石油石化安全解决方案
方案概述
本方案主要是针对石油石化企业工控网与办公网之间、公网与工控网之间以及工控网内部等场景进行安全防护。
石油石化安全解决方案

办公网与工控网之间安全防护

办公网与工控网之间增加工业网闸,仅允许办公网的报表服务器和远程服务器以OPC协议以只读的方式访问工控网内的SCADA数据服务器,除OPC协议外所有网络报文都不允许通过,其余的任何计算机都不允许互相访问。

公网与工控网之间安全防护

公网与工控网之间增加工业网闸,仅允许规定的计算机和端口互相访问,通过工业网闸的白名单策略,可以设置仅允许规定的计算机互相访问,并且仅开放有限的端口,除此之外的主机和端口,均不允许访问,从而保护工控网的安全。

安全区内部综合防护

1.在工控网内部署入侵检测系统,对关键业务系统和网络边界的关键路径信息进行实时检测,实现安全事件的可发现、可追踪、可审计。

2.在工控网内部署运维安全审计系统(堡垒主机)全面禁止厂家通过互联网远程运维,通过运维管控平台集中运维数据网设备和服务器设备,并对运维人实名认证,对运维过程能实时监控、实时阻断、全面审计,实现控制大区IT资源(EMS服务器、网络设备、安全设备)运维过程符合等保、二次安防的要求。

3.在工控网内建立安全审计,全面收集、集中存储生产控制大区各种业务系统、网络设备、安全产品、机房设施等的运行日志、操作系统日志、数据库访问日志,并具备动态监视、故障分析、安全审计、事件预警及告警功能。




方案优势

隔离工控网与办公网,解决安全问题

在工控网与办公网之间增加工业网闸,仅允许特定的办公网主机(报表服务器和远程服务器)访问特定的工控网主机(SCADA数据服务器),且仅允许OPC协议通过,除此之外的任何主机、任何通信协议,均不允许通过。

办公网内主机仅能读取OPC数据,不能修改

办公网内的报表服务器和西安远程服务器,对工控网内的SCADA数据服务器,仅能进行OPC数据的只读访问,不能进行任何写操作,有效的防止了误操作或者网络攻击导致对工控网的访问,防止对实际生产造成巨大的经济损失。

隔离工控网与公网,解决安全安全问题

在工控网与公网之间增加工业网闸,仅允许特定的公网主机(远程数据采集服务器)与工控网主机之间的互相访问,且仅允许特定的端口通过,除此之外的任何主机、任何端口的报文,均不允许通过,防止对公网上网络攻击者对工控网进行非法攻击。

基于网络数据包级别的控制原理,对OPC进行七级深度控制

我公司的工业网闸是基于网络数据包级别的控制原理,非市面上的数据采集原理型产品,能够达到七级深度OPC控制,包括MAC与IP绑定、TCP动态连接判断、OPC服务器访问控制、是否全部测点只读、单测点是否可见、单测点是否只读/读写、测点值写范围判断。

隔离设备的安全性

OPC协议的处理属于自主开发,没有基于商业库开发所存在的漏洞问题,安全性更高,硬件采用非x86的体系,产品自身安全性更高。


相关产品:


返回顶部