燃气行业工控安全解决方案



1、行业背景


燃气SCADA系统是基于计算机控制和通信网络的遥测、遥调技术,对大范围的远程场站、管网监测点、工商场站、工商用户和居民进行监控,包括对各站点数据的实时采集、设备状态监控。


其安全痛点如下:


MCC、ECC和SCC以及各重要站通过DDN专线进行连接,并采取了 CDMA 、 GPRS和 Radio 等方式进行冗余,但是在各系统出口和入口未部署安全防护措施;
在MCC、ECC和SCC中所使用PKS服务器和单、双屏操作员工作站,主机设备所使用操作系统均为Windows系统,Windows 操作系统未更新过系统补丁;
操作系统使用默认配置,包括安全审计策略、本地防护策略、口令安全策略等;
运行有不必要的系统服务,可能由于多余或应用自身存在脆弱性,引发相应的安全问题增加了系统平台风险;
大部分系统内设备未部署恶意代码防范软件;

组态软件方面,使用默认口令安全策略可能导致非授权访问者在猜解系统或平台相关设备安全策略时轻易获得口令,从而系统相应访问权限。


2、解决方案



部署操作站安全系统,对操作站、工程师站以及服务器等主机设备的USB、光驱、无线等接口进行严格外设控制,避免外设成为攻击入口;
部署工控异常监测系统,实时监测针对工控系统入侵行为及异常行为,避免工业网络遭受网络攻击或异常访问;
部署工业防火墙,实现了对生产执行层到车间内工控系统的访问控制,阻断来自管理网的非法行为。确保OPC服务器上传数据的绝对单向,防止OPC服务器被作为攻击入口;

部署安全管理系统,能够对系统中所有的安全设备和网络设备进行统一管理,统一运维,日志统一收集,方便现场运维人员。


3、方案成果与价值


实现燃气行业用户对水务管理系统及重要生产系统边界的安全访问控制和安全隔离
实现对生产网的安全检测,实现对整体网络安全的统一监控、统一管理
实现对操作站的安全防护、外设管理等。




水务行业工控安全解决方案



1、行业背景


城市供水系统的安全稳定运行事关城市居民的饮水供给和安全,是城市市政服务中关键基础设施,随着我国水务行业在自动化、网络化、信息化方面的持续投入和建设,城市供水保障能力越来越强,供水的运行效率也越来越高,满足了我国城市向高效、节约、快速发展的需要。


包括供水调度系统在内的供水信息化管理类系统,可以将自来水公司管辖下的取水泵站、水源井、自来水厂、加压泵站、供水管网等重要供水单元纳入全方位的监控和管理,很多水务企业是通过建立新系统和对老系统进行融合改造;最终实现总调度中心可远程监测各供水单元的实时生产数据和设备运行参数;可远程查看重要生产部位的监控视频或监控照片;可远程管理水泵、阀门等供水设备。


该调度系统覆盖总调度中心及下属水库泵站调度中心、净水厂控制中心和配水厂控制中心几个主要中心节点,是一套集控制网络、视频网、语音网、办公网于一身的先进现代化供水调度系统,但是在供水调度系统信息安全方面建设的相对薄弱,有待加强。


2、解决方案


通过上述解决方案对供水调度系统的信息安全建设后,最终效果如下:



水务行业安全架构图



1、 每个安全域中部署工业防火墙将SCADA系统进行安全隔离,同时将WEB系统发布服务器放在办公网和业务网之间的工业防火墙DMZ区保障数据安全;
2、 在各个分中心部署异常检测系统及工控信息安全管理系统监控供水调度系统网络安全状态与设备运行状态监控;
3、 在操作员站及工程师站上部署操作站安全管理系统,保证终端系统安全;
4、 供水系统中部分区域使用无线网络,部署无线检测系统防止无线设备非法接入;
5、 在运维安全域建立工控漏洞扫描系统,时刻监控工控设备的安全状态;
6、 在运维安全域利用安全运维系统建立完善的安全运维管理制度,保障运维操作安全。

通过上述安全设备及安全管理制度的建立,保障供水调度系统的安全有序的运行,为广大市民提供更好的供水服务。


3、方案成果与价值


启明星辰集团依托丰富的信息安全经验,在工业互联网安全实践探索多年,已在水务行业落实工控安全建设案例,助力水务集团完善控制系统安全管理体系、安全技术体系,同时协助完善供水自动化系统安全防护运维体系。