案例丨安全應(yīng)用于民生,助力城市智慧燃?xì)夤た匕踩雷o(hù)
1、項目概況
燃?xì)鈴V泛應(yīng)用于居民生活、工商業(yè)、發(fā)電、交通運輸、分布式能源等多個領(lǐng)域,是城市發(fā)展不可或缺的重要能源;燃?xì)庑袠I(yè)的蓬勃發(fā)展,相對應(yīng)的基礎(chǔ)設(shè)施增多,城市燃?xì)馄髽I(yè)建立對應(yīng)的城市管理系統(tǒng)SCADA,實現(xiàn)對燃?xì)夤芫€、燃?xì)廨敋庹尽⑷細(xì)鈨湔镜倪h(yuǎn)程管理,集中控制、數(shù)據(jù)自動實時采集、事故報警、參數(shù)調(diào)整、氣量調(diào)節(jié)等管理功能等,隨著現(xiàn)代計算機技術(shù)和自動化技術(shù)在管道燃?xì)庑袠I(yè)的廣泛應(yīng)用,如何實現(xiàn)燃?xì)庀到y(tǒng)工業(yè)信息安全,保障城市的燃?xì)獍踩婪渡婕皣嬅裆闹匾獢?shù)據(jù)泄漏,顯得日趨重要。六方云結(jié)合多年行業(yè)經(jīng)驗和自身技術(shù)研究,面向燃?xì)庑袠I(yè)提出“分區(qū)分級、本體保護(hù)、智能分析、集中管控”的防護(hù)思想,創(chuàng)新性的采用“AI基因,威脅免疫”的技術(shù)理念,全面賦能燃?xì)庑袠I(yè)工控安全防護(hù)建設(shè),為民生工程保駕護(hù)航。
2、項目需求分析
工業(yè)控制系統(tǒng)在發(fā)展初期,由于相關(guān)軟件、硬件、控制網(wǎng)絡(luò)具有專一性,封閉性的特點,工業(yè)控制信息安全一度沒有得到人們的重視。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)越來越多地兼容通用協(xié)議、固件和軟件中間產(chǎn)品,并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬、黑客對工業(yè)控制系統(tǒng)攻擊逐漸增多,工業(yè)控制系統(tǒng)信息安全問題日益突出:
■ 辦公內(nèi)網(wǎng)與生產(chǎn)網(wǎng)(門站控制網(wǎng)、場站控制網(wǎng)、儲備站控制、調(diào)度中心網(wǎng)絡(luò)、)沒有劃分安全域,內(nèi)網(wǎng)、互聯(lián)網(wǎng)、生產(chǎn)網(wǎng)采用運營商專線混雜一張網(wǎng)中,極易造成病毒的廣泛傳播,對生產(chǎn)網(wǎng)絡(luò)造成沖擊;
■ 戶用燃?xì)獗硗ㄟ^無線物聯(lián)網(wǎng)卡通過運營商的物聯(lián)網(wǎng)平臺上傳至公司級數(shù)據(jù)處理平臺,為賬務(wù)結(jié)算、氣量調(diào)配帶來便利,與此同時也帶來一定的風(fēng)險,容易造成來自運營商物聯(lián)網(wǎng)平臺非法數(shù)據(jù)包的干擾和攻擊,對數(shù)據(jù)處理平臺造成安全風(fēng)險。
■ 調(diào)度中心SCADA系統(tǒng)通訊一般采用Modbus TCP/IP協(xié)議和OPC協(xié)議實時采集天然氣站場數(shù)據(jù),遠(yuǎn)程控制閥門開關(guān),并利用用光纖或運營商專線的通訊方式將數(shù)據(jù)傳輸至調(diào)度中心,通訊數(shù)據(jù)格式未加密,容易被竊聽、篡改以及偽造,攻擊人員可以利用偽造的數(shù)據(jù)命令對天燃?xì)庹緢鲈O(shè)備進(jìn)行錯誤操作,從而引發(fā)安全事故,甚至可以構(gòu)造畸形數(shù)據(jù)包,導(dǎo)致PLC/RTU設(shè)備以及上位機設(shè)備崩潰。
■ 調(diào)度中心的SCADA系統(tǒng)的服務(wù)器和各個控制站級儲備站的工控主機多采用基于Windos的操作系統(tǒng),其操作系統(tǒng)存在已知漏洞和未知漏洞,并且無法通過升級打補丁的方式進(jìn)行更新,極易為黑客攻擊和病毒攻擊造成可成之機;同時存在一些開放端口未關(guān)閉、USB端口管理不善和使用遠(yuǎn)程控制軟件的情況,給病毒傳播帶來傳播路徑。
■ 生產(chǎn)工控網(wǎng)絡(luò)內(nèi)部可能存在的非法操作、誤操作和惡意行為,缺乏審計手段,需要采取有效的安全審計措施,對風(fēng)險事件追蹤溯源。
3、六方云智慧燃?xì)夤た匕踩雷o(hù)解決方案
(1)縱向分層橫向分域,劃分區(qū)域邊界,加強邊界防護(hù)
在場站/閥室、儲備站、門站邊界、調(diào)度中心邊界部署工業(yè)防火墻,采取有針對性的、適應(yīng)工業(yè)環(huán)境的安全防護(hù)措施,通過隔離、過濾、訪問控制等措施實現(xiàn)有效的邊界防護(hù),建立清晰的安全防護(hù)邊界,實現(xiàn)有效隔離,使網(wǎng)絡(luò)層次更加清晰,阻止網(wǎng)絡(luò)攻擊在不同區(qū)域間滲透,阻止蠕蟲病毒網(wǎng)絡(luò)間的傳播感染;
