石油化工行業(yè)系統(tǒng)部署架構(gòu)
石油化工行業(yè)信息安全防護(hù)思路
在保證系統(tǒng)可用性前提下�����,對(duì)石油化工行業(yè)信息系統(tǒng)及工業(yè)控制系統(tǒng)進(jìn)行綜合防護(hù),實(shí)現(xiàn)“垂直分層�,水平分區(qū)。邊界控制��,內(nèi)部監(jiān)測(cè)”�����。
1)“垂直分層����、水平分區(qū)”即對(duì)石油化工行業(yè)生產(chǎn)及管理系統(tǒng)垂直方向化分為集團(tuán)管理層、企業(yè)管理層��、生產(chǎn)管理層����、生產(chǎn)調(diào)度層、現(xiàn)場(chǎng)控制層及現(xiàn)場(chǎng)設(shè)備層��;水平分區(qū)指各信息管理系統(tǒng)之間���,工業(yè)控制系統(tǒng)之間從網(wǎng)絡(luò)上隔離開(kāi)����,處于不同的安全區(qū)。
2)“邊界控制����,內(nèi)部監(jiān)測(cè)”即對(duì)系統(tǒng)邊界即各工作站、應(yīng)用服務(wù)器�����、信息系統(tǒng)���、工業(yè)控制系統(tǒng)連接處����、無(wú)線(xiàn)網(wǎng)絡(luò)等要進(jìn)行邊界防護(hù)和準(zhǔn)入控制等���;對(duì)生產(chǎn)辦公網(wǎng)絡(luò)及工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵�����、業(yè)務(wù)異常�����、訪問(wèn)關(guān)系異常和流量異常等問(wèn)題�����。
3)系統(tǒng)面臨的主要安全威脅來(lái)自于黑客攻擊��,病毒蠕蟲(chóng)等惡意代碼���,非授權(quán)接入、移動(dòng)介質(zhì)����、弱口令、操作系統(tǒng)漏洞���、誤操作和業(yè)務(wù)異常等越權(quán)訪問(wèn)����。因此��,其安全防護(hù)應(yīng)在以下方面予以重點(diǎn)完善和強(qiáng)化:入侵檢測(cè)及防御���;惡意代碼防護(hù)�����;內(nèi)部網(wǎng)絡(luò)異常行為的檢測(cè)��;邊界訪問(wèn)控制和系統(tǒng)訪問(wèn)控制策略�;系統(tǒng)開(kāi)發(fā)與維護(hù)的安全;身份認(rèn)證和行為審計(jì)����;賬號(hào)唯一性和口令安全,尤其是管理員賬號(hào)和口令的管理�����;操作站操作系統(tǒng)安全���;移動(dòng)存儲(chǔ)介質(zhì)的標(biāo)記����、權(quán)限控制和審計(jì)�;設(shè)備物理安全。
石油化工行業(yè)信息安全防護(hù)方案
結(jié)合石油化工行業(yè)信息安全防護(hù)思路�,將石油化工企業(yè)系統(tǒng)劃分為企業(yè)信息管理系統(tǒng)及生產(chǎn)控制系統(tǒng)。企業(yè)信息管理系統(tǒng)分為兩層�,即集團(tuán)管理層和企業(yè)管理層;生產(chǎn)控制系統(tǒng)分為四層��,即生產(chǎn)管理層、生產(chǎn)調(diào)度層��、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層��。每一套信息系統(tǒng)�、每一個(gè)工業(yè)控制系統(tǒng)應(yīng)單獨(dú)劃分在一個(gè)區(qū)域里����。
集團(tuán)管理層及企業(yè)管理層主要是經(jīng)營(yíng)管理、資源計(jì)劃管理��、文件管理���、合同管理��、質(zhì)量管理����、采購(gòu)及物資管理等相關(guān)系統(tǒng)��。
生產(chǎn)管理層主要是生產(chǎn)調(diào)度�����、詳細(xì)生產(chǎn)流程、可靠性保證�����、三維可視��、能源管理���、設(shè)備管理�����、視頻管理�、地理信息管理�、應(yīng)急指揮管理以及站點(diǎn)范圍內(nèi)的控制優(yōu)化等相關(guān)系統(tǒng)。
生產(chǎn)調(diào)度層包括了監(jiān)督和控制實(shí)際生產(chǎn)過(guò)程的人機(jī)界面HMI���、操作員站����、工程師站�、報(bào)警管理服務(wù)器、通信服務(wù)器、實(shí)時(shí)數(shù)據(jù)收集服務(wù)器����、歷史數(shù)據(jù)歸檔服務(wù)器以及用于連接的其他服務(wù)器客戶(hù)機(jī)等相關(guān)系統(tǒng)。
