燃气行业工控安全解决方案

行业背景

典型部署

 方案依据的法律法规及行业标准如：

《中华人民共和国网络安全法》

《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

《GB/T 22239-2019 网络安全等级保护基本要求》（公安部等保2.0）

《关于加强工业控制系统信息安全管理的通知》（工信部协[2010]451号文）

《工业控制系统信息安全》GB/T30976.1～.2-2014

政策法规

       燃气行业控制系统是城市，特别是特大型城市非常重要的关键基础设施。随着我国天然气开发进程的加快，燃气行业已成为能源领域发展最快的行业。目前，一大批利用天然气的管网项目和站控项目，在我国许多大中小型城市已相继完工并投入使用，城市天然气管网规模不断扩大，如何有效的对城市天然气管网工况运行进行监测管理显得尤为重要。

       目前燃气行业已建立了非常成熟的燃气管网监控和数据采集（SCADA）系统解决方案。燃气SCADA系统主要由调度中心、远程终端站（包括站控系统和监测点）、通信系统组成。

       近年来，燃气领域控制系统不断出现信息安全问题，同时反观燃气领域控制系统建设的相关标准，部分标准甚至将信息安全作为默认基础条件，并未进行明确的定义和规范，而传统信息安全规范在燃气行业控制系统这样的工控系统中又显得难以直接实施。因此，加快燃气行业工业控制系统安全标准及规范建设显得尤为关键；于是，包含工业控制系统网络安全的等级保护基本要求（即公安部等保2.0）已于2019年5月13日发布。

解决方案

       为了燃气生产控制系统的信息安全管理，保障城市燃气系统的安全稳定运行，落实《关键信息基础实施工业控制系统防护指南》及网络安全等级保护等相关要求。在保障生产安全、运行稳定原则下，加强对燃气生产控制系统实施网络安全“纵深防御”的安全体系研究，实现生产控制系统信息安全检测、预警、审计和接入防护等功能、防止因网络安全事件造成重大安全生产事故、并实现事故分析和原因追溯。

边界隔离、区域防护

       在燃气工业控制系统与OA办公网网络边界部署工业安全隔离交换系统进行物理隔离，控制信息的单向流动，以阻止来自办公网的安全威胁渗透至生产控制系统。

在调度控制中心与各个场站、阀室有线网络边界处部署工业防火墙进行工控协议过滤、恶意代码防护、操作指令审计等。

       在调度控制中心、各个场站、各个阀室采用备用无线通讯的连接处，即采用通讯运营公司提供的GPRS/CDMA网络专线的连接处部署工业防火墙进行安全流量过滤，阻止外部网络威胁。

网络监测审计

       在调度中心、各个场站、阀室汇聚交换机上旁路部署工控网络监测审计系统（即工控数据库审计系统）进行全域监测和审计；对控制系统下发、上传的数据进行深度协议解析、实时监控，对非法数据及时预警；对数据库系统进行操作审计，第一时间发现被监测数据库的风险和存在问题。

主机安全防护

       在整个燃气工业控制系统的操作员站、工程师站、服务器上部署工控主机安全加固系统（主机白名单软件），对各个终端实现应用程序白名单防护、恶意代码防护、安全审计、连接互联网检测、外设管控等安全防护；同时采集主机系统运行日志，并进行集中上传。

安全运维审计

       在燃气工控系统核心交换机上部署部署工控安全运维审计系统，利用单点登录功能可避免记忆复杂口令，通过给第三方人员分配临时账号，可避免敏感信息外泄，同时可将运维人员的整个操作过程进行全程录像，以备后期审计取证。

集中管理

       在调度控制中心部署工控监测分析预警平台，将各个安全子系统的告警情况、网络安全状况进行采集和汇总，形成安全体系的综合监管；同时对各个安全子系统进行集中管控，统一策略下发、统一版本升级等，方便后续运维。