没有合适的资源?快使用搜索试试~ 我知道了~
自来水厂工控安全解决方案V1.0.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 61 浏览量
2023-06-30
18:11:36
上传
评论
收藏 131KB DOCX 举报
温馨提示
试读
25页
行业工控安全解决方案,浩二日常工作文档,做了脱敏,非常有实践参考价值,供需要的朋友使用。
资源推荐
资源详情
资源评论
1
自来水厂工控安全
解决方案
2023 年 3 月
2
目录
1. 背景...............................................................................................................................................................4
2. 需求分析......................................................................................................................................................5
2.1. 工控软件本身安全性设计缺陷 ...............................................................................................5
2.2. 工控协议安全性欠缺 .................................................................................................................5
2.3. 视频网络安全隐患......................................................................................................................5
2.4. 网络边界缺乏访问控制措施....................................................................................................5
2.5. 移动存储介质缺少管控.............................................................................................................6
2.6. 新型的 APT 攻击,无法阻挡...................................................................................................6
3. 设计依据......................................................................................................................................................6
4. 方案设计......................................................................................................................................................8
4.1. 总体设计 ........................................................................................................................................8
4.2. 详细设计 ........................................................................................................................................9
4.2.1. 工业防火墙......................................................................................................................9
4.2.2. 工业安全审计系统......................................................................................................10
4.2.3. 防病毒.............................................................................................................................11
4.2.4. 堡垒机.............................................................................................................................11
4.2.5. 日志审计 ........................................................................................................................11
4.2.6. 安管平台(态势感知).............................................................................................12
4.2.7. 主机卫士 ........................................................................................................................13
4.2.8. 数据库审计....................................................................................................................14
4.2.9. 终端安全 ........................................................................................................................14
4.2.10. 入侵检测系统...............................................................................................................14
5. 等保技术要求合规性分析....................................................................................................................15
