主机“带病”?系统“裸奔”?中电安科储气油库行业工控安全解决方案助力油库企业补足安全短板

最新推荐文章于 2024-05-21 16:28:23 发布
最新推荐文章于 2024-05-21 16:28:23 发布
阅读量126 收藏
点赞数
文章标签: 安全 网络 web安全 经验分享 系统安全 计算机网络 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61101264/article/details/134150905
版权

石油作为重要的战略资源,关系着国家安全和人民生活。储气油库是石油能源供应链中的关键一环,在能源供给方面发挥着至关重要的作用,承担着极为关键的安全职能。随着物联网、移动互联网、大数据技术的发展,很多油气库罐区都在进行以摆脱传统监控方式、作业方法,建立便捷、先进、可靠的监控系统为目的的自动化改造。与此同时,不可避免地增加了很多安全事故的风险。其作为重要的战略物资储存设施,决定了对安全有很高的要求。

一、典型安全事件及思考

在过去的一年中,油库安全事件频发,给我们敲响了警钟。2022年1月,BlackCat勒索团伙攻击了石油贸易商Mabanaft和德国主要的石油储存和物流公司Oiltanking负责油罐装卸过程自动化的IT系统。233座加油站受此影响不得不手动运行一些流程。2022年11月,俄罗斯西部一处油库在大火中爆炸,火势蔓延4000平方米。

屡屡发生的网络攻击及爆炸事件,让我们认识到了油库一旦遭受到网络攻击,产生的破坏力、损失、影响难以估计。那么我们的储气油库是否足够安全?面对诸多安全挑战,我们该有何作为?

二、现状分析

储气油库作为重要的能源关键信息基础设施,主要存在系统安全**“先天不足”、三网混合网络边界模糊、生产运行安全无感知、油库主机带病“裸奔”运行、安全运维过程无管控、网络安全意识薄弱等网络安全问题。**

近年来,为提高油库的运行效率,协同产、炼、供、销环节,各国都在积极推进智能油库建设,以提升调控中心、库区的综合感知和决策能力。随着新一代信息技术与工业生产深度融合发展,智能油库建设面临的勒索软件、挖矿病毒、APT攻击团伙等网络安全威胁日益增多。储气油库行业的工控系统作为生产系统的核心,必须加强网络安全建设,着力提高工控系统网络安全应急处置能力,构建联防联控的工控系统网络安全体系,杜绝网络威胁攻击,实现储气油库行业工控系统的安全,进而实现储气油库生产的本质安全。

三、储气油库控制系统介绍

近年来,我国油气库在自动化装备、技术、功能、规模等方面都有了很大提高,测量和控制装置不断更新升级。应用的水平也从手工操作发展到自动控制,从低级的单回路控制发展到高级复杂系统控制,直到管控一体化。

油气库控制系统主要包括罐储计量监控、泵房与工艺流程监控、自动收发、安防综合监控、生产业务管理与全库综合监控等。

1、储罐自动测量感知系统

主要完成对罐区液位、温度的数据采集,并将液位、温度的实时数据和超限报警信息,通过集成网关、组态管理计算机和网络系统,上传到上层信息管理系统。其他经过授权的用户可在终端进行相关操作。通过本系统,可使各层管理人员能实时监控作业情况。

2、泵房工艺流程监控

主要用于作业监控、阀组监控以及作业调度。状态监控:用于公路进出、管线输送、火车进出和倒罐等作业监控。阀组监控:实现对每个阀门的实时状态的监控。作业调度:根据作业调度指令,启动相应的作业内容。提供作业方案专家指导,自动选择作业路径,并执行操作。根据模式设置,可实现所有收、发、转、存的自动化操作。

**3、收发自动感知系统

**

控制泵自动启停,并且与防抽空静电保护器及管道压力变送器联锁。泵前后管道压力自动检测。自动控制泵前后电动阀门开关及控制罐前电动阀门开关。

四、中电安科安全防护思路

参考《信息安全技术网络安全等级保护》、《工业控制系统安全防护指南》等相关技术要求,以纵深防御的防护理念为核心,结合储气油库行业工业控制系统网络的业务特点,构建以工业控制网络、设备、数据、控制、应用为目标防护对象的立体安全防护思路。

**1、**构建纵深防御体系

在储气油库行业建设安全防御纵深体系的设计和建设,亦应以《信息系统等级保护基本要求》为依据,建设符合工控系统安全需要的安全计算环境、安全区域边界、安全通信网络和安全管理中心。

