概述
城市燃气随着业务的飞速发展,及人力成本的上升,管网的不断变长以及复杂化,原有的燃气工控系统的“监而不控”方式已经无法适应,迫切需要对其控制系统进行安全防护。
典型安全问题
(1) 调度中心、站场、阀室未采取横向逻辑隔离措施;
(2) 工控网络的各门站、储配站、输配站内部之间未采取安全隔离和防病毒
措施;
(3) 现场工程师站,操作员站,服务器等工控主机缺乏安全加固措施。
解决方案
(1) 对调度中心、有人值守站控系统、无人值守站控系统边界进行访问控制、
病毒防护,保护系统数据不被非法访问、窃取或篡改,保障工控网络安全运行;
(2) 在工作站和服务器上部署终端防护软件,阻止非法程序和未经授权软件
运行,保障主机全生命周期的安全;
(3) 对工控网络中传输的数据进行实时监测,记录,审计,及时发现网络违
规操作和异常行为,实现事前部署,事中监控,事后追溯;
(4) 对工业网络中的安全设备进行统一的配置和管理,并对其日志信息进行
统一收集、管理和分析。
35
部署方案
图 25 燃气企业工控安全方案拓扑图
(1) 边界、区域安全防护
a) 在调度中心各区域边界部署工业防火墙,对各区域进行逻辑隔离,并根据
业务需要进行访问控制策略设置;
b) 在调度中心和有人值守站控系统、无人值守站控系统之间部署工业防火墙
进行网络层级间的安全隔离和防护;
c) 在各场站 PLC/RTU 等工控设备的网络出口位置部署工业防火墙,以达到
重要工控装置的单体设备级安全防护。
(2) 主机安全防护
在调度中心和各场站的工程师站、操作员站及服务器上部署工控主机卫士, 保护各主机免受病毒、木马、蠕虫等恶意代码的侵袭。
(3) 网络监测与审计
在调度中心核心交换机上旁路部署安全监测审计平台,实时发现针对 PLC、DCS 等重要工业控制系统的攻击和破坏行为,以及病毒、木马等恶意软件的扩
散和传播行为,为工业控制网络安全事件调查提供依据;
(4) 集中管理
在调度中心部署统一安全管理平台,实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等。
小结
该解决方案具备如下特点:
(1) 实现了调度中心与各场站的安全隔离,避免非授权
访问和恶意攻击, 保护燃气系统网络边界安全;
(2) 避免工控系统主机遭受恶意软件感染和扩散,避免通
过普通 U 盘感染主机,保护工控主机安全;
(3) 阻止病毒木马程序进入调度中心和场站操作员站、工
程师站和服务器, 降低系统被攻击利用的风险;
(4) 实现网内安全产品统一管理,日志统一收集,提高
了运维人员的工作效率,降低人力投入成本。
因篇幅问题不能全部显示,请点此查看更多更全内容