新闻中心
NEWS CENTER
工控自动化 | 中电安科机场供油系统工控安全解决方案
随着两化深度融合,机场供油自动化系统的自动化运行和集成程度不断提高。机场供油自动化系统的安全以及稳定运行直接关系到人们的生命财产安全和强国建设,一旦出现安全问题将影响航油供应的稳定性,甚至会给重大经济、人员、环境等涉及国计民生方面造成严重后果。为了提升机场供油自动化系统安全,通过整理航油供应业务流程,分析机场供油自动化系统的功能与部署,针对机场供油自动化系统在安全方面存在的风险隐患,基于网络安全等级保护,我们提出机场供油自动化系统安全解决方案,以实现机场供油自动化系统的安全,进而增强系统的安全综合保障能力。
1. 机场供油自动化系统介绍
航油供油系统实现对油品的接卸、输送、储存以及加注等过程的自动控制,和对相关设备和测量仪表运行状态的监测、报警控制。航空燃料的供应是进行航空运输的先决条件,而机场是航空燃料供应的基础。航油由炼油厂使用直馏、加氢裂化以及加氢精制等工艺生产,或从中转油库中转,然后通过铁路、公路、水上运输或油料管道输送到建设在机场附近的航空油料机场油库。在对燃料进行技术处理后,将其通过飞机的专用加油车运输到飞机。
机场的供油自动化系统主要实现油品的接收、机坪供油、油品的收集/回收和倒罐、油库及机坪管网设备的监控、罐群管理、紧急联锁控制、长输管线保压等功能。
机场供油自动化系统包括上位操作监视界面(SCADA HMI)、可编程逻辑控制系统(PLC)、ESD联锁控制、二次仪表显示柜、泵及阀门操作柜、应急加油控制系统,同时系统还实现与现场通讯设备(如罐测量计量系统、阀门总线系统等)、中转油库或油品来油库自控系统的通讯。
2. 安全防护思路
依据《网络安全法》、《工业控制系统安全防护指南》等相关技术要求,结合机场供油自动化系统面临的安全问题,以等保2.0“一个中心,三重防护”为指导思想,中电安科提出以适度安全为核心,重点保护为原则,从业务的角度出发,重点保护机场供油核心业务系统的工控安全建设方案。
3. 安全防护总体架构
具体安全架构设计如下:
核心安全设备描述如下:
(1) 边界防护
在PLC控制器与生产网交换机之间部署工控防火墙,以串联方式部署在过程监控层与现场控制层之间。基于工业控制协议的深度解析,实现对非法操作指令的拦截和告警;基于工业控制协议通信记录,自动学习业务通信逻辑关系、操作功能码和参数等,形成正常通信行为模型。
(2) 入侵检测
在工业网络交换机旁路部署入侵检测系统。入侵检测系统可以发现各种入侵攻击、异常流量、非法操作或异常行为,可实时检测内部和外部攻击。
(3) 监测审计
在工业网络交换机旁路部署工控安全监测审计系统,对工控流量进行监测分析,识别出工控协议,并对工控协议深度解析,同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在安全管理区的安全管理平台中。
(4) 终端安全
在操作员站、工程师站等工业主机上安装部署工控终端防护系统,在安全管理区部署终端安全管理服务端。管理系统对终端安全管理客户端进行统一管理与监控、策略下发、异常报警等。实现对工业主机的进程白名单管理,对流量、USB口管控,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现工业主机安全防护与加固。
(5) 安全运维
在工业网络交换机旁路部署运维堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,违规操作、非法访问等行为的有效监督,为事后追溯提供依据。
(6) 安全管理
在安全管理区部署安全管理平台,实现对工控防火墙、工控安全监测审计、终端安全管理系统等安全产品统一管理与监控。
安全管理平台中的日志审计功能,实现对各网络设备、安全设备、工控设备以及操作系统、数据库、应用系统的日志信息进行集中收集与分析。
4. 安全方案价值
-
为机场供油自动化系统提供安全防护能力,抵御黑客及恶意代码对控制系统发起的攻击和破坏,降低因攻击造成的损失。
-
通过可视化的安全信息展现,安全组件的统一管理,提供便捷的安全管理手段,为安全运维人员减轻工作量。
-
深度解析工控协议和操作行为,对控制系统中的通信协议深度理解形成基线,并识别偏离基线模型的攻击行为。
-
落实国家网络安全法和等保2.0对机场供油自动化系统安全防护要求,为机场供油自动化系统安全运行保驾护航。
杭州中电安科现代科技有限公司
杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。
专注工控安全
护航关基民生
lanxum-sec.com
400-606-8226
渠道合作:李经理 18505541506
技术咨询:齐经理 15010390956
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司