工业互联网安全专题 > 解决方案

启明星辰城市水厂工控网络安全方案

作者:启明星辰 2020-11-17

随着新基建政策如火如荼地开展,智慧水务加速度转型,城市水厂的工业控制系统逐渐体系化、全面化,水厂工业网络纵向横向都有了一定规模,形成基于水行业的工业互联网,水行业不仅是国民经济的根基命脉,也关系到百姓生活的民生大计。

因此,数字化水厂背后存在的隐患和威胁受到重视,此前《信息安全技术网络安全等级保护基本要求》也已明确指出工业控制系统属于“等级保护对象”,随着 “等保2.0”的正式实施,意味着水行业工控系统正式打开了防护工作的大门。

城市供水厂工控网络面临的安全风险有多大?

城市供水厂工控网络主要由沉淀池、膜车间、加药间、清水池等工艺流程段组成,数据可经厂内上传至集团中心机房。

1.png

城市供水厂网络拓扑如下:

2.png

很多的工控网络由于规划初期并没有考虑到网络安全,所以防护措施也是星星点点,并没有形成系统的安全防护。在工控网络中广泛存在的风险和漏洞有:

1、不安全的通信协议

2、工控设备老旧

3、网络内部没有检测机制

4、网络边界没有隔离机制

5、上位机组态软件存在漏洞

除此以外,工控安全方面的异常现象还有很多,且种类不限,比如以下问题就曾出现在实际生产中:

1、PLC间歇性死机

2、数据采集无响应

3、内网工控机无故重启

4、杀毒软件引起驱动冲突蓝屏

5、WEB界面经常无法正常访问

6、数据库数据消失

……

面对上述常见问题,大多可通过运维以技术、管理手段即可解决,不过更重要的是存在于整个工控网络中的隐患,如果其中一个接口被利用,就会成为不法分子入侵水厂的钥匙,在工控网里面传播修改数据、妨碍软件运行的程序,正常的水流净化程序可能会被干扰,受到污染的自来水流向了千家万户,严重可能会造成生产停止,带来极大危险。

面对这些安全风险,我们该如何防御?

解决水务安全隐患的根本在于建立体系化的安全防护手段,单一的防护技术和管理手段往往“形单影只”,在入侵的过程中可被轻易绕过。因此,启明星辰集团提出了建立区域隔离防护、网络检测防护、终端管理防护、集中审计四大机制的城市水厂工控网络安全方案,采用多种技术手段组合的方式进行全方位的工控网络防护,充分落实“等保2.0”的“一个中心,三重防护”的主体思想。

● 建立区域隔离防护机制

通过在关键节点处部署工业防火墙进行不同属性网络的逻辑分区。工业防火墙是专门为工业控制系统开发的信息安全产品,可以对专用的工业协议进行白名单或黑名单的访问控制:

除了具备白名单访问控制等基本功能外,可以实现对工业指令的过滤。支持基于Modbus/TCP、Modbus/RTU、IEC104等协议的深度过滤功能。

● 建立网络检测防护机制

在网络核心交换机附近规划处工控安全域,部署异常监测系统对整体的网络流量进行监测审计。

搭载工业异常监测系统,对所有出、入的数据进行深度安全检测,能够检测病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等入侵行为。

通过建立网络检测防护机制,可以实现对工业控制系统中的工控语言进行专项解读,提供特有的工控网络检测策略,并可针对专用的工控业务定制专属的安全检测策略。

● 建立终端管理防护机制

在工控安全区域内部署主机安全防护系统,支持软件安装红名单、黑名单和白名单,确保终端能够按照要求安装指定的软件,从而有效控制网络非法外联行为,阻断终端通过多网卡、Wi-Fi、3G网卡、手机等多种方式网络非法外联访问,杜绝网络非法外联行为发生。

对终端接入的移动存储设备提供认证、授权和审计,确保终端使用认证通过的移动储存设备,对数据进行授权共享,彻底杜绝通过移动存储设备的数据非法外泄。

● 建立集中审计机制

在工控安全区域内部署日志审计、工控安全管理系统。

系统能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。

水行业的正常有序运转,不仅与我们的日常生活、生命健康息息相关,同时也是构成社会稳定性的重要因素,据统计2019年全国供水总量已达到6000亿立方米以上,如此大规模的供水量,一旦出现问题,那么危及到的将不只是几个人,而是亿万居民的用水安全。安全已经成为水厂生产运行的首要前提,随着“等保2.0”落地,水行业作为重要的民生支柱型行业,理应更加网络的安全,践行《网络安全法》相关要求,切实保障百姓的日常用水安全。

作为网络安全行业的领军企业,启明星辰集团始终走在网络安全技术的前沿,持续深耕网络安全技术,保障水务行业的安全稳定运行。未来,集团将继续帮助企业规划网络安全建设,构建智慧水务的纵深防御体系,护航中国百姓喝到纯净安全的饮用水!

上一篇 下一篇

服务热线

400-624-3900