新闻资讯
全部分类

关键信息基础设施的等保2.0之路 | 油气管道篇

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-07-09 09:58
  • 访问量:

【概要描述】请跟随天地和兴的脚步,共同走向关键信息基础设施等保2.0之路,亲授工业网络安全解决方案系列典籍——油气管道篇,助力关键信息基础设施工业网络安全能力新升级!

关键信息基础设施的等保2.0之路 | 油气管道篇

【概要描述】请跟随天地和兴的脚步,共同走向关键信息基础设施等保2.0之路,亲授工业网络安全解决方案系列典籍——油气管道篇,助力关键信息基础设施工业网络安全能力新升级!

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-07-09 09:58
  • 访问量:
详情

引言:2019年12月1日,《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。

 

  1.安全现状

  近年来,随着国内输油气管网的大规模建设,油气管网数据采集与监视控制系统SCADA的使用日益频繁,长输管道连接着上游的油气田板块,中、下游的炼化和销售板块产业链,是油气生产设施的重要组成部分。作为国家重要的基础设施和公用设施,油气管道承担了所有的天然气和近八成的油品输送任务,具有易燃、易爆和高压的特点,其安全运行非常重要。如何保证该系统安全、稳定的运行及管网调控系统的安全接入至关重要。当前油气管道企业生产控制系统普遍存在以下网络安全风险:

  • 油气管线 SCADA 系统地域分布广,基层站点多,具有“点多线长”的特点,多数中、小型站场位于野外,周边自然条件恶劣,无人值守,物理安全防护难度大,站场网络设备空闲端口多,存在非法接入的风险;
  • 油气管道 SCADA 系统大量使用基于 TCP /IP 的开放标准工控协议,使得攻击者能够通过公开的规范文档,理解 SCADA 网络协议的工作机制,通过构造控制命令,可直接威胁油气管道 SCADA 系统的正常运行;
  • 油气管道 SCADA 系统中的业务数据以明文形式传输,缺乏必要的安全防护措施,其机密性和完整性无法得到保证。油气管道生产数据在采集、传输、存储和应用环节都有可能被侵入网络和设备的攻击者轻松获得、更改,引起严重事故,造成不可估量的损失;
  • 油气管道 SCADA 系统在建设过程中主要考虑可靠性,很少部署采取安全加固措施的定制系统,而是较多选择通用软、硬件产品,这样做虽然大大降低了设计和建设成本,但同时也带来了潜在风险;
  • 基于地域和通信成本的考虑,长输管线各站场 SCADA 系统往往使用沿管线环状光纤互联,串行组网,注重可靠性保障,忽视安全防护,整体网络结构呈现扁平化特点,管线 SCADA 系统各子网之间缺乏必要的隔离措施;
  • 管道板块工控设备在维修时存在便携式计算机的接入问题,没有达到一定安全基线的便携式计算机接入工控系统,会造成安全威胁。

 

  2.解决方案

  面以上安全风险,天地和兴做了深入的调查与研究,为油气管网SCADA系统提供全生命周期的网络安全解决方案。

  01 风险评估方案

  风险评估是全面了解与验证在实际应用中存在的各种风险的一种必要手段,是安全防护体系建设的前提。我方通过科学的运用网络安全风险评估方法,参照相关国家、行业标准对物理环境、通信网络、区域边界、计算环境、管理中心以及管理体系等方面进行全面的安全评估。从而最大限度地提升油气管道关键业务信息系统的安全保障能力,为企业全面掌握风险,为后续网络安全建设提供数据支撑。

 

  

资产等级及含义

 

  02 安全防护方案

  遵照国家网络安全等级保护及行业标准相关要求,本方案以“一个中心、三重防护”为指导思想,设计构建油气管网SCADA系统网络安全防护技术体系,帮助用户完善安全管理体系,满足等保合规性要求的基础上,对油气管网SCADA系统安全运行提供必要的安全防护能力。通过部署工控防火墙、工控安全审计平台、入侵检测系统、信息安全监管与分析系统等安全防护产品,提升生产控制系统网络整体防护能力,部署示意图如下:

 

  

