近年來�,水利行業(yè)正按照國家關(guān)于網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國的總體部署和“十六字”治水方針�,堅(jiān)持網(wǎng)絡(luò)安全與數(shù)字化轉(zhuǎn)型是一體雙翼,讓網(wǎng)絡(luò)安全始終滲透在整個(gè)體系之中���,建立與智慧水利發(fā)展相協(xié)調(diào)的全面�����、系統(tǒng)����、主動(dòng)、智能的智慧水利網(wǎng)絡(luò)安全體系是大勢所趨和必然要求���。
01.背景介紹
某大型泵站為保障城市防洪安全�����,提升城市防洪減災(zāi)能力���,新建泵站,泵站按照當(dāng)?shù)胤篮闃?biāo)準(zhǔn)為100年一遇���。
該泵站為遵循國家網(wǎng)絡(luò)安全相關(guān)政策標(biāo)準(zhǔn)要求����,遵循水利網(wǎng)絡(luò)安全總體策略和設(shè)計(jì)�����,落實(shí)網(wǎng)絡(luò)安全法�����、安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)要求�,建立和完善以包含縱深防御為基礎(chǔ)、監(jiān)測預(yù)警為核心��、應(yīng)急響應(yīng)為抓手的網(wǎng)絡(luò)安全防護(hù)體系����。
泵站自動(dòng)化系統(tǒng)由計(jì)算機(jī)自動(dòng)控制系統(tǒng)、視頻監(jiān)控系統(tǒng)�����、信息管理系統(tǒng)及視頻會(huì)議系統(tǒng)四個(gè)子系統(tǒng)組成����,自控系統(tǒng)包含主機(jī)組、輔機(jī)���、配電設(shè)備�����、介質(zhì)監(jiān)測與控制�����,是保證泵站正常運(yùn)行的關(guān)鍵���。工控系統(tǒng)設(shè)計(jì)初衷是保證其功能穩(wěn)定���、可靠,但是安全層面上任何網(wǎng)絡(luò)節(jié)點(diǎn)均存在被非法訪問者入侵的風(fēng)險(xiǎn)����,一旦遭受入侵,甚至可造成自控系統(tǒng)的中斷�����。
02.項(xiàng)目需求
通過縱深防御建立合規(guī)網(wǎng)絡(luò)防護(hù)基礎(chǔ)����,提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅的迅速發(fā)現(xiàn)和處置能力。
1����、強(qiáng)化工業(yè)主機(jī)安全防護(hù)
從事件預(yù)防的角度開展對(duì)工業(yè)主機(jī)的安全加固工作,發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)和防護(hù)短板�����,通過安全加固提升內(nèi)外防護(hù)能力�。
2、提升控制網(wǎng)絡(luò)邊界安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進(jìn)行有效隔離防護(hù)����,避免存在被惡意攻擊及入侵的可能。尤其是針對(duì)PLC控制系統(tǒng)軟硬件漏洞的難以防范的攻擊行為�����。
3���、加強(qiáng)控制網(wǎng)絡(luò)安全監(jiān)測與審計(jì)
加強(qiáng)對(duì)工控網(wǎng)絡(luò)進(jìn)行入侵檢測和網(wǎng)絡(luò)檢測��,便于能夠及時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的異常行為及入侵行為�。工業(yè)控制系統(tǒng)的通信協(xié)議為了保障通信實(shí)時(shí)性和可靠性而放棄認(rèn)證�、授權(quán)和加密安全特性和功能,安全風(fēng)險(xiǎn)大��。
4����、提升運(yùn)維安全
工控系統(tǒng)調(diào)試運(yùn)維作業(yè)離不開安全運(yùn)維平臺(tái),需要有效避免在調(diào)試運(yùn)維過程將病毒���、木馬帶入工控系統(tǒng)��。
5�、進(jìn)行統(tǒng)一的安全管理
工控系統(tǒng)網(wǎng)離不開統(tǒng)一安全管理平臺(tái)??捎行П苊忭?xiàng)目后期持續(xù)運(yùn)維中增加運(yùn)維成本以及工控系統(tǒng)日志需要聚合、統(tǒng)一存儲(chǔ)��,以便溯源�。
6、加強(qiáng)漏洞管理能力
工控系統(tǒng)網(wǎng)需要專用的系統(tǒng)漏洞掃描技術(shù)����,一旦不法分子利用漏洞攻擊工控系統(tǒng),會(huì)破壞生產(chǎn)連續(xù)性����。
03.解決方案
該泵站工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè),以適度安全為核心�����,以重點(diǎn)保護(hù)����、風(fēng)險(xiǎn)管理���、標(biāo)準(zhǔn)化�����、統(tǒng)一安全管理為原則�����,以AI技術(shù)賦能�、OT/IT融合安全技術(shù)產(chǎn)品為依托。
構(gòu)建專用控制網(wǎng)絡(luò):工業(yè)控制網(wǎng)絡(luò)在物理層面上實(shí)現(xiàn)控制網(wǎng)與辦公信息網(wǎng)的安全隔離���。
構(gòu)建縱深防御體系:該泵站工控系統(tǒng)分別從主機(jī)安全�、網(wǎng)絡(luò)邊界安全�����、安全監(jiān)測與審計(jì)3個(gè)維度以及統(tǒng)一管理中心進(jìn)行安全防護(hù)���,依托安全產(chǎn)品AI機(jī)器學(xué)習(xí)建模���,不斷自我優(yōu)化的能力���,實(shí)現(xiàn)工控系統(tǒng)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)的主動(dòng)防御安全體系�����,不依賴特征庫的縱深安全防御體系����。
