近年来,我国天然气发展保持快速发展的态势,需求量及产量逐年增长。在燃气集团指挥调度系统肩负着运营管理、监督销售计划执行、大客户管理、应急处置、购气管理等多项任务。因此燃气集团指挥调度中心相当于燃气集团的中枢神经,燃气集团调度系统具有管辖范围地域广、通信网络层次复杂、自控专业人员少、子系统数量多、生产设备安全等级高、介质易燃易爆等特点。
风险分析
与传统信息系统相比,工业控制系统在建设初期兼顾应用环境、控制管理等实际环境因素,保证系统高可用性和实际业务的正常稳定运行,缺乏对网络安全风险的考量;设备存在诸多漏洞,RTU/PLC安全隐患突出,系统极少升级,容易遭受病毒攻击感染等诸多的安全隐患。另外由于燃气集团所属分、子公司遍布全国,数据通信网络多租用移动、联通的公网或移动网络传输,信息通信网络几乎没有配备专用安全设施,信息安全形势异常严峻。
工控相关标准与规范
1/《工业控制系统信息安全防护指南》
2/《GB/T 22239-2008 信息系统安全等级保护基本要求》
3/《关于加强工业控制系统信息安全管理的通知》
4/《工业控制系统信息安全行动计划 (2018-2020年)》
5/《信息安全技术工业控制系统安全控制应用指南》(GB/T 32919-2016)
解决方案
>>网络安全隔离
调度中心与场站边界,推荐部署安盟华御工业安全隔离装置,以保障网络在物理隔离的情况下,将生产数据及相关数据安全的在网络中安全的进行传输,为决策提供数据支撑,其他任何信息无法通过工业安全隔离装置;
方案产品须满足OPC、Modbus、DNP3、IEC104、IEC61850等工控协议以及视频、FTP、SMTP等工控场景最常见的网络应用协议的代理与控制。支持对工控协议的深度解析,实现对功能码、线圈值、值域范围等参数的控制。
>>网络防护
在工程师站/操作员站到PLC之间,推荐部署安盟华御工业防火墙,对工控专用协议进行深度分析,确保数据包的合法性,实现工控网络的深层防护,通过基于工业协议的深度识别对访问行为进行控制。
>>监控审计
在调度中心,推荐部署安盟华御入侵检测系统和工业审计系统对数据进行监控和记录,对数据库、生产调度系统、采集服务器的相关操作记录日志,对误操作和错误操作进行溯源,为事后调查取证提供依据。
>>主机防护
在运维工作站、操作员站、工程师站、服务器等工业现场主机,推荐部署安盟华御工控主机卫士实现用户行为审计、U盘监视管理、业务应用看门狗、进程监视、异常进程及入侵监视预警、病毒隔离、内核加固等。
>>安全管理
调度中心安全管理中心,推荐部署安盟华御安全管理平台,完成设备实时信息收集,实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析,形成强大的一体化安全管控功能界面,多视角、多层次的管理与态势感知视图。
典型用户(部分)
目前,该方案已经成功应用于天津市燃气管理处、四川省自贡市燃气公司等相关企业,保障企业的网络安全。
北京安盟信息技术股份有限公司
让万物互联更简单,更安全!