某炼化公司工业控制安全系统建设

概述:管控中心和车间及公共管理设施,达到了安全等级保护3级防护要求,实现“一个中心,三重防护“的纵深防御安全防护体系建设;同时,向客户提供了安全加固和安全培训服务,从人员、技术、管理三方面,向客户提供三位一体,全方位的综合安全解决方案和安全服务。

项目背景

为提高炼化公司生产控制系统整体水平,参照等保2.0工作要求,完成管控中心各车间等保定级建设。公司现有工业控制系统主要分布在化工新区、化工老区、炼油新区、炼油老区等几个主要厂区,以横河(YOKOGAWA)公司CENTUM CS3000 DCS系统为全厂主要控制系统。其中炼油新区、化工新区工业控制系统采用的网络架构大致相同,各生产装置DCS系统单独组网完成独立的自动化生产控制功能,SIS系统、PLC控制系统通过RS485接口与Modbus协议与DCS实现互联及数据通讯,同时各DCS系统通过工业以太网在DCS集中管控中心(CCR)汇聚实现集中管控,通过独立的OPC服务器与MES系统实现数据交互,炼油新区设置一个集中管控中心(CCR3),化工新区设置2个集中管控中心(CCR1、CCR2)。炼油老区、化工老区工业控制系统采用的网络架构大致相同,各生产装置DCS系统单独组网完成独立的自动化生产控制功能,DCS网络之间没有汇聚互联,各DCS通过独立的OPC服务器与MES系统实现数据交互。

 

项目方案

1.管控中心按照网络安全等保三级要求建设;
2.项目建设了全面的工业控制安全防护体系:包括工业防火墙、隔离网闸、堡垒机、工业入侵监测、日志审计、工业监测审计、终端卫士,以及一体化网络安全态势感知平台;
3.在调控中心各车间共部署XX台融安工业防火墙,进行边界防护。调控中心和MES之间部署隔离网闸进行物理隔离。各车间与调控中心的通信信道均采用主备方式,调度中心部署统一安全管理平台、态势感知系统、工业入侵监测审计、日志审计系统,统一对生产网进行安全监测审计和威胁情报态势分析。调度中心部署堡垒机统一进行运维审计。调度中心和各车间操作员站/工程师站等各工业终端,统一部署安全卫士,通过“白名单”机制,进行终端防护。

客户价值/合作成果


管控中心和车间及公共管理设施,达到了安全等级保护3级防护要求,实现“一个中心,三重防护“的纵深防御安全防护体系建设;同时,向客户提供了安全加固和安全培训服务,从人员、技术、管理三方面,向客户提供三位一体,全方位的综合安全解决方案和安全服务。

1.安全区域隔离:生产网内部各子系统之间,采用工业防火墙实现逻辑隔离,并采用黑白名单技术,实现内部入侵防护和APT攻击防护;

2.调度中心融合主机和入侵防护等综合防护技术,并实现防火墙和入侵检测联动,在网络受到攻击时,能够实时阻断威胁链路,保障系统安全;

3.管理中心:集中安全管控、态势感知、统一安全管理平台,对全网流量和安全事件进行实时监控,通过数据建模分析内网安全威胁,并对全网设备状态实时监控和统一管理,实现统一的策略下发。