久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★北京網(wǎng)御星云信息技術(shù)有限公司

1 項目概況

1.1 項目背景

在“兩化”融合的行業(yè)發(fā)展需求下，燃氣公司除了ERP、CRM以及OA等多數(shù)企業(yè)使用的經(jīng)營管理類信息系統(tǒng)外，還建立了大量的符合自身需求的生產(chǎn)運營類的系統(tǒng)，包括SCADA系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、GIS系統(tǒng)以及其他生產(chǎn)運營相關(guān)的工控系統(tǒng)等。當前燃氣企業(yè)正在向“智能管網(wǎng)”的方向邁進，對SCADA系統(tǒng)的依賴更加嚴重。

當前，國家對工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。燃氣行業(yè)未來工業(yè)控制系統(tǒng)面臨的安全威脅也會越來越多。燃氣作為國家關(guān)鍵基礎設施之一，特別是隨著監(jiān)管側(cè)的相關(guān)法律法規(guī)的出臺，工控網(wǎng)絡安全建設需求愈發(fā)迫切。

1.2 項目簡介

本方案整體思路是建立ICS的全生命周期的安全防護，即在系統(tǒng)的規(guī)劃設計、建設實施、運行維護、廢棄各階段進行安全防護。

本方案總體防護思路如圖1所示。首先對整個燃氣ICS進行全面風險評估，掌握目前ICS風險現(xiàn)狀；其次對ICS進行合理的安全域劃分，在區(qū)域之間進行邊界隔離，實現(xiàn)安全域之間的訪問控制，并根據(jù)相關(guān)標準，在不同區(qū)域設置相應的監(jiān)測、防護策略和技術(shù)措施，保證安全區(qū)域內(nèi)部安全；最后對整個ICS進行統(tǒng)一安全呈現(xiàn)，將各個防護點組成一個全面的防護體系，保障整個ICS安全穩(wěn)定運行。

圖1 總體防護思路

1.3 項目目標

本項目整體防護目標的設計充分參考了國內(nèi)外相關(guān)工控安全標準和成熟安全模型，并結(jié)合了行業(yè)工控系統(tǒng)的業(yè)務特點和安全需求。同時，按照生產(chǎn)優(yōu)先的原則，以保障工控系統(tǒng)生產(chǎn)任務正常運行為基本出發(fā)點，確保方案中的所有安全防護措施的部署不會對正常工業(yè)生產(chǎn)構(gòu)成影響，并充分考慮了他們和工控系統(tǒng)、網(wǎng)絡和軟硬件設備之間的兼容性。

本項目預期達成以下目標：

燃氣SCADA系統(tǒng)信息安全技術(shù)體系規(guī)劃結(jié)合燃氣信息系統(tǒng)現(xiàn)狀、安全需求和業(yè)務發(fā)展實際需要，分為網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、基礎設施5個層面。

（1）網(wǎng)絡安全：采用工業(yè)防火墻實現(xiàn)網(wǎng)絡安全域劃分、工控網(wǎng)與辦公網(wǎng)絡的技術(shù)隔離，防御外部威脅的侵入，形成從內(nèi)到外的防護體系。

圖2 總體部署方案

（2）主機安全：采用工業(yè)控制系統(tǒng)終端安全管理平臺統(tǒng)一管控工作站和服務器，實現(xiàn)補丁分發(fā)、病毒防護及策略定制，發(fā)現(xiàn)系統(tǒng)存在的漏洞和風險，降低終端維護和管理工作量，阻止非法程序和未經(jīng)授權(quán)軟件運行，保障工作站和服務器主機全生命周期的安全。

（3）應用安全：采用工控異常監(jiān)測系統(tǒng)對燃氣SCADA系統(tǒng)工控網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行實時監(jiān)測、記錄和審計，及時發(fā)現(xiàn)網(wǎng)絡違規(guī)操作和異常行為，實現(xiàn)事前部署、事中監(jiān)控、事后追溯。

（4）數(shù)據(jù)安全：燃氣SCADA系統(tǒng)調(diào)度中心與場站之間通過工業(yè)防火墻VPN技術(shù)提供安全訪問通道，解決工控網(wǎng)絡數(shù)據(jù)傳輸通道加密的問題。

（5）基礎設施：采用工控統(tǒng)一安全管理平臺采集、監(jiān)控燃氣SCADA系統(tǒng)中的IFIX服務器、中心數(shù)據(jù)庫、前置機、SCADA工作站、場站無人值守操作站以及安全設備的可用性，并對其日志信息進行統(tǒng)一收集、管理和分析。