**2、**安全分区,适度防护

合理划分安全区域,保障安全建设的完整性和可用性;另外从综合成本的角度,在不影响整体安全性的前提下,有效安全防护控制成本。

**3、**分步布控,集中管理

实现储气油库行业工控系统内相关安全防护产品都能通过安全管理平台进行集中展现。以通信流量为主线,对威胁攻击、安全事件的发生途径进行追根溯源,有效提高信息安全工作效率,降低人员安全维护成本。

五、解决方案总体架构

具体安全架构设计如下:

img

1. 安全通讯网络

**防火墙边界逻辑防护:**边界在防护产品通常以串接方式接入,部署在不同网络之间、不同区域之间,或系统与系统之间。通过一定的访问控制策略,对工业控制系统边界、工业控制系统内部区域边界进行保护。

**网闸边界物理防护:**在控制系统与办公信息系统之间,由于两个网络环境业务环境性质的不同,需要部署隔离工控网闸保证其安全性,除必须开放的用于数据交换的特定应用通道外,不提供任何对外的服务。

2. 安全区域边界

**网络安全监测审计:**网络交换机旁路部署工控安全监测审计系统,通过镜像接口分析网络中的网络流量,及时发现网络流量或设备的异常情况并告警,通常不会主动阻断通信,产品自身的故障不会直接影响工业控制系统的正常运行。

**入侵检测系统:**在网络关键节点处通过入侵检测进行入侵攻击行为的检测识别,发现并防止网络攻击行为,尤其对基于工业控制漏洞、工业控制异常指令、恶意代码以及关键事件进行及时告警,避免入侵行为或疑似入侵攻击的行为发生。

**网络准入控制系统:**在视频监控网络中部署准入控制系统,实现对网内的视频监控终端和无线接入设备实现准入控制,对在日常运营和维护中私自接入网络设备(如笔记本、手机、网络打印机等)进行管控。

3. 安全计算环境

**终端主机防护:**通过部署终端安全管理系统,在主机上安装代理程序,进行统一管理与监控,策略下发,异常报警等。实现对工业主机的进程白名单管理,对流量、移动存储介质使用进行管理,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现安全防护。

**数据库审计系统:**通过数据库审计系统全面审计在使用数据库过程中的访问过程,对于越权访问、异常数据库操作以及对数据库关键数据或进行关键指令操作过程全面审计,检测识别非授权操作的行为,避免数据库删除、篡改、异常访问等情况发生。

4. 安全管理中心

**安全运维审计管理:**针对网络设备、服务器、工控设备部署安全运维审计系统,对各系统运维人员进行资源授权,权限分配,有效防范第三方维护人员对非授权设备的操作,同时通过策略配置,可以对正在操作的违规流量进行有效阻断,对运维行为、对事后发生的问题能够准确定位。

**配置核查管理系统:**通过配置核查管理系统实现船闸监控系统资产和主机系统安全风险和配置项做到安全检查和问题归并,规避工业安全网络威胁,减少被黑客攻击和窃取的可能性,保障生产设施安全性。

**工控安全管理平台:**针对工业控制现场主机、服务器、网络设备、安全设备等工业资产,通过工控安全管理平台,对工控安全管理进行多维度的展示。为储气油库构建网络安全动态深度防御体系形成对安全威胁、风险隐患的动态持续管理。

六、方案价值

1、全面提升储气油库行业网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。

2、全面提升储气油库行业生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航。

3、全面改进储气油库行业业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。

杭州中电安科现代科技有限公司

杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全入门到进阶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安科生物_上市公司企业并购重组收购兼并方案报告中小板企业经典案例.PDF
07-05
安科生物_上市公司企业并购重组收购兼并方案报告中小板企业经典案例.PDF
安科中英文网站管理系统带后台 绿色led网站模板
06-30
安科外贸网站管理系统中英文双语版V1.6是针对外贸中小企业而开发的具有简单易用、功能强大,性价比高、扩展性好,安全性高、稳定性好的系统,可以加快外贸企业网站开发的速度和减少开发的成本。让不同的用户在懂的...
「螣龙安科」潮汐平台2.0:重新定义企业安全链条,打造新一代主动安全生态系统
katekatezzzzz的博客
02-24 5484
近年来,随着网络技术的快速发展和应用,众多企业从中受益,也面临了前所未有的威胁与挑战,网络安全逐渐成为热门词汇。继近期《网络安全法》《数据安全法》《个人信息保护法》三法联动,企业掀起了新一轮安全热潮。 然而,在网络安全保卫战中,大中小型企业网络安全痛点不尽相同: 对于自建安全团队的大型企业来说,安全团队的输出多以服务为主,无法量化、积累、规模化复用,成本居高不下,而服务输出内容高度依赖于个人能力,极大地增加了管理难度; 对于中小企业而言,技术的进步带来更复杂的网络安全环境,防护范围、手段以及目标类型不断
螣龙安科反入侵:为什么企业需要对网络安全格外小心?
katekatezzzzz的博客
07-08 542
有些人可能不会将网络安全视为与客户建立信任的一种方式。他们可能认为这只是防止恶意攻击的一种方法。预防很重要,但是网络安全如何建立对客户的信任? 消费者担心互联网的安全风险。例如,在过去的十三年中,身份盗用一直是每年向联邦贸易委员会投诉的第一大消费者。 由于常识,消费者似乎感觉到大多数小型企业负担不起最好的安全性,因此,无论是购买商品还是浏览商品,他们的网站更有可能面临更高的风险。 小型企业越能建立对其网站安全性的信任,客户越有可能访问,留下,购买,返回和推荐。因此,安全封条很重要。他们不仅向客户保证网站的安
螣龙安科反入侵安全系统网络安全对于小型企业的重要性
katekatezzzzz的博客
07-08 687
即使您认为网站上没有任何有价值的东西,或者您的网站太小而无法定位,也不会例外。黑客通常使用自动化工具来查找易受攻击的网站,并且一视同仁。 您的站点无疑提供了与其访问者的某种交流方式。在所有可能进行交互的地方,您都可能会遇到Web安全漏洞。网站经常邀请访问者: 加载包含动态内容的新页面 搜索产品或位置 填写联系表格 搜索网站内容 使用购物车 创建一个帐户 登录帐户 风险包括 在几乎每种情况下,攻击者的目标都是窃取和利用敏感数据,例如客户信用卡信息或个人凭据,这些数据将被用来在线滥用个人身份。 DDoS(分布式
螣龙安科CEO 王昊天:自动渗透测试是运维人员与安全团队的春天!
AnDFCyberSec的博客
07-07 387
螣龙安科CEO 王昊天:自动渗透测试是运维人员与安全团队的春天! 渗透测试是许多组织和企业的核心网络防御策略,它可以识别高度复杂的攻击手法并阐明攻击者通过利用漏洞可能造成的损害。渗透测试是一种比较有效的主动防御策略,让安全人员从攻击者的心态、策略和技术,识别威胁并消除不作为的后果。 总体而言,渗透测试是审查组织安全态势弹性和强度的好方法。但是,渗透测试通常每年进行一次或两次。随着网络自动攻击的流频率越来越高,企业无法再依赖于每年一两次检查。 因此,传统的渗透测试与当今网络安全环境的动态性质不同步,无法应对有
「螣龙安科|潮汐.安全感知平台」:与AI高度结合的新一代安全产品
katekatezzzzz的博客
02-24 6603
2020年,螣龙安科推出潮汐BAS自动模拟攻击平台,基于“以攻为守、以攻促防”的安全角度,潮汐.自动模拟攻击系统结合AI模型和攻击技术,可以对整个安全基础架构进行连续、自动化的测试。这种持续进行的模拟攻击可以定位企业漏洞、安全短板,找到业务可能遭受的损坏,确定企业安全性。 潮汐平台上线2年期间,经受住市场的检验,为螣龙科技带来上百万的业务及多领域的客户群体。在与这些客户打交道的过程中,螣龙安科工程师团队接触到了更多的产品需求,在不断的升级与优化中,我们迎来了潮汐.安全感知平台。 潮汐.安全感知平台继承了
螣龙安科:视频会议平台的安全建议
katekatezzzzz的博客
06-06 1283
随着COVID-19在全球范围内将组织转移到远程工作,视频会议和团队协作工具(例如Zoom,Skype,Microsoft Teams和WebEx)的使用不可避免地增加了。 威胁参与者正在利用这些远程工作协作和通信工具中的公共漏洞来传播恶意软件,并获得对受限私人会议的访问权限。联邦调查局(FBI)注意到,“zoom bombing”活动大幅度增加,威胁行动者以不适当的语言和图像破坏了会议,迫使会议提前结束。 当使用任何远程工作工具和软件(尤其是视频会议平台)时,组织必须牢记安全性。 zoom .
螣龙安科入侵感知:只有防火墙够吗?
katekatezzzzz的博客
07-08 167
有时,恶意用户所做的就是将脚本放在网页上的用户名,地址或搜索查询字段中。有时,他们甚至有可能从目标网站获得帮助。来自不受保护的服务器的错误消息可以为攻击者提供有关后端安全性,所使用的服务器类型以及在其上运行的软件的重要线索。 常见的攻击类型包括跨站点脚本(将客户重定向到另一个站点);缓冲区溢出(可以在远程服务器上执行流氓代码); Cookie中毒(可以更改加密的客户数据)。 这些攻击对于电子商务和金融网站而言是一场噩梦,因为它们通常特定于网站上运行的自定义软件,因此需要数月才能完成的自定义修复程序。 网站的
螣龙安科:“迷宫”勒索病毒——究竟何时才能走出?
katekatezzzzz的博客
06-04 294
尽管这种勒索软件已经存在了十二个月以上,但是在使用了加密算法之后,它最初被简称为ChaCha。 但是,从2019年5月起,其背后的犯罪分子采用了“迷宫”这个名称,甚至提出了自己的视觉“品牌”: 犯罪分子甚至会在扰乱您的文件后与您交谈-当然,虽然不是他们自己的声音-并使用您的用户名致电给您,以确保您知道他们希望得到报酬。 令人遗憾的是,最近几个月迷宫新闻频繁出现,特别是因为创建该迷宫的团伙处于新一波“双重打击”勒索软件攻击的先头。 骗子要求你支付勒索钱的原因: 付费以获取解密密钥以恢复您的宝贵文件,
螣龙安科反入侵安全系统:防火墙的局限性
katekatezzzzz的博客
07-08 818
防火墙可以保护网络设备免受网络数据包的攻击。 可是需要注意的是,黑客并不是网络数据包,尽管此类数据包是黑客可以产生的一种媒体,但还有许多其他使用的方法[例如,社会工程,物理修改等),不受防火墙的影响。 黑客可能以一些奇怪的方式与防火墙保护进行交互或绕过防火墙保护。为了保护系统免受黑客攻击,我们要让它无法访问——立即安装补丁,并遵循最佳实践进行配置和操作。 我们需要注意的是,黑客可以使用任何功能。假设有一个互联网连接系统,你不可能阻止该系统或IP的欺骗,并且系统与因特网上其他系统之间的所有路由器都可以检查或修
安科智能建站系统 v1.0.rar
07-05
本软件使用UTF-8编码,支持中英文建站系统。  对空间要求支持ASP 和 要设置.html 解释为.asp  在安装之前请联系空间商, 在IIS 里把空间文件解释 .html 解释为 .asp  详细操作:    打开IIS -> ...
防泄密、内网管理、上网行为管理-鸿智数据安全管理系统V8.0
04-09
而不能对文件进行任何编辑),“鸿智安科”则将内部保护和外发保护无缝结合,一套系统即可解决两类问题,合力构建了一个全方位的文件安全体系。此外,经过外发处理的文件保留了原有的编辑功能,对用户使用习惯不作...
安科生物:首次公开发行股票并在创业板上市招股说明书.PDF
05-15
安科生物:首次公开发行股票并在创业板上市招股说明书.PDF
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
安全+大模型应用系列之RSAC的Dropzone AI的分析
si1ence的博客
05-17 397
从Dropzone AI广泛的认可度来看,国外对该思路的认可度较好,前期在国内项目验证的时候客户也非常感兴趣。但是目前国内的安全产品、安全平台较为封闭、无法像国外产品能够广泛直接对接、或许是当前制约国内的安全GPT广泛推广的一个阻碍; 安全+大模型的产品的逐渐按照多能力的安全专家(全能)的能力和价值去规划、应该是一个受客户认可的正确方向。
Nginx - 安全基线配置与操作指南
小工匠
05-19 912
我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。
[图解]SysML和EA建模住宅安全系统-07 to be块定义图
最新发布
rolt的专栏
05-21 660
然后再针对这个画一个块内部图,然后这里再把签名拖上去
HLS视频加密,让您的视频内容更安全
云存储小天使的博客
05-21 420
HLS视频加密是一种基于HTTP Live Streaming(HLS)协议的加密技术。它的核心思想是将视频切片进行加密处理,在客户端播放时需要先获取解密密钥才能正常偶发。通过这种方式,HLS加密可以有效防止未经授权的第三方窃取视频内容,从而保障了视频内容的版权和安全。数据万象媒体处理服务提供了一套HLS视频加密方案,方便用户各个场景的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值