汛期已至,全力保障水泵站安全運行!
概述
七八月份是我國防汛關(guān)鍵期,也是臺風(fēng)暴雨多發(fā)期,大范圍強降水、江河洪水呈現(xiàn)多發(fā)頻發(fā)趨勢,導(dǎo)致嚴(yán)重的洪澇災(zāi)害,危害人民生命財產(chǎn)安全?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》2021年9月1日發(fā)布,其中明確規(guī)定水利工程是“國家關(guān)鍵信息基礎(chǔ)設(shè)施”的重要組成部分,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益。水泵站作為水利工程建設(shè)過程中較為重要組成部分,在防汛抗洪過程中發(fā)揮著重要的作用,保障水泵站安全運行至關(guān)重要!
水利信息化是我國信息化建設(shè)的重要組成部分,也是水利現(xiàn)代化的必然途徑。水利信息化的發(fā)展使越來越多的計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用于泵站控制系統(tǒng),更加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境為水泵站的安全運行帶來了極大的安全隱患。隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《網(wǎng)絡(luò)安全等級保護基本要求》、《水利網(wǎng)絡(luò)安全技術(shù)規(guī)范》等多項網(wǎng)絡(luò)安全相關(guān)法律法規(guī)先后出臺,為進一步提升水利行業(yè)網(wǎng)絡(luò)安全意識,筑牢水利網(wǎng)絡(luò)安全防線,推進智慧水利建設(shè)構(gòu)建了良好的基礎(chǔ)支撐。
一、水泵站面臨的網(wǎng)絡(luò)攻擊風(fēng)險
當(dāng)前,水利系統(tǒng)防護資源不足、網(wǎng)絡(luò)安全成熟度較低,網(wǎng)絡(luò)攻擊可能造成嚴(yán)重損害,這使水利系統(tǒng)成為黑客組織的攻擊目標(biāo)。2020年5月28日,以色列國家網(wǎng)絡(luò)安全負責(zé)人公開承認,該國4月份挫敗了對其供水系統(tǒng)的大規(guī)模網(wǎng)絡(luò)攻擊。美國國土安全部的統(tǒng)計顯示:早在2015年,針對供水系統(tǒng)的網(wǎng)絡(luò)攻擊事件,就已經(jīng)排入前三名,僅次于關(guān)鍵制造和能源行業(yè)。頻發(fā)網(wǎng)絡(luò)安全事件表明,網(wǎng)絡(luò)威脅已經(jīng)向水利系統(tǒng)領(lǐng)域滲透,把水泵站等控制系統(tǒng)作為攻擊目標(biāo),為水利系統(tǒng)敲響了安全警鐘。
主要風(fēng)險:
黑客入侵風(fēng)險:水泵站工控系統(tǒng)存在與其他網(wǎng)絡(luò)互聯(lián)需求,因此需開放業(yè)務(wù)端口與互聯(lián)網(wǎng)貫通,存在被不法分子入侵的風(fēng)險。
病毒傳播風(fēng)險:跨網(wǎng)互聯(lián)存在病毒傳播到企業(yè)工控系統(tǒng)中的風(fēng)險,導(dǎo)致重泵機無法正常工作,甚至造成安全事故。
數(shù)據(jù)篡改及泄露風(fēng)險:水泵站經(jīng)其他網(wǎng)絡(luò)傳輸數(shù)據(jù)時,存在數(shù)據(jù)篡改和數(shù)據(jù)泄漏風(fēng)險。
二、水泵站工控安全防護解決方案
針對當(dāng)前水利泵站的網(wǎng)絡(luò)安全現(xiàn)狀,為保障其生產(chǎn)的安全穩(wěn)定可持續(xù),要對其進行生產(chǎn)網(wǎng)絡(luò)的安全風(fēng)險評估及安全等級保護建設(shè),涉及的范圍主要包括各泵站生產(chǎn)控制網(wǎng)絡(luò)和監(jiān)控中心。水泵站生產(chǎn)控制網(wǎng)絡(luò)包括 PLC 等控制設(shè)備、HMI 等工業(yè)終端設(shè)備、監(jiān)控終端等上位機、關(guān)鍵業(yè)務(wù)系統(tǒng)等。安盟信息水泵站工控安全防護解決方案在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心四方面對防護框架進行全方位方案設(shè)計。
安全通信網(wǎng)絡(luò)
網(wǎng)絡(luò)架構(gòu):劃分不同網(wǎng)絡(luò)區(qū)域,避免將重要區(qū)域部署在網(wǎng)絡(luò)邊界處。
安全區(qū)域邊界
邊界防護:訪問與數(shù)據(jù)流通過邊界設(shè)備受控接口通信;非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)檢查或限制。
入侵防范:關(guān)鍵網(wǎng)絡(luò)節(jié)點檢測攻擊,限制外部及內(nèi)部攻擊,采取技術(shù)措施對網(wǎng)絡(luò)行為分析,檢測 新型網(wǎng)絡(luò)攻擊;記錄檢測到的攻擊并報警。
