安全防护依据

● 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

● 《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

● 《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

● 中国石油化工集团《关于加强工业控制系统安全防护的指导意见》

● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

● GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

● SY/T 7037-2016《油气输送管道监控与数据采集(SCADA)系统安全防护规范》

安全防护原则
典型部署

● 各场站监控系统通过运营商网络接入调度中心前部署工业防火墙设备,保证接入调度中心网络时的有效权限访问,实现与调度中心网络之间的纵向访问控制,以及不同网络区域之间的横向逻辑隔离;

● 调度中心网与企业网网络边界部署工业防火墙,阻止来自外部系统的病毒、恶意软件扩散和入侵攻击,保护控制系统安全运行;

● 各场站监控系统内通过镜像口旁路部署工控安全审计系统,实现对生产网络中网络威胁、违规操作、异常流程等网络攻击行为的实时监控与分析;

● 在首、末站上位监控主机部署USB安全隔离装置,保证通过USB外设接口与上位主机的通讯过程安全,并对临时接入工控系统的移动介质进行病毒查杀;

● 在调度中心部署入侵检测系统,实现生产网络中可能发生的网络入侵行为和恶意代码进行有效检测;

● 在调度中心部署日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析。

● 在调度中心部署账号集中管理与审计系统,实现对调度层网络中工程师运维过程的账号权限分配与管理,以及对运维过程的记录与分析。

● 在调度中心部署部署漏洞扫描系统,对工业控制系统快速、精确、高效的进行网络安全风险合规巡检。

● 在调度中心部署统一安全管理平台,对工控网络中的安全产品进行集中管理、配置和维护,便于综合分析、及时定位问题。