案例丨安全應(yīng)用于民生，助力城市智慧燃?xì)夤た匕踩雷o(hù)

1、項(xiàng)目概況

燃?xì)鈴V泛應(yīng)用于居民生活、工商業(yè)、發(fā)電、交通運(yùn)輸、分布式能源等多個(gè)領(lǐng)域，是城市發(fā)展不可或缺的重要能源；燃?xì)庑袠I(yè)的蓬勃發(fā)展，相對(duì)應(yīng)的基礎(chǔ)設(shè)施增多，城市燃?xì)馄髽I(yè)建立對(duì)應(yīng)的城市管理系統(tǒng)SCADA，實(shí)現(xiàn)對(duì)燃?xì)夤芫€、燃?xì)廨敋庹尽⑷細(xì)鈨?chǔ)備站的遠(yuǎn)程管理，集中控制、數(shù)據(jù)自動(dòng)實(shí)時(shí)采集、事故報(bào)警、參數(shù)調(diào)整、氣量調(diào)節(jié)等管理功能等，隨著現(xiàn)代計(jì)算機(jī)技術(shù)和自動(dòng)化技術(shù)在管道燃?xì)庑袠I(yè)的廣泛應(yīng)用，如何實(shí)現(xiàn)燃?xì)庀到y(tǒng)工業(yè)信息安全，保障城市的燃?xì)獍踩婪渡婕皣?guó)計(jì)民生的重要數(shù)據(jù)泄漏，顯得日趨重要。六方云結(jié)合多年行業(yè)經(jīng)驗(yàn)和自身技術(shù)研究，面向燃?xì)庑袠I(yè)提出“分區(qū)分級(jí)、本體保護(hù)、智能分析、集中管控”的防護(hù)思想，創(chuàng)新性的采用“AI基因，威脅免疫”的技術(shù)理念，全面賦能燃?xì)庑袠I(yè)工控安全防護(hù)建設(shè)，為民生工程保駕護(hù)航。

2、項(xiàng)目需求分析

工業(yè)控制系統(tǒng)在發(fā)展初期，由于相關(guān)軟件、硬件、控制網(wǎng)絡(luò)具有專(zhuān)一性，封閉性的特點(diǎn)，工業(yè)控制信息安全一度沒(méi)有得到人們的重視。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)越來(lái)越多地兼容通用協(xié)議、固件和軟件中間產(chǎn)品，并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬、黑客對(duì)工業(yè)控制系統(tǒng)攻擊逐漸增多，工業(yè)控制系統(tǒng)信息安全問(wèn)題日益突出：

■ 辦公內(nèi)網(wǎng)與生產(chǎn)網(wǎng)（門(mén)站控制網(wǎng)、場(chǎng)站控制網(wǎng)、儲(chǔ)備站控制、調(diào)度中心網(wǎng)絡(luò)、）沒(méi)有劃分安全域，內(nèi)網(wǎng)、互聯(lián)網(wǎng)、生產(chǎn)網(wǎng)采用運(yùn)營(yíng)商專(zhuān)線混雜一張網(wǎng)中，極易造成病毒的廣泛傳播，對(duì)生產(chǎn)網(wǎng)絡(luò)造成沖擊；

■ 戶(hù)用燃?xì)獗硗ㄟ^(guò)無(wú)線物聯(lián)網(wǎng)卡通過(guò)運(yùn)營(yíng)商的物聯(lián)網(wǎng)平臺(tái)上傳至公司級(jí)數(shù)據(jù)處理平臺(tái)，為賬務(wù)結(jié)算、氣量調(diào)配帶來(lái)便利，與此同時(shí)也帶來(lái)一定的風(fēng)險(xiǎn)，容易造成來(lái)自運(yùn)營(yíng)商物聯(lián)網(wǎng)平臺(tái)非法數(shù)據(jù)包的干擾和攻擊，對(duì)數(shù)據(jù)處理平臺(tái)造成安全風(fēng)險(xiǎn)。

