神华榆林煤炭综合利用工业控制网络安全项目
项目背景:神华榆林循环经济煤炭综合利用项目(一阶段工程)控制系统包括:全厂DCS采用霍尼韦尔PKS系统、SIS/CCS系统采用TRICONEX系统、GDS采用罗克韦尔系统。动力装置DCS系统、甲醇装置DCS系统(包括循环水、空分、气化、硫回收、酸脱、甲醇、循环水、污水、高盐水、罐区、输煤装置)、SIS系统各配置OPC服务器,经过防火墙向信息化系统(办公网络)传输数据。
神华榆林能源化工有限公司已经建立了网络安全相关的基本策略,制定了比较全面的网络安全管理制度,完成了基础网络安全保障工作。本项目工控系统都遵循了安全分区、网络专用的原则,把生产网络与管理网络分开,实现了基本的网络安全防护,并配置了防病毒软件。但是,整个网络安全防护级别不高,还有待于提高。病毒、木马、黑客入侵的可操作性仍然存在。在一些薄弱环节上仍存在较高的安全隐患。此次项目为解决工控系统面临的工控网络安全隐患,防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失,采用工控行业内较为先进的“纵深防御体系”的技术思路,采用区域隔离的防护技术原理来实现对底层控制系统及现场仪表的安全防护,并有效的控制各控制单元之间病毒等安全威胁的传播。
项目概况:
神华榆林能源化工有限公司的工业控制系统包括DCS、SIS、CCS系统,涉及多个厂家的多种系统。
① 霍尼韦尔DCS系统:动力装置、空分装置、气化装置、硫回收装置、酸脱装置、甲醇装置、乙二醇装置、循环水装置、污水装置、高盐水装置、罐区装置、输煤装置采用霍尼韦尔PKS系统;
② SIS系统:采用TRICONEX系统,包括空分装置、气化装置、硫回收装置、酸脱装置、甲醇装置、乙二醇装置;
③ CTC-1霍尼韦尔DCS系统:包括变换装置、气化装置、酸性气体收装置、酸脱除装置、硫磺回收装置、甲醇装置、乙二醇装置、空分装置、罐区、酸碱站、循环水系统、给水及消防水泵站、动力中心、污水处理、厂内输煤、厂外输煤、中控/火炬系统;
④ CTC-1全厂GDS系统:包括变换装置、气化装置、酸性气体脱除装置、硫磺回收装置、甲醇装置、乙二醇装置、空分装置、循环水系统、动力中心、全长罐区、公开工程系统;
⑤ CTC-1全厂SIS网络:包括变换装置、气化装置、酸性气体脱除装置、硫磺回收装置、甲醇装置、乙二醇装置、空分装置、罐区;
此次项目建设目标:按照二级等级保护要求,结合实际业务系统情况,实施整改加固措施,分期、分步建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行,通过等级保护二级定级、备案、测评。
专用技术要求:
● 业务需求:
1. 通信网络及区域边界防护:需在厂级信息网与控制网之间部署工业网闸,满足“涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离。”和“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段”的要求;
2. 安全管理中心建设:各控制网络三层交换机部署安全管理中心,通过对控制网络中的安全产品进行集中管理,实现对全网中各安全设备的统一配置、全面监控、实时告警、流量分析等,降低运维成本、提高事件响应效率。
提供资产管理、性能监控、日志集中管理功能,并对性能数据和日志数据进行统一的告警分析,使得网络管理员对自己的基础设施一目了然,便捷高效的管理各类设备。
3. 工业网络安全审计系统:在各控制网络三层交换机旁路部署工业网络安全审计系统系统,将工业通信网络流量镜像的数据进行分析,检测网络中业务异常和入侵行为并报警。根据用户定义的审计策略,追踪工控网络安全事件,并对工控网络的数据进行180天以上的留存,满足“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。
4. 等保管理制度的建设:建设满足等保要求的安全管理制度,从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5个层面建立相应的管理文档。加强企业制度规范要求,明确办事流程和责任划分。
5. 等保测评二级认证的相关咨询服务:力控华康提供等保二级测评定级的相关咨询服务和支持工作,建立相关网络安全管理制度及资料并对甲方维护人员提供技术培训,以确保本项目的等保二级测评定级的认证工作的顺利通过。
● 设计技术:
方案设计遵循等保相关层面要求进行,分别为安全计算环境、安全区域边界、安全通信网络、安全管理中心,实现“一个中心,三重防护”安全架构体系,保障安全的生产环境。
安全产品介绍:
1. 工业安全隔离网关
网络隔离技术不仅实现了对基于TCP/IP协议体系攻击的彻底阻断,也实现了对主流工业网络协议深入支持和保证工业控制网络数据的安全传输,解决了传统安全隔离设备无法适用于工业控制网络的难题。
2. 工控安全审计系统
安全审计系统通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实时监测工控网络的状态,检测工控网络中入侵行为,根据用户定义的审计策略,追踪工控网络安全事件,并对工控网络的数据进行留存,为整体网络安全策略的制定提供权威可靠的支持,保障工业信息安全。
3. 安全管理平台
安全管理平台根据客户环境和平台业务特点,采用典型的三层架构(展示层、业务层和数据层)对工业网络中的安全产品及安全事件进行统一管理,通过对控制网络中的工业防火墙、工业安全防护网关、安全审计、主机卫士等安全产品进行集中管理,实现对全网中各安全设备的统一配置、全面监控、实时告警、流量分析等,降低运维成本、提高事件响应效率。
页:
[1]