一���、安全能力一張圖
二��、工業(yè)網(wǎng)絡(luò )安全產(chǎn)品方案一覽圖
三�����、網(wǎng)絡(luò )安全服務(wù)一覽圖
秉承“內生安全”的核心理念�,以“實(shí)戰攻防”為導向�,以“專(zhuān)家服務(wù)”為保障��,以“云地協(xié)同”為機制構建網(wǎng)絡(luò )安全服務(wù)體系����,建立全方位�����、全天候����、全周期的網(wǎng)絡(luò )安全命運共同體�����。圍繞識別����、防護����、檢測�����、監測��、對抗和響應(IPDMCR)的能力模型�,通過(guò)安全咨詢(xún)規劃�、安全實(shí)戰攻防����、安全集成實(shí)施����、安全運行保障��、安全應急響應����、安全教育培訓等一系列實(shí)戰化���、常態(tài)化�����、體系化的安全服務(wù)業(yè)務(wù)��,為客戶(hù)提供7*24小時(shí)全生命周期的安全保障能力�����。
四���、油氣行業(yè)解決方案
1���、 油氣生產(chǎn):
(1)場(chǎng)景需求:
油氣生產(chǎn)工業(yè)控制系統利用物聯(lián)網(wǎng)技術(shù)�����,建立覆蓋石油石化企業(yè)油氣地面生產(chǎn)各環(huán)節的不同工業(yè)控制系統(如數據采集與監控子系統��、數據傳輸子系統�����、生產(chǎn)管理子系統等)���,實(shí)現生產(chǎn)數據自動(dòng)采集��、遠程監控�����、生產(chǎn)預警等功能�,支持油氣生產(chǎn)過(guò)程管理���,促進(jìn)生產(chǎn)方式轉變�����。從目前油氣生產(chǎn)信息化場(chǎng)景來(lái)看���,生產(chǎn)網(wǎng)邊界缺乏防護�、油氣生產(chǎn)工業(yè)主機缺乏保護等多方面網(wǎng)絡(luò )安全問(wèn)題亟待解決����。
(2)解決方案:
-
安全網(wǎng)絡(luò )邊界:在采油廠(chǎng)與油田公司辦公網(wǎng)核心交換機之間部署工業(yè)網(wǎng)閘進(jìn)行物理隔離����;在采油廠(chǎng)SCADA服務(wù)器與作業(yè)區SCADA系統之間部署工業(yè)防火墻��。
-
工業(yè)資產(chǎn)邊緣防護:在采油廠(chǎng)工業(yè)安全管理區�����、作業(yè)區生產(chǎn)網(wǎng)核心區域旁路部署工業(yè)互聯(lián)網(wǎng)邊緣可信防護系統��,實(shí)時(shí)監測采油廠(chǎng)工控設備(攝像頭����,RTU�����、PLC���、網(wǎng)橋等)接入及運行狀態(tài)����,實(shí)現資產(chǎn)的身份認證�����,合規檢查����、風(fēng)險感知��、異常處置及訪(fǎng)問(wèn)控制���。
-
工業(yè)主機管控:在作業(yè)區內各工程師站����、操作員站終端及采油廠(chǎng)工業(yè)服務(wù)器上部署工業(yè)主機防護系統進(jìn)行嚴格訪(fǎng)問(wèn)控制��、狀態(tài)監控���、進(jìn)程監控��、病毒防護�����、基于白名單機制的應用程序管控�。
-
網(wǎng)絡(luò )流量監測審計:在作業(yè)區SCADA系統����、采油廠(chǎng)生產(chǎn)網(wǎng)核心交換機分別旁路部署工業(yè)安全監測系統����,準確監測網(wǎng)絡(luò )異常流量����,及時(shí)發(fā)現潛在的工控網(wǎng)絡(luò )攻擊和異常行為��,并在第一時(shí)間告警�。
-
漏洞發(fā)現與威脅管理:部署工業(yè)漏洞掃描系統�,對上����、下位機操作系統和應用軟件進(jìn)行符合性安全檢查��。
-
建設安全管理中心:在采油廠(chǎng)部署工業(yè)安全管理系統����,在油田公司部署工業(yè)安全態(tài)勢感知系統并與各采油廠(chǎng)安全管理系統聯(lián)動(dòng)��,對各下屬采油廠(chǎng)工控安全事件進(jìn)行綜合安全分析����、預警和態(tài)勢呈現�����。
2�、石油煉化:
(1)場(chǎng)景需求:
石油煉化是典型的流程工業(yè)生產(chǎn)場(chǎng)景����,生產(chǎn)現場(chǎng)控制操作與監測操作主要通過(guò)DCS系統實(shí)現�����。當下��,煉化企業(yè)DCS系統主要以國外品牌為主�,系統面臨著(zhù)“設備漏洞缺陷多”����,“上位機缺乏安全防護極易感染病毒”����,“APC先控系統等關(guān)鍵系統未進(jìn)行安全防護”等安全風(fēng)險�����;另