2 項目實施

2.1 防護方案

2.1.1安全域規(guī)劃

本方案采取按功能分層的方式對燃氣SCADA系統(tǒng)進行分析和安全設計，并根據(jù)其應用、數(shù)據(jù)、用戶及特定接入的不同安全需求由下至上劃分出四層架構(gòu)，具體如圖3所示。

圖3 SCADA系統(tǒng)網(wǎng)絡架構(gòu)

依據(jù)安全域劃分原則，同一安全域擁有相同的安全等級和屬性，域內(nèi)是相互信任的，安全風險主要來自不同的安全域互訪，需要加強安全域邊界的安全防護。區(qū)域之間依據(jù)業(yè)務及安全的需要配置安全策略，有效實現(xiàn)信息系統(tǒng)合理安全域劃分。具體規(guī)劃如圖4所示。

圖4 安全域規(guī)劃

2.1.2 場站終端安全防護

將導軌式工業(yè)防火墻部署于場站PLC/RTU與上聯(lián)交換機之間，通過工業(yè)防火墻特有的應用協(xié)議分析功能和業(yè)務需求指令配置功能，保證關(guān)鍵鏈路只傳遞業(yè)務必要信息，避免病毒和病毒的相互感染，更重要的是保證生產(chǎn)指令正確、可靠、及時地傳遞。具體規(guī)劃如圖5所示。

圖5 終端安全防護圖

實現(xiàn)效果：

（1）基礎功能：具備基礎防火墻功能，包括基于傳統(tǒng)五元組、協(xié)議、資產(chǎn)、時間等多元組一體化訪問控制；支持透明、路由、混合模式部署；設備內(nèi)置多種工業(yè)防護模型，并可以自定義防護規(guī)則。

（2）工業(yè)DPI：支持多種工業(yè)協(xié)議深度解析，包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等協(xié)議，可以做到指令級訪問控制。

（3）工業(yè)IPS：預置工控系統(tǒng)攻擊事件庫，全面提升工業(yè)網(wǎng)絡安全防護能力；基于自然語言描述的可擴展規(guī)則引擎，支持自定義報文解析，具備極佳的安全防護擴展能力。

（4）流量自學習：流量智能學習，自動推薦安全策略幫助管理員輕松運維；流量可視化，讓管理員洞悉工業(yè)網(wǎng)絡情況。

（5）集中管理：支持工業(yè)防火墻的大規(guī)模部署，全網(wǎng)策略統(tǒng)一下發(fā)，設備情況統(tǒng)一展現(xiàn)，日志告警集中顯示。

（6）日志審計：支持設備管理日志和系統(tǒng)日志的記錄和外發(fā)。

2.1.3 調(diào)度中心檢測審計

在燃氣調(diào)度中心SCADA安全域接入層交換機部署工業(yè)異常檢測系統(tǒng)，并配置鏡像端口對數(shù)據(jù)流實施抓取和分析，監(jiān)控所有流經(jīng)主控系統(tǒng)的網(wǎng)絡流量和訪問行為，對異常流量和行為實時監(jiān)控和報警。在此基礎上增加安全審計產(chǎn)品，可以更好地對入侵和安全事件進行關(guān)聯(lián)和管理，并采取短信、郵件等形式的告警。

部署專業(yè)審計設備（如圖6所示），對數(shù)據(jù)庫操作及日志記錄進行安全審計。通過將SCADA系統(tǒng)所產(chǎn)生的運行日志和操作日志寫入關(guān)系數(shù)據(jù)庫中，對關(guān)系數(shù)據(jù)庫日志記錄表進行審計。

圖6 調(diào)度中心檢測審計部署

審計設備對日志記錄的審計包含日期和時間、用戶、事件類型、事件操作結(jié)果等審計記錄，審計設備提供審計記錄導出功能，將定期導出審計記錄進行備份保存。審計設備將與系統(tǒng)統(tǒng)一時鐘源進行同步，確保審計記錄時間的正確性。

實現(xiàn)效果：

（1）通用網(wǎng)絡入侵檢測：對采用標準以太網(wǎng)的信息網(wǎng)絡，檢測已知的各種木馬、蠕蟲、僵尸網(wǎng)絡、緩沖區(qū)溢出攻擊、DDOS、掃描探測、欺騙劫持、網(wǎng)站掛馬等。

（2）工控語言專項解讀：支持Modbus協(xié)議、IEC-60870-104協(xié)議、BACnet協(xié)議、DNP3協(xié)議、Modicon協(xié)議、NiagaraFox協(xié)議、SiemensS7協(xié)議等工控協(xié)議的深度解析。

