燃气行业工业控制网络安全

行业背景

        城市燃气广泛应用于居民生活、工商业、发电、交通运输、分布式能源等多个领域,是城市发展不可或缺的重要能源。大多数的城市燃气企业采用SCADA系统,集合PLC和RTU等控制设备,操作人员在调度控制中心通过SCADA系统可完成对燃气输配系统(门站、调压站、阀室)的监控和运行管理。

        本方案的设计和实施主要依据如下:

        ● 《工业控制系统信息安全防护指南》(工信软函〔2016〕338号);

        ● 《GB/T 22239-2008 信息系统安全等级保护基本要求》;

        ● 《关于加强工业控制系统信息安全管理的通知》(工信部协[2010]451号文)。

安全需求

            DCS系统中的操作员站和工程师站对于主机外设没有有效的控制手段,移动存储介质随意接入容易造成工控数据和配置文件外泄和病毒感染的可能。

            调度中心与厂区之间的操作指令缺少有效审计手段,无法检测异常流量,不能明确网络中通信数据的合法性与安全性。

            对操作员站和工程师站向DCS工控系统发生的操作指令的合规性缺乏有效审计措施,不利于事后问题的追溯和定位;

            针对工控系统的协议漏洞、系统漏洞是否被病毒、木马利用,没有有效的侦测和拦截手段,工控系统运行的稳定性存在安全隐患;
            整个厂区网络边界采用传统IT防火墙,对于工业控制协议无法有效识别,且硬件设计不能满足工业级需要。

方案内容
针对燃气总部管网监控和数据采集(SCADA)系统及组网结构,结合工控相关标准,主要设计:管网监控和数据采集(SCADA)系统、各值守站、远程RTU。在管网监控和数据采集(SCADA)系统与各值守站边界部署工控防火墙作隔离;在管网监控和数据采集(SCADA)系统、有人值守站重要主机系统部署主机安全防护系统进行主机防护;管网监控和数据采集(SCADA)系统部署审计进行监测; GPRS网络通过值守站的准入实现接入安全;最终管网监控和数据采集(SCADA)系统相关区域通过安全监管对网络状态实时监控、智能分析,满足工控网的现实生产环境对工控安全产品的功能要求,及时发现SCADA系统的存在脆弱性,感知工控环境中的未知风险:

热力工业控制网络安全

行业背景

        城市供热系统是由热源、热网、热用户(工矿企业、学校、医院、居民小区等)组成的庞大、封闭、复杂的循环系统。供热系统高度依赖信息化手段后,伴随着工业控制系统与信息网络技术深度融合,来自信息系统的安全风险也会对供热系统的生产安全性带来困扰。由于现有换热站工控系统信息安全风险控制缺少安全防护机制,急需研究分析并验证出一套符合换热站工控系统的安全防护方案,以此满足供热系统的安全稳定运行需求。

       本方案的设计和实施主要依据如下:

       ● 《中华人民共和国网络安全法》;

       ● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;

       ● 国家工业和信息化部印发《工业控制系统信息安全防护指南》;

       ● 《工业控制系统信息安全第1部分:评估规范》GB/T 30976.1

       ● 《工业控制系统信息安全第2部分:验收规范》GB/T 30976.2

       ● 工业控制网络安全风险评估规范(GB/T26333-2010)。

安全需求

            DCS系统中的操作员站和工程师站对于主机外设没有有效的控制手段,移动存储介质随意接入容易造成工控数据和配置文件外泄和病毒感染的可能。

            调度中心与厂区之间的操作指令缺少有效审计手段,无法检测异常流量,不能明确网络中通信数据的合法性与安全性。

            对操作员站和工程师站向DCS工控系统发生的操作指令的合规性缺乏有效审计措施,不利于事后问题的追溯和定位;

            针对工控系统的协议漏洞、系统漏洞是否被病毒、木马利用,没有有效的侦测和拦截手段,工控系统运行的稳定性存在安全隐患;
            整个厂区网络边界采用传统IT防火墙,对于工业控制协议无法有效识别,且硬件设计不能满足工业级需要。