5.1. 等保二级技术要求合规性分析.............................................................................................15
5.2. 等保三级技术要求合规性分析.............................................................................................19
6. 产品选型....................................................................................................................................................25
3
1. 背景
城市供水系统的安全稳定运行事关城市居民的饮水供给和安全,是城市市政
服务中关键基础设施,随着我国水务行业在自动化、网络化、信息化方面的持续
投入和建设,城市供水保障能力越来越强,供水的运行效率也越来越高,满足了
我国城市向高效、节约、快速发展的需要。包括供水调度系统在内的供水信息化
管理类系统,可以将自来水公司管辖下的取水泵站、水源井、自来水厂、加压泵
站、供水管网等重要供水单元纳入全方位的监控和管理,很多水务企业是通过建
立新系统和对老系统进行融合改造;最终实现总调度中心可远程监测各供水单元
的实时生产数据和设备运行参数;可远程查看重要生产部位的监控视频或监控照
片;可远程管理水泵、阀门等供水设备。自来水厂市城市供水系统的主要中心节
点,是一套集控制网络、监控网络、办公网于一身的先进现代化生产调度系统,
但是在信息安全方面建设的相对薄弱,有待加强。
《网络安全法》明确了“国家实行网络安全等级保护制度”、“关键信息基
础设施,在网络安全等级保护制度的基础上,实行重点保护”等内容,为网络安
全等级保护工作赋予了新的内涵。为适应煤矿企业的网络安全建设的需求,规范
网络安全规划、设计与建设,依据《中华人民共和国网络安全法》、工信部《工
业控制系统信息安全防护指南》、《信息安全技术 网络安全等级保护基本要求》、
《油气生产物联网系统建设规范》等文件,结合煤矿企业各业务实际情况,最大
程度的降低生产安全风险的发生,按等级保护相关要求进行方案设计。
随着工业数字化、网络化、智能化加快发展,煤矿企业的工控安全面临安全
漏洞不断增多、攻击手段复杂多样等新的挑战。在“两化融合”管理体系大力推
进的背景下,工业控制系统安全发展速度却远远落后于建设速度,应用单位必须
着力提高工控系统安全应急处置能力,杜绝网络威胁攻击和远程控制失效的情况。
自来水厂生产场景常见工控系统:
PLC:可编程逻辑控制器(programmable logic controller),采用可编程存
储器,通过数字运算操作对工业生产装备进行控制的电子设备。
SCADA 系统:数据采集与监视控制系统(Supervisory Control And Data
Acquisition),是以计算机为基础的生产过程控制与调度自动化系统。
4
2. 需求分析
2.1. 工控软件本身安全性设计缺陷
数据采集与监控子系统中,主要以 SCADA 系统进行油气生产物联网底层数据
的收集。SACDA 软件系统缺乏自身的安全性设计,生产控制系统安全防护滞后于
系统的建设速度,再加上相关人员安全意识不够、相关的管理制度缺失,使得系
统本身存在较大的脆弱性。
2.2. 工控协议安全性欠缺
专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用
性,对安全性普遍考虑不足:油气生产物联网中使用的 OPC 协议,利用系统的 DCOM
组件,使用 OLE 技术会在数据传输过程中开放 1024~65535 的动态端口,使用这
些端口缺少足够强度的认证、加密、授权等给数据的安全性和可靠性带来威胁。
尤其是工业控制系统中的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击。
2.3. 视频网络安全隐患
油气生产物联网实现了井场、站库等生产视频的采集与控制、视频展示、视
频分析报警功能。视频信息流贯穿于整个油气生产物联网,在数据采集于监控子
系统进行采集,在数据传输子系统进行视频流传输,生产管理子系统实现视频采
集与控制、视频展示、视频分析报警功能。视频流在生产管理子系统形成汇聚,
存在着从终端入侵感染整个油气生产物联网的高危风险。2014 年土耳其石油管
道爆炸事件正是由视频监控网络入侵,关闭石油输送管线的调度系统内的报警服
务,最终造成了重大的经济损失。
2.4. 网络边界缺乏访问控制措施
数据传输子系统以生产网内的通信网络建设为主。从油气田井场、站场(厂)
监控中心至作业区生产管理中心部署生产网,延伸至采油采气厂或油气田公司层
5
级,从作业区生产管理中心或采油采气厂生产调度中心至油气田公司生产指挥中
心部署办公网。整个油气生产物联网的的生产网与办公网络存在重叠,边界变得
很不清晰,并且生产网络和办公网络存在着实时数据库和关系数据库的关键业务
交互,缺少边界层面的访问控制措施,存在着安全隐患。
2.5. 移动存储介质缺少管控
因为油气生产物联网中的各类系统,如 SCADA 系统、示功图服务器、实时数
据库等系统存在着系统升级、数据备份的需求,使用 U 盘等可移动设备的情况变
得常见,成为恶意程序的入侵途径;另一方面,由于缺乏有效的病毒防护手段,
使得管理信息网、数采工作站、控制网的病毒相互扩散,病毒问题难以根除,存
在直接导致相关主机运行缓慢、内存使用率高、卡死、网络堵塞、数据传输中断
等故障的风险,严重的会影响油气生产物联网的正常运行。
2.6. 新型的 APT 攻击,无法阻挡
高级可持续性威胁(APT)的攻击目标更为明确,攻击时会利用最新的 0-day
漏洞,强调攻击技术的精心组合与攻击者之间的协同;而且是为不达目的不罢休
的持久性攻击。近年来以震网为代表的针对工业控制系统的攻击事件都呈现了这
些攻击技术特征。但是针对这种 APT 攻击,现有的安全防护手段均显得有些无力。
这也许需要整合各种安全技术,通过形成完善的安全防御体系(防御手段的组织
化、体系化)才可能有效,然而工业控制系统对安全关注严重不足的现实,使其
在面临 APT 攻击时将会遭到不可估量的安全损失。
3. 设计依据
GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求
GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南
GB/T 25058—2019 信息安全技术 网络安全等级保护实施指南
剩余24页未读,继续阅读
资源评论
小正太浩二
- 粉丝: 198
- 资源: 5916
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 编译原理:正规式转NFA(有穷自动机)
- 通过 Navicat 备份文件读取连接信息和解析密码
- Linux下开箱即用的C++单元测试demo示例,public成员函数单元测试
- 连接Redis服务器 在使用Redis之前,首先需要使用redis-cli工具连接到Redis服务器 redis-cli是Re
- 连接Redis服务器 在使用Redis之前,首先需要使用redis-cli工具连接到Redis服务器 redis-cli是Red
- 连接Redis服务器 在使用Redis之前,首先需要使用redis-cli工具连接到Redis服务器 redis-cli是Red
- redis命令实践 详细教程
- redis命令实践 详细教程
- redis命令实践 详细教程
- redis命令实践 详细教程
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功