1. 客戶介紹
某油田作業區是新疆油田公司下屬的一個專門從事油氣田開發的二級單位,位于克拉瑪依市以東約100km的烏爾禾區。管轄著烏爾禾、風城、夏子街三個油田,油區面積248.3km~2,生產戰線長達128km。2014年,XX油田生產超稠油248.3萬噸,成為全國最大的整裝超稠油油田。
2. 客戶需求
網絡的接入勢必會導致工業網絡安全問題的出現,讓黑客有機會進入到油田的生產網絡,從而可能會影響整個油田生產的安全性。迫切需要重視工業網絡數據安全,做好安全隔離和防護,包括:
-
劃分安全域,實施網絡訪問管控;
-
防范工控主機病毒感染及擴散;
-
對網絡流量中的各類入侵行為進行實時監測、告警和記錄,為安全事件調查取證提供依據;
-
防止越權操作工控設備,防范針對工控設備的誤操作,避免造成生產事故。
3. 解決方案
在方案設計過程中鑒于工業控制系統對可用性、實時性的要求,對各采油廠工業控制系統采取垂直分層、水平分區、邊界控制、主機監測、內部審計設計思路開展建設。
-
對油田多個采油廠工控網絡進行分區分域,通過可信網關配置不同的安全訪問控制策略和安全防護策略,防止非法行為和網絡風暴的發生;
-
在采油廠各工程師站、操作員站上部署主機安全衛士,通過白名單的方式,防止病毒對工控網絡造成破壞;
-
部署工控安全監測與審計平臺,對網絡中的操作人員的行為進行記錄并審計,便于事后追蹤溯源;
-
部署統一安全管理平臺,對工業網絡部署的工業防火墻、安全審計系統和主機防護系統進行統一的配置和管理,并對其日志信息做統一收集、管理和分析。
4. 客戶價值
-
避免工控網絡的監控管理區域主機對業務生產區的現場控制設備的攻擊;
-
控制各生產業務區域之間的互訪行為和惡意攻擊行為;
-
避免工控系統主機遭受惡意軟件感染,防止U盤濫用導致病毒擴散;
-
對各類針對網絡和主機的攻擊行為進行實時可視化展示;
-
管理操作人員對現場控制設備的各類行為,避免越權操作和誤操作造成生產事故。