解决方案
SOLUTION
长输管道安全解决方案
背景介绍
随着物联网、移动互联网、大数据技术的发展,油气管道行业“两化”融合将向系统高度集成、综合应用、自动控制等方面渗透。油气管道路线长,所经区域地形和社会状况复杂,为保证输送的安全、可靠与平稳,长输油气管道自动化控制均采用以工业控制计算机为核心的监控与数据采集系统,即SCADA 系统。油气管道行业的工控系统作为生产系统的核心,必须加强网络安全建设,着力提高工控系统网络安全应急处置能力,构建联防联控的工控系统网络安全体系,杜绝网络威胁攻击,实现油气管道行业工控系统的安全,进而实现油气管道生产的本质安全。
安全挑战
● 缺乏整体工控网络安全规划。
● 各站控系统与分控/调度中心之间缺少边界防护。
● 主机操作系统很难进行升级,极易出现安全漏洞和缺陷;杀毒软件有可能会与组态软件形成冲突,为保障生产运行,通常不允许安装杀毒软件,这些都存在安全隐患,无法防御“0-DAY”病毒和勒索病毒。
● 生产现场PLC本身存在漏洞,近些年被曝出存在高危漏洞,攻击者可以利用漏洞控制现场设备,执行错误命令,严重影响安全生产。
● 组态软件安全性无法保证:全部由第三方开发维护,安全性无法得到保证。
● 部分主机未关闭远程桌面(3389)端口,存在被攻击者恶意利用的可能。
● 部分系统主机及系统服务器自安装后未更新过系统补丁,存在操作系统漏洞被攻击者恶意利用的可能。
● 未对工控系统关键设备进行信息安全审计,未对工控系统帐户进行定期审计,且缺乏对违规操作、越权访问行为审计能力。
● 没有第三方设备维护管理规定及操作行为审计,仅通过简单授权即可对关键工控设备进行操作。
● 缺少工控网络安全方面的应急预案,在受到网络安全危害后没有应急处置手段。
● 缺少对设备集成厂家的管理制度,没有相应对设备集成厂家移动设备接入的管理规定,给系统带来风险。
典型部署
监测审计
在站场的SCS网络中旁路部署工控安全监测审计系统,对网络内传输的流量进行采集、分析和处理,结合特定的安全策略,对异常操作、攻击等行为进行事中告警、事后审计。
入侵检测
在汇聚交换机旁路部署入侵检测系统,对流量进行特征提取并与规则库进行匹配,快速有效识别出工业控制网络中存在的异常、攻击行为。
边界防护
在站场网络边界部署工控防火墙,在控制网和数据网间部署工控防火墙或工业网闸,实现区域边界防护与隔离。
运维管控
在调度中心部署运维堡垒机,实现设备远程运维操作的全面审计和行为管控,满足远程运维管控要求。
终端防护
在站场、调控中心的操作员站、工程师站上部署终端防护系统客户端,实现终端安全加固、进程白名单管控和USB移动介质管控。
安全管理平台
在调度中心部署安全管理平台(含日志审计),对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析,展现安全态势和预警,全面提升安全防护效率和安全管理能力。
客户价值
● 全面提升油气管道行业网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。
● 全面提升油气管道行业生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航。
● 全面改进油气管道行业业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。
上一页
下一页
上一页
下一页
在线申请产品资料
版权所有 © 2021 杭州中电安科现代科技有限公司