能源石化行业典型安全解决方案.pdf

《能源石化行业典型安全解决方案.pdf》由会员分享，可在线阅读，更多相关《能源石化行业典型安全解决方案.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 4能源石化行业典型安全解决方案能源石化行业典型安全解决方案 智慧能源是基于互联网技术体系，综合利用物联网、云计算、大数据等信息通信技术对各种能源的生产、存储、输送、使用进行监测、控制、运营等，将能效技术与智能技术相结合，实现能源的高效使用，更好地解决能源节约和应对气候变化等问题。本案例汇编包括四个能源石化行业的典型安全解决方案。4.1 案例一：某环保局典型安全解决方案案例一：某环保局典型安全解决方案 4.1.1 案例概述案例概述 随着我国经济的发展，对能源的消耗不断增加，导致环境污染问题愈加突出。为配合国家关于节能减排、能源的监控与管理要求，某北部省的一个省会城市开展了节能减排监控管理平台的

2、建设工作，该平台是把所有电力、钢铁、烟草等制造企业端的能源数据通过基于无线传感器物联网的监测数据采集上来，实现制造企业的能耗、减排的指标进行监控和管理。为满足企业端与市级平台安全对接，保证企业网与市节能减排监控管理平台网络安全隔离的基础上，上传监控数据。涉及 250 多家的该市的制造企业端将通过在边界安全区部署工业安全隔离网闸来完成这一目标。4.1.2 典型安全需求典型安全需求 由于本项目接入的制造企业诸多，一方面不要因与各企业连接而传入病毒、恶意代码等，另一方面需要准确的接收来自各企业的数据。具体需求包括：（1）支持电力、钢铁、烟草等制造企业端各类工控组件产生的工业监测数据（如 Modbus

3、 等协议）通过安全隔离网闸上传至市节能减排监控管理平台中；（2）工业安全隔离网闸须能够满足应用层单向隔离的情况下，实现工业监测数据的上传；（3）工业专用的无线传感器设备能够直接通过安全隔离网闸进行单向数工业互联网典型安全解决方案案例汇编 V1.0 据传输；（4）支持应用层数据单向传输，能够自定义 TCP 应答报文限制。（粒度 1个字节）（5）支持 TCP、UDP 自定义访问通道，支持源地址、目的地址、目的端口的访问控制，支持生效时段控制策略、提供访问任务的单独启停控制。UDP 协议支持组播。（6）支持内、外网主机系统分别采用冗余双系统启动模式:当 A 系统运行失败后，能从 B 系统启动，且 A

4、、B 系统可互为备份。（7）支持 IPV6、IPV4 双栈接入，内外网主机之间采用私有通讯协议。4.1.3 安全解决方案安全解决方案 该项目中传感器采用了 LoRa 采集终端和网关，传感器系统通过 UART 口与终端连接，传感器系统将电机计量数据透明传输给终端，终端将自动上传电机数据到网关。传输数据时采用了 MODBUS 协议。针对上述需求，通过大量的测试对比，最终选择了工控安全隔离与信息交换系统，部署在各企业接收器端，详细网络拓扑图如下所示：图 20 工控安全隔离与信息交换系统部署拓扑图 最终满足了需求里的全部内容，实现了各制造企业端各类工控组件产生的工业监测数据（如 Modbus 等协议）

5、通过安全隔离网闸上传至市节能减排监控管理平台中；实现了如下效果：（1）应用层数据单向传输，能够自定义 TCP 应答报文限制。（粒度 1 个字节）。图 21 网闸配置界面 1（2）TCP、UDP 访问通道，支持源地址、目的地址、目的端口的访问控制，支持生效时段控制策略、提供访问任务的单独启停控制。图 22 网闸配置界面 2 （3）同时为防止系统故障，设置了内、外网主机系统分别采用冗余双系统启动模式:当 A 系统运行失败后，能从 B 系统启动，且 A、B 系统可互为备份。图 23 网闸配置界面 3（4）为保障自身隔离设备的安全，还提供了 IPV6、IPV4 双栈接入，内外网主机之间采用私有通讯协议

6、。图 24 网闸配置界面 4 4.1.4 小结小结 从该项目中看出，环保的实时监测的业务需求仍是环保单位的重中之重，所以在安全建设方面是仍以最小化需求，目前隔离是保障安全的第一步。而隔离时是选择工业防火墙还是工业网闸，是根据企业数据传输的频率、方向及反馈的实时性几个方面要求来决策。该项目也可供诸多其它行业 SCADA 监测系统的安全防护作为参考。4.2 案例二：某燃气企业安全解决方案案例二：某燃气企业安全解决方案 4.2.1 概述概述 城市燃气随着业务的飞速发展，及人力成本的上升，管网的不断变长以及复杂化，原有的燃气工控系统的“监而不控”方式已经无法适应，迫切需要对其控制系统进行安全防护。4.

