<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

          厚積薄發  安全賦能

          依托過去在工控安全的技術積累,厚積薄發,推出適用于不同工業場景的解決方案,
          賦能工控系統安全。


          天然氣管道工業控制安全解決方案

          概述:為了加強燃氣管網生產控制系統信息安全管理,防范黑客及惡意代碼等對燃氣管網生產控制系統的攻擊及侵害,保障燃氣管網安全穩定運行,根據《網絡安全等級保護基本要求》、《工業控制系統信息安全防護指南》和國家有關規定,結合燃氣管網生產控制系統的實際情況,從外到內構成“縱深防御、分區防護”體系。

          工業自動化和信息化系統是工業設備的核心組成部分,是支撐國民經濟的重要設施,是工業各行業、各企業的神經中樞。目前工控系統己廣泛應用于電力、軌道交通、石油化工、高新電子、航空航天、核工業、醫藥、食品制造等工業領域,其中超過80%的涉及國計民生的關鍵基礎設施依靠工控系統來實現自動化作業。工控系統已經成為國家關鍵基礎設施的重要組成部分,工控系統的安全關系到國家的戰略安全。

          工業信息安全越來越受到世界各國的高度重視,成為網絡空間安全的重要組成部分。當前,國際上工業信息安全形勢十分嚴峻。作為網絡攻擊的高價值戰略目標,暴露在互聯網上的工控系統及設備數量不斷增加,對其實施攻擊的技術門檻不斷降低,工控系統相關高危漏洞不斷出現,重大工業信息安全事件不斷發生,全球工業信息安全總體風險處于持續攀升的高危狀態。

          《網絡安全法》明確了“國家實行網絡安全等級保護制度”、“關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”等內容。為配合《網絡安全法》的實施和落地,指導網絡運營者按照網絡安全等級保護制度的要求,履行網絡安全保護義務,重新調整和修訂了等級保護系列標準,等級保護對象已經從狹義的信息系統,拓展到網絡基礎設施、云計算平臺、大數據平臺、物聯網、工業控制系統、采用移動互聯網技術的系統等,可有效指導網絡運行者、網絡安全企業、網絡安全服務機構,開展基于網絡安全等級保護的安全技術方案的設計和實施。

          為配合《網絡安全法》的實施和落地,落實國家網絡安全等級保護制度,依據2019年由中石油管道有限責任公司制定的SCADA系統網絡安全等級保護等級指南,各管道公司展開了對所管轄的調控中心和站場進行網絡安全系統建設。

          需求分析

          為了加強燃氣管網生產控制系統信息安全管理,防范黑客及惡意代碼等對燃氣管網生產控制系統的攻擊及侵害,保障燃氣管網安全穩定運行,根據《網絡安全等級保護基本要求》、《工業控制系統信息安全防護指南》和國家有關規定,結合燃氣管網生產控制系統的實際情況,從外到內構成“縱深防御、分區防護”體系。按照“一個中心,三重防護”的原則,從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等層面加以實現:

          1. 在安全通信網絡方面:工控網絡采用獨立組網,并根據業務特點劃分不通網絡安全區域,并在不同網絡安全區域之間進行網絡隔離;對關鍵網絡設備和線路實現冗余備份,對廣域網傳輸的數據采用加密技術確保傳輸信息的保密性等。

          2. 在安全區域邊界方面:對工控網絡內部各安全域之間以及工控網絡與非工控網絡的數據訪問進行控制,只允許授權訪問通過邊界保護設備;對工控網絡協議進行分析監測,對網絡攻擊、病毒等安全事件進行檢測,及時發現網絡中的威脅事件。

          3. 在安全計算環境安全方面:加強服務器、工程師站等工業主機的身份鑒別和訪問控制措施,嚴格限制用戶訪問權限;保證工控應用系統身份認證數據和業務數據完整性和保密性,防止非授權操作、誤操作或信息泄露;并根據需要實現數據定時備份或實時備份功能,保證數據可用性。

          4. 在安全管理中心方面:加強網絡設備和安全設備集中認證和審計日志的集中統一管理;加強對網絡運行狀況的集中監控;實現系統管理員、安全管理員、審計管理員的權限分離、身份鑒別以及操作過程的監控審計等功能。

          解決方案

          天然氣管道SCADA工業控制安全防護系統主要由調控中心、輸氣站場、線路閥室等幾部分組成。每一個功能區域之間通過工業防火墻進行邊界隔離防護。生產網與外部網絡(辦公網&互聯網&第三方網絡)之間需要通過工業網閘進行單向或者雙向物理隔離。區域匯聚交換機側旁路部署入侵檢測設備,用以檢測威脅攻擊事件;管理中心部署工業監測審計、日志審計、態勢感知平臺、運維審計和統一安全管理平臺,對生產網安全環境進行整體安全監測和管理控制;在各場站部署防火墻和用以收集安全威脅情報的探針,對工業網絡整網設備資產、安全產品、安全事件進行信息采集和安全監測管理。

          調控中心

          根據GB22239-2019 等級保護要求,調控中心通常按照等級保護三級要求進行設計。

          調控中心與下級場站及線路閥室,同處于生成網絡中不同的安全子分區。安全子分區之間應設置工業防火墻進行邏輯隔離。

          生產網與外部網絡(如辦公網、互聯網或第三方網絡)之間,應設置單向或雙向的工業隔離網閘,進行物理隔離,以防止外部的攻擊事件,及內部數據泄露。 

          調控中心操作員站/工程師站應部署安全衛士和USB防御系統,通過“白名單”機制,對主機進行安全防護。

          通常在調控中心設置安全管理中心,用于對全網進行安全監測、威脅情報態勢感知和安全管理。安全管理中心部署工業監測審計系統,日志審計系統,入侵檢測系統、態勢感知系統、安全運維系統(堡壘機)以及統一安全管理平臺等監測管理系統和設備。工控漏掃系統可不單獨設置,可以委托第三方網絡服務機構定期開展漏洞掃描服務。

          場站安全規劃

          根據GB22239-2019 等級保護要求,重點場站按照等級保護三級要求進行設計。

          場站作為單獨的安全子分區,應設置工業防火墻進行邏輯隔離;如果場站與外部網絡有通信需求,需要設置工業隔離網閘,進行物理隔離。

          場站端通常設置站控SCADA系統和操作員站/工程師站,按照等級保護要求,應設置安全衛士和USB防御系統,對工控主機進行終端防護;在場站設置工業監測審計系統(含日志與流量采集功能),實現將場站內采集的系統日志、安全日志、流量分析和監測審計數據上傳到調控中心的態勢感知平臺以及工業審計系統,實現統一安全管理平臺對場站威脅情報的監測和安全設備管理。

          閥室安全規劃

          通常線路閥室處于線路中間,無人值守區域,在線路閥室部署有遠端傳輸單元RTU。

          根據GB22239-2019 等級保護要求,無人值守閥室,通??砂凑盏燃壉Wo二級要求進行設計。

          線路閥室作為單獨的安全子分區,應設置工業防火墻,進行安全邏輯隔離。線路閥室通??刹捎糜芯€和無線兩種通信鏈路。對于無線閥室,一般通過運營商無線3G/4G/5G公用網絡,通過安全VPN鏈路,實現與調控中心或者上級場站進行通信。

          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>