為貫徹《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、落實(shí)“十四五”規(guī)劃綱要“統(tǒng)籌發(fā)展和安全”等政策要求,,充分發(fā)揮先進(jìn)典型的引領(lǐng)示范作用,,加快提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力,強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全綜合保障能力,,進(jìn)一步推動(dòng)我國(guó)工業(yè)安全產(chǎn)業(yè)高質(zhì)量發(fā)展,,工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟(ICSISIA)于2021年5月20日啟動(dòng)了2021年工業(yè)安全系統(tǒng)典型應(yīng)用案例征集遴選活動(dòng)。ICSISIA特推出工業(yè)安全系統(tǒng)案例專題,,發(fā)布其中遴選出的典型應(yīng)用案例以饗讀者,。
1 項(xiàng)目概況
1.1 項(xiàng)目背景
近年來(lái),能源板塊層出不窮的網(wǎng)絡(luò)安全事件,,表明油氣管道SCADA系統(tǒng)已經(jīng)成為國(guó)內(nèi)外黑客的攻擊目標(biāo),,面臨愈發(fā)嚴(yán)峻的威脅。管道SCADA系統(tǒng)一旦受攻擊容易發(fā)生故障或者被控制,,可能直接影響到管道輸送的正常生產(chǎn)運(yùn)營(yíng),,導(dǎo)致火災(zāi)、爆炸,、中毒事件的發(fā)生,,造成重大經(jīng)濟(jì)損失、人員傷亡和環(huán)境污染,,直接威脅到國(guó)家能源安全和社會(huì)穩(wěn)定,。因此,研究油氣管道SCADA系統(tǒng)安全風(fēng)險(xiǎn),,同時(shí)制定針對(duì)性的配套網(wǎng)絡(luò)安全防護(hù)能力建設(shè),,對(duì)我國(guó)能源安全具有重要的意義。
物聯(lián)網(wǎng),、大數(shù)據(jù),、云平臺(tái)等新技術(shù)的應(yīng)用,形成了油氣管道生產(chǎn)網(wǎng)絡(luò)的互聯(lián)互通,,但這給工業(yè)控制系統(tǒng)帶來(lái)諸多網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn),,來(lái)自辦公管理層網(wǎng)絡(luò)的入侵、病毒等風(fēng)險(xiǎn)很容易向生產(chǎn)網(wǎng)蔓延,。同時(shí),,非法接入風(fēng)險(xiǎn)也不容忽視,攻擊者偽造身份從外部或內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)生產(chǎn)系統(tǒng)進(jìn)行滲透,,獲取訪問(wèn)權(quán)限,,惡意操作,,其威脅是巨大的,不僅可以拿到工藝數(shù)據(jù),,甚至可能造成重大安全事故,。
1.2 項(xiàng)目簡(jiǎn)介
油氣管道連接著上游的油氣田板塊,中,、下游的煉化和銷售板塊產(chǎn)業(yè)鏈,,是油氣生產(chǎn)設(shè)施的重要組成部分。為了保證油氣管道的安全,、可靠,、平穩(wěn)、高效,、經(jīng)濟(jì)地運(yùn)行,,必須提高對(duì)管道的監(jiān)視控制和管理等信息化建設(shè)。而作為國(guó)家重要的基礎(chǔ)設(shè)施和公用設(shè)施,,油氣管道承擔(dān)了所有的天然氣和近八成的油品輸送任務(wù),,具有易燃、易爆和高壓的特點(diǎn),,其安全運(yùn)行非常重要,。建設(shè)該系統(tǒng)安全、穩(wěn)定地運(yùn)行及管網(wǎng)調(diào)控系統(tǒng)的安全接入,,是一個(gè)至關(guān)重要的問(wèn)題,。