  安全通信网络:优化网络结构,划分安全域,在SCADA系统与外部系统互联边界上串行部署工业安全隔离与信息交换系统(工业网闸),实现SCADA系统与外部系统的隔离与数据安全交换。在调控中心与站控中心广域网链路上部署VPN网关系统,实现链路加密,保证广域网数据通信的安全性。

  安全区域边界:在油气管道工控网络中的本地站控、调控中心等边界串行部署工控防火墙系统,保护站控系统和调控中心运行的安全;通过在调控中心核心交换机上选择旁路部署入侵检测系统、威胁检测系统,实时监测SCADA系统网络中、核心数据服务安全域的异常行为并进行分析并告警;在各站控系统部署工控安全审计系统,对通信数据进行合规性检查,对异常行为、违规操作行为进行识别、审计告警,辅助运维人员进行处置。

  安全计算环境:在工程师站、历史站、操作员站等主机系统上部署主机防护系统,确保主机身份鉴别、访问控制、恶意代码防范、入侵防范得到有效控制;在各站控系统和调控中心管理主机操作域内部署USB安全隔离系统,实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能,保护系统USB拷贝数据的安全。

  安全管理中心:在油气管网工控网络中新建安全管理域,部署工控安全监管平台、运维审计系统、日志审计与分析系统以及工控安全检查工具,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,对重要操作行为进行记录、分析,及时发现各种违规行为以及病毒、黑客的攻击行为,同时实现全网资产无损扫描识别与管理,资产漏洞匹配与统计报告等安全集中管理能力。

  03 安全检查方案

  建立生产监控系统定期安全检查和整改工作机制,每年至少自行开展一次安全检查,依据发现问题需制定整改计划及措施,并将整改情况上报主管单位和集团公司。等级保护定级为三级的系统,除每年自行开展一次安全检查外,还将按照等级保护要求,做好安全评估及整改工作。配合上级部门每年抽检,并协助开展生产监控系统网络安全专项检查,最终对检查结果进行通报。

  04 应急演练方案

  建立健全网络安全运行应急工作机制,检验网络安全综合应急预案和业务技术专项应急预案的有效性,验证相关组织和人员应对网络安全突发事件的组织指挥能力和应急处置能力,保证各项应急指挥调度工作迅速、高效、有序地进行,满足突发情况下网络与信息系统运行保障和故障恢复的需要,确保信息系统安全畅通。同时通过演练,不断提高各部门开展应急工作的水平和效率,发现预案不足,进一步完善应急预案。当系统发生变化时,及时组织对应急处置预案进行评估,根据实际情况适时修改并进行演练,形成快速反应、快速处置的能力。确保当出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,立即向上级单位、当地政府相应部门及集团公司报告,同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场,以便进行调查取证和分析。最后制定安全防护事件通报制度,将有关安全问题做好记录。定期向上级单位报送安全防护情况,并及时上报安全防护出现的异常现象。

  05 安全服务方案

  天地和兴专业化的安全服务团队可为用户提供安全咨询、安全评估、运维管理、安全检查、等保预测评、安全保障等专业级安全服务,帮助用户解决项目前期调研、评估、规划,后期安全培训、运维、应急保障等一系列安全服务内容,提升工业网络安全专业技能与运维管理能力。

  06 安全运营方案

  安全运营的好坏直接影响工控系统网络安全防护体系的防护效能。定期针对现有的业务以及外界的形势不断挖掘自身存在的问题和风险,修复或采用补偿性措施建立综合网络安全防控能力,形成长效机制,定期进行安全培训以提升企业业务操作人员的安全意识与风险管控能力。编制应急预案并定期进行演练与修正,提高企业面对安全风险的应急响应能力。

 

  3.总结

  本方案以油气管网工控系统应用为场景,构建整体网络安全防护方案,包括网络安全评估方案、网络安全建设方案、网络安全运营方案,落实国家等级保护“一个中心、三重防护”的安全理念与安全架构要求,解决油气管道企业工控系统在联网运行中所面临的网络安全建设与运营过程的困扰,系统地为企业提供包括安全服务、安全建设、安全运营在内的工业网络安全全生命周期的解决方案,为业务系统安全运行保驾护航。

关键词:

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号