<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

           

          案例 | 油氣管道工控系統如何打造一站式安全防護體系?

          2022-10-25 15:28:28來源:深圳融安網絡科技有限公司


          一、案例概述


          油氣管道的SCADA系統網絡安全關系到國家的戰略安全,網絡安全建設的相關法律政策相繼發布實施,2017年,國家發布了《網絡安全法》并提出網絡安全建設按照等級保護制度進行。2019年,網絡安全等級保護2.0制度由公安部正式實施并強制執行。

          某省天然氣管網二期工程屬于國家天然氣互聯互通重點工程,是省網劃入國家管網集團后的首個開工項目,其目的是為城市工業、商業和城市居民提供潔凈燃料。融安網絡針對石油石化行業內的安全需求,在工控網絡架構、工控主機、服務器、操作系統、自控系統等安全薄弱環節提供安全服務,提供設備安全、網絡安全、控制安全、平臺安全和數據安全等產品設備和服務,全面實現安全咨詢規劃、安全體系建設、安全運維服務,打造一站式、全生命周期解決方案。


          二、安全風險與現狀分


          數字化變革和新技術發展,加大了基礎設施控制與監測的復雜性。隨著兩化融合的深入發展,現有的監控與數據采集系統(SCADA)與數字技術相結合,增加了油氣行業的網絡安全風險。來自信息技術(IT)與操作技術(OT)相結合的環境,通過開放IT協議,工業控制SCADA系統和企業信息系統相融合,企業OT網絡與外部網絡實現互聯互通,使得原有在封閉環境中,缺少安全防護設計的自控系統,成為外部攻擊的薄弱點。

          油氣行業作為關系國計民生的重要基礎設施,遭受網絡攻擊會造成嚴重的經濟損失和社會影響。而且,工業控制系統要比計算機系統更脆弱,缺乏合理有效的安全防護措施,以及定期安全補丁升級,甚至大多工業控制系統還是依賴“安全打包”實施保護。

          隨著網絡攻擊手段升級,油氣行業普遍面臨以下問題:

          1、信息資產梳理困難;

          2、老舊資產防護困難;

          3、數字轉型新型風險;

          4、安全意識有待提升。


          三、解決方案


          根據系統存在的脆弱性,以及面臨的安全威脅,結合風險處理原則方法,主要通過采取安全加固、防護提升和管理優化三個方面進行網絡安全建設工作,從邊界安全防護、安全計算環境、安全通信網絡、安全運維管理和安全管理中心層面加以實現,構建工業互聯網安全的一體化防護體系。

          (1)邊界安全防護

          根據規范要求,將具有相似功能、安全、實時性要求的控制設備劃分到同一安全區,在同一安全區內,根據不同的作業屬性,劃分為不同的安全分區;安全分區之間采取嚴格的通信隔離、過濾等措施,實現SCADA 系統安全防護的區域隔離、通信控制和實時報警。將安全問題控制在原始發生區域,防止風險擴散,并迅速解決,確保油氣管道工業控制系統的安全、穩定運行。

          通過在分輸站、閥室的網絡邊界處部署工業防火墻,采用適用于工控網絡的“黑白名單”機制,深度解析工控系統網絡協議,細化訪問控制粒度,對非法及異常訪問行為進行攔截阻斷,保障網絡邊界的安全。

          此外,調控中心通過工業防火墻分別與分輸站以及閥室網絡進行安全隔離。

          (2)安全計算環境

          在控制系統的中心以及站場工作站和終端上安裝工業主機防護系統是主機安全防護的有效手段。主機防護軟件基于輕量級設計和“白名單”策略機制,對主機進行安全保護,即只有白名單內的軟件才可以運行,其它進程都被阻止,以此防止病毒、木馬、惡意軟件的攻擊。同時,輕量化設計,占用工業主機CPU、內存資源較少,減輕系統運行負擔,提高主機運行效率,實現工業主機高可用性。

          另外,結合主動免疫可信驗證機制,可實現上位機(服務器、工程師站、操作員站)的病毒主動免疫,保障上位機系統安全。部署主機防護軟件后,定期進行病毒查殺,病毒庫采取離線更新,保障服務器和工作站的系統安全。

          (3)安全通信網絡

          安全審計

          在工業控制現場匯聚交換機旁路部署工業監測審計系統,實現對控制系統的網絡審計功能。通過特定的安全策略,對網絡流量、異常事件、操作行為和數據內容等進行安全審計,對異常行為進行實時警報,并提供追蹤溯源。設備可記錄系統的相關安全事件,同時將安全事件、審計記錄、分析結果等上傳安全管理中心進行統一管理。

          入侵檢測功能

          在工業控制網絡邊界處,應進行安全事件入侵檢測;通過設置合理的入侵檢測規則,對工業協議流量進行深入分析,檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為,基于威脅情報、工控漏洞庫等安全知識庫信息,進行綜合智能分析,識別潛在的威脅并進行安全審計,對蠕蟲、病毒、間諜軟件、DDoS 等混合威脅以及黑客攻擊,能精確檢測到各種類型的攻擊,形成安全事件和告警。

          (4)安全運維管理

          通過在管理中心部署一套運維審計系統(堡壘機),實現對調控中心、各站場、閥室設備的集中管控,限制設備的遠程登錄,對用戶的操作權限以及操作行為進行審計記錄,并提供會話審計和回放功能,同時能夠確保審計記錄不被破壞或非授權訪問。

          將每個站場/閥室作為一個組節點,部署運維審計系統管理終端,通過將站場/閥室設備資源加入相應的組織架構中,為站場/閥室運維人員配置相關權限,根據配置管理員預先設置好的訪問控制規則,使站場/閥室運維人員登錄運維審計系統管理終端只維護本站場/閥室的設備。

          (5)安全管理中心

          集中管控

          安全管理中心部署統一安全管理平臺對系統內的防護設備統一進行安全管理,即可以安全設備的狀態監控、審計管理、統一控制配置、統一部署安全策略、統一監控通信流量與安全事件,對工控網絡內的安全威脅進行分析,消除安全孤島,從整體視角進行安全事件分析、安全攻擊溯源、安全事件根因挖掘等構筑安全管理中心平臺,提升整體網絡安全防護和運維管控水平。

          系統管理

          系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計,開啟服務器、數據庫自身的審計功能,進行全面配置審計。

          日志審計

          通過日志審計功能對分布在系統各個組成部分的安全審計機制進行集中管理,統一收集設備日志,審計記錄設置留存時間設置至少為180天,根據安全審計策略對審計記錄進行分類;提供按時間段開啟和關閉相應類型的安全審計機制;對各類審計記錄進行存儲、管理和查詢等;對安全審計員進行嚴格的身份鑒別,并只允許其通過特定的命令或界面進行安全審計操作。

          部署示意圖


          四、應用效果


          (1)構建“預測+防御+檢測+響應”的安全閉環

          幫助用戶完成從“被動防御”+“應急響應”到“主動防御”+“持續響應”的轉變,構建“預測+防御+檢測+響應”的自適應安全能力。

          (2)提升客戶管網安全生產監管能力

          制定“工業互聯網+安全生產”行業實施指南,全面提升企業安全生產監管能力,推動安全生產關口前移,從根本上消網絡安全事故隱患。

          (3)提升應急響應能力,簡化安全運維

          不但實現了全網安全威脅的可視,還能夠與融安網絡防火墻、入侵檢測、審計等設備進行聯動,實現安全策略一鍵下發,通過融安應急指揮決策的數據分析模型及時有效地分析安全態勢,大大提升應急指揮和處置能力,減輕了運維工作量。


          分享:

          微博
          微信公眾號
          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>