本項(xiàng)目中采用了全面評(píng)估當(dāng)前的生產(chǎn)網(wǎng)、網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng),、控制系統(tǒng)及自動(dòng)化設(shè)備可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),,圍繞當(dāng)前企業(yè)技改與未來(lái)“一張網(wǎng)”發(fā)展規(guī)劃,按照國(guó)家網(wǎng)絡(luò)安全法提出的“同步規(guī)劃,、同步建設(shè),、同步使用”的三同步原則,利用當(dāng)前先進(jìn)的網(wǎng)絡(luò)安全防護(hù)理念,、技術(shù)與產(chǎn)品,,有序開(kāi)展SCADA系統(tǒng)中安全防護(hù)體系的頂層設(shè)計(jì)與建設(shè)工作,構(gòu)建網(wǎng)絡(luò)安全立體的防護(hù)體系,,滿足標(biāo)準(zhǔn)合規(guī)性要求,。同時(shí),按照企業(yè)多級(jí)管理職能,,設(shè)計(jì)構(gòu)建全網(wǎng)工控安全管控與運(yùn)營(yíng)體系,,形成多級(jí)聯(lián)動(dòng)機(jī)制,實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)安全監(jiān)測(cè),、風(fēng)險(xiǎn)可視,、通報(bào)預(yù)警與聯(lián)動(dòng)處置,,提高網(wǎng)絡(luò)安全綜合管控與防護(hù)能力。
1.3 項(xiàng)目目標(biāo)
?。?)安全通信網(wǎng)絡(luò)安全需求
針對(duì)油氣管道的特點(diǎn),,側(cè)重對(duì)調(diào)度中心SCADA系統(tǒng)通訊網(wǎng)絡(luò)進(jìn)行全面的網(wǎng)絡(luò)安全防護(hù),,包括優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),,劃分安全域,在通信過(guò)程中采用密碼技術(shù)保證數(shù)據(jù)的保密性,,采用校驗(yàn)技術(shù)保證數(shù)據(jù)的完整性,,通過(guò)應(yīng)用工控防火墻搭載可信模塊的形式,實(shí)現(xiàn)可信驗(yàn)證,。
?。?)安全區(qū)域邊界安全需求
按照安全域劃分與業(yè)務(wù)訪問(wèn)邏輯,在安全域邊界部署入侵檢測(cè)和工控審計(jì),,建立安全訪問(wèn)規(guī)則,,重點(diǎn)對(duì)安全權(quán)重高的安全域進(jìn)行重點(diǎn)安全防護(hù)。利用先進(jìn)的技術(shù)與產(chǎn)品,,設(shè)計(jì)部署相應(yīng)的安全監(jiān)測(cè)與審計(jì)措施,,監(jiān)控網(wǎng)絡(luò)中存在的各類入侵風(fēng)險(xiǎn)、網(wǎng)絡(luò)病毒,、非法訪問(wèn)等行為并進(jìn)行審計(jì)與阻斷,,保障生產(chǎn)網(wǎng)絡(luò)的可用性與安全性,實(shí)現(xiàn)安全區(qū)域邊界的建設(shè)要求,。
?。?)安全計(jì)算環(huán)境安全需求
依靠掃描工具與人工方式對(duì)應(yīng)用系統(tǒng)進(jìn)行安全檢查,對(duì)發(fā)現(xiàn)的漏洞,、開(kāi)放的服務(wù)與端口以及存在的權(quán)限與弱口令,、非安全的遠(yuǎn)程鏈接等脆弱性問(wèn)題進(jìn)行研判,對(duì)于可修復(fù)的漏洞,、默認(rèn)開(kāi)放的服務(wù)與端口,,以及默認(rèn)的權(quán)限及用戶弱口令問(wèn)題進(jìn)行集中式加固處理,提升應(yīng)用系統(tǒng)的抗攻擊能力,。