方案内容

       珞安科技经过风险评估与系统安全性分析,在专家组专家验证的基础之上,基于系统漏洞和脆弱性制定详细的、针对性的防护方案。

       针对热力DCS控制系统的操作员站、工程师站、数据服务器、生产子网的监控主机部署珞安卫士,实现对工控上位机与工控服务器全面的安全防护,同时以白名单的技术方式,监控主机的进程状态、网络端口状态、USB端口状态,具备防病毒、防泄密、防第三方软件非授权安装使用的重要功能。

       部署工控安全审计系统,提供整个控制网络的总体运行情况,通过网络性能、流量综合分析,对所有异常情况进行审计与发出报警,同时可以与串行部署的安全防护类设备配合使用,实时修正安全保护类设备的安全策略。还可以支撑阶段性全网安全风险分析与评估提供最全面的安全事件数据,为安全事件追溯提供证据。

       区域边界方面,通过机架式珞安工业防火墙来实现域间隔离,针对工业协议和操作指令进行有效过滤和检测,拦截恶意代码和非法操作指令;在关键节点部署导轨式珞安工业防火墙进行针对性防护。

       部署集中管理平台对各安全设备及软件进行统筹管理,通过监测分析工控网络中的通信流量和安全事件,挖掘深层次的风险信息,以整体视角进行安全攻击回溯,重点解决安全防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。
       具体部署如
图:

水务工业控制网络安全

行业背景

       工业自动化生产是属于工业现场非常危险的工作,特别像制水和污水处理厂某些环境比较恶劣,如污染大,原料具有腐蚀性等。通常采用自动化控制系统来进行相关控制,因此这些系统的安全运行就显得尤为重要。

       本方案的设计和实施主要依据如下:

       ● 《中华人民共和国网络安全法》;

       ● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;

       ● 国家工业和信息化部印发《工业控制系统信息安全防护指南》;

       ● 《工业控制系统信息安全第1部分:评估规范》GB/T 30976.1;

       ● 《工业控制系统信息安全第2部分:验收规范》GB/T 30976.2;

       ● 工业控制网络安全风险评估规范(GB/T26333-2010)。

安全需求

           分析该工控系统网络现状,发现有如下工控网络安全隐患:

           工业控制系统信息安全管理体系不完善,信息安全职责不明确。

           边界缺乏安全防护手段,管理系统与生产控制系统之间仅仅部署普通的隔离装置,无法检测、阻断的病毒、木马、恶意程序等安全威胁。

           各个子系统、子网之间缺乏访问控制措施,某一系统病毒感染后,易造成病毒肆意扩散。

           缺乏操作站和服务器的安全配置和病毒防范,无法保证主机层面的安全,且移动存储介质使用不规范,易引入病毒以及黑客攻击程序。

           网络安全审计技术不完备,无法检测异常流量,不能明确网络中通信数据的合法性与安全性。

方案内容

            根据珞安科技“垂直分层,水平分区,边界控制,内部监测”的总体安全防护思路以及工控系统特点,确定以下分层分区策略:

            垂直划分为自控操作层、现场控制层及现场层(仪表);

            水平划分不同功能区域(取水、沉淀、加氯、反冲、送水等工艺段)。

            在现场通信层与生产监控层之间通过机架式珞安工业防火墙来实现域间隔离,针对工业协议和操作指令进行有效过滤和检测,拦截恶意代码和非法操作指令;在取水、沉淀、加氯、反冲、送水等不同功能区部署导轨式珞安工业防火墙进行针对性防护。

            针对水务工业控制系统的操作员站、工程师站、数据服务器、生产子网的监控主机部署珞安卫士,实现对工控上位机与工控服务器全面的安全防护,同时以白名单的技术方式,监控主机的进程状态、网络端口状态、USB端口状态,具备防病毒、防泄密、防第三方软件非授权安装使用的重要功能。

           部署工控安全审计系统,提供整个控制网络的总体运行情况,通过网络性能、流量综合分析,对所有异常情况进行审计与发出报警,同时可以与串行部署的安全防护类设备配合使用,实时修正安全保护类设备的安全策略。还可以支撑阶段性全网安全风险分析与评估提供最全面的安全事件数据,为安全事件追溯提供证据。

           部署集中管理平台对各安全设备及软件进行统筹管理,通过监测分析工控网络中的通信流量和安全事件,挖掘深层次的风险信息,以整体视角进行安全攻击回溯,重点解决安全防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。
            具体部署如
图:

获取更多相关方案详解,立即咨询吧!