帝造数字时代工业网络安全防线 | 智慧水务篇

帝造数字时代工业网络安全防线 | 智慧水务篇

时间:2021-04-15 作者:安帝科技

01智慧水务行业背景介绍

工业控制系统(ICS)是智慧水务的关键信息基础设施,是实现水务自动化、网络化、智能化的基础构件。近年来不断披露的针对水务行业的网络安全事件,给智慧水务建设的网络安全敲响了警钟。2021年2月5日,一名身份不明的攻击者渗透了美国佛罗里达州一家水处理厂的控制系统,并试图改变饮用水中的化学成分含量。
西方发达国家对水务网络安全的建设非常重视,发展路线图、国家安全战略相继出台,凸显了水务作为国家关键信息基础设施的极端重要性。而我国在2019年水利部233文件中,第一章第四条也明确指出水利网络安全工作的保护对象,包括:水利基础信息网络、云计算平台/系统、大数据应 用/平台/资源、物联网(IoT)、水利工程控制系统和水利业务应用系统(含采用移动互联技术的系统)等。
因此合规要求及安全形势,使得保障水利关键信息基础设施稳定运行为目标的“智慧水务”建设,成为当今水务工作的重要目标。安帝科技提供全生命周期解决方案,助力城市水利关键信息基础设施构建动态综合防御体系,夯实网络安全根基。

02智慧水务行业安全现状

主机防护脆弱

· 控制中心、各闸泵站、各监测站上位主机、工程师站上缺乏必要手段保障USB设备安全使用及防病毒措施;
· 操作系统、上位机软件无法更新与升级;
· 账号管理不严,操作系统无加固。

边界防护缺失

· 控制中心、各闸泵站、各监测站之间主机外网非法访问;
· 虽部署了传统防火墙,但无法识别专有工控协议,不能提供明确的允许/拒绝访问的能力。

网络审计缺乏

· 控制中心、各闸泵站、各监测站网络缺乏网络审计手段,导致安全威胁影响被放大;
· 缺乏必要针对新型攻击的防护措施和手段。

安全运维不当

· 办公及生产网络各种IT操作无标准流程和相关规范;
· 人员缺乏工控网络安全意识,安全理念停留在设备故障上;
· 维护人员操作缺乏管控。

03智慧水务行业防护思路

主机防护

· 采用低资源占用的白名单手段对水务工业控制系统的上位机、服务器进行安全加固整改;

· 安装资产审计系统,确保资产设备数据准确,设备统计无盲点。

边界防护

· 安装隔离网闸,提高设备安全保护能力;
· 对水务工业控制系统进行安全分区分域,不同业务功能区域之间采取针对性安全隔离措施。

网络审计

· 增强水务工业控制网络的安全监测、审计能力。集中管控工业控制网络内的安全设备,建设网络安全态势感知平台提升整体安全防护能力;
· 建立应急响应机制,加强应急组织、人员、制度、装备建设以及常态化演练。

安全运维

· 加强工作人员培训,定期组织攻防演练,提升工控信息安全保护意识;
· 实时关注权威部门发布的预警数据及最新发展趋势,制定实时的应对安全策略。

04解决方案及产品部署图

根据等级保护及行业相关标准要求,分析网络设备和主机设备、运维体系现存在的脆弱性,输出安全加固整改方案,对工控网络安全、主机安全、运维安全层面存在的安全问题进行安全加固和整改,加强设备系统安全防护能力,降低安全风险,提升运维管理能力。

安全通信网络

在调度控制中心与各厂边界部署工业网闸,实现不同业务功能网络的物理隔离,在各厂内具有不同业务功能的区域之间部署工业网络防火墙,实现分层分域的安全防护和访问控制。

安全区域边界

在各厂的工业控制网络边界旁路部署工业网络入侵检测系统、在各业务功能区域内网部署工业网络审计系统,持续监测预警,保证区域边界安全。

安全计算环境

在操作站、工程师站等上位机及服务器上部署工控主机安全防护系统,以白名单形式实现身份鉴别、防病毒、端口管控、防止非法、非授权安装与使用等安全防护,为主机系统安全运行提供必要的安全保障。

安全管理中心

部署工控统一行为管理平台和工业互联网安全态势感知平台,监控分析自身资产,把控威胁。部署工业网络安全威胁评估系统和工业网络漏洞扫描系统,摸清家底,认清威胁。部署工业日志分析系统和工业数据库审计系统,日志统管,安全审计。部署工业网络安全运维系统,提升运维人员综合业务能力。

05安全规范化建设价值

安全合规

满足网络安全法、工业控制系统信息安全防护指南、关键信息基础设施保护条例等保2.0及行业标准规范的要求,提升水务企业的网络安全防护运营水平。

安全运营

构建一体化的动态综合防御体系,提升智慧水务的安全运营能力,为保障水利关键信息基础设施业务的连续、稳定运行保驾护航。

提质增效

安帝科技提供不断完善的企业安全能力体系及安全生态圈建设,可有效防止信息泄露,减少网络攻击事件的发生,间接减少经济损失。

06总结

随着新技术不断应用到智慧水务建设中,各种新的安全风险应运而生,智慧水务的网络安全保障建设任重道远,安帝科技在智慧水务安全防护中贯穿采水、净水、供水、排水等环节,综合采用异构数据全量采集、大数据分析、协议深度解析、智能感知、关联分析、威胁情报分析、态势监控等新技术,贴合水务行业实际情况,构建动态综合的纵深防护体系,助力水务企业实现提质增效的运营目标。