燃气管网监控系统介绍
燃气输配管网监控与数据采集(SCADA)系统是一套基于SCADA软件和远程控制终端PLC,融合了先进的RTU技术、现场总线技术、网络通信技术、无线通讯技术、数据库技术、SCADA/HMI技术及客户/服务器、实时全分布技术等一体化的集成控制系统工程。系统以计算机为核心采用流行、可靠的计算机网络构成的二级式分布式控制系统。控制中心为系统控制管理级,负责数据的处理和监控;分布于输配管网的远程RTU为系统过程控制级,负责现场数据采集和设备控制。二级系统通过有线网络和无线网络有机结合在一起,构成一个完整的数据采集和监控(SCADA)系统。
1) 调度中心
调度中心是燃气输配管网SCADA系统的控制中枢,也是整个系统中数据最集中的地方。系统设计采用全冗余配置,实现SCADA服务器、网络、通讯和各功能环节等的冗余。调度中心SCADA服务器通过专线网络与远程控制站实现通信。
2) 容灾中心
容灾中心是燃气输配管网SCADA系统的备用控制中枢。容灾中心的主要任务是在调度中心无法正常工作时接管调度中心的工作,平时则与调度中心的数据同步,实现对调度中心功能的备份。
3) 场站
燃气输配管网的远程站点可划分为二组:有人值守场站现场设有本地操作人员,用于本地现场数据监测和设备控制,无人值守场站包括中压管网专用调压站、中压管网区域调压站及中压管网的压力点等。
安全防护思路
燃气企业在两化融合的深入过程中,已经开始从最初的数据采集开始往“智能管网”方向发展,所以在设计安全防护方案时一定要以动态的眼光来对待工控网络安全问题。中电安科认为,既需要考虑当前燃气企业的工控网络安全现状,也需要考虑未来燃气发展的需要。
组织治理:企业在建设工控安全体系时结合企业的战略目标,明确组织职责、运作机制和流程,建立有效的管理循环,保证企业目标得以实现。
风险管理:从风险背景的建立开始,到开展风险评估工作、进行风险响应和风险监测,建立自上而下的风险管理架构能够帮助企业各个层级明确自身的风险管理职责和风险管理流程,有利于企业认知的信息安全风险。
合规管理:企业通过建立自身控制基线,满足当前对风险控制的要求,同时符合国家相关法律法规要求以及等级保护要求等,基线的建立除了要满足相关的监管要求外,还需要满足自身企业的业务目标,而这些离不开合规的管理。
安全防护总体架构
中电安科根据多年来的客户实践,总结出如下安全防护架构:
1) 边界防护
在场站到调度中心部署工控防火墙,将调度中心、场站以及各工控子系统进行逻辑隔离,防火墙通过设置严格的访问控制策略,通过基于IP、端口、协议等的访问控制策略,杜绝控制系统的非法访问,隔离网络攻击和病毒(包含工业病毒)的跨区域的串扰,保护工业环网的安全运行。
2) 边界物理防护
在办公网和工控网之间,部署隔离网闸。隔离网闸采用多机系统结构,有效隔断网络间的直接连接,防止信息无限制交换,可以支持文件、数据库、视频监控、邮件等方式的有限传输控制,实现近似物理隔离效果。
3) 非法接入
在调度中心部署网络准入控制系统,实现对非法设备的接入管理与非法外联。解决对工控系统在日常运营和维护中私自接入网络设备(如笔记本、手机、网络打印机等)问题以及非法外联情况,从而解决因外接终端设备引起的网络安全问题,避免安全事件,消除安全隐患。
4) 监测审计
在各场站分别部署监测审计引擎,监测审计引擎对工控流量进行监测分析,识别出工控协议,并对工控协议深度解析,同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在调度中心的安全管理平台中。
5) 入侵检测
在调控中心的网络关键节点处部署入侵检测系统。入侵检测系统可以发现各种入侵攻击、异常流量、非法操作或异常行为,可实时检测内部和外部攻击。
6) 数据库审计
在调控中心的安全管理区部署数据库审计系统。数据库审计系统对于越权访问、异常数据库操作以及对数据库关键数据或进行关键指令操作过程全面审计,检测识别非授权操作的行为,避免数据库删除、篡改、异常访问等情况发生。
7) 终端安全
在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署工控终端防护系统,在调度中心部署工控终端防护系统。管理系统对工控终端防护系统进行统一管理与监控、策略下发、异常报警等。实现对工业主机的进程白名单管理,对流量、USB口管控,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击。
8) 配置核查
在调控中心的安全管理区部署配置核查管理系统,对工业主机、服务器以及网络设备的安全配置基线进行核查,做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
9) 安全运维
在调度中心部署运维堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。
10) 安全管理
在调度中心部署安全管理平台,实现对工控防火墙、工控安全监测审计管理系统、工控终端防护系统、堡垒机等安全产品统一管理与监控。
客户价值
全面提升燃气行业网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。
提升了燃气行业生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航。
改进了燃气行业业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。
满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求和防护指南的相关要求。
Copyright © 2005-2021 网信安全世界版权所有