側(cè)重對(duì)生產(chǎn)控制大區(qū)內(nèi)各系統(tǒng)工程師站,、操作員站、歷史站,、接口站,、服務(wù)器等實(shí)施定期巡檢式的安全掃描,發(fā)現(xiàn)主機(jī)系統(tǒng)存的各種漏洞與脆弱性,,并進(jìn)行針對(duì)性的安全加固研究,,同時(shí),,對(duì)主機(jī)系統(tǒng)安裝必要的工控主機(jī)專用安全管控與防護(hù)產(chǎn)品,實(shí)現(xiàn)主機(jī)系統(tǒng)的防病毒,、防第三方軟件非授權(quán)安裝與使用,,以及主機(jī)外部接口的安全管控,尤其對(duì)USB口的安全管控與操作行為審計(jì),,綜合提升主機(jī)系統(tǒng)的抗攻擊能力,,保護(hù)分布廣泛的站控系統(tǒng)主機(jī)不被作為跳板入侵上級(jí)系統(tǒng),確保安全計(jì)算環(huán)境防線穩(wěn)定,。
?。?)安全管理中心安全需求
在調(diào)度中心SCADA系統(tǒng)中建立安全管理域,部署工控信息安全監(jiān)管與分析平臺(tái),,并且在現(xiàn)有的網(wǎng)絡(luò)安全管理制度基礎(chǔ)上不斷完善,,明確網(wǎng)絡(luò)安全管理機(jī)構(gòu)、崗位,、人員,,完善安全建設(shè)管理及運(yùn)維管理流程,建立安全教育與培訓(xùn),、安全保密,、應(yīng)急響應(yīng)機(jī)制,使安全管理成體系,,安全管理常態(tài)化,,管理與技防相結(jié)合,構(gòu)建企業(yè)的綜合網(wǎng)絡(luò)安全防護(hù)體系,,為企業(yè)安全生產(chǎn)保駕護(hù)航,。
本方案以油氣管道工控系統(tǒng)應(yīng)用為場(chǎng)景,構(gòu)建了安全可控為目標(biāo),,監(jiān)控審計(jì),、威脅分析、入侵檢測(cè),、主機(jī)防護(hù)為特征的油氣管道企業(yè)工業(yè)控制系統(tǒng)新一代主動(dòng)防御體系,,提高了工控系統(tǒng)整體安全性。將為企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)開(kāi)創(chuàng)行之有效的安全建設(shè)模式,,提高管控一體化安全防護(hù)的能力,。解決油氣管道企業(yè)工控系統(tǒng)在聯(lián)網(wǎng)運(yùn)行中所面臨的網(wǎng)絡(luò)安全建設(shè)與運(yùn)營(yíng)過(guò)程的困擾,系統(tǒng)為企業(yè)提供包括安全服務(wù),、安全建設(shè),、安全運(yùn)營(yíng)在內(nèi)的網(wǎng)絡(luò)安全全生命周期的解決方案。
2 項(xiàng)目實(shí)施
本方案針對(duì)油氣管道SCADA系統(tǒng)實(shí)際需求,,通過(guò)設(shè)計(jì)建設(shè)一套穩(wěn)定,、先進(jìn),、高效、可靠的工控安全監(jiān)測(cè)防護(hù)體系,,集中展現(xiàn)油氣管道SCADA系統(tǒng)的整體工控安全態(tài)勢(shì),,提升整體工控安全監(jiān)管水平和防御能力,針對(duì)SCADA系統(tǒng)的特點(diǎn),、專業(yè)性,、穩(wěn)定性進(jìn)行設(shè)計(jì),結(jié)合天地和興多年工業(yè)控制系統(tǒng)與工控安全研究和經(jīng)驗(yàn)總結(jié),,以國(guó)家等級(jí)保護(hù)的“一個(gè)中心,、三重防護(hù)”為整體防護(hù)思想,構(gòu)建油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的技術(shù)體系,,并完善安全管理體系,形成技術(shù)+管理的綜合安全防護(hù)體系,,滿足實(shí)際安全防護(hù)需求,,達(dá)到等保三級(jí)建設(shè)標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全防護(hù)體系框架示意圖如圖1所示,。
圖1 網(wǎng)絡(luò)安全防護(hù)體系框架示意圖
