威斯尼斯人wns298(百度VIP认证)-Slota of Vegas

2023-12-29
守护关基安全|油库工控安全防护解决方案
背景简介
油库主要储存可燃的原油和石油产品。大多数储存汽油、柴油等轻油料,有些油库还储存润滑油、燃料油等重质油料。油库的特点为储油容量大、业务范围广、危险性大。随着我国石油工业的飞速发展,油库发展很快,除了石油系统、供销系统和军事系统建有一系列专用油库外,其他企业,如铁道、交通、电力、冶金等部门也建有各种类型的油库,以保证运输和生产的正常运行。
  1. 生产系统
    油库生产系统是指在储存汽油、柴油等轻油料,润滑油、燃料油等重质油料,收发油,计量,消防以及安全监测等过程中所使用的泵房控制系统,罐区监控系统,收发油系统,视频监控系统,安防系统,巡检系统,业务管理信息系统等。
  2. 防护范围
    油库工控系统主要防护范围包括:油库内工艺系统使用的集中控制系统(SCADA),罐区/、收发油/、泵房使用的自控系统,业务管理信息系统,辅助生产类(视频监控系统,安防系统,巡检系统)系统等。
需求说明
政策依据
  • 工信部:《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
  • 公安部:《信息安全技术 网络安全等级保护基本要求》 (GB/T 22239-2019)
  • 工信部:《工业控制系统信息安全防护能力评估工作管理办法》(〔2017〕188号)

风险事件
  • 2020年5月,台湾CPC公司及其竞争对手台塑石化公司(FPCC)都遭受了勒索软件的网络攻击,使其IT和计算机系统关闭,加油站支付系统受到破坏。
  • 2014年9月,中东石化公司遭到分布式木马Citadel攻击,Citadel具有先进的远程控制和数据窃取能力。
防护设计
  1. 安全通信网络
    网络架构:划分不同网络区域,避免将重要区域部署在网络边界处。
  2. 安全区域边界
    边界防护:访问与数据流通过边界设备受控接口通信;非授权设备接入内部网络检查或限制。
    入侵防范:关键网络节点检测攻击,限制外部及内部攻击,采取技术措施对网络行为分析,检测新型网络攻击;记录检测到的攻击并报警。
  3. 安全计算环境
    访问控制:重命名或删除默认账户,修改默认口令;清理多余无效账户与共享账户;实现管理用户最小授权以及权限分离。
    安全审计及防范:审计覆盖每个用户,审计重要用户行为和安全事件。对入侵进行阻断及告警。
  4. 安全管理中心
    集中管控:划分出特定的管理区域,并建立安全的信息传输路径,对分布在网络中的安全设备或安全组件进行管控;对设备、链路运行状况进行集中监测;对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
安全防护与产品
按照工信部338号文及等保2.0要求,通过部署工业防火墙、隔离装置、工业审计、主机卫士、日志审计、安全管理平台等安全防护产品,来提升油库工控网络整体防护能力。
行业相关机构与部门
国家能源局石油天然气司:行业监督管理部门
电气/仪表部门:工控系统信息安全
解决方案
在满足等级保护合规要求的前提下,结合油库生产控制网络的特点,围绕着生产系统生命周期的高可用性,威斯尼斯人wns298基于“一中心,两分离、三边界”安全防护设计思想,融合工控安全设备与生产系统功能要求,解决应用场景“个性化”安全需求,提升抵御安全风险及安全事件应对能力,确保生产系统可持续运行。

油库工控安全防护示意图
(油库工控安全防护示意图)
  • 一中心:是指建设油库工控网络的安全管理中心,对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
  • 两分离:为降低生产网因设备管理带来的风险,建议企业规划与业务网相对独立的安全管理网络,实现业务数据流和安全管理防护数据流的分离,互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。
  • 三边界:是指油库生产网外联边界、生产网边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求,提供不同的安全防护技术和设备。
方案价值
业务保障
深度结合油库工控系统应用特点,解决系统存在的安全问题,降低安全运营风险,提高安全运维效率,为油库数字化、智能化建设提供安全保障。

安全合规
通过安全防护策略的应用,实现油库工控系统的安全防护体系。符合《工业控制系统信息安全防护指南》,符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)。

综合防护
通过强化区域内网络、主机、物理环境及数据的安全防护增强整体安全防护能力,确保油库安全生产稳定运营。形成以边界防护为要点、多层防线构成纵深防护体系。

威斯尼斯人wns298为油库工控安全保驾护航