場站/閥室、儲備站、門站邊界工業(yè)防火墻與調(diào)度中心的工業(yè)防火墻之間通過IPsecVPN功能建立加密隧道,對傳輸?shù)腟CADA數(shù)據(jù)進(jìn)行加密防止數(shù)據(jù)被竊聽和篡改。
公司級數(shù)據(jù)處理平臺與運營商的物聯(lián)網(wǎng)平臺之間部署工業(yè)防火墻,利用工業(yè)協(xié)議白名單對來自物聯(lián)網(wǎng)平臺的數(shù)據(jù)包進(jìn)行過濾,只允許戶用燃?xì)獗淼臄?shù)據(jù)包通過,其他數(shù)據(jù)包一律拒絕,從而最小限度的保障數(shù)據(jù)處理平臺不被非法數(shù)據(jù)包沖擊;這就要求工業(yè)防火墻需要具備對物聯(lián)網(wǎng)協(xié)議深度解析的功能,以保障良好效果。
(2)基于白名單的技術(shù),工業(yè)主機安全加固:
在各個站場的工控主機上安裝工業(yè)主機衛(wèi)士軟件搭建基于工控系統(tǒng)主機的入侵防護(hù)機制,提升主機安全防護(hù)水平,有效防止病毒攻擊、木馬攻擊、惡意程序阻止、未授權(quán)的應(yīng)用程序和服務(wù)阻止,及時識別惡意病毒并告警。
(3)控制協(xié)議實時檢測,操作行為審計記錄,事件及時告警:
在各個場站及調(diào)度中心交換機旁路部署工業(yè)審計與入侵檢測系統(tǒng),對網(wǎng)絡(luò)通信流量進(jìn)行有效監(jiān)視和威脅檢測,對協(xié)議連接信息、上載、下載、請求、讀響應(yīng)、寫請求、寫響應(yīng)等操作的深度進(jìn)行檢測與審計,確保操作行為的合法性;對向內(nèi)網(wǎng)發(fā)送的生產(chǎn)數(shù)據(jù)非法收集指令、惡意攻擊行為等進(jìn)行告警和審計,為網(wǎng)絡(luò)安全管理人員提供線索依據(jù)和事件還原功能,對于違規(guī)操縱和網(wǎng)絡(luò)攻擊行為實時告警。
(4)統(tǒng)一安全管理中心,提高集中管控能力:
在公司級調(diào)度中心部署監(jiān)管平臺,實現(xiàn)對各個場站的工控安全設(shè)備和工業(yè)主機衛(wèi)士軟件的統(tǒng)一集中管理,提升設(shè)備運維效率,降低出錯風(fēng)險,實現(xiàn)安全風(fēng)險從發(fā)現(xiàn)到預(yù)警、到處置的流程閉環(huán),通過貼近用戶場景的科技感大屏,幫助用戶全方位地了解當(dāng)前網(wǎng)絡(luò)的資產(chǎn)分布和威脅態(tài)勢。
4、應(yīng)用效果
縱深防御,體系化建設(shè),提升綜合運營能力
通過完善縱深防御安全防護(hù)建設(shè),切實提升了燃?xì)夤芫W(wǎng)的工業(yè)網(wǎng)絡(luò)安全防護(hù)能力,實現(xiàn)了調(diào)度中心—場站,場站—場站的全面檢測和防護(hù),形成了體系化的縱深安全防護(hù)機制,滿足安全業(yè)務(wù)的需求;
SCADA系統(tǒng)協(xié)同防護(hù),提升運營效率
通過多種手段建設(shè)覆蓋燃?xì)膺\輸管道工業(yè)控制系統(tǒng)全生命周期安全防護(hù),提高燃?xì)夤艿肋\輸SCADA系統(tǒng)的整體網(wǎng)絡(luò)安全性,實現(xiàn)了整體網(wǎng)絡(luò)協(xié)同防護(hù),保護(hù)核心數(shù)據(jù),確保工控網(wǎng)絡(luò)穩(wěn)定、可靠、安全運行。
等保關(guān)保合規(guī),經(jīng)濟(jì)性價比高
基于安全防護(hù)最小化、最優(yōu)化原則,設(shè)計合理,成本低廉;滿足等級保護(hù)2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求,為能源關(guān)鍵基礎(chǔ)設(shè)施保護(hù)保駕護(hù)航。
?
來源:IT時代網(wǎng)
IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機現(xiàn)在也是全球銷量不錯,國內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實不錯。- 小何三星手機在中國還有市場嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現(xiàn)在也沒有之前那么火了,,補貼也少了。。
來自: 【人物】滴滴創(chuàng)始人程維回顧與Uber競爭:中國互聯(lián)網(wǎng)從來沒有輸過--IT時代網(wǎng)
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來自: 少年頭條對壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時代網(wǎng)