方案從實(shí)際出發(fā),,以油氣管道SCADA系統(tǒng)為等級(jí)保護(hù)對(duì)象,以控制中心系統(tǒng)為主體,,結(jié)合站控系統(tǒng),、現(xiàn)場(chǎng)設(shè)備等邊緣應(yīng)用分布廣泛的特點(diǎn),從安全通信網(wǎng)絡(luò),、安全區(qū)域邊界,、安全計(jì)算環(huán)境、安全管理中心和安全管理要求等幾個(gè)維度來(lái)構(gòu)建綜合安全防護(hù)體系,。
工控安全防護(hù)系統(tǒng)部署拓?fù)涫疽鈭D如圖2所示,。
圖2 工控安全防護(hù)系統(tǒng)部署拓?fù)涫疽鈭D
(1)安全通信網(wǎng)絡(luò)建設(shè)
對(duì)油氣管道工控網(wǎng)絡(luò)進(jìn)行優(yōu)化,,劃分安全域,,并對(duì)油氣管道工控網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界部署工控防火墻進(jìn)行邊界隔離與安全防護(hù),保障油氣管道工控網(wǎng)絡(luò)免受來(lái)自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險(xiǎn),。
工控防火墻系統(tǒng)屬于工業(yè)級(jí)安全防護(hù)設(shè)備,,可支持30多種工控協(xié)議識(shí)別與深度解析,包括:Modbus TCP,、OPC,、DNP3.0、PROFINET,、S7,、IEC 61850和IEC 60870-5-104等,,具有基于工控行為構(gòu)建白名單訪問(wèn)控制策略,實(shí)現(xiàn)細(xì)粒度的安全防護(hù),。
?。?)安全區(qū)域邊界建設(shè)
在油氣管道工控網(wǎng)絡(luò)中劃分不同的安全域,按照安全域的安全權(quán)重,,有針對(duì)地進(jìn)行安全域的隔離與訪問(wèn)控制,、安全審計(jì)、入侵檢測(cè)等必要的安全防護(hù)措施,,保護(hù)各安全域的運(yùn)行安全,,本方案中主要是在調(diào)控中心SCADA系統(tǒng)網(wǎng)絡(luò)中部署工控安全審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng),,以及在各個(gè)站控系統(tǒng)的生產(chǎn)數(shù)據(jù)匯聚到調(diào)度中心的網(wǎng)絡(luò)入口處部署工控防火墻,。
· 工控防火墻
在油氣管道工控網(wǎng)絡(luò)中的本地站控出口處、調(diào)控中心入口處等邊界串行部署工控防火墻系統(tǒng),,實(shí)現(xiàn)各安全域邊界隔離與訪問(wèn)控制,。不僅可支持基于網(wǎng)絡(luò)五元組的訪問(wèn)控制,還支持基于工控行為的安全控制與防護(hù),,保護(hù)各安全域系統(tǒng)的安全運(yùn)行,。
· 工控安全審計(jì)系統(tǒng)
在調(diào)控中心的核心交換機(jī)上旁路部署工控安全審計(jì)系統(tǒng),對(duì)整個(gè)調(diào)度中心SCADA系統(tǒng)的應(yīng)用服務(wù)器,、主機(jī)管理系統(tǒng)等進(jìn)行全面檢測(cè),,對(duì)通信數(shù)據(jù)進(jìn)行合規(guī)性檢查,對(duì)異常行為,、違規(guī)操作行為進(jìn)行識(shí)別,、審計(jì)告警,告警日志上傳給日志服務(wù)器,、安全管理平臺(tái)系統(tǒng)進(jìn)行集中存儲(chǔ),、分析與風(fēng)險(xiǎn)關(guān)聯(lián)展示,輔助安全運(yùn)維人員進(jìn)行處置,。
