一、安全能力一张图
二、工业网络安全产品方案一览图
三、网络安全服务一览图
秉承“内生安全”的核心理念,以“实战攻防”为导向,以“专家服务”为保障,以“云地协同”为机制构建网络安全服务体系,建立全方位、全天候、全周期的网络安全命运共同体。围绕识别、防护、检测、监测、对抗和响应(IPDMCR)的能力模型,通过安全咨询规划、安全实战攻防、安全集成实施、安全运行保障、安全应急响应、安全教育培训等一系列实战化、常态化、体系化的安全服务业务,为客户提供7*24小时全生命周期的安全保障能力。
四、油气行业解决方案
1、 油气生产:
(1)场景需求:
油气生产工业控制系统利用物联网技术,建立覆盖石油石化企业油气地面生产各环节的不同工业控制系统(如数据采集与监控子系统、数据传输子系统、生产管理子系统等),实现生产数据自动采集、远程监控、生产预警等功能,支持油气生产过程管理,促进生产方式转变。从目前油气生产信息化场景来看,生产网边界缺乏防护、油气生产工业主机缺乏保护等多方面网络安全问题亟待解决。
(2)解决方案:
- 安全网络边界:在采油厂与油田公司办公网核心交换机之间部署工业网闸进行物理隔离;在采油厂SCADA服务器与作业区SCADA系统之间部署工业防火墙。
- 工业资产边缘防护:在采油厂工业安全管理区、作业区生产网核心区域旁路部署工业互联网边缘可信防护系统,实时监测采油厂工控设备(摄像头,RTU、PLC、网桥等)接入及运行状态,实现资产的身份认证,合规检查、风险感知、异常处置及访问控制。
- 工业主机管控:在作业区内各工程师站、操作员站终端及采油厂工业服务器上部署工业主机防护系统进行严格访问控制、状态监控、进程监控、病毒防护、基于白名单机制的应用程序管控。
- 网络流量监测审计:在作业区SCADA系统、采油厂生产网核心交换机分别旁路部署工业安全监测系统,准确监测网络异常流量,及时发现潜在的工控网络攻击和异常行为,并在第一时间告警。
- 漏洞发现与威胁管理:部署工业漏洞扫描系统,对上、下位机操作系统和应用软件进行符合性安全检查。
- 建设安全管理中心:在采油厂部署工业安全管理系统,在油田公司部署工业安全态势感知系统并与各采油厂安全管理系统联动,对各下属采油厂工控安全事件进行综合安全分析、预警和态势呈现。
2、石油炼化:
(1)场景需求:
石油炼化是典型的流程工业生产场景,生产现场控制操作与监测操作主要通过DCS系统实现。当下,炼化企业DCS系统主要以国外品牌为主,系统面临着“设备漏洞缺陷多”,“上位机缺乏安全防护极易感染病毒”,“APC先控系统等关键系统未进行安全防护”等安全风险;另
一方面,生产网络的边界缺乏安全防护措施,多使用基于OPC、 Modbus等开放、明文通信协议,不具备入侵检测与纵深防御的能力,缺乏实时发现和应对网内的非法访问和恶意攻击,一旦遭到入侵,很可能导致生产运行的瘫痪。
(2)解决方案:
- 网间域间安全隔离:炼化企业的生产网与办公网之间、生产核心下联不同控制DCS、SIS、PLC等生产控制系统之间、APC先控系统与OPC服务器之间通过部署工业防火墙/网闸类设备进行边界隔离防护。
- 工控主机安全防护:对DCS、SIS、PLC等控制系统中的操作站主机及数采服务器、MES、APC应用站等重要工控服务器主机部署工业主机防护系统进行主机防护。
- 网络流量监测审计:对不同装置类别的现场操作间网络的交换机上旁路部署工控网络安全监测系统,自动发现工业资产,洞悉资产脆弱性风险;深入分析网络流量,发现网络内异常操作与入侵行为,及时告警。
- 安全管理中心:建立炼化工控安全管理区,部署工业安全态势感知平台,对不同装置内的各类安全设备进行统一管理,收集安全数据,基于关联分析引擎、异常行为分析模型,从资产、漏洞、威胁、行为等维度,展示全局网络安全态势。
3、油气输送
(1)场景需求:
油气输送系统作为国家重要的能源基础设施,其担负着将石油天然气由产地输送至需求区域的重要使命,其场景具有”控制点分散,分布范围广“的特点,在监控方面多采用无人值守的方式,普遍使用SCADA系统进行监测与统一调度;SCADA系统由计算机、PLC、RTU等设备组成,部署于首站、分输站、末站和清管站/远控阀室等多个现地业务场景中。在安全建设过程中,应充分考虑控制中心与生产网区域的网络结构与数据流向,依托等保框架,结合潜在安全风险,构建综合防护体系。
(2)解决方案:
- 调度中心安全网络边界:在调度中心交换机下联到运营商通信路由器的链路上,从运营商路由器出口到通过有线光纤/3G/4G/卫星通信下联各个场站之间部署工业防火墙,做到对调度中心安全区域的生产网边界防护。
- 生产区域安全边界:在通过有线光纤/3G/4G/卫星通信链路连接到各个场站的链路上,场站链路边界上部署工业防火墙,实现对场站SCS系统的边界安全防护。
- 工控主机安全防护:对调度控制中心的工程师站,操作员站,模拟站及工控服务器上部署工业主机防护系统,采取进程管控的白名单机制进行工业主机的安全防护。
- 生产网安全监测:在首站、分输站、末站的SCS系统内部的网络旁路部署工业安全监测系统,通过端口流量镜像的方式对内网的安全区域进行实施工业安全监测和审计,深入分析网络流量,发现网络内异常操作与入侵行为,及时告警。
- 安全管理中心:在调度控制中心建立工控安全管理区,部署工业安全态势感知平台,对不同装置内的各类安全设备进行统一管理,收集安全数据,基于关联分析引擎、异常行为分析模型,从资产、漏洞、威胁、行为等维度,展示全局网络安全态势。