汛期已至,全力保障水泵站安全运行!
- 关键词:网络安全,水利
- 摘要:七八月份是我国防汛关键期,也是台风暴雨多发期,大范围强降水、江河洪水呈现多发频发趋势,导致严重的洪涝灾害,危害人民生命财产安全。《关键信息基础设施安全保护条例》2021年9月1日发布,其中明确规定水利工程是“国家关键信息基础设施”的重要组成部分,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。水泵站作为水利工程建设过程中较为重要组成部分,在防汛抗洪过程中发挥着重要的作用,保障水泵站安全运行至关重要! 水利信息化是我国信息化建设的重要组成部分,也是水利现代化的必然途径。
概述
七八月份是我国防汛关键期,也是台风暴雨多发期,大范围强降水、江河洪水呈现多发频发趋势,导致严重的洪涝灾害,危害人民生命财产安全。《关键信息基础设施安全保护条例》2021年9月1日发布,其中明确规定水利工程是“国家关键信息基础设施”的重要组成部分,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。水泵站作为水利工程建设过程中较为重要组成部分,在防汛抗洪过程中发挥着重要的作用,保障水泵站安全运行至关重要!
水利信息化是我国信息化建设的重要组成部分,也是水利现代化的必然途径。水利信息化的发展使越来越多的计算机和网络技术应用于泵站控制系统,更加复杂的网络安全环境为水泵站的安全运行带来了极大的安全隐患。随着《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《网络安全等级保护基本要求》、《水利网络安全技术规范》等多项网络安全相关法律法规先后出台,为进一步提升水利行业网络安全意识,筑牢水利网络安全防线,推进智慧水利建设构建了良好的基础支撑。
一、水泵站面临的网络攻击风险
当前,水利系统防护资源不足、网络安全成熟度较低,网络攻击可能造成严重损害,这使水利系统成为黑客组织的攻击目标。2020年5月28日,以色列国家网络安全负责人公开承认,该国4月份挫败了对其供水系统的大规模网络攻击。美国国土安全部的统计显示:早在2015年,针对供水系统的网络攻击事件,就已经排入前三名,仅次于关键制造和能源行业。频发网络安全事件表明,网络威胁已经向水利系统领域渗透,把水泵站等控制系统作为攻击目标,为水利系统敲响了安全警钟。
主要风险:
黑客入侵风险:水泵站工控系统存在与其他网络互联需求,因此需开放业务端口与互联网贯通,存在被不法分子入侵的风险。
病毒传播风险:跨网互联存在病毒传播到企业工控系统中的风险,导致重泵机无法正常工作,甚至造成安全事故。
数据篡改及泄露风险:水泵站经其他网络传输数据时,存在数据篡改和数据泄漏风险。
二、水泵站工控安全防护解决方案
针对当前水利泵站的网络安全现状,为保障其生产的安全稳定可持续,要对其进行生产网络的安全风险评估及安全等级保护建设,涉及的范围主要包括各泵站生产控制网络和监控中心。水泵站生产控制网络包括 PLC 等控制设备、HMI 等工业终端设备、监控终端等上位机、关键业务系统等。安盟信息水泵站工控安全防护解决方案在安全通信网络、安全区域边界、安全计算环境、安全管理中心四方面对防护框架进行全方位方案设计。
安全通信网络
网络架构:划分不同网络区域,避免将重要区域部署在网络边界处。
安全区域边界
边界防护:访问与数据流通过边界设备受控接口通信;非授权设备接入内部网络检查或限制。
入侵防范:关键网络节点检测攻击,限制外部及内部攻击,采取技术措施对网络行为分析,检测 新型网络攻击;记录检测到的攻击并报警。
安全计算环境
访问控制:重命名或删除默认账户,修改默认口令;清理多余无效账户与共享账户;实现管理用户最小授权以及权限分离。
安全审计及防范:审计覆盖每个用户,审计重要用户行为和安全事件。对入侵进行阻断及告警。
安全管理中心
集中管控:划分出特定的管理区域,并建立安全的信息传输路径,对分布在网络中的安全设备或安全组件进行管控;对设备、链路运行状况进行集中监测; 对分散在各个设备上的审计数据进行收集 汇总和集中分析,并保证审计记录的留存时间符合法律法规规要求。
水泵站工控安全防护拓扑结构示意图
在满足等级保护合规要求的前提下,结合泵站生产网络的特点,围绕着生产系统生命周期的高可用性,安盟信息基于“一中心,两分离、三边界”安全防护设计思想,融合工控安全设备与生产系统功能要求,解决应用场景“个性化”安全需求,提升抵御安全风险及安全事件应对能力,确保生产系统可持续运行。
一中心:是指建设企业生产网的网络安全管理中心,对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
两分离:为降低生产网因设备管理带来的风险,建议企业规划与业务网相对独立的安全管理网络,实现业务数据流和安全管理防护数据流的分离,互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。
三边界:是指生产网边界、其他外联边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求,提供不同的安全防护技术和设备。
方案价值
网络隔离
在生产环网与监控网之间部署工业安全隔离装置;监控网到互联网之间部署下一代防火墙,生产环网与控制中心部署工业防火墙,符合安全策略的应用和数据才可以通过,防止黑客攻击和勒索病毒入侵。
安全合规
通过安全防护的技术应用要点,实现了高安全隔离前提下的数据交换,符合《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)。
综合防护
强化区域内网络、主机、物理环境及数据的安全防护增强整体安全防护能力,形成以边界防护为要点、多层防线构成纵深防护体系,确保水泵站安全生产稳定运营。
随着物联网、大数据等新技术发展应用,水利行业工控系统面临更多的安全风险,安盟信息将凭借在新一代边界安全、工业互联网安全、商用密码应用与数据安全方面积累的经验,继续深化研究并实施水利网络安全技术防护措施、持续落实网络安全制度,促进水利工控制系统安全、稳定运行,更好支撑水利业务健康发展!