工控安全審計(jì)系統(tǒng)支持對(duì)OPC,、Ethernet/IP、Modbus/TCP,、IEC 61850,、IEC 60870-5-104、DNP3,、PROFINET,、S7、GOOSE和SV等30多種工控協(xié)議進(jìn)行深度解析,通過(guò)還原操作行為,,對(duì)有異常操作行為進(jìn)行審計(jì)告警,,輔助網(wǎng)關(guān)防護(hù)系統(tǒng)策略調(diào)整,實(shí)現(xiàn)油氣管道工控網(wǎng)絡(luò)的運(yùn)行安全,。
· 入侵檢測(cè)系統(tǒng)
在調(diào)控中心的核心交換機(jī)上旁路部署入侵檢測(cè)系統(tǒng),,通過(guò)交換機(jī)鏡像功能,把網(wǎng)絡(luò)出入口,、重要安全域的通信數(shù)據(jù)送給入侵檢測(cè)系統(tǒng)進(jìn)行實(shí)時(shí)檢測(cè),,用于識(shí)別監(jiān)控網(wǎng)絡(luò)中可能存在的各種已知攻擊行為,并進(jìn)行審計(jì)告警,,告警日志上傳給日志服務(wù)器,、安全管理平臺(tái)進(jìn)行風(fēng)險(xiǎn)分析與可視化。
入侵檢測(cè)系統(tǒng)內(nèi)置檢測(cè)引擎與全面的攻擊特征庫(kù),,能夠?qū)崟r(shí)對(duì)網(wǎng)絡(luò)中存在的設(shè)備攻擊,、安全掃描、網(wǎng)絡(luò)病毒,、欺騙劫持,、窮舉探測(cè)、間諜軟件等入侵事件進(jìn)行識(shí)別與審計(jì)告警,,入侵檢測(cè)系統(tǒng)側(cè)重對(duì)已知威脅的檢測(cè)能力,實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在威脅事件并及時(shí)產(chǎn)生告警,,同時(shí)入侵檢測(cè)系統(tǒng)可階段性進(jìn)行威脅統(tǒng)計(jì),,并可形成安全報(bào)告,支持報(bào)告輸出,。
?。?)安全計(jì)算環(huán)境的建設(shè)
在油氣管道工控網(wǎng)絡(luò)中的安全計(jì)算環(huán)境是指人機(jī)交互界面上的各主機(jī)系統(tǒng),包括各種相關(guān)的應(yīng)用服務(wù)器(如SCADA歷史服務(wù)器,、OPC服務(wù)器等),、操作員站、工程師站和歷史站等,,主機(jī)系統(tǒng)要通過(guò)檢查工具對(duì)其安全漏洞與脆弱性進(jìn)行發(fā)現(xiàn)和管理,,對(duì)可修復(fù)的漏洞進(jìn)行可行性驗(yàn)證與修復(fù),關(guān)閉不需要的默認(rèn)賬號(hào),、服務(wù),,進(jìn)行主機(jī)系統(tǒng)必要的安全加固,提升主機(jī)系統(tǒng)抗攻擊能力,。本次設(shè)計(jì)將考慮部署主機(jī)安全防護(hù)系統(tǒng)來(lái)對(duì)主機(jī)系統(tǒng)進(jìn)行必要的安全防護(hù),。
白名單的主動(dòng)防御機(jī)制可占用更小的系統(tǒng)計(jì)算資源,實(shí)現(xiàn)最大的防護(hù)效能??捎行У貙?shí)現(xiàn)主機(jī)防病毒,、防第三方軟件的非授權(quán)安裝與使用,主機(jī)系統(tǒng)外接口的管控,,USB外接存儲(chǔ)設(shè)備的認(rèn)證管控,、防病毒與操作行為審計(jì),為主機(jī)系統(tǒng)安全運(yùn)行提供必要的安全保障,。
本方案使用的主機(jī)安全防護(hù)系統(tǒng),,是工控主機(jī)系統(tǒng)專用的安全防護(hù)系統(tǒng),系統(tǒng)運(yùn)用白名單為主,,灰名單,、黑名單為輔的創(chuàng)新技術(shù)方式,監(jiān)控主機(jī)的進(jìn)程狀態(tài),、網(wǎng)絡(luò)端口狀態(tài),、USB端口狀態(tài),嚴(yán)格對(duì)主機(jī)進(jìn)行應(yīng)用進(jìn)程管控,、外接端口管控,、USB設(shè)備認(rèn)證與使用管理,以及操作行為管理,,強(qiáng)化工控主機(jī)的安全管理,,提升主機(jī)系統(tǒng)抗攻擊能力。
?。?)安全管理中心建設(shè)
