走进六方云

实现工业安全互联 · 帮助用户安全上云 · 助力用户全面掌握安全态势

案例丨六方云智慧供热工控安全防护建设“显真招”

2022年05月23日 10:13

市政供热系统是城市热力供应的重要组成部分,是城镇建设的重要基础设施之一。供热行业与电力、燃气、水务、交通行业一样,安全稳定的运行是国民经济、社会运行的重要基础。然而供热行业在走向智慧供热的数字化转型过程中所面临的安全威胁和挑战也日益增多,针对性地解决供热管网的安全问题迫在眉睫。


01.

浅谈市政供热系统特点及架构

市政供热以供热信息化和自动化为基础,以信息系统与物理系统深度融合为技术路径,供热系统主要完成供热的数据采集、数据通信、数据存储、系统控制、企业管理和用户服务,充分利用供热系统中"源-网-荷-储"不同环节的灵活性,全面提升系统运行管理水平;通过供热高标准地打造“可分、可组、可控”的供热一张网。


市政供热是一项庞大的系统工程,供热系统的核心关键基础设施为热源长输管网,简称供热管网,供热管网可分为一次管网和二次管网,由能源首站、换热站、中心站、中继泵站、隔压换热站、末级站等场站组成。各场站通过DCS、PLC、SCADA系统,构建覆盖热源一次热网、热力场站、二次热网、热用户的数据信息系统,建立智慧供热的智能优化运行系统。其管理采用市、县(市)、企业三级联动、两级管理的供热行业监管模式;根据供热系统职能管理结构划分如下:


10000.png


市政供热的首要目标是采用一列智能化手段,实现供热输配系统优化调控,解决二次网、热用户的调控及管理问题;通过热用户监测进行热力站及热源的自动调控,实现按需供热、精准供热,平衡供热安全、可靠、环保、舒适、经济等诸多方面目标。

 

市政供热系统按照结构和功能可以分为源、网、站、户四个部分。“户”是指终端用户;“站”是指热力管网的热力站系统,作用为站内换热控制和调节,系统的复杂度不高,数量较多,常采用SCADA系统;“网”主要是指供热一次输配管网,还包括热力输送所需的中继泵、定压、管道检测等控制系统,一般采用DCS系统;“源”是指供热系统的热力生产、转换或与上游工况的隔离系统,因其系统需采集和控制的参数较多,系统由多个独立部分组成,并且各部分耦合性较强,系统安全性要求较高,因此通常需要采用DCS系统。


02.

供热系统现状

供热系统按照区域和功能一般划分为集团调度控制中心、区域分公司调度控制中心、传输网络(运营商专线或无线)和各个场站控制系统组成。调度控制中心主要有SCADA服务器、热平衡算法服务器、数据库服务器、工程师站、操作员站等设备。调度中心与各个所属场站通过运营商专线互联。场站一般包括首站、换热站、中继站、加压站、末级站等,根据传输管网的距离,场站数量各不相同。


10001.png

▲供热系统拓扑结构


企业供热系统作为关键信息基础设施公共服务企业,系统的安全稳定运行直接关乎着国计民生,一旦系统出现问题轻则一起经济损失,重则引起居民投诉,影响政府公众形象。根据国家颁布工业控制系统网络安全法律法规,结合供热系统业务特点和面临的安全问题,亟待提升供热行业的工业安全防护能力。


03.

项目需求分析

供热系统中采用了大量的工业控制设备来实现工业控制自动化,例如SCADA、DCS、PLC等,这些系统普遍采用了专用的硬件、操作系统和通讯协议,又存在于较为封闭的网络环境中,因此往往疏于防护,存在着诸多的安全隐患。六方云针对客户需求,经过对该供热管网系统的调研,梳理出以下安全问题:


1、不同业务系统之间未做边界隔离防护;

2、供热系统调度中心服务器主机和场站的工控终端未做安全防护;

3、通用通信协议(OPC Classic协议、Modbus-TCP协议等工业控制协议)带来的安全问题;

4、生产网内部没有任何入侵检测和对应的防护机制,整个工控环境极为脆弱;

5、在SCADA系统远距离数据传输过程中,数据明文传输,无加密机制,极易造成数据泄露。


04.