（3）工控網(wǎng)絡特有檢測策略：通過對工控語言的解讀，研究其中各種入侵途徑，從而形成特有的工控網(wǎng)絡檢測策略，并內(nèi)置在產(chǎn)品中。

（4）利用工控漏洞的入侵行為檢測：支持利用已知工控設備漏洞的入侵攻擊行為檢測，支持利用西門子、羅克韋爾等廠商設備漏洞的入侵攻擊行為檢測。

（5）網(wǎng)絡偽造報文攻擊檢測：可發(fā)現(xiàn)惡意構(gòu)造的異常報文、畸形報文。

（6）可定制的工控網(wǎng)絡安全異常檢測：產(chǎn)品開放其靈活、強大的定制檢測能力，可針對專用工控網(wǎng)絡的業(yè)務操作數(shù)據(jù)進行梳理，總結(jié)出相應的業(yè)務白名單，進而制定出有效的安全異常檢測規(guī)則，實現(xiàn)具有用戶特色的專屬檢測方式。

2.1.4 操作站安全防護

工控終端安全管理系統(tǒng)中心服務器部署在SCADA安全域內(nèi)，方便進行管理，更有利于安全接入管理；客戶端部署在調(diào)度中心和站控的操作員站、工程師站、遠程訪問SCADA系統(tǒng)的各個終端，部署方式可以采用登錄WEB頁面下載安裝和電子郵件分發(fā)客戶端相結(jié)合的方法。

工控終端安全管理系統(tǒng)中心負責燃氣SCADA區(qū)域終端的管理，負責全網(wǎng)各業(yè)務系統(tǒng)終端計算機的信息收集與策略下發(fā)，實現(xiàn)對終端計算機的管理，并在服務器上配置補丁系統(tǒng)，將補丁文件的存貯、發(fā)放和管理集中在服務器進行。負責對各終端計算機進行查看，并進行策略制定、下發(fā)。

SCADA系統(tǒng)終端安裝客戶端程序，負責向服務器上報資產(chǎn)、行為、補丁等信息，同時從服務器接收策略，并執(zhí)行。

圖7 操作站安全防護部署

實現(xiàn)效果：

以燃氣調(diào)度中心內(nèi)SCADA系統(tǒng)服務區(qū)及終端計算機為管理對象，通過傳統(tǒng)桌面管理、終端數(shù)據(jù)防泄密、終端防病毒三大模塊形成全面終端安全解決方案，提升內(nèi)網(wǎng)安全防護能力和合規(guī)管理水平；構(gòu)建“不可信終端進不來”“入網(wǎng)終端管得住”“敏感數(shù)據(jù)出不去”的內(nèi)網(wǎng)終端安全管理體系，逐漸形成桌面管理、數(shù)據(jù)防泄密、終端防病毒三位一體的終端安全管控產(chǎn)品新業(yè)態(tài)。

（1）終端管理一體化：桌面管理、數(shù)據(jù)防泄密、終端防病毒三功能合一，一個客戶端解決終端安全管理的所有問題，減輕用戶桌面壓力。

（2）全面資產(chǎn)管理：對終端資產(chǎn)全生命周期進行管理，提供終端操作系統(tǒng)漏洞檢測和修復、終端平臺環(huán)境規(guī)范以及遠程支持和維護等全方位的終端運維管理。

（3）精細化安全防護：天珣客戶端內(nèi)置強大的主機防火墻引擎，采用訪問控制、流量控制、ARP欺騙控制、網(wǎng)絡行為模式控制、非法外聯(lián)控制等手段，實現(xiàn)針對計算機終端的威脅主動防御和網(wǎng)絡行為控制，從而保證計算機終端雙向訪問安全、行為受控。

（4）規(guī)范終端行為：從終端審計、移動存儲管理、安全基線設定等角度，提供全方位的終端合規(guī)管理功能，從規(guī)范終端用戶行為出發(fā)，封堵終端違規(guī)的漏洞，監(jiān)控和規(guī)范終端用戶行為，全面提升終端安全管理水平。

（5）敏感數(shù)據(jù)保護：從讓用戶了解內(nèi)網(wǎng)敏感數(shù)據(jù)的角度出發(fā)，到發(fā)現(xiàn)敏感數(shù)據(jù)，監(jiān)控數(shù)據(jù)流動，檢測泄密風險并在發(fā)生泄密行為時及之后進行相應的阻止和審計，保證泄密事件發(fā)生前、中、后都能有效地為用戶提供強有力的技術(shù)支撐。