在油氣管道工控系統(tǒng)網(wǎng)絡(luò)中組建安全管理域,,在此區(qū)域內(nèi)建設(shè)安全管理中心,部署油氣管道工控系統(tǒng)網(wǎng)絡(luò)的安全集中管控的技術(shù)措施,,包括賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)和工控信息安全監(jiān)管與分析平臺(tái)系統(tǒng)等集中安全管理平臺(tái)系統(tǒng),,實(shí)現(xiàn)安全風(fēng)險(xiǎn)管理、關(guān)聯(lián)分析,、安全可視化與聯(lián)動(dòng)處置的能力建設(shè),。基于企業(yè)集團(tuán)總部的全網(wǎng)安全管理需求,,面對(duì)一定生產(chǎn)規(guī)模的企業(yè)以及對(duì)生產(chǎn)網(wǎng)安全管理要求高的企業(yè),,把相關(guān)的日志等信息上傳給工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)系統(tǒng),實(shí)現(xiàn)全網(wǎng)安全風(fēng)險(xiǎn)的級(jí)聯(lián)式,、風(fēng)險(xiǎn)動(dòng)態(tài)可視化與預(yù)警聯(lián)動(dòng)處置,。
· 賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)
賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)(堡壘機(jī))部署在安全管理域內(nèi),通過(guò)代理模式部署,,作為系統(tǒng)運(yùn)維的統(tǒng)一入口,,實(shí)現(xiàn)系統(tǒng)運(yùn)維權(quán)限統(tǒng)一認(rèn)證管理以及操作行為審計(jì),。
賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)是針對(duì)系統(tǒng)運(yùn)維人員賬戶混亂、運(yùn)維訪問(wèn)目標(biāo)系統(tǒng)資源的權(quán)限不可管,、運(yùn)維行為不可控,、無(wú)安全審計(jì)措施等實(shí)際問(wèn)題而開(kāi)發(fā)的安全專用系統(tǒng),通過(guò)運(yùn)維人員賬戶集中管理,、登錄集中認(rèn)證授權(quán),、操作全程審計(jì)等技手段,實(shí)現(xiàn)目標(biāo)系統(tǒng)運(yùn)維可管,、可控,、可審計(jì),對(duì)運(yùn)維行為進(jìn)行監(jiān)管,,做到事中告警與事后行為追溯,。賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)可提供便攜式產(chǎn)品形態(tài),方便在不同場(chǎng)景下使用,,規(guī)范企業(yè)運(yùn)維人員對(duì)油氣管道工控網(wǎng)絡(luò)中各系統(tǒng)的運(yùn)維操作,。
· 工控信息安全監(jiān)管與分析平臺(tái)系統(tǒng)
在油氣管道工控系統(tǒng)網(wǎng)絡(luò)中的安全管理域內(nèi)部署工控信息安全監(jiān)管與分析平臺(tái)系統(tǒng)(工控安全管理平臺(tái)),實(shí)現(xiàn)全網(wǎng)安全系統(tǒng)的狀態(tài)監(jiān)控,,安全風(fēng)險(xiǎn)的集中收集,、存儲(chǔ)、關(guān)聯(lián)分析與可視化,、安全風(fēng)險(xiǎn)集中處置等集中安全管理功能,。
此平臺(tái)系統(tǒng)不僅可監(jiān)控安全系統(tǒng)的運(yùn)行狀態(tài),還可以對(duì)安全系統(tǒng)進(jìn)行安全策略配置與調(diào)整,,總體實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)體系的防護(hù)效能,。