■ 調(diào)度中心SCADA系統(tǒng)通訊一般采用Modbus TCP/IP協(xié)議和OPC協(xié)議實(shí)時(shí)采集天然氣站場(chǎng)數(shù)據(jù)，遠(yuǎn)程控制閥門(mén)開(kāi)關(guān)，并利用用光纖或運(yùn)營(yíng)商專(zhuān)線的通訊方式將數(shù)據(jù)傳輸至調(diào)度中心，通訊數(shù)據(jù)格式未加密，容易被竊聽(tīng)、篡改以及偽造，攻擊人員可以利用偽造的數(shù)據(jù)命令對(duì)天燃?xì)庹緢?chǎng)設(shè)備進(jìn)行錯(cuò)誤操作，從而引發(fā)安全事故，甚至可以構(gòu)造畸形數(shù)據(jù)包，導(dǎo)致PLC/RTU設(shè)備以及上位機(jī)設(shè)備崩潰。

■ 調(diào)度中心的SCADA系統(tǒng)的服務(wù)器和各個(gè)控制站級(jí)儲(chǔ)備站的工控主機(jī)多采用基于Windos的操作系統(tǒng)，其操作系統(tǒng)存在已知漏洞和未知漏洞，并且無(wú)法通過(guò)升級(jí)打補(bǔ)丁的方式進(jìn)行更新，極易為黑客攻擊和病毒攻擊造成可成之機(jī)；同時(shí)存在一些開(kāi)放端口未關(guān)閉、USB端口管理不善和使用遠(yuǎn)程控制軟件的情況，給病毒傳播帶來(lái)傳播路徑。

■ 生產(chǎn)工控網(wǎng)絡(luò)內(nèi)部可能存在的非法操作、誤操作和惡意行為，缺乏審計(jì)手段，需要采取有效的安全審計(jì)措施，對(duì)風(fēng)險(xiǎn)事件追蹤溯源。

3、六方云智慧燃?xì)夤た匕踩雷o(hù)解決方案

（1）縱向分層橫向分域，劃分區(qū)域邊界，加強(qiáng)邊界防護(hù)

在場(chǎng)站/閥室、儲(chǔ)備站、門(mén)站邊界、調(diào)度中心邊界部署工業(yè)防火墻，采取有針對(duì)性的、適應(yīng)工業(yè)環(huán)境的安全防護(hù)措施，通過(guò)隔離、過(guò)濾、訪問(wèn)控制等措施實(shí)現(xiàn)有效的邊界防護(hù)，建立清晰的安全防護(hù)邊界，實(shí)現(xiàn)有效隔離，使網(wǎng)絡(luò)層次更加清晰，阻止網(wǎng)絡(luò)攻擊在不同區(qū)域間滲透，阻止蠕蟲(chóng)病毒網(wǎng)絡(luò)間的傳播感染；

場(chǎng)站/閥室、儲(chǔ)備站、門(mén)站邊界工業(yè)防火墻與調(diào)度中心的工業(yè)防火墻之間通過(guò)IPsecVPN功能建立加密隧道，對(duì)傳輸?shù)腟CADA數(shù)據(jù)進(jìn)行加密防止數(shù)據(jù)被竊聽(tīng)和篡改。

公司級(jí)數(shù)據(jù)處理平臺(tái)與運(yùn)營(yíng)商的物聯(lián)網(wǎng)平臺(tái)之間部署工業(yè)防火墻，利用工業(yè)協(xié)議白名單對(duì)來(lái)自物聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)包進(jìn)行過(guò)濾，只允許戶(hù)用燃?xì)獗淼臄?shù)據(jù)包通過(guò)，其他數(shù)據(jù)包一律拒絕，從而最小限度的保障數(shù)據(jù)處理平臺(tái)不被非法數(shù)據(jù)包沖擊；這就要求工業(yè)防火墻需要具備對(duì)物聯(lián)網(wǎng)協(xié)議深度解析的功能，以保障良好效果。

（2）基于白名單的技術(shù)，工業(yè)主機(jī)安全加固：

在各個(gè)站場(chǎng)的工控主機(jī)上安裝工業(yè)主機(jī)衛(wèi)士軟件搭建基于工控系統(tǒng)主機(jī)的入侵防護(hù)機(jī)制，提升主機(jī)安全防護(hù)水平，有效防止病毒攻擊、木馬攻擊、惡意程序阻止、未授權(quán)的應(yīng)用程序和服務(wù)阻止，及時(shí)識(shí)別惡意病毒并告警。

