▍行业背景
作为重要的基础设施,集输管网的安全运行非常重要,属于国家关键基础设施,如何保证该站场系统安全、稳定的运行及管网调控系统的安全接入,是一个至关重要的问题。随着两化融合和传统信息技术的广泛使用集输管网生产控制系统面临的主要安全隐患是:
◆ 各场站到调度、分调中心边界缺乏有效的安全隔离;
◆ 现场工程师站、操作站等上位机系统缺乏必要的主机安全防护措施,无法对主机外设、应用安装、用户行为进行有效控制,易使病毒、木马等恶意软件以主机为载体对控制业务进行攻击;
◆ 交叉使用U盘、光盘、手机通过USB接入等移动存储介质容易导致病毒传播问题,将外界的不安全因素带入到生产控制系统内部。
◆ 系统内部缺乏入侵、审计监测技术措施,导致无法及时发现、告警系统内的非法数据流量和异常操作行为。
◆ 由于管网分布比较广的特点,有些集输管网的现场应用了大量的无线技术,无线设备的使用,使得监管难度大大增加。
◆ 缺乏统一的安全管理中心,可能导致无法及时处理安全隐患。
▍解决方案
风险评估:
建设前期进行工控网络安全风险的评估,全面了解管道集输行业生产控制系统存在的各类风险,并输出风险评估报告。
防护方案:
◆ 在生产区域各场站及调控中心边界部署工控防火墙或者工业安全隔离与信息交换系统进行边界安全隔离与数据安全交换;
◆ 对工程师站、操作站等上位机系统安装部署主机安全卫士,实现白名单为主的终端防护;
◆ 在调度、分调中心及下属各场站汇聚交换机部署USB安全隔离系统,实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能,保护系统USB拷贝数据的安全。
◆ 在各场站的汇聚交换机上部署工控安全审计系统、入侵检测、帐号管理及运维审计系统(堡垒机),实现对工控系统网络中的通信数据进行合规性检查,对异常行为、非法入侵行为进行识别、告警,辅助安全运维人员进行处置并对第三方运维行为进行安全审计;
◆ 新建安全管理中心
◆ 在安全管理中心部署日志审计与分析系统可以通过syslog、SNMP等方式、收集全网中各系统产品的告警日志,进行日志的集中存储、范式化与安全分析与展示。
◆ 在安全管理中心部署工控信息安全监管与分析平台,实现全网安全系统的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能;
◆ 通过在安全管理中心边界部署工业防火墙实现不同级别安全域之间的隔离与防护;
◆ 在安全管理中心部署漏洞扫描系统实现全面、精准地检测全网系统中存在的各种脆弱性问题,并提供专业、有效的分析和修补建议。
▍应用价值
主动防御体系
应用了基于工业控制系统的防护手段,构建了安全可控为目标、监控审计为特征、细粒度安全防护为手段的工业控制系统新一代主动防御体系。
满足合规需求
根据国家、行业相关规范要求,并按照企业当前的生产控制系统信息化建设程度,交付符合实际需求的解决方案。
提升管理能力
通过技术手段弥补管道集输企业人工管理方式上的缺陷,提高企业网络安全管理效率
统一管理
在调度、分调中心通过新建安全管理中心对网络中的安全风险能够统一监测预警、集中管理。
