【网信案例展】基于国产自主可控平台的工控安全解决方案在中海油的实践
2022-11-08 15:23:24
关键词:
紧跟网信前沿技术,整合行业案例资源,中关村网络安全与信息化产业联盟(以下简称“联盟”)组织开展“强国复兴有我,喜庆党的二十大”——网信案例展活动。被活动发布的案例也将有机会编入联盟2022年中国网信产业桔皮书——《数据安全》。
第五期正式发布,敬请关注!
案例名称
基于国产自主可控平台的工控安全解决方案在中海油的实践
——北京中科网威信息技术有限公司
案例介绍
本案例基于申威处理器平台、NPOS以及中科网威网络安全国产软硬件,针对工业控制系统的安全防护,实现中控系统及生产检测系统的网络边界和主机安全防护、通信网络审计和病毒入侵检测分析,从而实现整体工控系统安全防护设备集中化管控。运用了方案的集中管理平台,遵循J2EE技术规范,确保系统能够符合信息化技术发展的趋势和具有明显的先进性,总体方案满足工控系统安全防护的各项需求指标要求,功能适用、操作简洁、用户界面友好、数据校验完善。
应用场景
工业控制系统由上下位机、通信设备、组态软件及安全防护设备等一些基本的物理设备组网而成。中海油工业控制系统的建设,大多采用国外厂商和设备。现在设备暴露出各种漏洞,以及棱镜门事件的出现,使得工控系统安全性受到了前所未有的质疑。
中海油工控系统安全防护的总体目标是建立工控系统的基础防护系统, 通过部署工控系统基本防护设备和软件,解决工控系统边界、网络、主机的安全威胁,满足国家法规、标准的要求和集团关于工业控制系统网络安全防护要求,为智能油田建设和海上平台的安全生产保驾护航。建设目标包括:实现中控系统网络边界和上位机安全防护、实现生产监测系统网络边界和主机安全防护、实现中控系统和生产监测系统的通信网络审计和病毒入侵检测分析以及实现整体工控系统安全防护设备集中化的管控。
方案架构
本方案以国家的法律法规以及中海油集团的相关制度规范为准则,深度结合网络安全等级保护制度(等保2.0)中对工控系统的安全防护要求,从安全计算环境、安全边界区域、安全通信网络、安全集中管控等四个方面,深化设计了总体的技术方案架构,如下图所示:
工控安全防护系统功能架构
技术先进性
1、本方案中涉及到的网络安全产品,包括防火墙、入侵检测、工控防火墙、工控入侵检测、安全审计、集中管理平台等产品,硬件平台均采用申威处理器作为核心计算单元,整机国产化程度高,国产化率超过80%以上。
2、方案特点
1) 先进技术
方案的集中管理平台,采用基于组件的基础平台架构,遵循J2EE技术规范,确保系统能够符合信息化技术发展的趋势和具有明显的先进性。
2) 可用性
总体方案满足中海油海上平台的各项需求指标要求,主要包括功能适用、操作简洁、用户界面友好、完善的数据校验。
3) 功能适用
方案中所涉及到的各类防护、审计、管理类的设备,均根据用户实际需求进行定制化开发,从用户原型、到测试、最终实施等各个阶段,均与用户做详细深入沟通,确保每个系统功能均从用户实际需求出发。主要功能包括:网络安全、主机安全、应用安全、数据安全及备份恢复。
4) 易用性
系统操作简洁,易于学习,尽量做到用户免培训或只需要简单培训即可掌握系统操作。根据业务要求尽可能简化用户操作步骤。
5) 可靠性
方案中各类系统要采用先进、成熟、可靠的方法和技术,提高系统在安全和容错方面的能力,以确保系统的正常运转和各类业务数据的完整性、一致性和安全保密性。系统具有严密的权限管理机制,对各类应用的操作,具有监视和控制功能,以防止发生窃密和破坏活动。
6) 可支持性
可支持性设计主要包括编码标准、命名约定、类库、和维护实用程序等。
7) 系统自身安全及性能设计
整个方案的系统设计,高度重视产品自身的安全性,从以下几个方面保障了系统的自身安全:基于角色的访问控制、基于PKI/PMI的访问认证。
联盟将持续征集网信行业案例,欢迎各会员单位积极参与!
声明:本文所配图片均来自于网络,如侵犯到您的权益,请及时与我们联系,联系电话:010-57328155
相关新闻
| 最新专题
| 联盟要闻
| 行业资讯
地址:北京市海淀区地锦路9号院9号楼 电话:010-57328155 邮箱:admin@zisia.org.cn 传真:010-88888888
京公网安备11010802045578号
扫码关注
微信公众号