化工行业工控安全解决方案

化学工业在国民经济中占有重要地位，是国家重要的关键基础设施。由于化学工业门类繁多、工艺复杂、产品多样，其处理过程的产物及副产物也具有种类多、数量大、毒性高等特点。而这背后的工业控制系统的作用也将凸显其重要性。 相比于安全隐患居高不下的互联网，工控系统的脆弱性就不言而喻了。随着社会的进步、技术的发展，原有封闭的化工企业也必然需要走向开放互联。面对如此形势，工控安全已经提升到一个不可小觑的高度。

在化工行业中，办公网络与工控网络之间的互联互通已成历史趋势，工业控制系统信息安全问题日益突出，问题也逐渐展现出来。 （1）物理特性方面 工控安全设备的适应性，包括现场的工业防火墙需要具备抗腐蚀、高低温、电磁防护、震动冲击等物理特征，数据过滤转发实时性、稳定性、可靠性，特殊的bypass功能等。此外也需要适应现场的工业协议、深度解析与分析等。 （2）工业协议方面 工控系统中使用了大量的工控协议，例如S7、MMS、Profinet、OPC、Modbus、IEC104、DNP3等，这些协议都是借助以太网数据包实现对设备的监控。面对类似震网这类病毒，对工控系统提出来更多的安全可控的要求，传统的安全防护根本不起作用或者无法起作用，对这些常用的协议进行深度的识别、分析是前提条件，指令级别控制才是工控系统的防护的核心，尤其是当前控制器多为国外产品的当下。 （3）网络规划方面 工控网络的规划设计一般比较简单，多为2层网络，网络防护几乎没有。当与互联网进行连接时，外部的网络安全渗透、攻击、病毒对工控系将是致命的。如何有效的管控内外网的通信，如何更好的利用“纵深防御”思想进行分区分域是非常关键的。 （4）协议漏洞方面 工控系统中使用了大量的商用操作系统、办公软件、数据库软件、打印机驱动等，而这些软件大部分不能实时更新，这无形中给不法之徒提供了可乘之机。如何针对固有或停止升级的系统提供可靠的安全防护将是一个非常大的挑战。

遵循等保2.0的“一个中心，三重防护”基本原则，借助工业防火墙、工控安全审计系统、入侵检测系统并辅以其他安全系统构建经济适用的等保安全解决方案。 （1）安全边界 在工控系统的不同厂区之间、工控系统与外部系统（互联网、OA、邮件系统等）之间通过部署工业防火墙，利用黑白名单技术对系统之间的访问进行控制，对工业协议进行深度的识别、分析、研判，同时结合传统安全进行隔离防护。 （2）安全网络 通过在工控系统交换机上旁路部署工控安全审计系统，可以在不影响正常通信的前提下，实时掌控工控网络中的违规、异常等不法行为。在监控中心部署入侵检测系统，实现对网络攻击检测和异常行为的审计，同时具备入侵防御的能力。 （3）终端安全 为工控系统的上位机、服务器部署主机安全防护系统，实现对主机资源、环境、进程、存储等多方面的安全防护，降低系统固有的漏洞、缺陷而导致的安全入侵行为，为安全运行提供良好的系统条件。同时监控USB使用、审计USB动作、防止恶意程序并防止文件系统泄密。 （4）安管中心 在控制中心统一规划安全管理中心，针对工业控制现场主机、服务器、网络设备、安全设备等工业资产进行全方位的感知监控，并对工控安全进行集中化、多维度、综合性的展现。

▶ 合法合规 产品符合《网络安全法》、《关键信息基础设施安全保护条例》等法律规范，符合等保2.0及相关的国家、行业、地方的相关标准。 ▶ 安全可控 对工控系统加上了一道防护罩，显著提升企业抗网络攻击的能力。同时任何控制动作都可以通过安全管理中心进行全方位的监控，让业务流向更清晰，操作更可控、安全管理更便捷。 ▶ 提升企业竞争力 借助工控安全方案可以抵御恶意网络攻击，保证企业可持续的生产，给企业带来的不仅仅是利润，还有良好的声誉、合约承诺、股市增长、品牌效应等。相较于遭受攻击的企业，将极大提升企业的竞争力。