7、2.2 典型安全问题典型安全问题（1）调度中心、站场、阀室未采取横向逻辑隔离措施；（2）工控网络的各门站、储配站、输配站内部之间未采取安全隔离和防病毒措施；（3）现场工程师站，操作员站，服务器等工控主机缺乏安全加固措施。4.2.3 解决方案解决方案（1）对调度中心、有人值守站控系统、无人值守站控系统边界进行访问控制、病毒防护，保护系统数据不被非法访问、窃取或篡改，保障工控网络安全运行；（2）在工作站和服务器上部署终端防护软件，阻止非法程序和未经授权软件运行，保障主机全生命周期的安全；（3）对工控网络中传输的数据进行实时监测，记录，审计，及时发现网络违规操作和异常行为，实现事前部署，事中监控，事

8、后追溯；（4）对工业网络中的安全设备进行统一的配置和管理，并对其日志信息进行统一收集、管理和分析。4.2.4 部署方案部署方案 图 25 燃气企业工控安全方案拓扑图（1）边界、区域安全防护 a)在调度中心各区域边界部署工业防火墙，对各区域进行逻辑隔离，并根据业务需要进行访问控制策略设置；b)在调度中心和有人值守站控系统、无人值守站控系统之间部署工业防火墙进行网络层级间的安全隔离和防护；c)在各场站 PLC/RTU 等工控设备的网络出口位置部署工业防火墙，以达到重要工控装置的单体设备级安全防护。（2）主机安全防护 在调度中心和各场站的工程师站、操作员站及服务器上部署工控主机卫士，保护各主机免受病

9、毒、木马、蠕虫等恶意代码的侵袭。（3）网络监测与审计 在调度中心核心交换机上旁路部署安全监测审计平台，实时发现针对 PLC、DCS 等重要工业控制系统的攻击和破坏行为，以及病毒、木马等恶意软件的扩散和传播行为，为工业控制网络安全事件调查提供依据；（4）集中管理 在调度中心部署统一安全管理平台，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等。4.2.5 小结小结 该解决方案具备如下特点：（1）实现了调度中心与各场站的安全隔离，避免非授权访问和恶意攻击，保护燃气系统网络边界安全；（2）避免工控系统主机遭受恶意软件感染和扩散，避免通过普通 U 盘感染主机，保护工控主机安

10、全；（3）阻止病毒木马程序进入调度中心和场站操作员站、工程师站和服务器，降低系统被攻击利用的风险；（4）实现网内安全产品统一管理，日志统一收集，提高了运维人员的工作效率，降低人力投入成本。4.3 案例三：某石油石化企业安全解决方案案例三：某石油石化企业安全解决方案 4.3.1 概述概述 通过分析石油企业在各生产环节中所面临的信息安全问题，提出了保障生产信息网络安全的防护解决方案，同时具体提出了企业应采取的安全策略和解决措施，阐明了全面构筑工控信息安全体系，消除网络安全隐患，做到防患于未然。4.3.2 典型安全风险典型安全风险（1）油田网络容易遭受病毒等恶意代码的侵袭；（2）缺乏监测及防御人为恶

11、意或者无意的违规操作行为的技术手段；（3）对外部、内部的网络攻击行为缺乏防御手段；（4）安全事件发生后不能迅速定位找出问题根源。4.4.3 解决方案解决方案（1）针对油田各生产环节的网络边界和各网络内部区域之间的采取安全隔离和访问控制措施，防止用户的越权访问和非法入侵行为；（2）对工控网络中的场站服务器、实时数据库、生产调度系统等主机进行加固，保障主机及其运行数据的安全；（3）提供安全数据交换介质，杜绝移动存储介质“滥用”的安全隐患，保障工控主机间数据交换安全；（4）提供工控网络操作行为监测审计功能，帮助企业建立网络监测审计机制；（5）对油田各层级网络中的安全设备或系统进行集中管理，实现全局配

