▍行业背景
随着国民经济的不断进步和人民生活水平日益提高,社会对环境的要求越来越高。天然气作为一种清洁能源越来越多的为大众青睐,LNG加气站系统分为站级和中心级两大部分。随着两化融合和传统信息技术的广泛使用集输管网生产控制系统LNG加气站系统面临的主要安全隐患是:
◆ 各站到中心边界缺乏有效的安全隔离;
◆ 各站及中心的工程师站、操作站等上位机系统缺乏必要的主机安全防护措施,无法对主机外设、应用安装、用户行为进行有效控制,易使病毒、木马等恶意软件以主机为载体对控制业务进行攻击;
◆ 各站现场交叉使用U盘、光盘、手机通过USB接入等移动存储介质容易导致病毒传播问题,将外界的不安全因素带入到生产控制系统内部。
◆ 系统内部缺乏入侵、审计监测技术措施,导致无法及时发现、告警系统内的非法数据流量和异常操作行为。
◆ 由于加气站分布比较广的特点,有些站的现场应用了无线技术,无线设备的使用,使得监管难度大大增加。
◆ 缺乏统一的安全管理中心,可能导致无法及时处理安全隐患。
▍解决方案
风险评估:
建设前期进行工控网络安全风险的评估,全面了解加气站生产控制系统存在的各类风险,并输出风险评估报告。
防护方案:
◆ 在各站控系统及中心管理系统边界部署工控防火墙进行边界安全隔离;
◆ 在各站控系统及中心管理系统的工程师站、操作站等上位机系统安装部署主机安全卫士,实现白名单为主的终端防护;
◆ 在各站控系统的汇聚交换机部署USB安全隔离系统,实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能,保护系统USB拷贝数据的安全。
◆ 在各站控系统的汇聚交换机上部署工控安全审计系统、入侵检测、帐号管理及运维审计系统(堡垒机),实现对工控系统网络中的通信数据进行合规性检查,对异常行为、非法入侵行为进行识别、告警,辅助安全运维人员进行处置并对第三方运维行为进行安全审计;
◆ 新建安全管理中心
◆ 在安全管理中心部署日志审计与分析系统可以通过syslog、SNMP等方式、收集全网中各系统产品的告警日志,进行日志的集中存储、范式化与安全分析与展示。
◆ 在安全管理中心部署工控信息安全监管与分析平台,实现全网安全系统的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能;
◆ 通过在安全管理中心边界部署工业防火墙实现不同级别安全域之间的隔离与防护;
▍应用价值
提升防护水平
建设一套稳定、先进、高效、可靠、安全合规的工控信息安全纵深防护体系。
满足合规需求
根据国家、行业相关规范要求,并按照企业当前的生产控制系统信息化建设程度,交付符合实际需求的解决方案。
风险可控
根据LNG加气站实际业务安全需求, 解决系统存在的高风险项,降低安全运营风险。
统一管理
通过新建安全管理中心对网络中的安全风险能够统一监测预警、集中管理。
