城市供热工控系统安全解决方案产品开发

城市供热安全解决方案

背景介绍

随着经济的迅猛发展和城市化水平的提高，市政供热分布面积越来越大，供热管网的可靠运行和市民生活已关系密切。通过运用最新成熟的技术，对供热管网进行数字化监控，不仅有效的保证管网的运行，提高检修的效率，降低人工循检的成本，还便于相关部门的管理。供热管网安全生产监控调度系统是针对区域集中供热所开发的网络智能控制系统。系统以先进的自动化、计算机通讯和网络支持为基础，采用新一代产品、方案及服务，可以显著地提高系统的供热效率、保证系统运行的的稳定性和安全性，系统通过现场总线和网络集成而构成自动控制系统网络，按照公开、规范的道讯协议在智能设备之间、智能设备与远程计算机之间实现数据传输和信息交换，从而实现控制与管理一体化的综含自动控制系统。

安全挑战

缺少相关顶层设计：在行业内，由于缺少专门针对城市供热管网安全监控调度系统安全的相关标准和规范，所以在设计城市供热管网安全监控调度系统时，仅考虑工业控制网络与外部网络的隔离，对大量的工控产品、无线设备、嵌入式设备等一般没有风险评估和安全设计标准、机制，导致城市供热管网安全监控调度系统项目在设计、施工、验收时缺乏相应的依据。

缺乏管理流程：在管理流程上疏于防范，缺乏有效的安全策略与管理流程，给工控系统网络安全带来一定的威胁，如：不严格的访问控制策略、安全管理人员的角色/职责划分不明确、没有对工控系统进行定级备案等。

人员安全意识薄弱：内部人员对供热工业控制系统信息安全问题的紧迫性、重要性认识不足，安全意识薄弱。对企业工业控制系统的安全风险评估不足，防范措施单一，技术和资金投入不足。

保护对象不明确：在城市供热管网安全监控调度系统内部网络边界防护上，无论是过程控制系统，还是监控系统的工业控制网络，与企业管理网络一般没有明确的隔离；城市供热管网安全监控调度系统内采用的工业控制网络通信协议一般也未采取特别的安全措施。

供热工业控制系统还存在的安全技术问题：如设备漏洞、操作系统漏洞、通信协议漏洞，以及边界防护、非法接入、网络审计、安全运维等安全挑战。

典型部署

监测审计

在热力站、锅炉房、管网关键点、区域监控中心旁路部署工控安全监测审计系统，对网络内传输的流量进行采集、分析和处理，结合特定的安全策略，对异常操作、攻击等行为进行事中告警、事后审计。

入侵检测

在核心交换机上旁路部署入侵检测，对流量进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的异常、攻击行为。

边界防护

在不同的区域间部署工控防火墙，实现区域边界防护。

运维管控

在安全管理中心部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。

终端防护

在操作员站、工程师站上部署终端防护客户端实现终端安全加固、进程白名单管控和USB移动介质管控。

安全管理平台

在安全管理中心部署安全管理平台（含日志审计），对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，并对安全设备进行统一管理和策略下发。

客户价值

全面提升城市供热管网安全监控调度系统网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。

全面提升自来城市供热管网安全监控调度系统生产网络的整体安全性，确保设备、系统、网络的可靠性、稳定性和安全性，为保障民生保驾护航。

全面改进自来城市供热管网安全监控调度系统业务人员的安全水平和安全意识，提升安全管理水平、工作效率和管理效率。