工控信息安全監(jiān)管與分析平臺(tái)系統(tǒng)是整個(gè)油氣管道工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的大腦,是安全管理中心建設(shè)的核心平臺(tái)系統(tǒng),,是安全運(yùn)維人員日常查看操作最多的系統(tǒng)平臺(tái)。
平臺(tái)系統(tǒng)具有強(qiáng)大安全管理功能,,支持級(jí)聯(lián)部署,,解決企業(yè)生產(chǎn)廠區(qū)分散的網(wǎng)絡(luò)安全集中管理的需求,實(shí)現(xiàn)安全風(fēng)險(xiǎn)統(tǒng)一管理,、分析展示與聯(lián)動(dòng)處置的管理能力,。同時(shí),本級(jí)平臺(tái)系統(tǒng)可以作為上級(jí)安全運(yùn)營(yíng)中心平臺(tái)系統(tǒng)的管理節(jié)點(diǎn),,形成覆蓋全網(wǎng)的安全運(yùn)營(yíng)能力,。
(5)安全管理體系建設(shè)
· 安全管理制度
主要包括管理制度的制定和發(fā)布,、評(píng)審和修訂,。要求形成網(wǎng)絡(luò)安全管理制度體系,對(duì)管理制度的制定要求和發(fā)布過(guò)程進(jìn)一步嚴(yán)格和規(guī)范,對(duì)安全制度的評(píng)審和修訂要求領(lǐng)導(dǎo)小組負(fù)責(zé),。
· 安全管理機(jī)構(gòu)
主要包括崗位設(shè)置,、人員配備、授權(quán)和審批,、溝通和合作以及審核和檢查等,。對(duì)于崗位設(shè)置,不僅要求設(shè)置網(wǎng)絡(luò)安全的職能部門,,而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的網(wǎng)絡(luò)安全全局工作,。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與合作方面加強(qiáng)了與外部組織的溝通和合作,,并聘用安全顧問(wèn),。同時(shí)對(duì)審核和檢查工作進(jìn)一步規(guī)范。
· 安全管理人員
對(duì)人員安全的管理,,主要涉及兩方面:對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理,。具體包括人員錄用、人員離崗,、人員考核,、安全意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)管理等,。增強(qiáng)對(duì)關(guān)鍵崗位人員的錄用,、離崗和考核要求,對(duì)人員的培訓(xùn)教育更具有針對(duì)性,,外部人員訪問(wèn)要求更具體,。
· 安全建設(shè)管理
系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付等三方面考慮,,具體包括系統(tǒng)定級(jí),、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用,、自行軟件開(kāi)發(fā),、外包軟件開(kāi)發(fā)、工程實(shí)施,、測(cè)試驗(yàn)收,、系統(tǒng)交付、系統(tǒng)備案,、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇等,。對(duì)建設(shè)過(guò)程的各項(xiàng)活動(dòng)都要求進(jìn)行制度化規(guī)范,按照制度要求開(kāi)展活動(dòng),。對(duì)建設(shè)前的安全方案提出體系化要求,,并加強(qiáng)了對(duì)其的論證工作,。
· 安全運(yùn)維管理
