石油化工行业解决方案实效.ppt

知识点石油化工行业解决方案实效,解决方案1-某炼化企业整体安全防护解决方案,数采防护说明数采协议深度检测与分析深度分析数据采集协议数据包，快速剖析结构与内容，确保数据包的合法性。白名单主动防御基于白名单的未知漏洞防御保护功能。通过将白名单中安全的网络数据和行为的特征，与网络中的数据和行为进行提取、匹配、比对、判断，一旦如果发现其行为不符合白名单中的安全数据和行为特征，将会对网络中所有不符合的数据和行为进行阻断和告警，保护工业控制网络避免受到未知漏洞的危害。安全事件实时监控对白名单与黑名单方式防御所产生的告警和阻断等进行监控，当前工控系统内发生的各类网络安全事件进行管理与后续处理。能够获得安全事件发生的时间、来源、目标、种类、严重程度、威胁描述、已经采取的操作、建议采取的操作等等。开放式特征匹配拥有覆盖广泛的工业控制设备漏洞库，包含各大主流工控厂商的设备漏洞，通过定期的升级，为黑名单防御保护功能提供最新支持，有效提高工控网络安全产品的防护能力，能针对各种工控设备的实际网络组合情况安排筛查最佳的漏洞库最新升级版本。,,,,,,智能防护说明白名单防御保护基于白名单的未知漏洞防御保护，通过将白名单中安全的网络数据和行为的特征，智能学习能够自动收集系统正常运行状态下的数据行为，在此基础上自动地提取数据特征，并生成用户容易理解的规则，组成白名单，实现自动化的特征规则提取和生成。黑名单防御保护通过将已知漏洞库中的已知策略，与网络中的数据和行为进行提取、匹配、判断，保护工业控制网络避免受到已知漏洞的危害。网络拓扑/组网结构通过网络拓扑图的形式，能够监控网络中的保护终端和客户系统设备网路结构、配置信息以及安全事件。安全事件监控对白名单与黑名单方式防御所产生的告警和阻断等进行监控，当前工控系统内发生的各类网络安全事件进行管理与后续处理。工控网络安全漏洞库拥有覆盖广泛的工业控制设备漏洞库，包含各大主流工控厂商的设备漏洞，通过定期的升级，为黑名单防御保护功能提供最新支持，有效提高工控网络安全产品的防护能力。,审计防护说明网络安全审计对网络中存在的所有活动提供协议审计、行为审计、内容审计、流量审计，生成完整记录便于时间追溯。旁路监听为不影响控制网络系统的正常生产运行，监测审计平台设计了旁路监听功能，通过KEMGMT管理端口连接安全监管平台可进行统一管理。工控异常行为审计基于工业协议的深度包解析白名单和黑名单的工控异常行为审计，协助用户发现网络中存在的违规下发的控制操作。未知设备接入监测对工业控制网内未知的设备接入进行实时告警，迅速发现网络中存在的非法接入。工业控制设备异常连接告警对拓扑图中的工业控制设备实时进行连接状态检测，向用户提出告警，帮助用户定位工业控制设备网络异常。,安监平台防护说明工业协议智能解析与防护设备针对工控系统进行防御设计，能快速识别系统中的非法操作、异常事件以及外部攻击并及时告警和阻断非法数据包。多种保护防御机制设备通过白名单、黑名单、IP/MAC地址绑定方式，对工控网络APT攻击、异常行为和非法数据包等多种威胁进行多方式保护，对发现的威胁进行告警和阻断，保护工业控制网络安全，有效的提高网络的安全性。高性能数据交换，多协议支持能满足大规模的控制数据、处理、低延时转发、响应，具备BYPASS端口。同时，支持目前主流的工业控制网络中的各种应用协议，智能网络行为学习设备具备智能机器学习引擎，该引擎是专为工控网络安全开发的全新智能学习引擎。能够自动收集、分析和学习系统正常运行状态下的数据行为，自动生成容易理解的操作规则和白名单，实现自动化特征规则的提取和生成，对规则以外的异常数据和操作行为进行告警或限制。安全报告安全态势报告能生成安全事件和设备监控相关的报告。,工控卫士防护说明能有效防护IT网络病毒和工控病毒（如Havex）的运行，针对工控网络最新的攻击手段（BadUSB攻击等）也能被有效阻止。可以有效防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。能对上位机和服务器上的违规操作进行监控，如监测进程的运行状态、监测USB接口及操作，并记录详细的日志，方便事后的审计和追查。,威胁评估采用旁路镜像的方式，进行真实数据流量的收集和比对；主动发现潜在的安全威胁。,解决方案2-炼化企业工控网络安全解决方案,监控审计在MES层旁路部署监控审计平台，通过特定的安全策略，快速识别出炼化企业控制系统网络非法操作、异常事件、外部攻击，并实时报警。,终端防护在现场控制层和PLC之间部署智能保护平台，对工控专有协议进行深度分析，确保数据包的合法性，实现工控网络的深度防护。,主机防护在现场控制层的工程师站、操作员站、OPC服务器以及网关机上部署工控卫士，通过应用程序、网络、USB移动存储的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。