防患于未“燃”！城市燃气工控安全解决方案

作为上游天然气工业企业与下游用户连接枢纽，市政燃气是从气源到用户间一系列输送、分配、储存设施和管网的总称，主要由门站、储配站、输配管网、调压站及调度管理等组成。

燃气行业是城市基础设施行业，已逐渐成为我国经济发展的支柱产业，现在处于快速发展期。在燃气的生产、储存、运输过程中，工艺的连续性强、自动化程度高、技术复杂、设备种类繁多，一旦发生具有严重破坏性的泄漏、火灾、爆炸等重大事故，便会迫使生产系统暂时或较长期的中断运行，造成人员伤亡或者财产损失，威胁人民生命和国家财产的安全，因此做好城市燃气工控安全防护势在必行！

生产系统

燃气调度中心是城市燃气输配系统的“司令部”，负责协调系统，指挥燃气输送至千家万户，主要包括地理信息系统（GIS系统）、智能手机巡查系统、SCADA 系统、气量管理系统、管道完整性管理系统等，面临着严峻的网络安全形势，如漏洞、通信协议、网络病毒等安全威胁等。

防护范围

市政燃气工控系统安全防护范围主要包括门站、储配站、输配管网、调压站及调度管理里使用的工控系统、SCADA系统，燃气调度辅助系统如气量管理、GIS、巡检、管道完整性管理等信息化系统。

需求分析

• 标准合规性需求

作为国家重要的基础设施，企业要加快完成安全技术体系与管理体系的建设工作，使之符合《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、《工业控制系统信息安全防护指南》等相关安全要求。

• 业务安全性需求

1.工控网络与架构

自动化系统与信息化系统种类较多，且大多企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，造成各网络子域间及跨网交换非授权访问风险

和病毒横向传播风险。

2.工控系统现场控制与过程监控层

上位机、服务器存在大量漏洞，管理员对打补丁比较排斥，身份鉴别过于单一等情况；各主机未部署对已知与未知病毒的防护措施；同时存在误操作、非法攻击、勒索病毒感染等风险，生产企业迫切需要对工控主机进行加固及病毒免疫等。

3.工控协议安全

当前在工控网络中，各类安全威胁不断涌入控制系统，而企业内部缺少对工业流量监测审计的手段，更无法对工控指令攻击和控制参数篡改进行实时监测和告警，让网络入侵轻易成功，最终导致安全生产事故的发生。

• 新技术安全需求

大数据、人工智能、云计算、物联网等新技术逐渐应用到生产业务中。各生产工艺流程高度集成的自动控制系统，使得一些非法攻击与入侵更容易进入生产控制网络，信息安全风险极高。

解决方案

在顺应大数据、人工智能、云计算的发展背景下，满足等级保护合规要求的前提下，结合燃气工控系统的特点，围绕着生产系统生命周期的高可用性，安盟信息基于“一中心、两分离、三边界”安全防护设计思想，融合工控安全设备与生产系统功能要求，解决应用场景“个性化”安全需求，提升抵御安全风险及安全事件应对能力，确保生产系统可持续运行。

一中心：是指建设市政燃气调度网络安全管理中心，对工业生产全景进行安全态势感知、分析、预警及准入控制，并对异常报警行为形成工单分配给人工进行干预处理，同时与相应防护设备进行协同防御。

两分离：为降低生产网因设备管理带来的风险，建议企业规划与业务网相对独立的安全管理网络，实现业务数据流和安全管理防护数据流的分离，互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。

三边界：是指调度中心边界、各场站边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求，提供不同的安全防护技术和设备。

城市燃气工控安全解决方案拓扑结构示意图

方案价值

安盟信息城市燃气工控解决方案深度结合燃气调度工控系统的特点，解决系统存在的安全问题，降低了安全运营风险，提高安全运维效率，为燃气工控系统自动化、智能化建设提供安全保障，并且通过强化区域内网络、主机、物理环境及数据的安全防护，增强整体安全防护能力，确保燃气工控系统安全稳定运营，形成以边界防护为要点、多层防线构成的纵深防护体系。