概述

七八月份是我國(guó)防汛關(guān)鍵期，也是臺(tái)風(fēng)暴雨多發(fā)期，大范圍強(qiáng)降水、江河洪水呈現(xiàn)多發(fā)頻發(fā)趨勢(shì)，導(dǎo)致嚴(yán)重的洪澇災(zāi)害，危害人民生命財(cái)產(chǎn)安全?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》2021年9月1日發(fā)布，其中明確規(guī)定水利工程是“國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施”的重要組成部分，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益。水泵站作為水利工程建設(shè)過(guò)程中較為重要組成部分，在防汛抗洪過(guò)程中發(fā)揮著重要的作用，保障水泵站安全運(yùn)行至關(guān)重要！

水利信息化是我國(guó)信息化建設(shè)的重要組成部分，也是水利現(xiàn)代化的必然途徑。水利信息化的發(fā)展使越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于泵站控制系統(tǒng)，更加復(fù)雜的網(wǎng)絡(luò)安全環(huán)境為水泵站的安全運(yùn)行帶來(lái)了極大的安全隱患。隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《水利網(wǎng)絡(luò)安全技術(shù)規(guī)范》等多項(xiàng)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)先后出臺(tái)，為進(jìn)一步提升水利行業(yè)網(wǎng)絡(luò)安全意識(shí)，筑牢水利網(wǎng)絡(luò)安全防線，推進(jìn)智慧水利建設(shè)構(gòu)建了良好的基礎(chǔ)支撐。

一、水泵站面臨的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)

當(dāng)前，水利系統(tǒng)防護(hù)資源不足、網(wǎng)絡(luò)安全成熟度較低，網(wǎng)絡(luò)攻擊可能造成嚴(yán)重?fù)p害，這使水利系統(tǒng)成為黑客組織的攻擊目標(biāo)。2020年5月28日，以色列國(guó)家網(wǎng)絡(luò)安全負(fù)責(zé)人公開(kāi)承認(rèn)，該國(guó)4月份挫敗了對(duì)其供水系統(tǒng)的大規(guī)模網(wǎng)絡(luò)攻擊。美國(guó)國(guó)土安全部的統(tǒng)計(jì)顯示：早在2015年，針對(duì)供水系統(tǒng)的網(wǎng)絡(luò)攻擊事件，就已經(jīng)排入前三名，僅次于關(guān)鍵制造和能源行業(yè)。頻發(fā)網(wǎng)絡(luò)安全事件表明，網(wǎng)絡(luò)威脅已經(jīng)向水利系統(tǒng)領(lǐng)域滲透，把水泵站等控制系統(tǒng)作為攻擊目標(biāo)，為水利系統(tǒng)敲響了安全警鐘。

主要風(fēng)險(xiǎn)：

黑客入侵風(fēng)險(xiǎn)：水泵站工控系統(tǒng)存在與其他網(wǎng)絡(luò)互聯(lián)需求，因此需開(kāi)放業(yè)務(wù)端口與互聯(lián)網(wǎng)貫通，存在被不法分子入侵的風(fēng)險(xiǎn)。

病毒傳播風(fēng)險(xiǎn)：跨網(wǎng)互聯(lián)存在病毒傳播到企業(yè)工控系統(tǒng)中的風(fēng)險(xiǎn)，導(dǎo)致重泵機(jī)無(wú)法正常工作，甚至造成安全事故。

數(shù)據(jù)篡改及泄露風(fēng)險(xiǎn)：水泵站經(jīng)其他網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，存在數(shù)據(jù)篡改和數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

二、水泵站工控安全防護(hù)解決方案

針對(duì)當(dāng)前水利泵站的網(wǎng)絡(luò)安全現(xiàn)狀，為保障其生產(chǎn)的安全穩(wěn)定可持續(xù)，要對(duì)其進(jìn)行生產(chǎn)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估及安全等級(jí)保護(hù)建設(shè)，涉及的范圍主要包括各泵站生產(chǎn)控制網(wǎng)絡(luò)和監(jiān)控中心。水泵站生產(chǎn)控制網(wǎng)絡(luò)包括 PLC 等控制設(shè)備、HMI 等工業(yè)終端設(shè)備、監(jiān)控終端等上位機(jī)、關(guān)鍵業(yè)務(wù)系統(tǒng)等。安盟信息水泵站工控安全防護(hù)解決方案在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心四方面對(duì)防護(hù)框架進(jìn)行全方位方案設(shè)計(jì)。

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)：劃分不同網(wǎng)絡(luò)區(qū)域，避免將重要區(qū)域部署在網(wǎng)絡(luò)邊界處。

安全區(qū)域邊界

邊界防護(hù)：訪問(wèn)與數(shù)據(jù)流通過(guò)邊界設(shè)備受控接口通信；非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)檢查或限制。 

入侵防范：關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)檢測(cè)攻擊，限制外部及內(nèi)部攻擊，采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為分析，檢測(cè) 新型網(wǎng)絡(luò)攻擊；記錄檢測(cè)到的攻擊并報(bào)警。 