現(xiàn)場(chǎng)控制層是對(duì)來(lái)自現(xiàn)場(chǎng)設(shè)備層的傳感器所采集的數(shù)據(jù)進(jìn)行操作���,執(zhí)行控制算法��,輸出到執(zhí)行器執(zhí)行,該層通過(guò)現(xiàn)場(chǎng)總線(xiàn)或?qū)崟r(shí)網(wǎng)絡(luò)與現(xiàn)場(chǎng)設(shè)備層的傳感器和執(zhí)行器形成控制回路�。主要包含DCS控制器、可編程邏輯控制器PLC��、遠(yuǎn)程終端單元RTU等控制相關(guān)系統(tǒng)����。
現(xiàn)場(chǎng)設(shè)備層對(duì)生產(chǎn)設(shè)施的現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)采集和輸出操作的功能,包括所有連在現(xiàn)場(chǎng)總線(xiàn)或?qū)崟r(shí)網(wǎng)絡(luò)的傳感器(模擬量和開(kāi)關(guān)量輸入)和執(zhí)行器(模擬量和開(kāi)關(guān)量輸出)�。
根據(jù)“邊界控制,內(nèi)部監(jiān)測(cè)”的防護(hù)思路�,對(duì)石油化工行業(yè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)進(jìn)行防護(hù)。
通過(guò)信息安全管理系統(tǒng)對(duì)整個(gè)系統(tǒng)內(nèi)的各個(gè)子系統(tǒng)和安全設(shè)備進(jìn)行統(tǒng)一安全監(jiān)控和管理����。對(duì)企業(yè)日常辦公及工業(yè)控制現(xiàn)場(chǎng)設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備�、服務(wù)器、操作站等進(jìn)行統(tǒng)一資產(chǎn)管理���,并對(duì)各設(shè)備的信息安全監(jiān)控和報(bào)警�����、信息安全日志信息進(jìn)行集中管理��。根據(jù)安全審計(jì)策略對(duì)各類(lèi)信息安全信息進(jìn)行分類(lèi)管理與查詢(xún)�����,系統(tǒng)對(duì)各類(lèi)信息安全報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析��,展現(xiàn)全網(wǎng)的安全風(fēng)險(xiǎn)分布和趨勢(shì)���。
防護(hù)類(lèi)措施分類(lèi)如下:
1)在安全區(qū)域邊界處部署防火墻設(shè)備,實(shí)現(xiàn)IP/端口��、協(xié)議的訪問(wèn)控制�����、應(yīng)用層協(xié)議訪問(wèn)控制、流量控制等�;于工業(yè)控制安全區(qū)域邊界處部署工業(yè)系統(tǒng)專(zhuān)用防火墻,在實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防護(hù)功能基礎(chǔ)上對(duì)工業(yè)控制系統(tǒng)專(zhuān)用協(xié)議進(jìn)行深度解析及訪問(wèn)控制�����。
2)在安全區(qū)域邊界處部署入侵防御設(shè)備�,通過(guò)對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷,在判定為攻擊行為后立即予以阻斷��,主動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全���。
3)在內(nèi)部信息區(qū)域與對(duì)外發(fā)布信息區(qū)域之間及工業(yè)控制區(qū)域與信息管理區(qū)域之間部署網(wǎng)閘設(shè)備,切斷網(wǎng)絡(luò)鏈路層鏈接����,完成網(wǎng)絡(luò)之間的數(shù)據(jù)交換。
4)在工作主機(jī)���、操作站��、工程師站及辦公終端部署操作站安全系統(tǒng)實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)使用的管理�、軟件黑白名單管理����、聯(lián)網(wǎng)控制����、網(wǎng)絡(luò)準(zhǔn)入控制����、安全配置管理等。
