燃气管网工控系统安全解决方案产品解决方案，燃气管网工控系统安全解决方案有哪些。

燃气管网安全解决方案

背景介绍

燃气管网作为国家的关键基础设施之一，在“两化融合”期间除了建立ERP、CRM以及OA等多数企业会使用的经营管理类信息系统外，也建立了大量的符合自身需求的生产运营类的系统，其中就包括了SCADA系统、生产调度系统、GIS系统以及其他生产运营相关的工控系统等。市政燃气正在向“智能管网”的方向迈进，对工业控制系统的依赖度更加严重，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式和互联网等公共网络连接，致使病毒、木马等威胁正在向工业控制系统扩散，造成了工业控制系统信息安全问题的日益突出。

安全挑战

网络隔离不合理：从生产运营网络角度出发，总部中心的网络除了与办公经营网路相连外，还与下级操作控制层进行联络，同时相应的数据还会直接连接到当地政府的系统中。在这些连接过程中，采用了传统的IT防火墙进行防护，无法对工控网络做到有效的防护。

工控系统普遍存在漏洞：由于工控系统大多以满足工业生产为前提，并没有太多考虑自身的系统安全问题，工控设备普遍存在漏洞。以下三图为知名企业产品存在的漏洞情况。

缺乏审计监测机制：控制中心没有部署安全监控设备，无法及时发现、告警控制网内的非法数据流量和异常操作行为。

非法接入问题：工控系统在日常生产运营和维护中，为了工作的便捷性，经常私自将笔记本、手机（热点）、ipad等设备接入到生产网络中，还存在非法外联现象，给燃气行业日常运营带来了诸多的不便。

安全运维问题：现场生产控制系统的日常运营和维护过程中，目前主要通过远程桌面方式进行运维，缺乏完善的运维审计机制，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为。

操作人员缺乏信息安全意识：控系统的操作人员往往不是IT人员，而是生产调度人员，这也使得工控终端缺乏传统IT的管控，使其成为外部威胁的可能接入点，如USB接口、维修连接、笔记本电脑等。

缺乏专业的安全人才：燃气企业的信息化人员不足已经成为公认的事实，而专业的信息安全人员更是缺乏，更不用说既懂工控业务又懂信息安全的专业人员，这也使得专业的网络安全设备缺乏维护。

典型部署

监测审计

在分控系统工业交换机、调度中心交换机上旁路部署工控安全监测审计系统，对网络内传输的流量进行采集、分析和处理，结合特定的安全策略，对异常操作、攻击等行为进行事中告警、事后审计；

入侵检测

在核心交换机上旁路部署入侵检测，对流量进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的异常、攻击行为。

边界防护

不同的分控系统间冗余部署工控防火墙，实现区域边界防护；生产自动化系统与MES系统间部署工业网闸，实现不同安全域间隔离防护；

运维管控

在调度中心部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求；

终端防护

在操作员站、工程师站上部署终端防护系统客户端，实现终端安全加固、进程白名单管控和USB移动介质管控；

安全管理平台

在调度中心部署安全管理平台（含日志审计），对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，并对安全设备进行统一管理和策略下发。

客户价值

满足国家和行业对于管道行业网络安全防护能力的要求；

将纵深防御理念引入到过程控制信息安全领域，全面提高油气管道的整体安全性；

构建长输管道、燃气管网的集中管理模式，提升运维效率；

实现无人值守站场的风险可知、可控。