解決方案

SOLUTION

首頁(yè)

石油

石化

石油管輸

石油管輸解決方案
——

背景概述

　　網(wǎng)絡(luò)安全形勢(shì)對(duì)石化油品儲(chǔ)運(yùn)安全運(yùn)行提出了嚴(yán)峻挑戰(zhàn)。石化油品儲(chǔ)運(yùn)工業(yè)控制系統(tǒng)由卸油站卸油自動(dòng)控制系統(tǒng)、長(zhǎng)輸管道輸油自動(dòng)控制系統(tǒng)、油庫(kù)供油自動(dòng)控制系統(tǒng)、加油站加油自動(dòng)控制系統(tǒng)等組成,結(jié)合石化油品從儲(chǔ)運(yùn)業(yè)務(wù)、油庫(kù)供油到用戶(hù)加油的全過(guò)程控制系統(tǒng)的安全需求,從系統(tǒng)架構(gòu)、通信協(xié)議、安全管理等方面重點(diǎn)分析了各自面臨的主要網(wǎng)絡(luò)安全威脅,以及由此引發(fā)脆弱性問(wèn)題。

解決方案

　　長(zhǎng)輸管道輸油自動(dòng)控制系統(tǒng)主要部署SCADA服務(wù)器、操作員站、工程師站等。系統(tǒng)操作人員可以通過(guò)SCADA系統(tǒng),對(duì)現(xiàn)場(chǎng)控制系統(tǒng)網(wǎng)絡(luò)中RTU的運(yùn)行狀況進(jìn)行監(jiān)控、評(píng)估、分析,并據(jù)此對(duì)RTU進(jìn)行調(diào)整或控制。

　　加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)力度

　　石化油品儲(chǔ)運(yùn)企業(yè)要從工業(yè)控制系統(tǒng)網(wǎng)絡(luò)實(shí)際情況出發(fā),不斷地提升網(wǎng)絡(luò)邊界的防護(hù)功能,切實(shí)減少由于邊界擴(kuò)張帶來(lái)的風(fēng)險(xiǎn)點(diǎn)數(shù)量增加。日常加強(qiáng)安全監(jiān)測(cè),提升安全防護(hù),由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御。做好漏洞檢測(cè)、惡意代碼檢測(cè)、APT惡意行為檢測(cè),并采取相應(yīng)的安全防范措施。

　　做好物理隔離和加固

　　一是邊界隔離。為了避免病毒、惡意代碼的?侵蔓延,邊界防護(hù)及邊界隔離宜采用工業(yè)防火墻、單項(xiàng)隔離網(wǎng)閘,使工業(yè)控制系統(tǒng)與其他信息系統(tǒng)之間實(shí)現(xiàn)單向隔離。

　　二是區(qū)域隔離。在工業(yè)控制系統(tǒng)內(nèi)部部署工控防火墻,根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同安全域,在不同安全域之間使用工控防火墻進(jìn)行網(wǎng)絡(luò)隔離和訪(fǎng)問(wèn)控制。三是通信加密。在工業(yè)控制系統(tǒng)邊界部署VPN安全網(wǎng)關(guān),在上級(jí)單位各類(lèi)管理系統(tǒng)邊界也部署VPN安全網(wǎng)關(guān),在兩個(gè)VPN網(wǎng)關(guān)之間建立虛擬專(zhuān)用通道,對(duì)傳輸數(shù)據(jù)進(jìn)行基于商用密碼算法的加密保護(hù)傳輸。

　　四是入侵及惡意代碼防范。在工業(yè)控制系統(tǒng)中部署安全審計(jì)設(shè)備、?侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)監(jiān)控設(shè)備,監(jiān)控系統(tǒng)的網(wǎng)絡(luò)?侵、通信控制協(xié)議、通信數(shù)據(jù)自身內(nèi)容等安全及時(shí)發(fā)現(xiàn)?侵風(fēng)險(xiǎn),最短時(shí)間內(nèi)進(jìn)行響應(yīng)和處置。

　　五是設(shè)備安全加固。工控主機(jī)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、控制設(shè)備等普遍存在漏洞、后門(mén)等安全隱患,石化油品儲(chǔ)運(yùn)企業(yè)應(yīng)從設(shè)備的離線(xiàn)安全、?網(wǎng)安全、在線(xiàn)安全等維度進(jìn)行持續(xù)檢測(cè)和加固。

架構(gòu)圖

創(chuàng)慧航天