5)安全審計(jì)與管理系統(tǒng)的作用是���,對(duì)管理人員及運(yùn)維人員在業(yè)務(wù)環(huán)境下的操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理�����,通過(guò)對(duì)業(yè)務(wù)人員訪問(wèn)系統(tǒng)的行為進(jìn)行解析�、分析����、記錄、匯報(bào)��,實(shí)現(xiàn)事前規(guī)劃預(yù)防����,事中實(shí)時(shí)監(jiān)視���、違規(guī)行為響應(yīng),事后合規(guī)報(bào)告�、事故追蹤溯源,同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管����、促進(jìn)核心資產(chǎn)的正常運(yùn)營(yíng)。
6)Wifi入侵檢測(cè)與防護(hù)設(shè)備是放在基于Wifi組網(wǎng)的現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)中�,可實(shí)現(xiàn)非法AP阻斷,非法外來(lái)設(shè)備接入生產(chǎn)網(wǎng)絡(luò)���,基于Wifi的入侵檢測(cè)等��。
監(jiān)控檢查類(lèi)措施如下:
1)在交換機(jī)鏡像口上部署入侵監(jiān)測(cè)系統(tǒng)���,檢測(cè)信息系統(tǒng)內(nèi)部入侵行為�����,異常操作行為�,發(fā)現(xiàn)異常流量和異常訪問(wèn)關(guān)系等;并于工業(yè)以太網(wǎng)交換機(jī)景象口上部署工控異常監(jiān)測(cè)系統(tǒng)���,檢測(cè)工業(yè)控制系統(tǒng)內(nèi)部入侵�、異常操作、異常流量和異常訪問(wèn)關(guān)系等���。
2)部署漏洞掃描系統(tǒng)��,對(duì)系統(tǒng)漏洞���、Web漏洞以及弱口令進(jìn)行掃描,并在工控系統(tǒng)檢修��、停機(jī)或新系統(tǒng)上線(xiàn)時(shí)對(duì)工業(yè)控制系統(tǒng)進(jìn)行漏洞掃描并對(duì)漏洞進(jìn)行修補(bǔ)���。
3)部署安全配置基線(xiàn)核查系統(tǒng)����,對(duì)系統(tǒng)進(jìn)行配置基線(xiàn)檢查��,重點(diǎn)關(guān)注工作主機(jī)�����、工程師站����、服務(wù)器等開(kāi)放的服務(wù)���,賬號(hào)密碼策略、協(xié)議的安全配置等問(wèn)題����,對(duì)風(fēng)險(xiǎn)進(jìn)行安全加固。
石油石化行業(yè)信息系統(tǒng)安全防護(hù)優(yōu)勢(shì)
本方案的整體思路主要依據(jù)石油化工行業(yè)網(wǎng)絡(luò)安全“統(tǒng)一規(guī)劃�����、分級(jí)分域����、積極預(yù)防、重點(diǎn)保障”的思路�����。對(duì)石油化工行業(yè)整個(gè)信息管理系統(tǒng)及工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估掌握目前石油化工行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀����;通過(guò)對(duì)互聯(lián)網(wǎng)邊界流量的分析�����,保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性;通過(guò)管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會(huì)引入來(lái)自管理網(wǎng)風(fēng)險(xiǎn)���,保證生產(chǎn)網(wǎng)邊界安全��;在企業(yè)內(nèi)部辦公系統(tǒng)及工控系統(tǒng)進(jìn)行一定手段的監(jiān)測(cè)��、防護(hù)���,保證企業(yè)內(nèi)部安全;最后對(duì)整個(gè)企業(yè)系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)�����,將各個(gè)防護(hù)點(diǎn)組成一個(gè)全面的防護(hù)體系���,保障企業(yè)整個(gè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行��。并對(duì)企業(yè)信息管理系統(tǒng)及工業(yè)控制系統(tǒng)提供一系列專(zhuān)業(yè)安全服務(wù)����。
400-001-9776
