某環保局減排監控管理平臺系統安全防護項目
作者:啟明星辰
2020-11-02
項目背景需求
隨著我國經濟的發展�,對能源的消耗不斷增加�,導致環境污染問題愈加突出��。為配合國家關于節能減排�����、能源的監控與管理要求�����,北部某省的一個省會城市開展了節能減排監控管理平臺的建設工作���,該平臺是把所有電力�����、鋼鐵��、煙草等制造企業端的能源數據通過基于無線傳感器物聯網的監測數據采集上來��,實現制造企業的能耗��、減排的指標進行監控和管理�����。
為了保證企業網與市節能減排監控管理平臺網絡安全隔離的基礎上�,上傳監控數據��。涉及250多家的該市的制造企業端將通過在邊界安全區部署工業安全隔離網閘來完成這一目標�����。
由于本項目接入的制造企業諸多�����,一方面不要因與各企業連接而傳入病毒�、惡意代碼等��,另一方面需要準確的接收來自各企業的工業監測數據����。具體需求包括:
(1)支持電力�����、鋼鐵�����、煙草等制造企業端各類工控組件產生的工業監測數據(如Modbus等協議)通過安全隔離網閘上傳至市節能減排監控管理平臺中�����;
(2)工業專用的無線傳感器設備能夠直接通過安全隔離網閘進行單向數據傳輸���;
(3)支持應用層數據單向傳輸���,能夠自定義TCP應答報文限制�����;(粒度1個字節)
(4)需要系統的可靠性機制和保障網閘系統自身的安全性���;
(5)該項目中傳感器采用了LoRa采集終端和網關���,傳感器系統通過UART口與終端連接�,傳感器系統將電機計量數據透明傳輸給終端���,終端將自動上傳電機數據到網關��,傳輸數據時采用了MODBUS協議�����。
防護方案及涉及安全產品
通過大量的測試對比����,最終選擇了天清安全隔離與信息交換系統��,部署在各企業接收器端�,詳細網絡拓撲圖如下所示:
最終滿足了需求里的全部內容�,實現了各制造企業端各類工控組件產生的工業監測數據(如Modbus等協議)通過安全隔離網閘上傳至市節能減排監控管理平臺中���;實現了如下效果:
(1)應用層數據單向傳輸�����,能夠自定義TCP應答報文限制����。(粒度1個字節)�。
(2)TCP��、UDP訪問通道�����,支持源地址��、目的地址�����、目的端口的訪問控制�����,支持生效時段控制策略��、提供訪問任務的單獨啟??刂?��。
同時為防止系統故障��,設置了內�、外網主機系統分別采用冗余雙系統啟動模式:當A系統運行失敗后��,能從B系統啟動��,且A���、B系統可互為備份���。
為保障自身隔離設備的安全���,還提供了IPV6���、IPV4雙棧接入��,內外網主機之間采用私有通訊協議��。
本項目中防護方案中涉及安全產品如下表:
產品名稱 | 數量 |
防火墻 | 3臺 |
工作站 | 3臺 |
工控異常監測系統 | 1臺 |
工控信息安全管理平臺 | 1套 |
項目效果
從該項目中看出�����,環保的實時監測的業務需求仍是環保單位的重中之重�����,所以在安全建設方面是仍以最小化需求�,目前隔離是保障安全的第一步���。而隔離時是選擇工業防火墻還是工業網閘�,是根據企業數據傳輸的頻率����、方向及反饋的實時性幾個方面要求來決策����。該項目也可供諸多其它行業SCADA監測系統的安全防護作為參考���。工控安全還處于起步期���,需要行業內攜手共同努力����,一起打造真正滿足用戶需求的產品����,切實解決工業用戶面臨的實際問題���。歡迎業內同仁共同交流探討��。
隨著污染的嚴重���,全國主要城市環保局陸續在做類似項目�����,可重點跟進�。因為環保做監測項目需要部署設備到生產企業的控制系統上�,所以保證單向性是免責需求����。
快速鏈接
京公網安備11010802024551號