安全計算環(huán)境
訪問控制:重命名或刪除默認賬戶,修改默認口令;清理多余無效賬戶與共享賬戶;實現(xiàn)管理用戶最小授權(quán)以及權(quán)限分離。
安全審計及防范:審計覆蓋每個用戶,審計重要用戶行為和安全事件。對入侵進行阻斷及告警。
安全管理中心
集中管控:劃分出特定的管理區(qū)域,并建立安全的信息傳輸路徑,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控;對設(shè)備、鏈路運行狀況進行集中監(jiān)測; 對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集 匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)規(guī)要求。
水泵站工控安全防護拓撲結(jié)構(gòu)示意圖
在滿足等級保護合規(guī)要求的前提下,結(jié)合泵站生產(chǎn)網(wǎng)絡(luò)的特點,圍繞著生產(chǎn)系統(tǒng)生命周期的高可用性,安盟信息基于“一中心,兩分離、三邊界”安全防護設(shè)計思想,融合工控安全設(shè)備與生產(chǎn)系統(tǒng)功能要求,解決應(yīng)用場景“個性化”安全需求,提升抵御安全風(fēng)險及安全事件應(yīng)對能力,確保生產(chǎn)系統(tǒng)可持續(xù)運行。
一中心:是指建設(shè)企業(yè)生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全管理中心,對工業(yè)生產(chǎn)全景進行安全態(tài)勢感知、分析、預(yù)警及準(zhǔn)入控制,并對異常報警行為形成工單分配給人工進行干預(yù)處理,同時與相應(yīng)防護設(shè)備進行協(xié)同防御。
兩分離:為降低生產(chǎn)網(wǎng)因設(shè)備管理帶來的風(fēng)險,建議企業(yè)規(guī)劃與業(yè)務(wù)網(wǎng)相對獨立的安全管理網(wǎng)絡(luò),實現(xiàn)業(yè)務(wù)數(shù)據(jù)流和安全管理防護數(shù)據(jù)流的分離,互不干涉。安全管理網(wǎng)絡(luò)實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備的配置管理、運行狀態(tài)收集、分析數(shù)據(jù)收集等。
三邊界:是指生產(chǎn)網(wǎng)邊界、其他外聯(lián)邊界、主機邊界三個邊界。基于三邊界不同安全防護側(cè)重點和業(yè)務(wù)連續(xù)性要求,提供不同的安全防護技術(shù)和設(shè)備。
方案價值
網(wǎng)絡(luò)隔離
在生產(chǎn)環(huán)網(wǎng)與監(jiān)控網(wǎng)之間部署工業(yè)安全隔離裝置;監(jiān)控網(wǎng)到互聯(lián)網(wǎng)之間部署下一代防火墻,生產(chǎn)環(huán)網(wǎng)與控制中心部署工業(yè)防火墻,符合安全策略的應(yīng)用和數(shù)據(jù)才可以通過,防止黑客攻擊和勒索病毒入侵。
安全合規(guī)
通過安全防護的技術(shù)應(yīng)用要點,實現(xiàn)了高安全隔離前提下的數(shù)據(jù)交換,符合《工業(yè)控制系統(tǒng)信息安全防護指南》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GBT22239-2019)。
綜合防護
強化區(qū)域內(nèi)網(wǎng)絡(luò)、主機、物理環(huán)境及數(shù)據(jù)的安全防護增強整體安全防護能力,形成以邊界防護為要點、多層防線構(gòu)成縱深防護體系,確保水泵站安全生產(chǎn)穩(wěn)定運營。
隨著物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)發(fā)展應(yīng)用,水利行業(yè)工控系統(tǒng)面臨更多的安全風(fēng)險,安盟信息將憑借在新一代邊界安全、工業(yè)互聯(lián)網(wǎng)安全、商用密碼應(yīng)用與數(shù)據(jù)安全方面積累的經(jīng)驗,繼續(xù)深化研究并實施水利網(wǎng)絡(luò)安全技術(shù)防護措施、持續(xù)落實網(wǎng)絡(luò)安全制度,促進水利工控制系統(tǒng)安全、穩(wěn)定運行,更好支撐水利業(yè)務(wù)健康發(fā)展!
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運營體系
商用密碼產(chǎn)品|服務(wù)器密碼機的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來 護航數(shù)智發(fā)展 新奧集團與安盟信息簽署戰(zhàn)略合作
智慧礦山無人礦車密碼應(yīng)用解決方案