啟明星辰城市水廠工控網絡安全方案
作者:啟明星辰
2020-11-17
隨著新基建政策如火如荼地開展����,智慧水務加速度轉型��,城市水廠的工業控制系統逐漸體系化�、全面化����,水廠工業網絡縱向橫向都有了一定規模����,形成基于水行業的工業互聯網����,水行業不僅是國民經濟的根基命脈�,也關系到百姓生活的民生大計��。
因此���,數字化水廠背后存在的隱患和威脅受到重視�����,此前《信息安全技術網絡安全等級保護基本要求》也已明確指出工業控制系統屬于“等級保護對象”�����,隨著 “等保2.0”的正式實施�,意味著水行業工控系統正式打開了防護工作的大門���。
城市供水廠工控網絡面臨的安全風險有多大��?
城市供水廠工控網絡主要由沉淀池��、膜車間����、加藥間�����、清水池等工藝流程段組成�����,數據可經廠內上傳至集團中心機房��。
城市供水廠網絡拓撲如下:
很多的工控網絡由于規劃初期并沒有考慮到網絡安全�����,所以防護措施也是星星點點���,并沒有形成系統的安全防護��。在工控網絡中廣泛存在的風險和漏洞有:
1���、不安全的通信協議
2���、工控設備老舊
3��、網絡內部沒有檢測機制
4����、網絡邊界沒有隔離機制
5�、上位機組態軟件存在漏洞
除此以外�,工控安全方面的異?�,F象還有很多��,且種類不限�����,比如以下問題就曾出現在實際生產中:
1��、PLC間歇性死機
2���、數據采集無響應
3�����、內網工控機無故重啟
4���、殺毒軟件引起驅動沖突藍屏
5���、WEB界面經常無法正常訪問
6�����、數據庫數據消失
……
面對上述常見問題�,大多可通過運維以技術�����、管理手段即可解決���,不過更重要的是存在于整個工控網絡中的隱患����,如果其中一個接口被利用���,就會成為不法分子入侵水廠的鑰匙����,在工控網里面傳播修改數據��、妨礙軟件運行的程序���,正常的水流凈化程序可能會被干擾�����,受到污染的自來水流向了千家萬戶��,嚴重可能會造成生產停止���,帶來極大危險�。
面對這些安全風險�����,我們該如何防御�����?
解決水務安全隱患的根本在于建立體系化的安全防護手段�,單一的防護技術和管理手段往往“形單影只”����,在入侵的過程中可被輕易繞過�����。因此���,啟明星辰集團提出了建立區域隔離防護�、網絡檢測防護���、終端管理防護����、集中審計四大機制的城市水廠工控網絡安全方案����,采用多種技術手段組合的方式進行全方位的工控網絡防護�����,充分落實“等保2.0”的“一個中心���,三重防護”的主體思想���。
● 建立區域隔離防護機制
通過在關鍵節點處部署工業防火墻進行不同屬性網絡的邏輯分區��。工業防火墻是專門為工業控制系統開發的信息安全產品���,可以對專用的工業協議進行白名單或黑名單的訪問控制:
除了具備白名單訪問控制等基本功能外��,可以實現對工業指令的過濾���。支持基于Modbus/TCP����、Modbus/RTU����、IEC104等協議的深度過濾功能����。
● 建立網絡檢測防護機制
在網絡核心交換機附近規劃處工控安全域����,部署異常監測系統對整體的網絡流量進行監測審計�����。
搭載工業異常監測系統����,對所有出��、入的數據進行深度安全檢測�����,能夠檢測病毒�����、蠕蟲���、木馬���、DDoS���、掃描���、SQL注入���、XSS����、緩沖區溢出�����、欺騙劫持等入侵行為���。
通過建立網絡檢測防護機制�,可以實現對工業控制系統中的工控語言進行專項解讀����,提供特有的工控網絡檢測策略��,并可針對專用的工控業務定制專屬的安全檢測策略��。
● 建立終端管理防護機制
在工控安全區域內部署主機安全防護系統���,支持軟件安裝紅名單�����、黑名單和白名單�����,確保終端能夠按照要求安裝指定的軟件����,從而有效控制網絡非法外聯行為�,阻斷終端通過多網卡�、Wi-Fi��、3G網卡����、手機等多種方式網絡非法外聯訪問�����,杜絕網絡非法外聯行為發生�����。
對終端接入的移動存儲設備提供認證��、授權和審計���,確保終端使用認證通過的移動儲存設備��,對數據進行授權共享�,徹底杜絕通過移動存儲設備的數據非法外泄���。
● 建立集中審計機制
在工控安全區域內部署日志審計���、工控安全管理系統��。
系統能夠通過主被動結合的手段����,實時不間斷地采集用戶網絡中各種不同廠商的安全設備��、網絡設備�����、主機�����、操作系統以及各種應用系統產生的海量日志信息�,并將這些信息匯集到審計中心�,進行集中化存儲���、備份�、查詢�����、審計��、告警�����、響應���,并出具豐富的報表報告���,獲悉全網的整體安全運行態勢���,實現全生命周期的日志管理����。
水行業的正常有序運轉�,不僅與我們的日常生活�、生命健康息息相關��,同時也是構成社會穩定性的重要因素����,據統計2019年全國供水總量已達到6000億立方米以上����,如此大規模的供水量���,一旦出現問題����,那么危及到的將不只是幾個人����,而是億萬居民的用水安全����。安全已經成為水廠生產運行的首要前提��,隨著“等保2.0”落地��,水行業作為重要的民生支柱型行業��,理應更加網絡的安全��,踐行《網絡安全法》相關要求���,切實保障百姓的日常用水安全����。
作為網絡安全行業的領軍企業����,啟明星辰集團始終走在網絡安全技術的前沿��,持續深耕網絡安全技術�����,保障水務行業的安全穩定運行���。未來�,集團將繼續幫助企業規劃網絡安全建設����,構建智慧水務的縱深防御體系�,護航中國百姓喝到純凈安全的飲用水�����!
京公網安備11010802024551號