（3）控制協(xié)議實(shí)時(shí)檢測(cè)，操作行為審計(jì)記錄，事件及時(shí)告警：

在各個(gè)場(chǎng)站及調(diào)度中心交換機(jī)旁路部署工業(yè)審計(jì)與入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)通信流量進(jìn)行有效監(jiān)視和威脅檢測(cè)，對(duì)協(xié)議連接信息、上載、下載、請(qǐng)求、讀響應(yīng)、寫(xiě)請(qǐng)求、寫(xiě)響應(yīng)等操作的深度進(jìn)行檢測(cè)與審計(jì)，確保操作行為的合法性；對(duì)向內(nèi)網(wǎng)發(fā)送的生產(chǎn)數(shù)據(jù)非法收集指令、惡意攻擊行為等進(jìn)行告警和審計(jì)，為網(wǎng)絡(luò)安全管理人員提供線索依據(jù)和事件還原功能，對(duì)于違規(guī)操縱和網(wǎng)絡(luò)攻擊行為實(shí)時(shí)告警。

（4）統(tǒng)一安全管理中心，提高集中管控能力：

在公司級(jí)調(diào)度中心部署監(jiān)管平臺(tái)，實(shí)現(xiàn)對(duì)各個(gè)場(chǎng)站的工控安全設(shè)備和工業(yè)主機(jī)衛(wèi)士軟件的統(tǒng)一集中管理，提升設(shè)備運(yùn)維效率，降低出錯(cuò)風(fēng)險(xiǎn)，實(shí)現(xiàn)安全風(fēng)險(xiǎn)從發(fā)現(xiàn)到預(yù)警、到處置的流程閉環(huán)，通過(guò)貼近用戶(hù)場(chǎng)景的科技感大屏，幫助用戶(hù)全方位地了解當(dāng)前網(wǎng)絡(luò)的資產(chǎn)分布和威脅態(tài)勢(shì)。

4、應(yīng)用效果

縱深防御，體系化建設(shè)，提升綜合運(yùn)營(yíng)能力

通過(guò)完善縱深防御安全防護(hù)建設(shè)，切實(shí)提升了燃?xì)夤芫W(wǎng)的工業(yè)網(wǎng)絡(luò)安全防護(hù)能力，實(shí)現(xiàn)了調(diào)度中心—場(chǎng)站，場(chǎng)站—場(chǎng)站的全面檢測(cè)和防護(hù)，形成了體系化的縱深安全防護(hù)機(jī)制，滿(mǎn)足安全業(yè)務(wù)的需求；

SCADA系統(tǒng)協(xié)同防護(hù)，提升運(yùn)營(yíng)效率

通過(guò)多種手段建設(shè)覆蓋燃?xì)膺\(yùn)輸管道工業(yè)控制系統(tǒng)全生命周期安全防護(hù)，提高燃?xì)夤艿肋\(yùn)輸SCADA系統(tǒng)的整體網(wǎng)絡(luò)安全性，實(shí)現(xiàn)了整體網(wǎng)絡(luò)協(xié)同防護(hù)，保護(hù)核心數(shù)據(jù)，確保工控網(wǎng)絡(luò)穩(wěn)定、可靠、安全運(yùn)行。

等保關(guān)保合規(guī)，經(jīng)濟(jì)性?xún)r(jià)比高

基于安全防護(hù)最小化、最優(yōu)化原則，設(shè)計(jì)合理，成本低廉；滿(mǎn)足等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求，為能源關(guān)鍵基礎(chǔ)設(shè)施保護(hù)保駕護(hù)航。

?

來(lái)源：IT時(shí)代網(wǎng)

IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000，定時(shí)推送，互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專(zhuān)注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來(lái)自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。

相關(guān)文章

案例丨安全應(yīng)用于民生，助力城市智慧燃?xì)夤た匕踩雷o(hù)