一方面�����,生產(chǎn)網(wǎng)絡(luò )的邊界缺乏安全防護措施�,多使用基于OPC��、 Modbus等開(kāi)放����、明文通信協(xié)議�,不具備入侵檢測與縱深防御的能力�,缺乏實(shí)時(shí)發(fā)現和應對網(wǎng)內的非法訪(fǎng)問(wèn)和惡意攻擊�����,一旦遭到入侵��,很可能導致生產(chǎn)運行的癱瘓�����。
(2)解決方案:
-
網(wǎng)間域間安全隔離:煉化企業(yè)的生產(chǎn)網(wǎng)與辦公網(wǎng)之間��、生產(chǎn)核心下聯(lián)不同控制DCS����、SIS�、PLC等生產(chǎn)控制系統之間���、APC先控系統與OPC服務(wù)器之間通過(guò)部署工業(yè)防火墻/網(wǎng)閘類(lèi)設備進(jìn)行邊界隔離防護�����。
-
工控主機安全防護:對DCS�、SIS�����、PLC等控制系統中的操作站主機及數采服務(wù)器��、MES�、APC應用站等重要工控服務(wù)器主機部署工業(yè)主機防護系統進(jìn)行主機防護���。
-
網(wǎng)絡(luò )流量監測審計:對不同裝置類(lèi)別的現場(chǎng)操作間網(wǎng)絡(luò )的交換機上旁路部署工控網(wǎng)絡(luò )安全監測系統����,自動(dòng)發(fā)現工業(yè)資產(chǎn)�����,洞悉資產(chǎn)脆弱性風(fēng)險�;深入分析網(wǎng)絡(luò )流量���,發(fā)現網(wǎng)絡(luò )內異常操作與入侵行為����,及時(shí)告警��。
-
安全管理中心:建立煉化工控安全管理區���,部署工業(yè)安全態(tài)勢感知平臺���,對不同裝置內的各類(lèi)安全設備進(jìn)行統一管理�,收集安全數據��,基于關(guān)聯(lián)分析引擎�����、異常行為分析模型�����,從資產(chǎn)����、漏洞�、威脅��、行為等維度��,展示全局網(wǎng)絡(luò )安全態(tài)勢��。
3���、油氣輸送
(1)場(chǎng)景需求:
油氣輸送系統作為國家重要的能源基礎設施�����,其擔負著(zhù)將石油天然氣由產(chǎn)地輸送至需求區域的重要使命���,其場(chǎng)景具有”控制點(diǎn)分散����,分布范圍廣“的特點(diǎn)�����,在監控方面多采用無(wú)人值守的方式�����,普遍使用SCADA系統進(jìn)行監測與統一調度�����;SCADA系統由計算機�、PLC���、RTU等設備組成����,部署于首站�����、分輸站��、末站和清管站/遠控閥室等多個(gè)現地業(yè)務(wù)場(chǎng)景中����。在安全建設過(guò)程中�����,應充分考慮控制中心與生產(chǎn)網(wǎng)區域的網(wǎng)絡(luò )結構與數據流向����,依托等?��?蚣?,結合潛在安全風(fēng)險����,構建綜合防護體系���。
(2)解決方案:
-
調度中心安全網(wǎng)絡(luò )邊界:在調度中心交換機下聯(lián)到運營(yíng)商通信路由器的鏈路上��,從運營(yíng)商路由器出口到通過(guò)有線(xiàn)光纖/3G/4G/衛星通信下聯(lián)各個(gè)場(chǎng)站之間部署工業(yè)防火墻����,做到對調度中心安全區域的生產(chǎn)網(wǎng)邊界防護���。
-
生產(chǎn)區域安全邊界:在通過(guò)有線(xiàn)光纖/3G/4G/衛星通信鏈路連接到各個(gè)場(chǎng)站的鏈路上���,場(chǎng)站鏈路邊界上部署工業(yè)防火墻�����,實(shí)現對場(chǎng)站SCS系統的邊界安全防護���。
-
工控主機安全防護:對調度控制中心的工程師站����,操作員站�,模擬站及工控服務(wù)器上部署工業(yè)主機防護系統��,采取進(jìn)程管控的白名單機制進(jìn)行工業(yè)主機的安全防護�。
-
生產(chǎn)網(wǎng)安全監測:在首站�、分輸站�����、末站的SCS系統內部的網(wǎng)絡(luò )旁路部署工業(yè)安全監測系統��,通過(guò)端口流量鏡像的方式對內網(wǎng)的安全區域進(jìn)行實(shí)施工業(yè)安全監測和審計��,深入分析網(wǎng)絡(luò )流量����,發(fā)現網(wǎng)絡(luò )內異常操作與入侵行為�����,及時(shí)告警��。
-
安全管理中心:在調度控制中心建立工控安全管理區�,部署工業(yè)安全態(tài)勢感知平臺�����,對不同裝置內的各類(lèi)安全設備進(jìn)行統一管理����,收集安全數據���,基于關(guān)聯(lián)分析引擎�����、異常行為分析模型�,從資產(chǎn)����、漏洞��、威脅�����、行為等維度�,展示全局網(wǎng)絡(luò )安全態(tài)勢��。
