城市燃气ICS一般采用SCADA系统,SCADA系统是以计算机为基础的生产过程控制与调度自动化系统。SCADA系统主要用于实时采集燃气站场数据,对站场设备进行本地或远程的自动控制,同时也为城市燃气的生产、调度和管理提供了必要的管网运行数据,提高了城市燃气生产调度的效率和管理水平。城市燃气SCADA系统通常采用标准数据通讯协议(如Modbus TCP/IP协议、OPC协议),工控主机使用传统IT的通用操作系统(OS)、数据库,网络安全防护采用传统IT防火墙等安全设备。这种设计在为城市燃气SCADA系统带来便利的同时也增加了风险因素。因此以破坏城市燃气SCADA系统业务连续性的恶意攻击、使用恶意指令控制城市燃气SCADA系统、多种原因引起的配置错误等恶意攻击、无意攻击、管理性操作失误等都有可能造成SCADA系统产生故障,从而引发安全事故。
解决方案
●
建设目标:以“分区分域、整体保护、积极预防、动态管理”为总体策略,以工业网络安全“白环境”为核心,建立自主可控、安全可靠的工控安全整体防护体系;
●
建设原则:纵深防御原则、适度防护原则、技管并重原则、动态调整原则和自主可控原则;
●
参考标准:GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》和工信部信软〔2016〕338号《工业控制系统信息安全防护指南》等标准。
●
安全区域边界:调度中心与站场之间部署工业防火墙,针对工控协议深度解析,形成协议白名单,保证只有可信任的协议、指令才可以通过,保证站场安全;
●
安全通信网络:在调度中心部署网络威胁感知系统,精准发现APT攻击途径及痕迹,帮助用户及时对APT攻击行为进行干预,有效避免APT攻击造成的破坏;
● 安全计算环境:在站场的工程师站和操作员站部署工控主机卫士,利用白名单技术,禁止白名单外的恶意程序和操作的执行,实现主机安全和移动介质管控;
●
安全管理中心:在调度中心部署统一安全管理平台,对安全计算环境,安全通信网络,安全区域边界进行统一管理,构建“一个中心,三重防护”体系,满足行业政策法规及技术要求。
成就客户价值
● 在符合GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》的前提下,有效解决城市燃气SCADA系统实际存在的安全威胁;
● 基于“白环境”的安全机制,不需要频繁升级特征库即可实现对各种已知、未知的网络攻击和恶意代码的破坏,达到“一次建设、长期受益”的防护效果;
● 覆盖工业网络边界、主机、PLC及工控设备、工控组态软件等全方位安全的纵深防护体系,覆盖检测、防护、响应、审计的全过程,不留安全死角。