（6）防病毒：集成經(jīng)過權(quán)威防病毒機構(gòu)認證的終端防病毒引擎，保證內(nèi)網(wǎng)每一個終端節(jié)點都處于殺毒軟件的實時保護中。

2.1.5兩網(wǎng)隔離

在燃氣調(diào)度中心SCADA安全域單獨規(guī)劃，使其擁有獨立的VM交換機，在安全域之間使用工控網(wǎng)閘進行安全隔離。對SCADA安全域內(nèi)的服務器等工控應用進行安全隔離防護，避免SCADA域外的安全風險入侵SCADA服務器。工控網(wǎng)閘在SCADA域與非SCADA域之間進行安全隔離，監(jiān)視和控制區(qū)域邊界通信，拒絕所有非必要的網(wǎng)絡數(shù)據(jù)流，允許例外網(wǎng)絡數(shù)據(jù)流，識別邊界入侵行為并有效阻斷。具體兩網(wǎng)隔離部署如圖8所示。

圖8 兩網(wǎng)隔離部署

實現(xiàn)功能：

（1）OPC應用數(shù)據(jù)傳輸：支持DCS/SCADA網(wǎng)絡與管理網(wǎng)絡之間的OPC應用數(shù)據(jù)的傳輸；支持協(xié)議格式檢查及內(nèi)容過濾；支持同步、異步監(jiān)測數(shù)據(jù)的傳輸；支持高安全的自動協(xié)商動態(tài)端口通訊機制；支持情景模式，能夠設置OPC工控應用允許通信的時間；支持端口訪問控制。

（2）數(shù)據(jù)庫訪問：實現(xiàn)對多種（如MySql、SqlServer、Oracle、DB2、Sybase）主流數(shù)據(jù)庫系統(tǒng)的安全訪問；支持SQLServer和Oracle數(shù)據(jù)庫SQL語句過濾功能；支持實時數(shù)據(jù)庫的訪問與數(shù)據(jù)傳輸。

（3）數(shù)據(jù)庫同步：支持Oracle、SQLServer、Sybase、Db2等主流數(shù)據(jù)庫間單向和雙向同步；支持同構(gòu)、異構(gòu)同步；支持一對多、多對一同步；支持字段級的同步，具有條件同步等多種同步策略；支持詳細的日志審計和報警功能；支持病毒檢測。

（4）文件同步：實現(xiàn)文件的安全交換，支持NFS、SMBFS、SAMBA等文件系統(tǒng)；支持跨系統(tǒng)平臺文件同步；支持有客戶端和無客戶端方式；可實現(xiàn)單向和雙向同步；支持多種文件同步控制；支持內(nèi)容過濾和病毒檢測。

（5）FTP訪問：實現(xiàn)安全的FTP訪問，支持對用戶、命令、文件類型等細粒度訪問控制；支持動態(tài)建立數(shù)據(jù)通道，并可對訪問端口號自由定義；支持中文文件名的過濾控制等多種功能。

（6）定制訪問：實現(xiàn)特定TCP、UDP協(xié)議的數(shù)據(jù)隔離交換，可合作定制開發(fā)針對特定協(xié)議的安全檢測，實現(xiàn)如黑白名單控制、關(guān)鍵字過濾等；支持對訪問源地址的控制；透明模式支持時段控制策略，時間模式可以是一次性或周循環(huán)。

2.1.6 工控信息安全集中管理

工控信息安全管理系統(tǒng)部署于燃氣調(diào)度中心SCADA安全域，主要由安全信息管理中心、數(shù)據(jù)中心和事件采集代理三大組件構(gòu)成，如圖9所示。

圖9 工控信息安全集中管理部署

管理服務中心在部署時可以分為兩部分：服務器與功能模塊。資產(chǎn)管理子系統(tǒng)、認證管理子系統(tǒng)、報表管理子系統(tǒng)和服務器層組件（含WEB門戶服務器）需統(tǒng)一安裝在一臺服務器上，而各功能模塊可以根據(jù)用戶的實際網(wǎng)絡規(guī)模與主機性能由用戶確定安裝主機。在安裝時，所有的功能模塊均可以選擇單獨安裝，或與服務器共用一臺主機，最大限度地保證部署的靈活性與運行效率。

