燃气行业解决方案

发布时间 2019-01-16

概述


燃气SCADA系统基于计算机控制和通信网络的基于计算机控制和通信网络的遥测、讯控遥测、遥调技术,对大范围的远程、遥调技术,对大范围的远程场站、管网监测点工商场站、管网监测点工商场站、管网监测点工商用户和居民进行监用户和居民进行监控,包括对各站点数据的实时采集、设备状态监控。


风险


根据启明星辰对现场的需求调研和风险评估,总结风险如下:


l  MCC、ECCSCC以及各重要站通过DDN专线进行连接,并采取了 CDMA GPRS Radio 等方式进行冗余,但是在各系统出口和入口未部署安全防护措施;

l  在MCC、ECC和SCC中所使用PKS服务器和单、双屏操作员工作站,主机设备所使用操作系统均为Windows系统,Windows 操作系统未更新过系统补丁;

l  操作系统使用默认配置,包括安全审计策略、本地防护策略、口令安全策略等;

l  运行有不必要的系统服务,可能由于多余或应用自身存在脆弱性,引发相应的安全问题增加了系统平台风险;

l  大部分系统内设备未部署恶意代码防范软件;

l  组态软件方面,使用默认口令安全策略可能导致非授权访问者在猜解系统或平台相关设备安全策略时轻易获得口令,从而系统相应访问权限。


标准


l  《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)

l  《GB/T 22239-2008 信息系统安全等级保护基本要求》


方案




l  部署操作站安全系统,对操作站、工程师站以及服务器等主机设备的USB、光驱、无线等接口进行严格外设控制,避免外设成为攻击入口;

l  部署工控异常监测系统,实时监测针对工控系统入侵行为及异常行为,避免工业网络遭受网络攻击或异常访问;

l  部署工业防火墙,实现了对生产执行层到车间内工控系统的访问控制,阻断来自管理网的非法行为。确保OPC服务器上传数据的绝对单向,防止OPC服务器被作为攻击入口;

l  部署安全管理系统,能够对系统中所有的安全设备和网络设备进行统一管理,统一运维,日志统一收集,方便现场运维人员。