構(gòu)建集中管控中心:對(duì)部署的安全防護(hù)技術(shù)手段在系統(tǒng)范圍內(nèi)進(jìn)行集中管控,將孤立的安全能力整合成協(xié)同工作的安全防護(hù)體系���。
圖1 網(wǎng)絡(luò)拓?fù)鋱D
1����、主機(jī)安全防護(hù)
在通信操作站���、操作員站��、工程師站和數(shù)據(jù)服務(wù)器主機(jī)安裝終端防護(hù)白名單軟件工業(yè)衛(wèi)士�,使主機(jī)免受病毒等各種非法攻擊�,可以有效管控主機(jī)的USB等外部端口���。針對(duì)Windows主機(jī),它提供完全適用于工控行業(yè)的安全防護(hù)�����,保障關(guān)鍵業(yè)務(wù)的運(yùn)行�����,建立穩(wěn)定的運(yùn)行環(huán)境�,同時(shí)有效遏制至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”����、Havex、“勒索”等)及其變種的運(yùn)行��。
▲工業(yè)衛(wèi)士白名單管理
▲U盤管控
2�、控制網(wǎng)絡(luò)邊界安全防護(hù)
自控中心交換機(jī)與老泵站控制系統(tǒng)之間部署工業(yè)防火墻,對(duì)不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域邊界進(jìn)行安全防護(hù)�����,阻止網(wǎng)絡(luò)攻擊在不同區(qū)域間滲透���,保障關(guān)鍵資產(chǎn)和業(yè)務(wù)的安全�。基于AI自學(xué)習(xí)后生成并優(yōu)化的白名單策略防護(hù)��,阻止了不可信的數(shù)據(jù)和操作行為�,最大程度地防范未知威脅。
自控中心交換機(jī)與信息中心交換機(jī)之間部署工業(yè)網(wǎng)閘��,實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離���,數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進(jìn)行“擺渡”�����,從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接�。
▲工業(yè)防火墻白名單功能
3�、安全監(jiān)測與審計(jì)
自控中心交換機(jī)旁路部署工業(yè)審計(jì)系統(tǒng),實(shí)時(shí)檢測出針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊��、誤操作���、違規(guī)操作��、非法IP或非法設(shè)備接入以及病毒的傳播并實(shí)時(shí)報(bào)警���,詳實(shí)記錄一切網(wǎng)絡(luò)通信行為��,包括指令級(jí)的工業(yè)控制協(xié)議通信記錄�,并且提供回溯功能���。
信息中心交換機(jī)旁路部署入侵檢測系統(tǒng)���,對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集并進(jìn)行深度分析,對(duì)那些異常的���、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測和報(bào)警。
▲工業(yè)審計(jì)S7協(xié)議白名單
4�、統(tǒng)一管理中心
構(gòu)建安全管理中心區(qū)域,該區(qū)域部署監(jiān)管平臺(tái)�����、堡壘機(jī)����、日志審計(jì)系統(tǒng)、工業(yè)漏掃系統(tǒng)����。
① 監(jiān)管平臺(tái)�����,對(duì)網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理��、配置�����、安全策略統(tǒng)一部署����,提高運(yùn)維效率��,設(shè)備狀態(tài)監(jiān)控��,監(jiān)測網(wǎng)絡(luò)的通信流量與安全事件���,并能對(duì)網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析���。
② 堡壘機(jī),實(shí)現(xiàn)對(duì)安全設(shè)備����、網(wǎng)絡(luò)設(shè)備�、工作站��、服務(wù)器等設(shè)備運(yùn)行進(jìn)行集中監(jiān)測和統(tǒng)一管理;對(duì)安全運(yùn)維審計(jì)�,保存任何操作行為,提供運(yùn)維審計(jì)報(bào)告���。
③ 日志審計(jì)系統(tǒng)�,實(shí)現(xiàn)對(duì)安全產(chǎn)品日志的統(tǒng)一采集�����、分析���、存儲(chǔ),對(duì)安全事件的應(yīng)急處置��、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐���,以及追蹤溯源�����。
④ 工業(yè)漏掃提供了漏洞掃描功能�����、漏洞修復(fù)建議����、Windows安全加固功能、漏洞工單管理模塊等����,使脆弱性管理工作形成閉環(huán)。
▲監(jiān)管平臺(tái)資產(chǎn)大屏
▲監(jiān)管平臺(tái)策略配置下發(fā)
▲工業(yè)漏掃工控系統(tǒng)掃描
04.客戶價(jià)值
1�、方案以O(shè)T與IT融合技術(shù)(OI/IT一體化防護(hù)引擎、一體化知識(shí)庫�、一體化防護(hù)功能)、AI人工智能技術(shù)賦能的產(chǎn)品幫助客戶建立高可信度的縱深防御防護(hù)體系�,確保泵站工控網(wǎng)絡(luò)系統(tǒng)長期安全穩(wěn)定運(yùn)行;
2、順利通過等級(jí)保護(hù)2.0(三級(jí))測評(píng)���,為智慧水利平臺(tái)建設(shè)打下堅(jiān)實(shí)基礎(chǔ);
3���、結(jié)合現(xiàn)場原有管理制度,完善成標(biāo)準(zhǔn)化、規(guī)范化�、針對(duì)性的工控系統(tǒng)網(wǎng)絡(luò)安全管理制度。
政策與經(jīng)濟(jì)
京公網(wǎng)安備 11010802020613號(hào)
