咨询电话:400-001-1101

解决方案

资讯分类
您现在的位置:
/
/
/
水泥行业工控安全解决方案

水泥行业工控安全解决方案

  • 作者:
  • 发布时间:2016-12-06 00:00
  • 访问量:

【概要描述】需求分析某水泥生产企业在发展现有信息系统的基础上,不断深化企业综合自动化系统,加强安全控制系统的应用,提高企业基础自动化和先进控制水平,以增强企业的市场竞争力。为了保障生产的绝对安全,目前DCS生产控制网未与办公内网连接,DCS系统与处于办公网络中的业务管理系统沟通不畅,形成了“信息孤岛”。DCS网络的生产数据得不到充分利用,形成巨大浪费。如果业务管理系统能够实时得到DCS系统传来的生产数据,不仅便于管理而且可以充分的利用实时采集到的数据。通过对现场采集的数据进行的分析辅助经营者作出正确的决策。如果DCS生产控制网与办公内网相连,因办公内网与Internet相连,可能从办公内网引入各种病毒、黑客攻击,导致DCS生产控制网络的瘫痪,造成极为严重的后果和重大的经济损失。如何才能使DCS生产控制网络与办公网络物理隔离又能做到实时的数据传输成为了一个突出的矛盾。方案设计在DCS生产控制网络的交换机与内部办公网络的交换机之间部署华御网闸,可以保障DCS生产控制网络在物理隔离的情况下,将生产数据安全的传输至处在内部办公网络的数据库服务器中,为决策提供数据支撑。将DCS生产控制网络看做内网,将办公内

水泥行业工控安全解决方案

【概要描述】需求分析某水泥生产企业在发展现有信息系统的基础上,不断深化企业综合自动化系统,加强安全控制系统的应用,提高企业基础自动化和先进控制水平,以增强企业的市场竞争力。为了保障生产的绝对安全,目前DCS生产控制网未与办公内网连接,DCS系统与处于办公网络中的业务管理系统沟通不畅,形成了“信息孤岛”。DCS网络的生产数据得不到充分利用,形成巨大浪费。如果业务管理系统能够实时得到DCS系统传来的生产数据,不仅便于管理而且可以充分的利用实时采集到的数据。通过对现场采集的数据进行的分析辅助经营者作出正确的决策。如果DCS生产控制网与办公内网相连,因办公内网与Internet相连,可能从办公内网引入各种病毒、黑客攻击,导致DCS生产控制网络的瘫痪,造成极为严重的后果和重大的经济损失。如何才能使DCS生产控制网络与办公网络物理隔离又能做到实时的数据传输成为了一个突出的矛盾。方案设计在DCS生产控制网络的交换机与内部办公网络的交换机之间部署华御网闸,可以保障DCS生产控制网络在物理隔离的情况下,将生产数据安全的传输至处在内部办公网络的数据库服务器中,为决策提供数据支撑。将DCS生产控制网络看做内网,将办公内

  • 分类:工业安全
  • 作者:
  • 来源:
  • 发布时间:2016-12-06 00:00
  • 访问量:
详情

一、行业背景

中国水泥的发展就是波澜壮阔的时代前进的缩影,跨越世纪风雨。我国水泥生产技术经历了几次重大变革,水泥工业走过了从诞生到壮大的成长历程。水泥的生产工艺可以简述为两磨一烧,即原料要经过采掘、破碎、磨细和混匀制成生料,生料经高温烧成熟料。从总的工艺流程看,物料是依次通过生料制备、熟料煅烧、水泥粉磨三个串联阶段。

水泥行业属于流程制造行业,水泥行业工业控制系统已经从单机走向互联,从封闭走向开放,从自动化走向智能化。当前也存在安全防护意识不到位、管理责任不明晰、访问控制策略不完善的在工业领域普遍存在的的问题。工业控制系统被黑客或有不当企图的人侵入或遭恶意破坏,或由于管理松弛系统意外中毒等都存在着可能性,加上现发展到生产规模超大,一旦由于工控不安全引发生产事故,其造成的后果和损失远比人工传统方式控制时要严重得多。