,区域防护在OPC服务器与数据汇聚层、数据汇聚层与MES层之间部署数采隔离平台，针对DCS系统管理的关键区域部署安全策略，实现分层级的安全防护，抵御已知威胁。,解决方案3-油田企业工控网络安全解决方案,边界防护数据采集隔离设备通过自己独特的内核技术对来自工业网络中的生产数据和视频数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据采用直接转发的方式让其通过。数据采集隔离设备通过自己高性能的数据流级的深度解析功能对数据进行解析和判断，确保数据的可靠性，通过白名单和黑名单方式保证数据的单向性。,主机防护在工程师站、操作员站、服务器等主机上部署工控卫士和U宝，通过应用程序、网络、USB移动存储的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用，USB炸弹等，有效提高工控网络的综合“免疫”能力。,监测审计在厂级和站控级旁路部署监控审计平台，通过特定的安全策略，快速识别工业控制系统网络非法操作、异常事件、外部攻击，并实时报警。,区域隔离对每个站控系统进行数据保护，做到横向隔离，纵向保护的安全数据采集隔离。数据采集隔离设备通过自己高性能的数据流级的深度解析功能对数据进行解析和判断，对生产数据和视频数据进行分流，确保数据的可靠性，通过白名单和黑名单方式保证数据的单向性。,终端防护在站控级层和RTU之间部署智能保护平台，对工控专有协议进行深度分析，对生产数据和视频数据进行分流，确保数据包的合法性，实现工控网络的深度防护。智能保护设备保护来自无线网络的非法接入等黑客和病毒对井场的数据窃取和篡改。,,,,,,,,,解决方案4-油气集输工控网络安全解决方案,监控审计在SCADA网络旁路部署监控审计平台，通过特定的安全策略，快速识别出企业控制系统网络非法操作、异常事件、外部攻击，并实时报警。,主机防护在现场控制层的操作员站上部署工控卫士和U宝，通过应用程序、网络、USB移动存储的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用，防止USB炸弹，有效提高工控网络的综合“免疫”能力。,区域防护在设备控制层与数据汇聚层、数据汇聚层与外部数据层之间部署数采隔离平台，针对SCADA系统管理的关键区域部署安全策略，实现分层级的安全防护，抵御已知威胁。,全局监控采用部署安全监管平台，与整个系统中部署的安全防护设备相连，收集实施的信息，,终端防护在现场控制层和PLC之间部署智能保护平台，对工控专有协议进行深度分析，确保数据包的合法性，实现工控网络的深度防护。,中国某油田,1、边界防护,使用高性能、机架式安装的数据采集隔离设备保护来自信息网的黑客和病毒对生产网的攻击。放在采油5队的网络出口，对整个生产网的数据做集中防护。数据采集隔离设备通过自己独特的内核技术对来自工业网络中的生产数据和视频数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据采用直接转发的方式让其通过。数据采集隔离设备通过自己高性能的数据流级的深度解析功能对数据进行解析和判断，确保数据的可靠性，通过白名单和黑名单方式保证数据的单向性。生产网中的各个采油大队的应用软件和操作系统漏洞在数据采集隔离设备的保护下不会被黑客和病毒利用。,2、区域隔离,在采油10队、采油29队、采油3队和郝现联的网络出口增加数据采集隔离设备，保证了各个采油大队之间网络安全的独立性。使用导轨式数据采集隔离设备，根据工业网络的区域划分，对每个区域进行数据保护，做到横向隔离，纵向保护的安全数据采集隔离。数据采集隔离设备通过自己独特的内核技术对来自工业网络中的生产数据和视频数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据采用直接转发的方式。数据采集隔离设备通过自己高性能的数据流级的深度解析功能对数据进行解析和判断，确保数据的可靠性，通过白名单和黑名单方式保证数据的安全性。生产网中的各个采油大队的应用软件和操作系统漏洞在数据采集隔离设备的保护下不会被黑客利用。,3、无线网络防护,使用高性能、导轨式安装的智能保护设备，防护来自采油大队有线网络和无线网络的非法接入等黑客和病毒对井场的数据窃取和篡改。智能保护设备能够识别出胜利数字油田网络（或者无线接入）中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包，及时对其进行告警和阻断，并能为后续的安全威胁排查提供依据。智能保护设备也可以对生产数据和视频（音频）数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据采用直接转发的方式让其通过。数据采集隔离设备通过自己高性能的数据流级的深度解析功能对数据进行解析和判断，确保数据的可靠性，通过白名单和黑名单方式保证数据的单向性。,,