摘要:随着互联网、大数据、云计算等新兴技术的应用,智慧水务成为市政水处理行业发展的趋势,城市污水处理厂工控系统从自动化走向网络化、智能化。由于工业网络与外部网络打通,病毒威胁随之而来。而近年来的水务行业工控安全事件也表明,污水处理厂极易成为黑客等不法份子的攻击目标,
背景概述
随着互联网、大数据、云计算等新兴技术的应用,智慧水务成为市政水处理行业发展的趋势,城市污水处理厂工控系统从自动化走向网络化、智能化。由于工业网络与外部网络打通,病毒威胁随之而来。而近年来的水务行业工控安全事件也表明,污水处理厂极易成为黑客等不法份子的攻击目标,加强污水处理厂工控系统的安全防护能力刻不容缓。
01/ 生产系统
污水处理厂工控系统包括PLC等控制设备组成的工业环网、中央控制室操作员站、工程师站、数据服务器、化验室操作站等,实现对整个污水处理工艺的生产过程监控、数据分析、故障报警等全方位的管理。02/ 防护范围
针对当前污水处理厂的网络安全现状,为保障其生产的安全稳定可持续,要对其进行生产网络的安全风险评估及安全等级保护建设,涉及的范围主要是污水处理厂工控系统。政策依据
法律法规:《中华人民共和国网络安全法》主席令第五十三号
国务院:《关键信息基础设施安全保护条例》国务院令第745号
工信部:《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)
公安部:《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
需求分析
01/ 标准合规性需求
作为国家重要的基础设施,企业要加快完成安全技术体系与管理体系的建设工作,使之符合《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)、《工业控制系统信息安全防护指南》等相关安全要求。02/ 业务安全性需求
从工控网络与架构、工控系统现场控制与过程监控层及工控协议安全三个层面进行需求分析:工控网络与架构
自动化系统与信息化系统种类较多,且大多企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,造成各网络子域间及跨网交换非授权访问风险和病毒横向传播风险。
工控系统现场控制与过程监控层
上位机、服务器存在大量漏洞、管理员对打补丁比较排斥,身份鉴别过于单一等情况;各主机未部署对已知与未知病毒的防护措施;同时存在误操作、非法攻击、勒索病毒感染等风险,生产企业迫切需要对工控主机进行加固及病毒免疫等。
工控协议安全
当前在工控网络中,各类安全威胁不断涌入控制系统,而企业内部缺少对工业流量监测审计的手段,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,让网络入侵轻易成功,最终导致安全生产事故的发生。
03/ 新技术安全需求
大数据、人工智能、云计算、物联网等新技术逐渐应用到生产业务中。各生产工艺流程高度集成的自动控制系统,使得一些非法攻击与入侵更容易进入生产控制网络,信息安全风险极高。解决方案
在满足等级保护合规要求的前提下,结合污水处理厂生产系统的特点,围绕着生产系统生命周期的高可用性,安盟信息基于“一中心,两分离、三边界”安全防护设计思想,融合工控安全设备与生产系统功能要求,解决应用场景“个性化”安全需求,提升抵御安全风险及安全事件应对能力,确保生产系统可持续运行。
01/ 一中心
是指建设污水处理厂工控网的安全管理中心,对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
02/ 两分离
为降低生产网因设备管理带来的风险,建议企业规划与业务网相对独立的安全管理网络,实现业务数据流和安全管理防护数据流的分离,互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。03/ 三边界
是指生产网边界、内部区域边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求,提供不同的安全防护技术和设备。方案价值
01/ 业务保障
深度结合污水处理厂工控系统的特点,解决系统存在的安全问题,降低安全运营风险,提高安全运维效率,为污水处理厂自动化、智能化建设提供安全保障。02/ 安全合规
符合《工业控制系统信息安全防护指南》,符合《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)。03/ 综合防护
通过强化区域内网络、主机、物理环境及数据的安全防护,增强整体安全防护能力,确保污水处理厂安全生产稳定运营,形成以边界防护为要点、多层防线构成的纵深防护体系。来源:anmeng安盟信息