一、案例概述
液化天然气(Liquefied Natural Gas,LNG)加气站主要包含液化天然气储罐、液化天然气泵撬、液化天然气加气机、视频监控系统、气体泄漏报警系统、液化天然气站级SCADA系统、液化天然气站级销售管理系统等。各能源公司积极寻求数字化,智能化转型,纷纷开展利用5G、大数据等新技术手段,赋能液化天然气的生产、销售环节,新技术的利用使得OT与IT的融合打通了液化天然气生产、销售环节,使得原本封闭的系统、数据、网络不再封闭,暴露在互联网之下,极易引起恶意攻击、管理性操作失误等,造成系统安全事故。
六方云结合多年的天然气管道储运行业经验与技术积累,以等保2.0、网络安全法等法律法规为依据,依据客户实际需求与六方云改造经验,提出“事前控制、事中审计、事后分析、纵深防御、主动防御”的防护思想,帮助液化天然气生产销售公司实现管道仪表、各类传感器、自动控制系统、信息系统等系统之间的网络安全互联,保证液化天然气生产销售公司生产网络、办公网络及专线网络的安全连接,对生产系统面临的各种网络威胁进行安全防护。
二、风险现状
某城市液化天然气生产销售公司,包含1个液化工厂、8个液化天然气加气站、1个天然气门站。建设初期没有考虑安全防护问题,经分析存在以下安全风险:
边界缺乏防护风险:加气站涉及生产网数据在互联网上传输,存在重要数据泄露及容易遭受攻击等风险;工控主机涉及日常生产操作,容易遭受勒索病毒、U盘木马等安全风险。
外部专线联接入风险:液化天然气站网络中存在银行监管接入,未对专线外联接入采取相关防护措施,对来自专线的网络行为无法实现访问控制及安全检测。
重要数据泄露风险:销售竞价系统租用华为云或者阿里云服务器,存在重要数据泄露及网络安全攻击隐患。
视频网络传输风险:视频数据通过互联网进行传输,存在数据泄露及容易遭受网络攻击的风险。
资产不清,难管理:由于液化天然气加气站普遍位于偏僻的县、乡村、城市远郊区,资产分布广泛,无法清晰地对资产进行盘点和管理。
三、解决方案
液化天然气厂站网络安全产品部署拓扑图
风险评估,边界防护:为了保护厂站工业控制系统系统、加气站销售系统、视频系统等工控系统免受异常操作、非法指令恶意控制、病毒攻击等行为干扰和破坏,在工控系统前部署工业网闸。进行物理隔离,实现数据的单向传输,将来自互联网的风险隔离在外。
主机防护,主机加固:通过在各类服务器、操作站部署六方云工业卫士,以白名单的技术方式,全方面的保护主机的资源使用,禁止非法进程的运行,禁止非法网络的访问连接,禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径。
统一监管,闭环管理:通过在总部公司部署六方云监管平台,对网络中部署的所有安全设备进行统一监控、日志采集、安全分析、策略下发,为工控网络安全运营提供决策支持。
简化流程,规范操作:总部公司部署运维堡垒机,通过协议代理的方式,建立运维人员、运维资产、资产账户的唯一身份认证管理,配置集中访问控制和细颗粒度的命令级授权策略,实现集中有序的安全运维管理。
威胁检测,资产盘点:在总部公司部署流量分析与高级威胁检测系统,帮助运维管理者看清生产网络中的全部资产,资产与资产之间的访问关系以及攻击行为并自动建立资产台账数据库。采用领先的AI威胁检测技术,以网络与信息安全监测预警为监测依据,通过持续学习现网流量进行自我迭代和强化,提升高级威胁和未知威胁检测模型适应能力,提高检测准确率。
态势监测,运营管理:六方云安全态势监测和运营管理平台以生产业务数据为核心,以数据挖掘、机器学习行为建模、网络空间测绘等技术为基础,实现网络安全态势的监测、评估、预警、可视和集中响应,协助液化天然气公司提升安全态势监测,未知威胁感知,事件应急处置,攻击溯源能力,帮助用户高效的、地掌握整体安全态势。
四、应用效果
n 实现数据保护与防泄密
防止终端设备因失窃而带来的潜在风险。降低或避免敏感业务数据通过网络传输过程中所面临的窃听、恶意篡改、中间人攻击等风险;
n 实现统一管理,提高运维效率
将地域分散的网络中安全设备、网络设备、工控设备统一管理,对日志进行集中统一管理。减少管理人员工作量,降低人力投入提高了运维人员工作效率。
n 提升整体防护能力,满足法律法规要求
通过本次项目的建设,能够对LNG厂站工业控制系统网络进行有效的安全防护,符合《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019二级建设标准,提升整体网络的防范风险能力。