解决方案


根据该厂供热系统的工业控制系统网络结构特点,以及供热SCADA系统面临的网络边界、主机、数据和应用安全方面的问题,六方云提出基于"AI基因、威胁免疫"的工业互联网安全体系理念,为该供热系统建立"可信连接、智能防护、安全互动"的主动防御安全体系,打造主动检测、主动保护、主动预测、主动响应的安全建设方案。


10002.png

▲本方案安全防护建设拓扑图


边界隔离建议在集团调度中心SCADA系统和企业办公网边界部署工业网闸,深度识别工业协议和数据库协议。采用物理隔离方式实现SCADA系统数据和企业办公网数据的摆渡,防止来自企业办公网的威胁流量入侵工业控制网络。


区域防护:深入分析智慧供热整个网络拓扑结构,明确区域边界,建议在集团及分公司调度中心、各场站(首站、加压站、换热站、末级站等)DCS系统网络边界部署工业防火墙,通过OPC等工业协议深度解析,进行应用层安全防护;结合自学习白名单安全防护策略,实现细粒度的边界访问控制和安全隔离,通过最小化规则尽可能规避来自外部系统的非法/违规数据访问。


10003.png


10004.png


同时场站与调度中心之间的工业防火墙采用工业VPN技术建立加密隧道,防止黑客搭线窃听获取生产数据和用户敏感信息


10005.png


主机防护:对供热调度中心SCADA系统内的主机和各场站DCS系统操作员站、工程师站进行安全防护,推荐部署安装基于工业白名单技术的工业主机卫士软件,通过应用程序白名单机制和主机加固功能,阻止非工作程序在主机上的操作运行,阻断由于操作系统漏洞、应用软件漏洞而引起的恶意攻击;同时对主机的USB接口进行管控,实现只有可信的移动存储设备才能使用,保证数据安全。


10006.png


检测与审计:在SCADA系统调控中心和各场站DCS系统旁路部署工业审计设备,通过旁路监听与智能分析技术,对工业控制指令攻击、控制参数篡改、采集请求、网络行为进行详细审计,对恶意代码攻击行为实时监测和告警。


APT高级威胁检测系统:市政供热系统的工业控制设备分布范围广,扩大了黑客攻击面,随着技术的进步黑客攻击技术也变的越来越难以防护,部署高级威胁监测系统变的越来越重要,通过建立事前攻击的提前发现和预防,事中攻击的主动检测、主动防御,事后及时溯源,做到应急响应。同时构建清晰的集团资产互访拓扑;对攻击场景进行还原,对每个攻击阶段进行回溯分析,通过丰富的可视化技术进行多维呈现。


10007.png


安全运营管理中心:建立供热SCADA系统和DCS系统安全管理中心,对工控网络中的相关防护产品进行统一管理和安全运维审计,对防护设备及工业主机卫士软件进行策略配置下发;通过日志审计系统实现供热系统相关服务器、设备的全网日志的收集和统一分析;建立针对供热系统工业互联网安全监测预警、信息通报、应急处置手段,提高威胁信息的共享,对监测发现的安全风险隐患及时通报相关企业。


实现工业设备资产感知、工业漏洞感知、工业配置感知、工业协议识别和分析、工业连接和网络行为感知、工业僵木蠕检测、工业攻击链监测和分析等安全态势感知功能,实时识别和预警工业控制网络和工业互联网络的安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,最终实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。


10008.png


05.

方案价值


1、通过本次项目的建设,能够对市政供热系统在转向智慧供热过程中对工业控制系统网络进行有效的安全防护,符合《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019三级建设标准,提升整体网络的防范风险能力。


2、实现网络安全从被动防御向主动防御转变,通过安全运营管理中心的建设达到“智能检测”、“智能上报”、“智能响应”的安全防护体系,全面提升智慧供热系统的安全运营能力。


3、通过智慧供热工业控制系统安全防护措施的应用,能够有效预防和避免由于管理疏忽造成的数据泄露现象,减少或避免因人员操作管理失误造成的损失。

more

手机扫码打开