根據(jù)等級保護中提出的“進行集中的安全管理”和“系統(tǒng)運維管理”要求，需要實現(xiàn)主要功能如下：

（1）安全風險管理；（2）風險評估；（3）風險分析；（4）風險分級；（5）信息資產(chǎn)管理。

安全管理平臺應能實現(xiàn)對信息系統(tǒng)內(nèi)所有的IT資產(chǎn)進行集中統(tǒng)一的管理，包括資產(chǎn)的特征、分類等屬性；但同時資產(chǎn)信息管理并不是為了簡單的統(tǒng)計，而是在統(tǒng)計的基礎上來發(fā)現(xiàn)資產(chǎn)的安全狀況，并納入到平臺的數(shù)據(jù)庫中，為其它安全管理模塊提供信息接口。

（1）系統(tǒng)脆弱性管理：各種重要信息資產(chǎn)存在的脆弱性是影響信息系統(tǒng)網(wǎng)絡安全的重要潛在風險，為了了解其安全脆弱性狀況，安全管理平臺應提供脆弱性管理功能，實現(xiàn)對重要信息資產(chǎn)安全脆弱性的收集和管理。該模塊收集和管理的脆弱性信息主要包括兩類：通過遠程安全掃描可以獲得的安全脆弱性信息和通過人工評估的方式收集的脆弱性信息。在定期收集到這些脆弱性信息后可以利用脆弱性管理系統(tǒng)進行導入和處理，以利于安全管理員對脆弱性信息的查詢、呈現(xiàn)并采取相應的措施進行處理。

（2）安全預警管理：安全管理平臺應能夠管理并實時呈現(xiàn)風險評估中心所提供的各類安全威脅、安全風險、安全態(tài)勢、安全隱患等信息；能夠在安全管理平臺統(tǒng)一界面上給出網(wǎng)絡安全的趨勢分析報表，分析的內(nèi)容包括漏洞的分布范圍、受影響的系統(tǒng)情況、可能的嚴重程度等；能夠根據(jù)全網(wǎng)安全事件的監(jiān)控情況，在安全管理平臺統(tǒng)一界面上給出現(xiàn)網(wǎng)中主要的攻擊對象分布、攻擊類型分布等情況分析，指導全網(wǎng)做好有效的防范工作，防止類似事件的發(fā)生；具備接收風險數(shù)據(jù)的接口，能夠在安全管理平臺統(tǒng)一界面上預先定義數(shù)據(jù)格式，自動生成預警信息。

（3）安全響應管理：安全管理平臺應能夠提供響應流程和響應方式的管理，能夠提供專家系統(tǒng)和知識庫的支持，并能夠針對各類用戶所關(guān)心的安全問題進行響應。響應方式包括從專家系統(tǒng)調(diào)用相關(guān)腳本自動進行漏洞修補、防火墻配置下發(fā)、網(wǎng)絡設備端口關(guān)閉等操作，從知識庫自動/手動地進行解決方案的匹配，然后通過自動或手動產(chǎn)生工單，通知相關(guān)管理員進行處理，并對工單的生命周期進行監(jiān)控。此外還包括利用短信、E-mail等方式進行通知等。

（4）網(wǎng)絡安全管理：安全管理平臺應能夠?qū)崿F(xiàn)對網(wǎng)絡設備的集中管理，能夠?qū)崿F(xiàn)網(wǎng)絡設備的升級、網(wǎng)絡設備工作狀態(tài)監(jiān)管、網(wǎng)絡流量監(jiān)管、網(wǎng)絡設備漏洞分析與加固等功能，同時具備對網(wǎng)絡設備訪問日志的統(tǒng)一收集和分析功能。

（5）安全事件管理：安全事件管理是一種實時的、動態(tài)的管理模型，通過關(guān)聯(lián)分析來自不同地點、不同層次、不同類型的信息事件，幫助用戶系統(tǒng)管理人員發(fā)現(xiàn)真正關(guān)注的安全威脅，從而可以準確、實時地評估當前的安全態(tài)勢和風險，并根據(jù)預先制定策略做出快速的響應，有效應對出現(xiàn)的各類安全事件。

3 案例亮點及創(chuàng)新性

（1）全面提升了燃氣工控系統(tǒng)網(wǎng)絡安全防護管理的合規(guī)性，符合國家主管部門、行業(yè)監(jiān)管部門的管理要求以及工控安全防護要求；

（2）全面提升了智慧煉化工控網(wǎng)絡的整體安全性，確保了設備、系統(tǒng)、網(wǎng)絡的可靠性、穩(wěn)定性和安全性，為保障民生保駕護航；

（3）全面提升了智慧煉化業(yè)務人員的安全水平和安全意識，提升了安全管理水平、工作效率和管理效率。

摘自《自動化博覽》2023年3月刊