隨著工控行業(yè)信息化建設(shè)的不斷推進(jìn)及信息技術(shù)的廣泛應(yīng)用,隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也愈發(fā)突出,,以風(fēng)險(xiǎn)管控為主線,,安全效益為導(dǎo)向,風(fēng)險(xiǎn)相關(guān)法律,、法規(guī)和理論方法為依據(jù),,安全信息化、自動(dòng)化技術(shù)為手段,,建立起工控安全運(yùn)維體系,,前期安全建設(shè)工作將更行之有效。
3 案例亮點(diǎn)
?。?)采用先進(jìn)安全防護(hù)技術(shù)提升企業(yè)工控安全防護(hù)能力
本方案采用工業(yè)協(xié)議深度解析技術(shù),、智能學(xué)習(xí)技術(shù)、白名單主動(dòng)防御技術(shù)和威脅管理無(wú)損技術(shù),,并結(jié)合公司自有的工業(yè)漏洞庫(kù),、設(shè)備指紋庫(kù),通過(guò)制定有效的安全策略和安全集中分析管控手段,,在保證穩(wěn)定運(yùn)行的前提下,,對(duì)工控系統(tǒng)運(yùn)行提供必要的網(wǎng)絡(luò)安全保障,為企業(yè)工控網(wǎng)絡(luò)安全保駕護(hù)航,。
?。?)完善組織OT內(nèi)控體系,滿足合規(guī)需求
本方案在設(shè)計(jì)時(shí),,參照了國(guó)家等級(jí)保護(hù)相關(guān)規(guī)范要求,,并按照企業(yè)當(dāng)前的工控系統(tǒng)信息化建設(shè)程度來(lái)提出符合實(shí)際需求的解決方案,從OT應(yīng)用控制,、OT一般控制,、OT審計(jì)等三個(gè)維度來(lái)打造合規(guī)的OT控制體系。
?。?)工控安全產(chǎn)品性能達(dá)到國(guó)內(nèi)領(lǐng)先水平
獨(dú)有的專利技術(shù)的全機(jī)柜一體化解決方案,;松耦合的安全框架設(shè)計(jì)具有極好的設(shè)備兼容性;一體化安全產(chǎn)品管理機(jī)制,。網(wǎng)絡(luò)接入支持IPv6、IPsecVPN,、可視化監(jiān)控,、協(xié)議規(guī)定的自定義、接口聯(lián)動(dòng),、熱備機(jī)制,、Bypass,、低延時(shí)等高可用性設(shè)計(jì),真正做到了對(duì)工業(yè)網(wǎng)絡(luò)零影響,。
?。?)自主可控的安全產(chǎn)品
與同類別方案相比增加的相關(guān)設(shè)備所采集的信息更加全面,也更具合規(guī)性,,能完全適應(yīng)工控系統(tǒng)安全防護(hù)對(duì)穩(wěn)定性與機(jī)密性的共同需求,。方案中所有信息安全產(chǎn)品均為國(guó)產(chǎn)自主產(chǎn)品,可控性強(qiáng),,安全產(chǎn)品聯(lián)動(dòng)安全性更高,,并可提供定制化的功能開(kāi)發(fā),方便支撐不斷迭代升級(jí),。
?。?)可信計(jì)算的融合技術(shù)
設(shè)備上加裝PCI可信控制卡,實(shí)現(xiàn)可信功能,。主要包括基于可信根對(duì)設(shè)備的BootLoader,、操作系統(tǒng)和應(yīng)用程序等進(jìn)行可信驗(yàn)證;基于SM3對(duì)設(shè)備的BootLoader,、操作系統(tǒng)和應(yīng)用程序等進(jìn)行可信驗(yàn)證,;對(duì)系統(tǒng)中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進(jìn)行可信驗(yàn)證,;對(duì)設(shè)備的網(wǎng)絡(luò)通信進(jìn)行可信動(dòng)態(tài)度量,,監(jiān)測(cè)異常通信行為;將可信驗(yàn)證結(jié)果形成審計(jì)記錄并發(fā)送至安管平臺(tái),;安管平臺(tái)處理所有安全設(shè)備上報(bào)的可信狀態(tài)值,,并呈現(xiàn)整個(gè)安全防護(hù)系統(tǒng)的可信狀況。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<