燃气行业工控安全解决方案
行业背景:
燃气作为国家关键的市政基础设施之一,广泛应用于居民生活、工商业、发电、交通运输、分布式能源等多个领域,是城市发展不可或缺的重要能源。大多数的城市燃气企业采用SCADA系统,集合PLC和RTU等控制设备,特別是在燃气企业正在开始往“智能管网”的方向迈进,对工业控制系统的依赖度日益增加,工业控制系统产品越来越多地釆用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,致使病毒、木马等威胁正在向工业控制系统扩散,造成了工业控制系统信息安全问题的日益突出,如何应对工业控制系统所带来的风险成为燃气企业未来需要解决的问题。
需求分析:
随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时,也带来了工控系统的安全问题,如系统终端平台安全防护弱点、系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、以及隐藏的后门和未知漏洞、TCP/IP自身的安全问题、用户权限控制的接入、网络安全边界防护以及内部非法人员、密钥管理等各种网络安全的风险和漏洞。
1、架构方面
缺少重点区域防护手段,对调度中心、有人/无人值守站控系统、RTU边界缺少隔离防护手段。
2、审计方面
缺失对场站与SCACA区域之间的网络流量进行监控和日志审计措施和有效的监控手段。
3、主机方面
在SCADA及场站的HMI无相关软件白名单软件产品,无法全方位地保护主机的资源使用,无有效手段实时监控主机的进程状态。
4、安全准入方面
现场缺少对燃气输配系统中的GPRS等其他无线网络进行安全准入设计。造成的非授权使用或来自外部的黑客攻击有可能使工控系统误动作,甚至造成系统瘫痪。
5、监管方面
燃气SCADA并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。
解决方案:
针对燃气管网监控和数据采集(SCADA)系统及组网结构,结合工控相关标准,设计管网监控和数据采集(SCADA)系统、各值守站、远程RTU的安全防护。
● 在管网监控和数据采集(SCADA)系统与各值守站边界部署工控防火墙作隔离;进行边界访问控制,对工业指令实现命令级过滤,入侵攻击防护,拒绝服务攻击防护。
● 在管网监控和数据采集(SCADA)系统、有人值守站重要主机系统部署主机安全防护系统;实现对移动存储介质使用管理、非法外联控制、软件黑白名单管理、主机安全基线管理、补丁管理、主机审计、主机资产管理等功能。
● 管网监控和数据采集(SCADA)系统部署审计系统进行安全监测;GPRS网络通过值守站的准入控制实现接入安全;实时监测工控网络中违规行为、异常流量和不明设备接入; 实现网络攻击检测和异常行为审计。
● 管网监控和数据采集(SCADA)系统相关区域通过安全监管对网络状态实时监控、智能分析,满足工控网的现实生产环境对工控安全产品的功能要求,及时发现SCADA系统的存在脆弱性,感知工控环境中的未知风险。
拓扑图: