一种燃气管网调度监控网络安全系统的制作方法

1.本实用新型涉及一种燃气管网调度监控网络安全系统，是一种网络数字处理系统，是一种工业网络的数据采集和控制系统。


背景技术：

2.在燃气输送的过程中安全性是第一位的，任何微小的泄漏都可能造成不可估量的损失。因此网络监控燃气输送的过程也必须遵循这一原则。对于现有网络的上的持续不断的入侵攻击和病毒的干扰，作为安全性为第一位的燃气输送，必须严格的确保网络数据传送的安全性，不能有任何不良因素进入燃气输送的监控网络，不能有任何非法操作出现在监控过程中，这就给燃气网络提出了十分苛刻的要求。传统个工业监控网络虽然设置了大量的防火墙、网闸、审计等安全措施，但还是无法避免入侵和病毒的攻击，以及错误的操作等问题，因此，要实现燃气监控网络的安全运行，是一个需要解决的问题。


技术实现要素：

3.为了克服现有技术的问题，本实用新型提出了一种燃气管网调度监控网络安全系统。所述的系统能够兼顾性能、可用性、安全性的针对燃气管网调度监控系统的网络安全系统。系统设计采用当前主流工控安全防护设备结合燃气管网调度监控系统的覆盖地域广、分支机构多、远程执行控制等特点。
4.本实用新型的目的是这样实现的：一种燃气管网调度监控网络安全系统，包括：燃气调度中心，所述的燃气调度中心通过广域网与多个站控子系统连接；所述的燃气调度中心包括：与广域网中的工控专线连接的中心端工业防火墙，所述的中心端工业防火墙与调度中心内网连接，所述的中心内网与配备有主机安全卫士的web服务器、数据服务器、至少一个scada服务器、至少一个工作站连接，所述的中心内网还连接至少两个交换机、工业安全审计平台、工业安全管理平台、入侵检测子系统和工业隔离网闸连接；所述的站控子系统包括：依次与所述工控专线连接的站控端路由器、站控端工业防火墙和站控内网连接，所述的站控内网与打印机、采集网关、站控交换机、通讯模块、至少两台plc，以及配备有主机安全卫士的操作员工作站、工程师工作站连接，所述的plc通过采集器与变送器、浓度探头、阀门连接，所述的通讯模块与智能仪表、火灾报警柜、色谱仪连接。
5.进一步的，所述燃气调度中心的工业隔离网闸依次与核心交换机、通用防火墙、广域网中的办公专线连接；所述的站控子系统中还包括与所述办公专线连接的通用防火墙，所述的通用防火墙通过办公路由器与办公内网连接，所述的办公内网与办公计算机、视频会议终端和办公交换机连接。
6.进一步的，所述燃气调度中心的数据服务器与光纤交换机和磁盘阵列连接。
7.本实用新型的优点和有益效果是：本实用新型设置了工业防火墙、工业隔离网闸、工业安全审计平台、入侵检测子系统，并在这些安全设备中加入了对燃气行业常见通讯协议的支持包括modbus tcp/ip、iec04、dnp3等，使以上安全设备不仅具备发现和阻止非法访
问终端的能力，而且可以发现和阻止合法访问终端的非法操作，进一步提高安全性。
附图说明
8.下面结合附图和实施例对本实用新型作进一步说明。
9.图1是本实用新型实施例一所述系统的拓扑示意图；
10.图2是本实用新型实施例二所述系统的拓扑示意图；
11.图3是本实用新型实施例三所述系统的拓扑示意图。
具体实施方式
12.实施例一：
13.本实施例是一种燃气管网调度监控网络安全系统，如图1所述。本实施例包括：燃气调度中心，所述的燃气调度中心通过广域网与多个站控子系统连接，所述的燃气调度中心包括：与广域网中的工控专线连接的中心端工业防火墙，所述的中心端工业防火墙与调度中心内网连接，所述的中心内网与配备有主机安全卫士的web服务器、数据服务器、至少一个scada服务器、至少一个工作站连接，所述的中心内网还连接至少两个交换机、工业安全审计平台、工业安全管理平台、入侵检测子系统和工业隔离网闸连接；所述的站控子系统包括：依次与所述工控专线连接的站控端路由器、站控端工业防火墙和站控内网连接，所述的站控内网与打印机、采集网关、站控交换机、通讯模块、至少两台plc，以及配备有主机安全卫士的操作员工作站、工程师工作站连接，所述的plc通过采集器与变送器、浓度探头、阀门连接，所述的通讯模块与智能仪表、火灾报警柜、色谱仪连接。
14.图1中的scada服务器、工作站、交换机、plc均只画出了两个，实际中还可以设置更多个。图1中显示的仅仅是一种两级监控的系统，在实际中还可以有多级监控的形式，如三级监控，即：在场站子系统之下还可以再布置一级监控系统。
15.本实施例本着“可信任网络白环境 软件白名单、主动防护”的安全理念，采用“以风险为核心、技术与管理相互同步”的实施策略。
16.网络安全系统主要包括：工业防火墙、安全隔离系统、网络入侵检测系统、工业安全审计系统、主机安全卫士、安全管理平台，在这些安全设备中加入了对燃气行业常见通讯协议的支持包括modbus tcp/ip、iec04、dnp3等。采取由“边界”到“内部”，再到“核心”的路线，对系统进行部署，通过“边界防护”、“区域内部防护”、“核心防护”，为系统构建一整套网络安全防护体系。
17.系统边界安全防护主要包括系统内不同安全区域间的防护以及系统与其他系统间的安全防护，前述所述边界防护主要特征为：部署工业防火墙、安全隔离系统，进行分级和分区隔离；在系统网络核心部署工业安全审计系统，审计核心数据流量；在系统网络核心部署网络入侵检测系统；部署安全管理平台，进行统一网络监控管理。
18.系统内各安全区域对部署区域内防护，前述所述区域内防护的主要特征为：在系统的服务器、操作站中部署主机安全卫士，保护其安全；在场站控制系统等子系统内部部署工业安全审计系统，审计数据流量；通过安全管理平台进行统一管理。
19.在场站站控系统中plc/rtu作为数据监控系统的核心对系统的安全运行起着至关重要的作用，系统针对配备工业防火墙对plc/rtu进行访问控制、工业协议过滤的防护，保
证plc/rtu不会被非法访问或攻击。
20.工业防火墙主要使用其访问控制、工业协议过滤、ipsec vpn、端口bypass功能。其访问控制及工业协议过滤功能区别于传统的网络安全防护设备针对工控系统结构功能相对稳定的特点，采用的基于流量学习的白名单策略，在保证了系统的有效性的同时，降低了配置使用的技术门槛；其ipsec vpn功能采用国密sm2
‑
sm4算法，对流经调度中心与站控系统间的数据进行加密防护，保证了数据采集、控制指令的保密性和不可篡改性，大幅提高了广域网通讯的安全性；端口bypass功能使工业防火墙故障不会影响监控数据的传输，保证了在实现合规的安全防护同时最大化系统的可用性。
21.燃气调度中心和站控子系统之间通过广域网相连，由于燃气管道经营公司的个体差异性较大，有采用较安全的专线连接方式的，也有采用较经济的公网连接方式的。为最大限度的保证广域网数据传输的完整性和保密性，本实用新型采用在燃气调度中心和站控子系统各设置一台工业防火墙并依靠该防火墙组件ipsec vpn来提高系统的安全性，为满足国标要求vpn加密算法为sm2
‑
sm4国密算法。
22.工控防火墙作为站控子系统这一核心系统安全防护关键设备，具有实时检测非法接入局域网设备的功能，任何未经授权的网络接入行为都会被扫描记录，并实时上传到调度中心安全管理平台，做到对非法接入及时发现及时处理。
23.燃气调度中心配备入侵检测子系统对整个网络系统的安全进行实时的监测。工业防火墙、工业隔离网闸具有实时检测、阻止、上报入侵风险和危险行为的能力，系统在遭受网络安全攻击时，这些设备可以通过工业安全管理平台集中显示各种预警信息。
24.燃气调度中心配备工业安全审计平台，对流经核心交换机的全部流量进行审计。
25.在所有的pc终端（服务器、工作站）均安装主机卫士。安装主机卫士采取白名单机制限制终端中的软件程序执行，有效的阻止已知或未知的恶意代码、病毒等有害程序的执行。
26.本实施例搭建一套安全管理网络独立于应用网络并设置一套安全管理平台，用于所有网络安全设备的集中管控，包括安全区域管理、对网络状态进行集中管理、收集各网络安全设备的日志进行集中分析归档、作为工控主机卫士的服务器端对所有的卫士软件进行集中管控。
27.工业安全隔离系统（工业隔离网闸）由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡，从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。
28.工业安全审计系统（工业安全审计平台）由三部分组成：数据采集及分析处理单元（简称探针）、综合分析处理及管理控制中心、人机界面工作站。系统采用c/s 架构设计，以综合分析处理及管理控制中心为核心，实现工业控制系统网络流量的采集、识别、检测、分析和存储的完整过程。
29.入侵检测子系统通过准确监测网络异常流量，自动应对各类攻击流量，及时将安全威胁阻隔在企业网络外部。入侵检测系统通过弥补防火墙、入侵防御等产品的不足，提供全面的、动态的、深度的、安全检测，为系统提供网络风险管理解决方案。
30.主机安全卫士是专门为工控环境打造的终端安全防护软件，采用了高效、稳定、兼容、易于设置的终端安全防护技术，只允许系统操作或运行受信任的对象，从而很好地适应工控环境相对固定的运行环境，并将非法程序（已知和未知的木马、病毒等）隔离在可信运行环境外；通过签名证书的白名单，又能确保经过签名的可信应用程序正常升级、加载和扩展，避免因软件升级导致应用无法运行的情况发生；还能对特定的对象（关键文件目录及应用程序、动态链接库、驱动文件等）提供保护，有效阻止恶意程序通过不同途径对关键对象的恶意改变。
31.工业安全管理平台从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统实现可用性、性能及服务水平的监测，结合内外部威胁情报信息的事件、流、漏洞及安全配置分析、审计、预警与响应，风险及态势的度量与评估，以及标准化、例行化、常态化的安全流程管控，通过面向业务的主动化、智能化安全管理，最终实现系统的持续安全运行。
32.工业防火墙、工业安全审计平台、工业安全管理平台、入侵检测子系统、工业隔离网闸均为现成硬件产品，购买后可直接联网使用。
33.网络拓扑结构上，监控系统网络要与其他系统网络物理隔离，监控系统专门申请单独的专线进行数据传输；核心的网络设备（如核心交换机等）建议采用冗余配置，避免单点故障造成系统失效。
34.硬件上，在燃气调度中心增加以下工控安全设备，工业防火墙一台，工业隔离网闸一台，入侵检测子系统一台，工业安全审计平台一台，工业安全管理平台一台。
35.在工控系统中运行的所有计算机，包括各种服务器、工作站、维护用移动pc等均安装主机安全卫士，以确保运行安全。
36.安全设备功能与部署
37.1、工业安全隔离系统（工业网闸）
38.工业网闸部署于调度中心与其他传统信息系统的接口处，实现传统信息系统与工业控制系统的隔离。
39.安全工控专用隔离网闸具有如下功能。
40.隔离功能：
41.实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全工控专用隔离网闸内外两个处理系统不同时连通。
42.应用数据的单向传输，即从生产非控制区向生产管理区的生产数据单向上报。
43.实现两个安全区之间的非网络方式的安全的数据传递。
44.防止穿透性tcp联接：禁止两个应用网关之间直接建立tcp联接，将内外两个应用网关之间的tcp联接分解成内外两个应用网关分别到工控专用隔离网闸内外两个网卡的两个tcp联接。具有可定制的应用层解析功能，支持应用层特殊标记识别。
45.管理功能：
46.透明、代理、路由三种工作方式：当部署为透明模式时，虚拟主机ip地址、隐藏mac地址。
47.安全、方便的维护管理方式：通过专用的管理接口进行管理，只有通过专用的控制台软件才能搜索到设备，避免了由其它人通过ip尝试口令进行篡改策略。控制台软件通过
人性化的gui图形界面进行管理。
48.业务安全功能：
49.产品支持opc、modbus tcp（ascii/rtu）、iec104、dnp3、siemens s7、profibus/dp、profinet、pi、phd等常见工业通信协议的深度检测、指令、功能码的控制。并且系统可通过导入协议分析模块来支持更多的工业通信协议的控制。系统也可对特定的功能码或通信内容做白、黑名单的内容过滤。
50.基于mac、ip、传输协议、传输端口以及通信方向的工控协议报文过滤与访问控制，支持主流的opc、modbus、iec
‑
104、dnp3、mms、iec
‑
61850等主流工控协议和电力单向1bit反馈传输协议。
51.工业协议均支持信令控制以及参数值域的控制，如只允许读，不允许设置等。支持常见工业电视等视频协议的传输。动态适应opc.da。
52.应用深度控制：
53.安全策略：
54.工业网闸产品的工作原则是没有被明确指出的可以通过的数据一律不予摆渡，所以将它部署于现场层与监控层之间，需要定制专门的允许交换数据的安全策略才可实现系统业务数据的安全交互。
55.第一步：划分单向传输数据的安全通道。目的是只允许系统业务数据的单向传输，不被黑客、木马反向穿透，不可泄露敏感数据。
56.第二步：定制交换数据的对象。目的是只允许对点的数据交换。其他试图穿过网闸的计算机的信息一律丢弃。
57.第三步：定制数据交换应用，通过选用设备内置的数据库处理模块，按照业务系统策略实现业务系统与数据库服务器的数据交换。
58.第四步：将安全通道与规则元素绑定、组合为一条综合安全保障策略，应用到网闸设备中。网闸设备开始通过指定的安全通道为业务内网、网上银行外网安全的交换数据。
59.2、工业防火墙：
60.工业防火墙分别部署于调度中心数据采集网络入口处，若干台工业防火墙部署在各重要场站接入路由器到交换机之间。
61.工业防火墙具有如下功能：业务功能、风险隔离、应用防护、动态适应opc.da、应用深度控制、业务保障、dos攻击防护、状态监测、多工作模式、日志审计、状态告警。
62.管理功能：三权分立、带外管理、终端注册、策略管理、备份恢复。
63.3、工业安全管理平台：
64.在调度中心交换机上部署工业安全管理平台，平台对各级场站的工业安全风险与态势进行度量与评估。
65.中心机房部署工业安全管理平台，平台对各类设备进行可用性与性能的监控、风险与态势的度量与评估、事件的分析审计预警等，以用户体验为指引，从监控、审计、风险、运维、态势感知五个维度建立一套全网业务支撑平台，使得各种用户能够对工控网络实现可用性、性能及服务水平的监测，以及标准化、例行化、常态化的安全流程管控，通过面向业务的主动化、智能化安全管理，最终实现业务信息系统的持续安全运营。
66.系统以客户的业务信息系统安全为保障目标，从监控、审计、风险、运维四个维度
对全网的整体安全进行集中化的管理与运维，为用户建立起了一个可视、可查、可度量与可持续的安全管理新平台。
67.借助本系统，用户可以获得对全网安全的可视化，洞悉业务信息系统的运行状况与安全状况；可以对全网的安全事件进行综合分析与审计，识别和定位外部攻击、内部违规；可以进行业务系统的安全风险度量、安全态势度量和安全管理建设水平度量；可以进行持续的安全巡检、应急响应与知识积累，不断提升安全管理的能力。
68.借助本系统，客户能够统一收集来自网络中资产的运行信息和日志信息，通过分析这些数据，识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维的有力工具。
69.4、安全审计系统：
70.安全审计系统旁路部署中心机房交换机上，在交换机上做流量镜像设置，安全审计平台收集并分析系统日志等数据。
71.5、网络数据采集：
72.网络数据采集由数据采集探针负责。探针采集和存储工控网络通信数据的，并对工控网络通信数据包进行深度解析，然后根据预先设定的策略产生告警事件，实时将告警信息等数据上报至综合分析处理中心。数据采集探针功能主要实现5个功能：数据包采集存储、网络流量分析、工控协议解析、协议内容分析和数据上报。详细功能如下：数据包采集存储、网络流量分析、工控协议解析、协议内容分析、数据上报。
73.6、综合分析处理及管理控制中心：
74.综合分析处理及管理控制中心是工业安全审计系统的核心，负责收集工控网络中部署的各个数据采集探针提交的数据，进行统一的分析和管理，同时综合分析处理中心还负责向hmi工作站提供要呈现的数据，并且接受hmi工作站下发的配置策略。综合分析处理中心需要实现的功能包括网络实时监控、网络异常告警、网络安全审计、系统管理等功能。综合分析处理中心主要功能如下：网络实时监控、网络异常检测、网络安全审计、系统管理。
75.7、入侵检测子系统
76.入侵检测子系统旁路部署核心交换机上，在交换机上做流量镜像设置，工业入侵检测设备获取相关信息分析非法流量进行及时报警。
77.入侵检测系统实现的主要功能：
78.识别和阻挡蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、sql注入、xss跨站脚本等各种攻击。检测范围涵盖病毒、蠕虫、木马及其引起的攻击、扫描、传输等事件。保证智能安防及巡点检系统受到攻击实时报警。
79.入侵检测：基于ip碎片重组、tcp流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别；支持模式匹配、异常检测、统计分析，以及抗ids/ids逃逸等多种检测技术；支持ids报文取证。
80.可基于tcp/icmp/udp协议自定义攻击特征，可检测蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、sql注入、xss跨站脚本、webcgi攻击检测、信息泄露攻击检测等多种攻击。
81.攻击事件显示：实时显示攻击事件，并按照时段分类统计和严重程度统计等信息。
82.报表分析：提供多种报表，可依据五元组、应用协议、时间点/时间段等元素自定义报表内容并显示。告警通知：可对接口流量/应用/协议的异常状态进行告警，并以email/snmp /trap/声音等方式通知管理员。
83.8、工机安全卫士：
84.主机安全卫士部署在安全系统的工作站、操作员站、工程师站、服务器等工业现场主机，保护主机安全运行。
85.工控主机卫士实现的主要功能：保障关键业务，阻止已知病毒及其变种、能防范未知的威胁无需额外成本、杜绝不合规应用降低安全风险、保护关键对象保障核心资产的完整、安全审计还原“安全真相”、移动存储介质白名单安全控制。
86.实施例二：
87.本实施例是实施例一的改进，是实施例一关于燃气调度中心的细化。本实施例所述燃气调度中心的工业隔离网闸依次与核心交换机、通用防火墙、广域网中的办公专线连接；所述的站控子系统中还包括与所述办公专线连接的通用防火墙，所述的通用防火墙通过办公路由器与办公内网连接，所述的办公内网与办公计算机、视频会议终端和办公交换机连接，如图2所示。
88.在一些较大的场站不但有监测和控制，还有办公系统，秉着办公与工业监控分离的原则，通过工业安全网闸可以分离出办公系统，为节约成本，分离出的办公系统则可以降低安全级别，使用通用的防火墙等安全设施。
89.实施例三：
90.本实施例是上述实施例的改进，是上述实施例关于燃气数据服务器的细化。本实施例所述燃气调度中心的数据服务器与光纤交换机和磁盘阵列连接，如图3所示。
91.为增加数据存贮量，可以在数据服务器段连接光纤网，以及盘阵等大型存储设备，以便存储燃气供应的海量信息。
92.最后应说明的是，以上仅用以说明本实用新型的技术方案而非限制，尽管参照较佳布置方案对本实用新型进行了详细说明，本领域的普通技术人员应当理解，可以对本实用新型的技术方案（比如各种安全设备的形式、安全设备的连接方式和安全系统的分级方式等）进行修改或者等同替换，而不脱离本实用新型技术方案的精神和范围。