安全計(jì)算環(huán)境

訪問(wèn)控制：重命名或刪除默認(rèn)賬戶，修改默認(rèn)口令；清理多余無(wú)效賬戶與共享賬戶；實(shí)現(xiàn)管理用戶最小授權(quán)以及權(quán)限分離。 

安全審計(jì)及防范：審計(jì)覆蓋每個(gè)用戶，審計(jì)重要用戶行為和安全事件。對(duì)入侵進(jìn)行阻斷及告警。

安全管理中心

集中管控:劃分出特定的管理區(qū)域，并建立安全的信息傳輸路徑，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控;對(duì)設(shè)備、鏈路運(yùn)行狀況進(jìn)行集中監(jiān)測(cè); 對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集 匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)規(guī)要求。

水泵站工控安全防護(hù)拓?fù)浣Y(jié)構(gòu)示意圖

在滿足等級(jí)保護(hù)合規(guī)要求的前提下，結(jié)合泵站生產(chǎn)網(wǎng)絡(luò)的特點(diǎn)，圍繞著生產(chǎn)系統(tǒng)生命周期的高可用性，安盟信息基于“一中心，兩分離、三邊界”安全防護(hù)設(shè)計(jì)思想，融合工控安全設(shè)備與生產(chǎn)系統(tǒng)功能要求，解決應(yīng)用場(chǎng)景“個(gè)性化”安全需求，提升抵御安全風(fēng)險(xiǎn)及安全事件應(yīng)對(duì)能力，確保生產(chǎn)系統(tǒng)可持續(xù)運(yùn)行。

一中心：是指建設(shè)企業(yè)生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全管理中心，對(duì)工業(yè)生產(chǎn)全景進(jìn)行安全態(tài)勢(shì)感知、分析、預(yù)警及準(zhǔn)入控制，并對(duì)異常報(bào)警行為形成工單分配給人工進(jìn)行干預(yù)處理，同時(shí)與相應(yīng)防護(hù)設(shè)備進(jìn)行協(xié)同防御。

兩分離：為降低生產(chǎn)網(wǎng)因設(shè)備管理帶來(lái)的風(fēng)險(xiǎn)，建議企業(yè)規(guī)劃與業(yè)務(wù)網(wǎng)相對(duì)獨(dú)立的安全管理網(wǎng)絡(luò)，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)流和安全管理防護(hù)數(shù)據(jù)流的分離，互不干涉。安全管理網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備的配置管理、運(yùn)行狀態(tài)收集、分析數(shù)據(jù)收集等。

三邊界：是指生產(chǎn)網(wǎng)邊界、其他外聯(lián)邊界、主機(jī)邊界三個(gè)邊界?；谌吔绮煌踩雷o(hù)側(cè)重點(diǎn)和業(yè)務(wù)連續(xù)性要求，提供不同的安全防護(hù)技術(shù)和設(shè)備。

方案價(jià)值

網(wǎng)絡(luò)隔離

在生產(chǎn)環(huán)網(wǎng)與監(jiān)控網(wǎng)之間部署工業(yè)安全隔離裝置；監(jiān)控網(wǎng)到互聯(lián)網(wǎng)之間部署下一代防火墻，生產(chǎn)環(huán)網(wǎng)與控制中心部署工業(yè)防火墻，符合安全策略的應(yīng)用和數(shù)據(jù)才可以通過(guò)，防止黑客攻擊和勒索病毒入侵。

安全合規(guī)

通過(guò)安全防護(hù)的技術(shù)應(yīng)用要點(diǎn)，實(shí)現(xiàn)了高安全隔離前提下的數(shù)據(jù)交換，符合《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GBT22239-2019)。

綜合防護(hù)

強(qiáng)化區(qū)域內(nèi)網(wǎng)絡(luò)、主機(jī)、物理環(huán)境及數(shù)據(jù)的安全防護(hù)增強(qiáng)整體安全防護(hù)能力，形成以邊界防護(hù)為要點(diǎn)、多層防線構(gòu)成縱深防護(hù)體系，確保水泵站安全生產(chǎn)穩(wěn)定運(yùn)營(yíng)。

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)發(fā)展應(yīng)用，水利行業(yè)工控系統(tǒng)面臨更多的安全風(fēng)險(xiǎn)，安盟信息將憑借在新一代邊界安全、工業(yè)互聯(lián)網(wǎng)安全、商用密碼應(yīng)用與數(shù)據(jù)安全方面積累的經(jīng)驗(yàn)，繼續(xù)深化研究并實(shí)施水利網(wǎng)絡(luò)安全技術(shù)防護(hù)措施、持續(xù)落實(shí)網(wǎng)絡(luò)安全制度，促進(jìn)水利工控制系統(tǒng)安全、穩(wěn)定運(yùn)行，更好支撐水利業(yè)務(wù)健康發(fā)展！