二、风险分析

1、企业现状

目前水泥企业在运营中已经应用分布式控制系统(DCS)和信息管理系统(MIS),属于工控自动化系统。因水泥企业的规模和产能不一,网络建设情况也不同,不同情况存在着分布式网络结构、业环网结构及虚拟化系统等。

2、风险分析

(1)工控系统本身安全性设计缺陷

(2)U盘缺少管控

(3)操作系统漏洞

(4)新型的APT攻击,无法阻挡

三、方案概述

工控系统网络安全防护设计上需要彻落实国家网络安全等级保护制度,遵循"分层分域、区域隔离、综合防护"基本原则;工控网及生产网应该单独的进行隔离,避免和办公网进行交叉混用,避免办公网遭受入侵或病毒危害后对生产网中相关设备产生威胁。所以建议把工业控制网与其他系统进行高安全隔离,分公司的办公网与工业控制网络做到仅次于物理隔离强度,部署工业安全隔离装置;集团总部与各个分公司的OPC通讯根据不同需求采用工业安全隔离装置或数采单向光闸设备。

将水泥企业的工业控制系统分为不同的层级结构,其所有业务系统网络通过核心进行统一汇总上报,核心交换及关键业务系统应保证冗余性的配置同时进行分区分层架构规划。具体网络安全部署如下所示:

安盟信息

1、边界安全

在集团总部与各个分公司的网络之间部署安盟华御工业安全隔离装置,实现分层级的安全防护,抵御已知威胁。同时做到数据零反馈,无任何数据返回工控网络中。避免了工控通信协议漏洞在信息网络的暴露,使不法分子和病毒无法通过漏洞进行入侵。

在现场控制层与过程监控层之间部署安盟华御工业防火墙,实现对生产控制区做整体的通信安全防护。

2、主机安全

集控中心、工程师站内工作站、通讯服务器等主机部署安盟华御工控安全主机卫士,防止用户的违规和误操作、阻止不明程序,授权移动存储介质访问权限等,有效提高工控主机的深度"免疫"能力。

3、安全审计

在安全管理中心部署安盟华御工业安全审计系统及入侵检测系统,快速识别出办公网与工控系统中非法操作、异常事件、外部攻击等,并实时报警。

4、安全运维

部署安盟华御堡垒机,实现运维管理员和第三方服务人员的系统登录授权、操作指令限制、操作全程录屏审计等进行管理和审计。

5、综合安全管理

在安全管理中心,部署安盟华御安全管理平台,完成设备实时信息收集,实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析,进行一体化安全管控,多视角、多层次的管理与态势感知。

四、方案价值

1、严格防护

按照不同应用协议类型提供细粒度的信令、参数、值域的控制,对关键业务进行安全防护,不同网络之间实现高安全隔离。

2、边界安全

能够阻止各种已知与未知的安全风险,防止勒索病毒以及相关变种提供数采链路传播到工控生产系统中。

3、安全审计

快速识别出数采层中的相关非法操作、异常事件、外部攻击等,并实时报警。

4、主机安全

能实时防止用户的违规和误操作、阻止不明程序,授权移动存储介质访问权限等,有效提高工控主机的深度"免疫"能力。

5、整体防护

从区域边界到生产网边界均在方案中得到防护体现。覆盖了业务数据流转的全生命周期。

关键词:

行业新闻       |      渠道合作       |       公司介绍       |       招贤纳才 

旗下子公司:        华御数观

北京安盟信息技术股份有限公司

邮政编码:100085

总部地址:北京市海淀区邓庄南路万家盛景大厦B座3A层

人力部:hr@anmit.com

销售部:sales@anmit.com

技术部:support@anmit.com

服务热线:400-001-1101

公司网址:http://www.anmit.com

这是描述信息

版权所有:北京安盟信息技术股份有限公司  网站建设:中企动力 北二分 京ICP备14050102号-1 京公网安备 11010802036550号  SEO标签