12、置、集中监控、统一管理，提高管理人员的工作效率，降低企业的人员投入成本。4.3.4 典型部署典型部署 图 26 工控安全规划与访问控制拓扑图（1）边界、区域边界防护 在采油厂、作业区、场站油井边界及作业区区域边界部署工业防火墙，对各层级用户和外来的访问进行控制，保障采油厂、作业区等重要生产区域网络的可 用性和安全性。（2）主机安全防护 在采油厂、作业区、场站油井的实时数据库、关系数据库、生产调度系统等重要主机系统部署工控主机卫士。采用“白名单”防护机制，保证只有安全的软件程序才能够在主机系统中运行，同时对主机操作系统、注册表等进行防护。（3）数据交换安全 采用安全 U 盘作为数据交换介质，避免

13、不安全的移动存储介质进入工控网络影响生产网络的正常运行。（4）网络监测审计 在作业区的办公网和生产网旁路部署监测审计平台，监控和记录用户对数据库、生产调度系统、采集服务器的违规操作、误操作行为，为事后调查取证提供依据。（5）集中管理 在作业区的办公网中部署统一管理平台，对整个工控网络中的安全设备和系统进行统一策略配置下发、状态集中监控、网络流量分析。实时掌握工业控制网络运行状态，便于出现问题及时溯源定位。4.3.5 小结小结 该解决方案具备如下特点：（1）阻止病毒、蠕虫恶意软件扩散和入侵攻击，保护控制系统安全运行；（2）阻止非授权软件或进程的安装和运行，防止恶意代码攻击；（3）防止操作员使用移

14、动介质带入的病毒在生产网中扩散；（4）实时检测工控网络中的恶意攻击、误操作、违规行为、非法设备接入以及蠕虫、病毒等恶意软件的传播，帮助客户及时采取应对措施，避免发生安全事故。4.4 案例四：某煤化工企业安全解决方案案例四：某煤化工企业安全解决方案 4.4.1 概述概述 化工行业渗透各个方面，是国民经济中不可或缺的重要组成部分，其安全健康发展对于人类经济、社会发展具有重要的现实意义。化工行业的安全影响较之其他行业，存在危害大、范围广、影响时间长等特点，因此保证化工行业生产系统安全运行，特别是保护工业控制系统不被非法破坏显得尤为重要。4.4.2 典型安全问题典型安全问题（1）办公网对生产网的入侵风

15、险；（2）对于误操作或非法行为等风险缺乏管控；（3）上位机对各生产功能区的PLC和DCS等设备的越权访问、误操作等；（4）缺乏事件追踪及调查取证技术手段。4.4.3 解决方案解决方案（1）对化工生产网络边界、各车间边界实施访问控制和病毒防护，对关键控制系统进行有效保护，避免指令数据等被非法访问、窃取或篡改；（2）对化工生产网重要主机进行安全防护，只允许“白名单”列表中的程序执行，有效检测工作站、服务器上的违规、异常操作并加以阻止；（3）采用技术手段，监测、记录化工生产网络中的异常行为并实时告警，为用户制定安全防护策略提供技术支撑，同时为安全事件调查取证提供依据；（4）对安全设备进行集中管理，实

16、现对各安全设备、系统及主机的统一配置、全面监控等，杜绝由于事件分散，无法关联分析而导致的安全事件。4.4.4 典型部署典型部署 图 27 煤化工企业工控安全方案拓扑图（1）边界、区域安全防护 a)在控制网控制器出口部署工业防火墙对不同区域控制器做逻辑隔离，避免未经授权的命令下发至控制器，保护控制器的数据传输安全；b)在控制网和数据监控网交换机之间部署工业防火墙，阻止来自区域之间的入侵攻击和非法访问等，实现横向隔离，将危险源控制在区域内；c)在 MES 交换机、工程师站、防病毒服务器前端部署工业防火墙实现边界安全防护，阻止区域间的越权访问、入侵攻击和非法访问等。（2）主机安全防护 在工程师站、操

17、作员站及应用服务器上部署工控主机卫士，采用轻量级应用“白名单”机制，有效阻止病毒、木马及 0-day 漏洞的感染和被利用，保障工控主机安全。（3）网络监测与审计 在控制网和监控网汇聚交换机上旁路部署安全监测与审计平台，对整个生产控制网络中的流量进行全面无缝监控审计，实现事后可追溯。（4）集中管理 在数据监控网中部署统一安全管理平台，对整个生产网络中安全设备和系统进行统一策略配置下发、状态集中监控、网络流量分析等，实时掌握工业控制网络运行状态，出现问题及时溯源定位。4.4.5 小结小结 结合风险分析和案例技术分析，本解决方案具备如下特点：（1）满足国家及行业政策法规及相关技术要求；（2）提高企业整体安全防护水平，保障生产安全稳定运行；（3）提供安全审计手段，协助管理员快速发现并解决安全问题；（4）通过统一安全管理平台，有效提高工作效率，降低运维成本。