友情链接:www.mosesceo.com English|联系我们
400-556-776

SCADA安全防护解决方案

       SCADA系统可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等功能。SCADA系统的跨度非常广,各个站控系统相对分散,网络连接庞大、复杂;此外生产信息化的需求也让目前整个管道系统组成一个庞大的生产控制网。
 

SCADA解决方案


隐患分析

       尽管工厂信息网络安全采取杀毒服务器、操作系统补丁服务器等措施,但SCADA系统网络仍存在一些潜在的安全威胁。

       1、 SCADA系统与上层ERP信息网之间的OPC通讯安全隐患
       虽然考虑了双网卡配置,管理信息网与控制网通过该站进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等,这种配置没有作用,病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制,但病毒库存在滞后,所以不能从根本上进行防护。

       2、 SCADA内部各个站控系统间的互相感染隐患
所有的站控系统都在同一个网络中,如果仅仅从管理角度,采取通过规章制度限制移动介质接入而减少外部感染,不在网络内部采取有效防护措施的话,SCADA内部所有站控系统会相互感染,甚至导致系统停车。

       3、 SCADA系统厂商的远程维护接入带来的安全隐患

解决方案及实施

       1、 创建网络安全分区
       基于SCADA系统网络架构和存在的安全隐患,结合系统网络安全要求,将整个系统划分为站控系统、调控中心、管理信息以及远程接入等6个区域。

       2、 部署多芬诺安全模块TSA,根据各个区域的安全需求,确定所需的可装载安全软插件LSM
       a、将各个站控系统通过多芬诺工业防火墙(防火墙硬件TSA+Firewall LSM软插件)进行相互隔离,防止病毒扩散
       b、在SCADA系统和上层管理信息层之间部署专业的OPC通讯协议防火墙(防火墙硬件TSA+OPC Enforcer LSM软插件)防止来自上层信息网针对各条管线SCADA系统的攻击和病毒感染
       c、在第三方远程接入前端增加多芬诺工业防火墙(防火墙硬件TSA+ Firewall LSM软插件),防止来自第三方设备的病毒感染和攻击

       3、 在整个每条管线的SCADA控制网内部部署一台CMP中央组态管理平台,对所有的多芬诺工业防火墙硬件进行组态和管控

       4、 在信息管理层安装一台SMP安全管理平台,统一部署网络通讯监控策略,显示并记录每条管道SCADA的网络报警及设备状态

返回顶部
上一篇:石化行业工业网络信息安全防护方案 下一篇:创建“本质安全”的生产控制网